SAML--SSO系统的安全问题分析与改进

摘要

随着网络技术的飞速发展，日常生活和工作中运用到的系统越来越多，与此同时，代表用户身份的数据信息量也迅速飙升。如何整合利用信息资源、简化系统应用以及降低信息维护成本越来越受到人们的重视。要解决这些问题，首先就是要实现用户的统一身份验证，集中高效的管理用户的账号和密码等身份验证信息，而单点登录（SSO，即Single Sign-On的简称）就是实现这一目标的最好方案。单点登录是系统进行身份验证的一个重要组成部分，它可以实现用户在多个应用系统之间，只需要一次身份验证就可以访问互相可信的其他应用系统，得到“一站式服务”的体验。用户在获得便捷的同时，也很关注单点登录系统的安全性。所以对单点登录系统的安全问题进行研究，发现其中的安全漏洞并加以改进和防范，有助于提高单点登录系统的安全性，进而促进单点登录系统的发展和普及，对网络用户体验高效便捷且安全的网络应用服务具有重要的意义。 本文重点研究了以下几个方面的内容: (1)研究单点登录系统（也称作“SSO系统”）所涉及到的基本原理、相关技术、现有的多种单点登录实现机制等内容，了解到基于SAML的单点登录系统具备易扩展、跨平台、可移植、方便简单的优势，更符合现在的网络应用环境的要求。 (2)目前的SAML-SSO系统不能抵抗重放攻击、DNS欺骗攻击以及DDoS攻击，通过分析SAML-SSO系统在这些网络攻击手段下出现的安全问题，寻求解决这些安全问题的思路和方法，提出了针对SAML-SSO系统的具体的改进方案，包括采用动静态口令结合的认证方式、SAML断言的用户唯一性检查和SAML断言的唯一性检查以及其他一些辅助性改进方法。 (3)使用Shibboleth开源项目来搭建SAML-SSO系统的实验环境和进行压力测试，验证了改进后的SAML-SSO系统能够有效的解决所发现的安全问题，即SAML-SSO系统的安全性得到了增强。

目录

声明

摘要

第一章 绪论

1．1 研究背景及意义

1．2 国内外研究现状

1．3 论文的主要内容

1．4 论文的主要章节安排

第二章 SSO系统及相关技术分析

2．1 单点登录SSO

2．1．1 SSO概念描述

2．1．2 组成结构及实现原理

2．2 相关技术分析

2．2．1 XML

2．2．2 简单对象访问协议SOAP

2．2．3 安全断言标记语言SAML

2．3 常用网络攻击手段

2．4 本章小结

第三章 SAML-SSO系统的安全问题分析

3．1 现有的SSO系统实现模式

3．2 SAML-SSO系统的安全问题

3．2．1 重放攻击

3．2．2 DNS欺骗攻击

3．2．3 DDoS攻击

3．3 本章小结

第四章 SAML-SSO系统的安全问题改进

4．1 安全问题的防御策略

4．1．1 重放攻击的防御策略

4．1．2 DNS欺骗攻击的防御策略

4．1．3 DDoS攻击的防御策略

4．2 SAML-SSO系统实现机制的改进

4．2．1 认证过程采用动静态口令结合方式

4．2．2 检查SAML断言的唯—性

4．2．3 其它辅助性改进

4．3 本章小结

第五章实验与安全问题分析

5．1 实验方案

5．2 安全问题分析

5．3 本章小结

第六章 总结与展望

6．1 内容总结

6．2 进一步的研究工作

参考文献

硕士期间参与的科研项目

致谢