基于saml单点登录实现方案的分析本科论文.doc
《基于saml单点登录实现方案的分析本科论文.doc》由会员分享,可在线阅读,更多相关《基于saml单点登录实现方案的分析本科论文.doc(50页珍藏版)》请在咨信网上搜索。
1、SelectionParagraphFormatLineSpacingLinesToPointsSelectionParagraphFormatLineSpacingLinesToPointselectionParagraaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaphFormatLineSpacingLinesToPointsSelectionParagraphFormatLineSpacingLinesTSelectionParbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb
2、agraphFoLineSpacingLinesToPointsSelectionParagraphFormatLineSpacingLinesToPointse11111111111111111111111111111111lectionParagraphFormatLineSpacingLinesToPointsSelectionParagraphFormatLineSpacingLinesToPoctionParagraphFormatLineSpaci2222222222222222222222ngLinesToPoints2SelectionParagraphFormatLineSp
3、acingLinesToPointsSelectionParagraphFormatLineSpacingLinesToPointselectionParagraphFccccccccccccccccccccccccccccccccccccccccccccccccccccccccormatLineSpacingLinesToPointsSelectionParagraphFormatLineSpacingLinesToPoctionParagraSelec基于SAML单点登录实现方案的分析摘要随着信息技术和网络技术的迅猛发展,客户在信息化的过程中拥有了多套不同厂商开发的应用系统。这些系统互相独
4、立,用户在使用每个应用系统之前 都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加, 受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,单点登录概念应运而生,同时不断地被应用到企业应用系统中。本文对单 点登录SSO(Single Sign-On)的背景进行了分析,介绍了两种常见的单点登录技术,重点介绍了SAML技术及其实现单点登录的两种方式。本文基于SAML技术设计了一套 可行的方案,并对实现代码进行了必要的分析。最后对安全性进行了分析,给出了相应的解决方法。关键词单点登录,SAM
5、L,断言Analysis based on the case of accomplishment of SAMLs single sign-onWang Shifeng( College Of Software Technology)Directed by Professor Chen DerenAbstractDuring the process of informationization, customers always use several variously application system provided by different firms. So customers m
6、ust remember every account and password for different systems if they want to log in or use these systems, as all of them are operating independently from each other. It brings a lot of troubles to the custormers. Especially, if more systems they are using, it is more likely for them to make mistake
7、s, also get illegal campture and destruct, then lower the security of the account. Aimed at fix this problem, the single sign-on come into being and is applied to the company application system grandually.This paper analyses the background of SSO(Single Sign-On) problem and introduces two common tec
8、hniques of SSO, emphasizes SAML technique and two methods of SSO. And has designed a feasible SSO system grounded on SAML technique, meanwhile made a analysis of the security and give the relevant solution.KeywordsSingle Sign-on, SAML, Assertion目录第一章 绪论 71.1 本文研究的背景 71.2本文研究的意义 8第二章 单点登录的技术基础 122.1
9、单点登录的概念 122.2 国内外的研究概况 122.3 SAML简介 132.3.1 Browser/Artifact方式 152.3.2 Browser/POST方式 16第三章 单点登录方案的设计和实现 173.1 设计思路 173.1.1 用户登录流程 183.2 IDP的设计 193.3 SP过滤器的设计 533.4 安全性分析 663.5 系统实现界面 66参考文献 70致谢 70第一章 绪论1.1 本文研究的背景在 大多数计算机连入网络之前,各个系统中像身份验证和授权这类安全服务的实现完全是独立的。因此,执行身份验证所需的全部代码,以及密钥、口令,供授权决策 所用的用户信息,以及
10、授权策略本身均存放于使用这些信息的系统上。最初,系统连接到网络上时情况变化不大。每个系统都是一个孤岛,各系统都要求用户拥有一 个帐户才能访问该系统。这种方法有许多明显的缺点。举例来说,设置多个帐户,每个帐户有一个密码、组或其他属性,这对用户和管理员来说非常不方 面。如果一个用户的职责发生变更而修改其帐户属性,或有人离开组织时删除其帐户,管理员要浪费大量时间。如果出现更强大的认证方法,各系统还必须单独地去 升级。随着信息技术和网络技术的迅猛发展,企业的应用网站平台越来越多。比如XX移动,常见的网站就有XX移动门户网站、网上营业厅网站、XX移动动漫门户网站、XX移动梦网网站、XX移 动商城网站、1
11、2530彩铃网站等。由于这些系统互相独立,用户在使用每个应用系统之前都必须输入手机号和服务密码进行登录,为此用户必须进入每一个系统 都要重新输入,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于 这种情况,单点登录(Single Sign-on,SSO)概念应运而生。单点登录最初被视为一种提供生产力的奢侈品,而现在已成为一种必需品。当前有越来越多的身份与访问控制管理 (IAM)需求来自Web应用和Web Services,从IDC的市场预测可以看出,年复合增长率CAGR最高的两个子方向之一就是Web单点登录,达到
12、了20.8%。1.2本文研究的意义在XX移 动这样一个企业级的信息系统环境下,随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销, 需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的 计费系统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行 着企业应用集成。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在
13、应用层面上的“业务 流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患:1、每个系统都是独立开发各自的身份认证系统造成资源的浪费,消耗开发成本;2、多个身份认证系统会增加整个系统的管理工作成本;3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨;4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐
14、个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化;5、无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。下面是一些著名的调查公司显示的统计数据:用户每天平均 16 分钟花在身份验证任务上 - 资料来源: IDS频繁的 IT 用户平均有 21 个密码 - 资料来源: NTA Monitor Password Survey49% 的人写下了其密码,而 67% 的人很少改变它们每 79 秒出现一起身份被窃事件 - 资料来源:National Small Business
15、 Travel Assoc全球欺骗损失每年约 12B - 资料来源:Comm Fraud Control Assoc到 2007 年,身份管理市场将成倍增长至 $4.5B - 资料来源:IDS使用“单点登录”整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据:提高 IT 效率:对于每 1000 个受管用户,每用户可节省$70K帮助台呼叫减少至少1/3,对于 10K 员工的公司,每年可以节省每用户 $75,或者合计 $648生产力提高:每个新员工可节省 $1K,每个老员工可节省 $350 ?资料来源
16、:GigaROI 回报:7.5 到 13 个月 ?资料来源:Gartner单 点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游”的目标,方便用户使用。一个用户如何一次登录,即可使用所有他 可以有权访问的应用系统。我们希望能达到以下效果:登录一次,可使用多个应用系统;统一的身份认证;可配置的身份认证;各个应用系统之间共享用户信息,以 方便系统间数据流转。这里就会存在以下2个关键问题:(1)登录信息如何在多个应用之间传递;(2)各个应用如何检查用户是否已经登录。本文将首先从单点登录的技术基础入手,逐步说明如何解决上述2个问题。第二章 单点登录的技术基础2.1 单
17、点登录的概念单 点登录(SSO,Single Sign-on)是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份。 单点登录的实质就是安全上下文(AISSO Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用 户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。图2.1 SSO原理示意图2.2 国内外的研究概况身份认证、单点登录方面常用的技术规范或协议
18、有Kerberos、SAML。Kerberos 协议(RFC 1510)是由MIT开发的一种网络安全应用标准,提供了一种全方位的SSO解决方案。在采用Kerberos的平台中,登录和认证是由操作系统本身维 护;认证凭证也由操作系统保存,操作系统中的各个应用只需要通过配置就能加入到SSO中。Kerberos通过安全的密钥算法,可以做到用户密码不需要直 接在网络中传输,因而传输的信息十分安全。但是搭建一个Kerberos的环境比较复杂,KDC(密钥分发中心)的建立也需要相当多的环节。SAML 为SSO提供了一个安全的协议。SAML是允许Web站点安全地共享身份信息的一个规范,它来自ebXML和其他
19、XML标准背后的国际性联盟OASIS。 站点使用SAML的XML词汇表和请求/应答模式,通过HTTP交换身份信息。这种信息共享标准化能帮助Web站点与多个合作伙伴集成,避免由于为不同合 作伙伴设计和维护各自私有的集成通道而引起的争论。2005年完成的SAML 2.0引入了支持身份联邦(Identity Federation)的一些重要新功能。认证系统设计领域内的进展之一是制定标准化的安全API, 即通用安全服务API(GSS-API)。Austin大学开发的安全网络编程(SNP), 对通用接口进行了进一步的封装, 把界面做到了比GSS-API更高的层次,使同网络安全性有关的编程更加方便了。SU
20、N和微软2005年联合开发并公布了两个技术规范草案:Web Single Sign-On Metadata Exchange (Web SSO MEX) Protocol(Web单点登录元数据交换协议)和Web Single Sign-On Interoperability Profile (Web SSO Interop Profile)(Web单点登录互操作性概览)。这两个技术规范可使Liberty ID-FF和WS-Federation两个安全的域之间实现基于浏览器的Web单点登录。国内目前的进展主要是基于各项技术的整合开发出一些应用型的统一身份认证与权限管理系统。2.3 SAML简介S
21、AML(Security Assertion Markup Language,安全性断言标记语言)是一种基于XML的框架,主要用于在各安全系统之间交换认证、授权和属性信息,它的主要目标之一就是SSO。在 SAML框架下,无论用户使用哪种信任机制,只要满足SAML的接口、信息交互定义和流程规范,相互之间都可以无缝集成。SAML规范的完整框架及有关信 息交互格式与协议使得现有的各种身份鉴别机制(PKI、Kerberos和口令)、各种授权机制(基于属性证书的PMI、ACL、Kerberos的访问 控制)通过使用统一接口实现跨信任域的互操作,便于分布式应用系统的信任和授权的统一管理。 SAML并不是一
22、项新技术。确切地说,它是一种语言,是一种XML描述,目的是允许不同安全系统产生的信息进行交换。SAML规范由以下部分组成: 1. 断言与协议: 定义XML格式的断言的语法语义以及请求和响应协议。2. 绑定与配置文件: 从SAML请求和响应消息到底层通信协议如SOAP或SMTP的映射。 3. 一致性规范: 一致性规范设置了一种基本标准,必须满足这一SAML标准的实现才能够称为一致性实现。这样有助于提高互操作性和兼容性。 4. 安全和保密的问题: SAML体系结构中的安全风险,具体而言就是SAML如何应对这些风险以及无法解决的风险。 SAML应用的实现由三部分组成:(1)主体(Principals
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 saml 单点 登录 实现 方案 分析 本科 论文
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。