基于SAML的單點(diǎn)登錄安全模型的研究.pdf

1、單點(diǎn)登錄的基本思想是用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。由于Web服務(wù)業(yè)務(wù)經(jīng)常需要不同域中的多個(gè)站點(diǎn)協(xié)同工作，這就面臨跨域的協(xié)同認(rèn)證和安全信息傳遞的問題。因此，基于統(tǒng)一標(biāo)準(zhǔn)-SAML的單點(diǎn)登錄就成為當(dāng)前安全領(lǐng)域的研究熱點(diǎn)。
　　 本文首先對當(dāng)前單點(diǎn)登錄解決方案的優(yōu)勢和不足進(jìn)行了詳細(xì)的分析，然后針對當(dāng)前單點(diǎn)登錄系統(tǒng)雖然能提供單個(gè)域內(nèi)多個(gè)站點(diǎn)間聯(lián)合認(rèn)證，但缺乏統(tǒng)一標(biāo)準(zhǔn)、運(yùn)行流程過于復(fù)雜和安全性不足等問題，提出了一種基

2、于SOAP消息擴(kuò)展的安全遠(yuǎn)程密碼認(rèn)證策略和一種基于SAML的消息安全策略，并在此基礎(chǔ)上建立了一個(gè)基于SAML的單點(diǎn)登錄安全模型，最后在數(shù)字化校園中得到實(shí)現(xiàn)。
　　 本文的主要工作如下：
　　 ①針對當(dāng)前SAML單點(diǎn)登錄缺乏有效認(rèn)證機(jī)制的問題，本文結(jié)合SOAP消息的可擴(kuò)展性和安全遠(yuǎn)程密碼的優(yōu)點(diǎn)，提出了一種基于SOAP消息擴(kuò)展的安全遠(yuǎn)程密碼認(rèn)證策略。即使用戶使用弱口令，該策略也可以保證單點(diǎn)登錄過程中口令和驗(yàn)證斷言的安全。

3、r>　　 ②針對當(dāng)前SAML消息機(jī)制的脆弱性和傳輸層消息保護(hù)機(jī)制的不足，本文提出了一種基于SAML的消息安全策略，并對該策略的安全性進(jìn)行了總結(jié)。該策略能在整個(gè)傳輸期間保證消息的安全，能滿足Web服務(wù)中安全消息跨節(jié)點(diǎn)、跨域等傳輸?shù)囊蟆?br>　　 ③為解決當(dāng)前SAML單點(diǎn)登錄模型中存在的安全信息交換過程復(fù)雜，安全性不足，缺乏靈活性等問題，本文基于①、②兩種策略，提出了一個(gè)SAML單點(diǎn)登錄安全模型。該模型具有流程簡單、消息傳輸量減少、