基于SAML的单点登录系统研究与实现

摘要

随着网络技术的不断发展和企业信息化建设的不断进步,企业开发的应用系统也在不断增多,这些系统有着独立的安全验证机制,用户的身份信息分别被每个系统保存的,无法互相传递,用户在进入不同系统时都要重新提交自己的身份标识来通过系统的认证。繁琐的登录过程给用户带来诸多不便,而且登录次数越多对系统的威胁也就越大。单点登录(SSO)解决了这个问题,它使得用户只需在网络中主动进行一次身份认证,即登录一次,便可以访问其被授权的所有网络资源。 企业之间的合作也开始建立在信息化之上,企业与供货商、代理商共同建立价值链系统,与同行企业建立联盟以组成不同的可信任安全域。在同一个安全区域中,企业之间的安全信息可进行共享,以提高用户在企业之间的互操作性及增强企业之间的合作性。为此,业界提出了SAML (Security Assertion Markup Language)规范,在同一个可信任区域中,其实现了在不同的安全服务系统之间的互操作性,提供了一种机制使得在不同的安全服务系统之间共享身份认证和授权信息,即身份认证的信息可以在多个服务系统中传递。 本文对单点登录系统所涉及到的技术进行了研究,对两种传统的基于SAML的单点登录模型进行深入分析和比较。在此基础上,综合考虑安全性、互操作性提出了一种基于SAML规范的单点登录集成身份认证系统。最后给出了基于SAML单点登录系统的一个应用实例,对系统的结构和流程进行了介绍,并对系统中所涉及到的安全问题进行了进一步的研究,同时描述了各个部分的详细设计及所用技术。

目录

文摘

英文文摘

声明

第一章绪论

1.1选题的背景和意义

1.2国内外研究现状

1.3研究内容和主要工作

1.4论文组织结构

第二章单点登录相关技术

2.1XML

2.1.1 XML概述

2.1.2 XML签名

2.2信息安全技术基础

2.2.1信息加密技术

2.2.2身份认证技术

2.3 SERVLET和SSL

2.3.1 Servlet

2.3.2 SSL/HTTPS

2.4 SAML规范

2.4.1 SAML概述

2.4.2 SAML规范的组成

2.4.3 SAML的应用

2.4.4 SAML的安全性

第三章单点登录系统(SSO)的研究

3.1单点登录技术

3.1.1单点登录系统的优点

3.1.2单点登录体系结构

3.1.3单点登录现有模型

3.2单点登录解决方案分析

3.2.1 CAS协议单点登录方案

3.2.2 Passport协议单点登录方案

3.2.3 Liberty Alliance单点登录方案

第四章系统分析与设计

4.1系统分析

4.1.1系统特点

4.1.2系统设计目标

4.1.3系统设计的原则

4.2系统架构

4.2.1单点登录系统结构

4.2.2系统流程

4.3系统设计

4.3.1身份认证

4.3.2令牌生成模块

4.3.3令牌验证模块

4.3.4 SP安全机制

第五章基于SAML的单点登录系统实现

5.1开发环境

5.2系统模块实现

5.2.1用户身份认证

5.2.2令牌生成模块

5.2.3令牌校验模块

5.2.4 SP安全机制

5.3系统安全实现

5.3.1数字证书的生成

5.3.2令牌的签名处理

5.3.3 SSL配置

第六章系统测试与性能分析

6.1系统测试

6.1.1测试环境

6.1.2测试过程

6.2系统性能分析

6.2.1系统的安全性

6.2.2系统的可实施性

6.2.3系统的可扩展性

6.2.4系统的可靠性

总结与展望

参考文献

攻读硕士学位期间取得的研究成果

致谢