【摘要】：隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,日常生活和工作中運(yùn)用到的系統(tǒng)越來越多,與此同時(shí),代表用戶身份的數(shù)據(jù)信息量也迅速飆升。如何整合利用信息資源、簡化系統(tǒng)應(yīng)用以及降低信息維護(hù)成本越來越受到人們的重視。要解決這些問題,首先就是要實(shí)現(xiàn)用戶的統(tǒng)一身份驗(yàn)證,集中高效的管理用戶的賬號和密碼等身份驗(yàn)證信息,而單點(diǎn)登錄(SSO,即Single Sign-On的簡稱)就是實(shí)現(xiàn)這一目標(biāo)的最好方案。單點(diǎn)登錄是系統(tǒng)進(jìn)行身份驗(yàn)證的一個(gè)重要組成部分,它可以實(shí)現(xiàn)用戶在多個(gè)應(yīng)用系統(tǒng)之間,只需要一次身份驗(yàn)證就可以訪問互相可信的其他應(yīng)用系統(tǒng),得到“一站式服務(wù)”的體驗(yàn)。用戶在獲得便捷的同時(shí),也很關(guān)注單點(diǎn)登錄系統(tǒng)的安全性。所以對單點(diǎn)登錄系統(tǒng)的安全問題進(jìn)行研究,發(fā)現(xiàn)其中的安全漏洞并加以改進(jìn)和防范,有助于提高單點(diǎn)登錄系統(tǒng)的安全性,進(jìn)而促進(jìn)單點(diǎn)登錄系統(tǒng)的發(fā)展和普及,對網(wǎng)絡(luò)用戶體驗(yàn)高效便捷且安全的網(wǎng)絡(luò)應(yīng)用服務(wù)具有重要的意義。 本文重點(diǎn)研究了以下幾個(gè)方面的內(nèi)容： (1)研究單點(diǎn)登錄系統(tǒng)(也稱作“SSO系統(tǒng)”)所涉及到的基本原理、相關(guān)技術(shù)、現(xiàn)有的多種單點(diǎn)登錄實(shí)現(xiàn)機(jī)制等內(nèi)容,了解到基于SAML的單點(diǎn)登錄系統(tǒng)具備易擴(kuò)展、跨平臺、可移植、方便簡單的優(yōu)勢,更符合現(xiàn)在的網(wǎng)絡(luò)應(yīng)用環(huán)境的要求。 (2)目前的SAML-SSO系統(tǒng)不能抵抗重放攻擊、DNS欺騙攻擊以及DDoS攻擊,通過分析SAML-SSO系統(tǒng)在這些網(wǎng)絡(luò)攻擊手段下出現(xiàn)的安全問題,尋求解決這些安全問題的思路和方法,提出了針對SAML-SSO系統(tǒng)的具體的改進(jìn)方案,包括采用動靜態(tài)口令結(jié)合的認(rèn)證方式、SAML斷言的用戶唯一性檢查和SAML斷言的唯一性檢查以及其他一些輔助性改進(jìn)方法。 (3)使用Shibboleth開源項(xiàng)目來搭建SAML-SSO系統(tǒng)的實(shí)驗(yàn)環(huán)境和進(jìn)行壓力測試,驗(yàn)證了改進(jìn)后的SAML-SSO系統(tǒng)能夠有效的解決所發(fā)現(xiàn)的安全問題,即SAML-SSO系統(tǒng)的安全性得到了增強(qiáng)。
[Abstract]:With the rapid development of network technology, more and more systems are used in daily life and work. How to integrate and utilize information resources, simplify the application of system and reduce the cost of information maintenance has been paid more and more attention. To solve these problems, the first step is to implement uniform authentication of the user, centralize and efficiently manage the authentication information such as the user's account number and password, while the single sign-on (SSO,) Single Sign-On is the best way to achieve this goal. Single sign-on is an important part of system authentication. It can realize that users can access other application systems that trust each other only once. Get a one-stop service experience. At the same time, users are concerned about the security of single sign-on system. Therefore, to study the security problems of SSO system, to find the security loophole and to improve and prevent it will help to improve the security of SSO system, and then promote the development and popularization of SSO system. It is of great significance for network users to experience efficient, convenient and secure network application services. This paper focuses on the following aspects: (1) the basic principle of single sign-on system (also known as "SSO system"), the related technology, the existing implementation mechanism of single sign-on, and so on. It is understood that the single sign-on system based on SAML has the advantages of easy extension, cross-platform, portability, convenience and simplicity, and meets the requirements of the current network application environment. (2) the current SAML-SSO system cannot resist the replay attack, the DNS spoofing attack and the DDoS attack. By analyzing the security problems in the SAML-SSO system under these network attack methods, we seek the way to solve these security problems. This paper presents a concrete improvement scheme for SAML-SSO system, including the authentication method of combining dynamic and static passwords, the user uniqueness check of SAML assertion, the uniqueness check of SAML assertion, and some other auxiliary improvement methods. (3) the Shibboleth open source project is used to build the experimental environment of SAML-SSO system and carry out the stress test, which verifies that the improved SAML-SSO system can effectively solve the security problems found, that is, the security of the SAML-SSO system has been enhanced.
【學(xué)位授予單位】：華中師范大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李鵬飛;戚銀城;郝娜;韓晶;;基于SAML的授權(quán)和訪問控制研究[J];電力系統(tǒng)通信;2006年11期

2 江浩潔;徐東升;;SAML在集成身份認(rèn)證中的應(yīng)用[J];電信網(wǎng)技術(shù);2008年07期

3 吳鵬,吉逸;基于SAML的安全服務(wù)系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)應(yīng)用研究;2004年11期

4 呂棟;韓晶;王碧翠;何振輝;;自定義SAML身份聲明提供程序的研究與實(shí)現(xiàn)[J];電力系統(tǒng)通信;2007年02期

5 林承佶;張保穩(wěn);薛質(zhì);;基于SAML的安全技術(shù)在電子商務(wù)中的應(yīng)用[J];信息安全與通信保密;2007年05期

6 高小伍;顧春華;陳德慶;;基于SAML的虛擬企業(yè)訪問模型[J];計(jì)算機(jī)工程與設(shè)計(jì);2007年12期

7 王洪生;袁捷;曹春山;董媛媛;;基于SAML的身份聯(lián)盟建立的研究[J];計(jì)算機(jī)工程與設(shè)計(jì);2007年21期

8 張晶;高繼森;趙杰;;基于SAML的授權(quán)和服務(wù)認(rèn)證技術(shù)[J];菏澤學(xué)院學(xué)報(bào);2007年05期

9 廖年銳;;基于SAML聯(lián)合身份認(rèn)證和訪問控制的研究[J];計(jì)算機(jī)應(yīng)用;2007年S2期

10 梁昌勇;李勞;;基于SAML的信任移植模型[J];微計(jì)算機(jī)信息;2008年03期

相關(guān)會議論文 前2條

1 李崴;張華;;基于SAML的聯(lián)邦身份管理機(jī)制研究[A];全國第19屆計(jì)算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集（下冊）[C];2008年

2 郭磊;劉連忠;;一種基于SAML的集成身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2006中國控制與決策學(xué)術(shù)年會論文集[C];2006年

相關(guān)重要報(bào)紙文章 前8條

1 ;實(shí)現(xiàn)一次登錄的SAML[N];網(wǎng)絡(luò)世界;2003年

2 ;SAML 2.0簡化聯(lián)邦身份[N];網(wǎng)絡(luò)世界;2005年

3 ;聯(lián)邦身份將大行其道[N];網(wǎng)絡(luò)世界;2004年

4 曉晨 編譯;SAML：集中身份管理的秘訣[N];計(jì)算機(jī)世界;2005年

5 邊 一;保證Web服務(wù)安全的SAML[N];網(wǎng)絡(luò)世界;2002年

6 本報(bào)記者 邊歆;一次登錄暢行網(wǎng)絡(luò)[N];網(wǎng)絡(luò)世界;2006年

7 ;聯(lián)邦身份管理保障Web服務(wù)[N];網(wǎng)絡(luò)世界;2004年

8 清水 編譯;SOA的安全措施[N];計(jì)算機(jī)世界;2006年

相關(guān)博士學(xué)位論文 前1條

1 沈海波;Web服務(wù)中的關(guān)鍵安全技術(shù)研究[D];華中科技大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 周帆;基于SAML實(shí)現(xiàn)信任遷移的安全引擎[D];電子科技大學(xué);2006年

2 李鵬飛;基于SAML的授權(quán)和訪問控制研究[D];華北電力大學(xué)（河北）;2007年

3 李國勇;基于SAML集中認(rèn)證的研究及其在數(shù)字化校園中的實(shí)現(xiàn)[D];重慶大學(xué);2009年

4 廖望;基于SAML的單點(diǎn)登錄技術(shù)在電信增值業(yè)務(wù)中的應(yīng)用[D];電子科技大學(xué);2012年

5 王唯;SAML-SSO系統(tǒng)的安全問題分析與改進(jìn)[D];華中師范大學(xué);2014年

6 魯耀杰;基于SAML和屬性證書的單點(diǎn)訪問系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京理工大學(xué);2004年

7 廖年銳;基于SAML聯(lián)合身份認(rèn)證和訪問控制的研究[D];廣東工業(yè)大學(xué);2008年

8 劉浩;基于SAML的安全管理系統(tǒng)單點(diǎn)登錄技術(shù)研究[D];北京交通大學(xué);2014年

9 孫建華;基于SAML的統(tǒng)一身份認(rèn)證服務(wù)研究與實(shí)現(xiàn)[D];內(nèi)蒙古工業(yè)大學(xué);2009年

10 吳志奇;SAML2.0的研究與應(yīng)用[D];武漢理工大學(xué);2013年

，

本文編號：2343435