基于SAML的安全管理系统单点登录技术研究

摘要

随着人们对电子办公系统的依赖不断加深，用户要访问多个认证授权体系和安全管理策略相互独立的业务系统的需求也不断增加。为了减少用户需要记住多组用户名和密码带来的诸多不便，单点登录技术应运而生。
　　通过单点登录技术，在一个业务相关的多应用平台中，用户只在某个应用中进行一次身份认证，就可以自由访问所有相互信任的应用系统。这不但改善了用户的使用体验，提高了工作效率，而且可以增加整个系统的安全性。很多公司研究开发了单点登录系统，当前流行的Kerberos、 Passport和自由联盟等3种协议可以较好实现上述目标，但也存在一些不足。在众多单点登录解决方案中，OASIS国际标准化组织提出的SAML规范具有优势和影响力。该规范基于XML文档格式，提供了一种封装认证信息的统一格式，为异构系统之间传递身份认证信息提供了较好的解决方案。
　　本文首先介绍了单点登录技术的研究现状，对目前较为流行的解决方案进行了分析，详细介绍了SAML规范以及基于SAML单点登录的背景技术。结合作者实习所在公司业务管理平台的实际需求，本文提出了一套基于SAML规范的身份认证管理系统解决方案，对该管理系统中涉及到单点登录功能的三个重要组成部分和安全性进行了详细设计和分析，给出了功能模块与部分实现代码，为解决异构系统间的单点登录需求奠定了良好基础。

目录

声明

致谢

摘要

1 引言

1．1 研究背景

1．2 单点登录研究现状

1．3 本文主要工作

1．4 文章结构安排

2 背景技术介绍

2．1 现有单点登录解决方案

2．1．1 Kerberos协议

2．1．2 微软Passport单点登录协议

2．1．3 自由联盟Liberty Alliance

2．2 基于SAML的单点登录

2．3 SAML单点登录背景技术

2．3．1 XML及XML安全技术

2．3．2 简单对象访问协议(SOAP)

2．3．3 SSL套接字层

2．3．4 数字证书X．509

2．4 SAML规范简介

2．4．1 SAML断言

2．4．2 SAML协议

2．4．3 SAML绑定

2．4．4 SAML配置

2．5 本章小结

3 一种基于SAML的安全管理平台设计与实现

3．1 概述

3．2 需求与设计

3．3 安全管理平台组成

3．4 安全管理平台工作流程

3．5 基于SAML单点登录协议的设计与实现

3．5．1 首次访问业务系统

3．5．2 再次访问业务系统

3．6 安全管理平台小结

4 基于SAML单点登录的详细设计

4．1 智能客户端

4．1．1 工作流程

4．1．2 组成模块

4．2 统一身份认证服务器

4．2．1 工作流程与组成模块

4．2．2 认证断言及引用生成模块

4．2．3 认证断言响应模块

4．2．4 SAML请求解析模块

4．3 应用代理服务器

4．3．1 工作流程与组成模块

4．3．2 认证断言请求模块

4．3．3 认证断言解析模块

4．4 加密处理与安全传输

4．5 安全策略

5 结论

5．1 论文工作总结

5．2 今后的工作

参考文献

学位论文数据集