基于SAML的統(tǒng)一身份認(rèn)證服務(wù)研究與實(shí)現(xiàn).pdf

1、現(xiàn)階段,國內(nèi)各高校數(shù)字校園的建設(shè)不斷深入,大學(xué)資源計(jì)劃(URP)逐漸成為高校信息化建設(shè)的主流理念。數(shù)字化建設(shè)已經(jīng)從過去的系統(tǒng)集成階段發(fā)展到目前的應(yīng)用集成階段,高校數(shù)字化建設(shè)應(yīng)用集成階段的主要工作是建立數(shù)字化校園信息平臺。為了滿足數(shù)字化校園信息平臺建設(shè)的需要,建立一種“一次認(rèn)證,全網(wǎng)漫游”的統(tǒng)一身份認(rèn)證服務(wù)是非常必要的。統(tǒng)一身份認(rèn)證技術(shù)正處于發(fā)展中,目前有許多國際組織和公司都致力于這一領(lǐng)域的研究工作?；赟AML規(guī)范的統(tǒng)一身份認(rèn)證系統(tǒng),具

2、有域內(nèi)訪問和跨域的聯(lián)合身份認(rèn)證的能力,而且可以滿足異構(gòu)系統(tǒng)之間交換身份認(rèn)證信息。本文在對統(tǒng)一身份認(rèn)證現(xiàn)有的解決方案和標(biāo)準(zhǔn)規(guī)范進(jìn)行深入研究的基礎(chǔ)上,設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)基于SAML的統(tǒng)一身份認(rèn)證系統(tǒng)。該認(rèn)證系統(tǒng)采用Browser/Artifact配置方式,通過在IDP(身份提供者)和SP(服務(wù)提供者)之間建立安全傳輸通道,實(shí)現(xiàn)了用戶認(rèn)證信息在IDP和SP之間快速的、安全的傳輸。針對不同域用戶,分別設(shè)計(jì)了域內(nèi)訪問和跨域訪問的聯(lián)合身份認(rèn)證模型。論

3、文完成了SAML服務(wù)端和SAML客戶端相關(guān)模塊的開發(fā)和設(shè)計(jì),其中,服務(wù)端模塊包括認(rèn)證處理模塊、令牌生成器模塊、資源訪問轉(zhuǎn)移模塊、請求響應(yīng)模塊和信息傳輸模塊和安全處理模塊等;SAML客戶端包括SAML消費(fèi)處理模塊、Artifact接收處理模塊和訪問控制模塊。系統(tǒng)使用XML安全技術(shù)對請求/響應(yīng)信息進(jìn)行數(shù)字簽名,防止信息在傳輸過程中被非法者篡改,從而保證了應(yīng)用層信息的安全。用戶身份信息、資源信息使用目錄服務(wù)LDAP進(jìn)行存儲和管理,并設(shè)計(jì)了訪問