【摘要】：隨著網(wǎng)絡技術的飛速發(fā)展,日常生活和工作中運用到的系統(tǒng)越來越多,與此同時,代表用戶身份的數(shù)據(jù)信息量也迅速飆升。如何整合利用信息資源、簡化系統(tǒng)應用以及降低信息維護成本越來越受到人們的重視。要解決這些問題,首先就是要實現(xiàn)用戶的統(tǒng)一身份驗證,集中高效的管理用戶的賬號和密碼等身份驗證信息,而單點登錄(SSO,即Single Sign-On的簡稱)就是實現(xiàn)這一目標的最好方案。單點登錄是系統(tǒng)進行身份驗證的一個重要組成部分,它可以實現(xiàn)用戶在多個應用系統(tǒng)之間,只需要一次身份驗證就可以訪問互相可信的其他應用系統(tǒng),得到“一站式服務”的體驗。用戶在獲得便捷的同時,也很關注單點登錄系統(tǒng)的安全性。所以對單點登錄系統(tǒng)的安全問題進行研究,發(fā)現(xiàn)其中的安全漏洞并加以改進和防范,有助于提高單點登錄系統(tǒng)的安全性,進而促進單點登錄系統(tǒng)的發(fā)展和普及,對網(wǎng)絡用戶體驗高效便捷且安全的網(wǎng)絡應用服務具有重要的意義。 本文重點研究了以下幾個方面的內(nèi)容： (1)研究單點登錄系統(tǒng)(也稱作“SSO系統(tǒng)”)所涉及到的基本原理、相關技術、現(xiàn)有的多種單點登錄實現(xiàn)機制等內(nèi)容,了解到基于SAML的單點登錄系統(tǒng)具備易擴展、跨平臺、可移植、方便簡單的優(yōu)勢,更符合現(xiàn)在的網(wǎng)絡應用環(huán)境的要求。 (2)目前的SAML-SSO系統(tǒng)不能抵抗重放攻擊、DNS欺騙攻擊以及DDoS攻擊,通過分析SAML-SSO系統(tǒng)在這些網(wǎng)絡攻擊手段下出現(xiàn)的安全問題,尋求解決這些安全問題的思路和方法,提出了針對SAML-SSO系統(tǒng)的具體的改進方案,包括采用動靜態(tài)口令結(jié)合的認證方式、SAML斷言的用戶唯一性檢查和SAML斷言的唯一性檢查以及其他一些輔助性改進方法。 (3)使用Shibboleth開源項目來搭建SAML-SSO系統(tǒng)的實驗環(huán)境和進行壓力測試,驗證了改進后的SAML-SSO系統(tǒng)能夠有效的解決所發(fā)現(xiàn)的安全問題,即SAML-SSO系統(tǒng)的安全性得到了增強。
[Abstract]:With the rapid development of network technology, more and more systems are used in daily life and work. How to integrate and utilize information resources, simplify the application of system and reduce the cost of information maintenance has been paid more and more attention. To solve these problems, the first step is to implement uniform authentication of the user, centralize and efficiently manage the authentication information such as the user's account number and password, while the single sign-on (SSO,) Single Sign-On is the best way to achieve this goal. Single sign-on is an important part of system authentication. It can realize that users can access other application systems that trust each other only once. Get a one-stop service experience. At the same time, users are concerned about the security of single sign-on system. Therefore, to study the security problems of SSO system, to find the security loophole and to improve and prevent it will help to improve the security of SSO system, and then promote the development and popularization of SSO system. It is of great significance for network users to experience efficient, convenient and secure network application services. This paper focuses on the following aspects: (1) the basic principle of single sign-on system (also known as "SSO system"), the related technology, the existing implementation mechanism of single sign-on, and so on. It is understood that the single sign-on system based on SAML has the advantages of easy extension, cross-platform, portability, convenience and simplicity, and meets the requirements of the current network application environment. (2) the current SAML-SSO system cannot resist the replay attack, the DNS spoofing attack and the DDoS attack. By analyzing the security problems in the SAML-SSO system under these network attack methods, we seek the way to solve these security problems. This paper presents a concrete improvement scheme for SAML-SSO system, including the authentication method of combining dynamic and static passwords, the user uniqueness check of SAML assertion, the uniqueness check of SAML assertion, and some other auxiliary improvement methods. (3) the Shibboleth open source project is used to build the experimental environment of SAML-SSO system and carry out the stress test, which verifies that the improved SAML-SSO system can effectively solve the security problems found, that is, the security of the SAML-SSO system has been enhanced.
【學位授予單位】：華中師范大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 李鵬飛;戚銀城;郝娜;韓晶;;基于SAML的授權(quán)和訪問控制研究[J];電力系統(tǒng)通信;2006年11期

2 江浩潔;徐東升;;SAML在集成身份認證中的應用[J];電信網(wǎng)技術;2008年07期

3 吳鵬,吉逸;基于SAML的安全服務系統(tǒng)的設計[J];計算機應用研究;2004年11期

4 呂棟;韓晶;王碧翠;何振輝;;自定義SAML身份聲明提供程序的研究與實現(xiàn)[J];電力系統(tǒng)通信;2007年02期

5 林承佶;張保穩(wěn);薛質(zhì);;基于SAML的安全技術在電子商務中的應用[J];信息安全與通信保密;2007年05期

6 高小伍;顧春華;陳德慶;;基于SAML的虛擬企業(yè)訪問模型[J];計算機工程與設計;2007年12期

7 王洪生;袁捷;曹春山;董媛媛;;基于SAML的身份聯(lián)盟建立的研究[J];計算機工程與設計;2007年21期

8 張晶;高繼森;趙杰;;基于SAML的授權(quán)和服務認證技術[J];菏澤學院學報;2007年05期

9 廖年銳;;基于SAML聯(lián)合身份認證和訪問控制的研究[J];計算機應用;2007年S2期

10 梁昌勇;李勞;;基于SAML的信任移植模型[J];微計算機信息;2008年03期

相關會議論文 前2條

1 李崴;張華;;基于SAML的聯(lián)邦身份管理機制研究[A];全國第19屆計算機技術與應用（CACIS）學術會議論文集（下冊）[C];2008年

2 郭磊;劉連忠;;一種基于SAML的集成身份認證系統(tǒng)的設計與實現(xiàn)[A];2006中國控制與決策學術年會論文集[C];2006年

相關重要報紙文章 前8條

1 ;實現(xiàn)一次登錄的SAML[N];網(wǎng)絡世界;2003年

2 ;SAML 2.0簡化聯(lián)邦身份[N];網(wǎng)絡世界;2005年

3 ;聯(lián)邦身份將大行其道[N];網(wǎng)絡世界;2004年

4 曉晨 編譯;SAML：集中身份管理的秘訣[N];計算機世界;2005年

5 邊 一;保證Web服務安全的SAML[N];網(wǎng)絡世界;2002年

6 本報記者 邊歆;一次登錄暢行網(wǎng)絡[N];網(wǎng)絡世界;2006年

7 ;聯(lián)邦身份管理保障Web服務[N];網(wǎng)絡世界;2004年

8 清水 編譯;SOA的安全措施[N];計算機世界;2006年

相關博士學位論文 前1條

1 沈海波;Web服務中的關鍵安全技術研究[D];華中科技大學;2007年

相關碩士學位論文 前10條

1 周帆;基于SAML實現(xiàn)信任遷移的安全引擎[D];電子科技大學;2006年

2 李鵬飛;基于SAML的授權(quán)和訪問控制研究[D];華北電力大學（河北）;2007年

3 李國勇;基于SAML集中認證的研究及其在數(shù)字化校園中的實現(xiàn)[D];重慶大學;2009年

4 廖望;基于SAML的單點登錄技術在電信增值業(yè)務中的應用[D];電子科技大學;2012年

5 王唯;SAML-SSO系統(tǒng)的安全問題分析與改進[D];華中師范大學;2014年

6 魯耀杰;基于SAML和屬性證書的單點訪問系統(tǒng)的設計與實現(xiàn)[D];南京理工大學;2004年

7 廖年銳;基于SAML聯(lián)合身份認證和訪問控制的研究[D];廣東工業(yè)大學;2008年

8 劉浩;基于SAML的安全管理系統(tǒng)單點登錄技術研究[D];北京交通大學;2014年

9 孫建華;基于SAML的統(tǒng)一身份認證服務研究與實現(xiàn)[D];內(nèi)蒙古工業(yè)大學;2009年

10 吳志奇;SAML2.0的研究與應用[D];武漢理工大學;2013年

，

本文編號：2343435