基于SAML和簽名數(shù)字信封的安全單點(diǎn)登錄系統(tǒng)研究.pdf

1、隨著計(jì)算機(jī)科學(xué)的快速發(fā)展與廣泛應(yīng)用，信息網(wǎng)絡(luò)技術(shù)業(yè)已深入到現(xiàn)代教育的眾多領(lǐng)域。與此同時(shí)，高校信息化建設(shè)的步伐也越來(lái)越快，學(xué)校內(nèi)各個(gè)部門都開發(fā)出了自己的應(yīng)用系統(tǒng)以滿足校園內(nèi)不同人員的應(yīng)用服務(wù)需求。但是，這些系統(tǒng)之間的身份認(rèn)證和權(quán)限管理機(jī)制相互獨(dú)立，使得用戶在訪問(wèn)不同應(yīng)用服務(wù)時(shí)不得不多次輸入不同的用戶名、口令等信息來(lái)重復(fù)登錄驗(yàn)證，這種狀況很明顯降低了用戶的訪問(wèn)效率并且會(huì)帶來(lái)一定程度的安全危機(jī)。因此，就必然非常需要一種新型的用戶登錄模式來(lái)解決

2、這個(gè)問(wèn)題實(shí)現(xiàn)更加高效率、高安全的身份認(rèn)證和權(quán)限管理，也就是所謂的單點(diǎn)登錄。而在數(shù)字化校園網(wǎng)絡(luò)建設(shè)的過(guò)程中，一個(gè)基礎(chǔ)性工作便是要建立一個(gè)統(tǒng)一的身份認(rèn)證和權(quán)限管理平臺(tái)，因此單點(diǎn)登錄無(wú)疑不是高校數(shù)字化校園網(wǎng)絡(luò)建設(shè)的一塊基石。
　　本文詳細(xì)研究了SAML（Security Assertion Markup Language，安全斷言標(biāo)記語(yǔ)言）和單點(diǎn)登錄的基本概念、結(jié)構(gòu)組成及工作原理，并且指出了傳統(tǒng)的單點(diǎn)登錄方案和SAML協(xié)議中的SOAP（

3、Simple Object Access Protocol，簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議）綁定存在的缺陷。SOAP是由中介方負(fù)責(zé)數(shù)據(jù)信息的發(fā)送、接收和處理的，因?yàn)樗旧聿痪邆浒踩珯C(jī)制，所以經(jīng)常需要與SSL（Secure Sockets Layer，安全套接字層）搭配使用。但是 SSL本身只支持點(diǎn)到點(diǎn)的傳輸模式，因此要想保證數(shù)據(jù)信息在端到端的傳輸模式下的安全性，就必然要求在全部的中介方之間都必須建立一種信任關(guān)系以及安全的數(shù)據(jù)通信鏈路層。
　　數(shù)

4、字信封與數(shù)字簽名數(shù)字信封采用了對(duì)稱密鑰加密技術(shù)來(lái)確保當(dāng)且僅當(dāng)預(yù)先規(guī)定好的特定收信者才能有權(quán)限來(lái)解密加密后的數(shù)據(jù)信息并閱讀通信數(shù)據(jù)的內(nèi)容，實(shí)現(xiàn)了數(shù)據(jù)信息的加密傳輸。但是，它并不能保證傳輸?shù)臄?shù)據(jù)信息是否已遭到其他非法用戶的破壞，而數(shù)字簽名采用了私人密鑰加密機(jī)制恰巧確保了數(shù)據(jù)信息的完整傳輸和身份的不可否認(rèn)。最后，又重點(diǎn)探討了兩種典型的獲取SAML斷言的模式——“推送模式”和“拉取模式”，提出了自己的改進(jìn)方案，并在此基礎(chǔ)之上結(jié)合數(shù)字信封和數(shù)字簽