基于SAML的统一身份认证服务研究与实现

摘要

现阶段,国内各高校数字校园的建设不断深入,大学资源计划(URP)逐渐成为高校信息化建设的主流理念。数字化建设已经从过去的系统集成阶段发展到目前的应用集成阶段,高校数字化建设应用集成阶段的主要工作是建立数字化校园信息平台。为了满足数字化校园信息平台建设的需要,建立一种“一次认证,全网漫游”的统一身份认证服务是非常必要的。统一身份认证技术正处于发展中,目前有许多国际组织和公司都致力于这一领域的研究工作。基于SAML规范的统一身份认证系统,具有域内访问和跨域的联合身份认证的能力,而且可以满足异构系统之间交换身份认证信息。本文在对统一身份认证现有的解决方案和标准规范进行深入研究的基础上,设计和实现了一个基于SAML的统一身份认证系统。该认证系统采用Browser/Artifact配置方式,通过在IDP(身份提供者)和SP(服务提供者)之间建立安全传输通道,实现了用户认证信息在IDP和SP之间快速的、安全的传输。针对不同域用户,分别设计了域内访问和跨域访问的联合身份认证模型。论文完成了SAML服务端和SAML客户端相关模块的开发和设计,其中,服务端模块包括认证处理模块、令牌生成器模块、资源访问转移模块、请求响应模块和信息传输模块和安全处理模块等;SAML客户端包括SAML消费处理模块、Artifact接收处理模块和访问控制模块。系统使用XML安全技术对请求/响应信息进行数字签名,防止信息在传输过程中被非法者篡改,从而保证了应用层信息的安全。用户身份信息、资源信息使用目录服务LDAP进行存储和管理,并设计了访问LDAP的相关模块。本系统以校园网为应用背景,实现了基于SAML的统一身份认证平台,并选取不同的WEB应用系统作为实验对象,演示了系统的运行过程,验证了基于SAML的统一身份认证服务的可行性和安全性,达到预期设计的目标。

目录

摘要

Abstract

第一章 绪论

1.1 课题的研究背景

1.2 研究现状

1.2.1 Kerberos

1.2.2 Passport

1.2.3 自由联盟项目（Liberty Alliance Project）

1.3 研究内容

1.4 论文结构

第二章 相关技术综述

2.1 密码技术

2.1.1 对称密钥算法

2.1.2 非对称密钥算法

2.1.3 消息文摘算法

2.2 XML 安全技术

2.2.1 XML 签名

2.2.2 XML 加密

2.3 LDAP

2.3.1 目录服务简介

2.3.2 LDAP

2.3.3 LDAP 模型

2.4 SAML

2.4.1 SAML 断言

2.4.2 SAML 请求/响应协议

2.4.3 SAML 绑定

2.4.4 SAML Profile

2.4.5 SAML Artifact

第三章 系统总体设计

3.1 设计原则

3.2 统一身份认证模型

3.3 域内访问设计

3.4 跨域访问设计

3.5 用户信息管理

3.6 系统结构

第四章 系统详细设计与实现

4.1 系统开发环境

4.2 身份认证方

4.2.1 认证处理模块

4.2.2 令牌生成器模块

4.2.3 资源访问转移模块

4.2.4 请求响应模块

4.2.5 信息传输模块

4.2.6 安全处理模块

4.3 SAML 客户端代理

4.4 目录服务实现

第五章 应用实例演示

第六章 总结与展望

6.1 总结

6.2 展望

参考文献

致谢

在读期间取得的科研成果

作者简介