● 摘要
本文研究并实现了一种适用于企业内多个Web应用系统的单点登录,使得用户只认证一次即可访问多个系统;本文也对单点登录过程的安全性进行了分析,并提出了可行的解决方案。首先分析了多系统环境下传统身份认证机制存在的问题,提出了研究的意义和内容;介绍了相关的理论与技术,在此基础上设计了系统的总体结构,并在分析比较了几种单点登录模式的优缺点后设计了本系统的单点登录模式。然后本文重点介绍了Java类库对SAML实体的映射以及主要模块的实现。系统在服务器端认证中心完成对用户的认证,对SAML规范定义的Artifact格式进行了扩充,并通过加密、签名等措施保证了消息传递的机密性和完整性。接下来从安全性角度详细地分析了单点登录过程,对其进行了形式化描述,找出了登录过程的薄弱环节,分析了可能遭受的攻击并给出了相应的解决方案。最后给出了系统运行实例,说明了单点登录的三种过程,分析了传输消息的安全性,并做了论文工作总结和下一步工作展望。通过本论文的研究,主要取得了以下成果:1. 设计了一种适合于企业内部应用的单点登录模式;2. 实现了基于SAML规范的多系统单点登录,并且通过Artifact扩充、加密、签名、SOAP绑定等手段提供了安全性保证;3. 对单点登录过程的安全性进行了研究,分析了可能遇到的安全性威胁并给出防护措施。