基于SAML的跨域單點登錄與訪問控制方法研究.pdf

1、隨著互聯(lián)網(wǎng)技術的發(fā)展和人們對電子辦公、電子商務等的依賴，信息安全問題顯得愈發(fā)重要。用戶每天需要登錄到許多不同的信息系統(tǒng)。每個系統(tǒng)都要求用戶遵循一定的安全策略，比如要求輸入用戶ID和口令。單點登錄就是指客戶端用戶在網(wǎng)絡中只需進行一次身份認證，便可以訪問其被授權范圍內的所有網(wǎng)絡資源的身份認證過程?？缬騿吸c登錄使不同的域之間的相互連通成為可能。本文研究的重點集中在如何改進已有的跨域單點登錄與訪問控制方法來保證信息在互聯(lián)網(wǎng)中安全傳輸、如何整合現(xiàn)

2、有跨域的系統(tǒng)、如何對用戶的訪問請求進行授權決策等。本文主要研究了跨域單點登錄系統(tǒng)中涉及的身份認證和訪問控制問題。
　　本文介紹了單點登錄和訪問控制技術的研究現(xiàn)狀，對當前比較主流的單點登錄和訪問控制解決方案進行了分析和比較，并討論了實現(xiàn)跨域單點登錄時的技術難點。本文詳細介紹了SAML規(guī)范(Security Assertion Markup Language，安全斷言標記語言)、SAML單點登錄和XACML(eXtensible Ac

3、cess Control Markup Language，可擴展的訪問控制標記語言)的背景技術，對SAML單點登錄方法提出了分析和改進，并將SAML技術與XACML相結合設計了新的訪問控制模型。利用改進后的方法，本文提出了一套基于SAML的跨域單點登錄和訪問控制系統(tǒng)解決方案，簡化和設計了用戶訪問外地域資源和服務的流程，對比現(xiàn)有的跨域單點登錄系統(tǒng)和訪問控制系統(tǒng)，具有較高的安全性和較高的效率。文中詳細介紹了新的系統(tǒng)的各個模塊設計，并進行了實

4、現(xiàn)。最后對本文提出的系統(tǒng)運行效果進行了測試，并針對系統(tǒng)安全性進行了分析。
　　本文的可能的創(chuàng)新點體現(xiàn)在以下幾個方面:
　　1.提出了改進的基于SAML的單點登錄模型，此模型改變了原有SAML模型中各個模塊之間的消息交換流程，使單點登錄流程得到簡化，身份提供者與服務提供者交互效率的提升增加了單點登錄系統(tǒng)的運行效率。認證斷言只在身份提供者與服務提供者之間傳輸，且認證斷言經(jīng)過頒布者簽名，這種操作防止了攻擊者在傳輸過程中篡改消息。<

5、br>　　2.提出了SAML與XACML相結合的訪問控制模型，在對Web服務的訪問控制中將SAML和XACML二者結合運用。將SAML與SOAP消息綁定，使用SOAP消息的形式請求、傳輸、存儲、保護、XACML上下文信息。
　　3.提出了一種新的基于SAML的跨域單點登錄和訪問控制系統(tǒng)，并對該系統(tǒng)的認證授權流程進行了設計，對系統(tǒng)中設計的三個主要模塊進行了詳細設計和實現(xiàn)。系統(tǒng)借用了Kerberos協(xié)議中票據(jù)的思想，使用安全Cooki