基于SAML集中认证的研究及其在数字化校园中的实现

摘要

随着Web服务从技术概念到实际应用的不断发展，其松散耦合、与语言和平台无关、可跨互联网链接应用等优点日益明显。在Web服务给人们带来便利的同时，也面临着安全问题的巨大挑战，而身份认证、授权与访问控制等是其中的主要安全问题。因此，对Web服务中的身份认证技术进行深入研究，对提高系统的工作效率，增强Web服务中的安全性具有重要意义。本文在**高校数字化校园集中认证系统的建设中，通过对SAML2.0标准规范的身份认证模式进行改进，提出了数字化校园集中认证系统的解决方案，并对集中认证系统中用户身份信息的存储和采集方式进行了研究。对基于SAML集中认证的研究及其在数字化校园中的实现结果表明：
　　 ①基于SAML标准规范提出在数字化校园中集中认证系统的解决方案，该方案能够克服现有各种集中认证解决方案中互操作性差、跨平台性不好、缺少标准支持、部署成本高等问题。
　　 ②依据高校用户数据管理的分散性和管理流程的复杂性，设计出符合高校应用的LDAP数据模式，采用差异更新采集数据，保证了数据的集中性和一致性。
　　 ③提出了门户联邦的概念以及基于门户联邦的身份认证模式，减少了SAML标准IDP推模式中的交互流程，提高了IDP推模式的工作效率，又减少了因信息传递带来的安全威胁，测试表明其效率和安全性得到了提升。
　　 ④采用了整合WS-Security规范的安全性令牌，改善了SAML规范的安全性问题，用WS-Security规范将SAML断言和重要信息嵌入到SOAP消息中，保证SAML安全令牌在集中认证系统中传输的完整性与机密性。
　　 ⑤在**高校数字化校园建设中，实现基于SAML标准规范的集中认证系统，并结合实际应用设计多种不同的认证方式，针对可改造的系统、不可改造的系统、多并发的系统分别设计了认证接口、代理认证、LDAP接口三种不同接口实现方法。
　　 经过测试分析，验证了该基于SAML的集中认证系统，在数字化校园中运行的可靠性和安全性，达到了系统设计要求，方便了管理，提高了用户体验。

目录

文摘

英文文摘

声明

1绪论

1.1研究背景

1.2国内外研究现状

1.3本文的主要工作

1.4论文的组织结构

2相关技术应用研究

2.1 LDAP目录服务

2.2 SOAP协议分析

2.3 WS-Security规范介绍

2.4 SAML规范分析

2.5本章小结

3集中认证方案设计

3.1集中认证系统功能需求

3.2分层的集中认证设计

3.3系统数据的存储与采集

3.3.1 LDAP目录设计

3.3.2 LDAP用户模式设计

3.3.3用户账号数据采集

3.4现有集中认证模式与存在问题分析

3.4.1现有集中认证模式分析

3.4.2现有集中认证解决方案分析

3.4.3现有集中认证解决方案存在的问题

3.5集中认证模式设计

3.5.1 SAML典型模式研究

3.5.2集中认证模式设计

3.5.3 SP模块设计

3.5.4 IDP模块设计

3.5.5集中认证模式的优点

3.6 WS-Security与SAML整合

3.6.1附加安全性令牌设计

3.6.2 WS-Security使用SAML断言的过程

3.7模式安全策略

3.7.1模式面临的安全问题

3.7.2模式的消息保护机制

3.7.3模式的安全防范方法

3.8本章小结

4集中认证系统实现

4.1集中认证流程

4.2集中认证模块实现

4.2.1 SP模块实现

4.2.2 IDP模块实现

4.2.3安全令牌实现

4.3认证接口实现

4.3.1认证接口集成实现

4.3.2 Web Agent集成实现

4.3.3 LDAP集成实现

4.4系统实现效果展现

4.5本章小结

5系统测试与分析

5.1测试环境

5.2系统测试与分析

5.2.1测试目的

5.2.2系统功能测试

5.2.3系统用户体验测试

5.2.4系统压力测试

5.2.5系统功能效果分析

5.3本章小结

6总结与展望

6.1全文总结

6.2研究展望

致 谢

参考文献

附 录