论文部分内容阅读
随着信息技术的迅速发展,企业所开发的应用系统在不断增多,大多数的应用系统都有独立的认证中心、授权机制和用户信息管理策略,这样用户在访问多个应用系统时需要多次登录,给用户使用系统资源以及应用程序的管理带来极大的不便,所以需要设计一个单点登录系统来解决上述问题。当前单点登录研究的主要方向是基于安全断言标记语言(SAML)的单点登录模型,但是SAML对于自身的安全性问题却没有相应的解决方案,同时单点登录系统部署困难、扩展性不强等缺点也制约着单点登录技术的发展。针对上述问题,本文研究工作如下:针对SAML Browser/Artifact模型存在的安全性问题,本文提出使用XML数字签名和加密技术来对SAML消息进行签名和加密,使用该项技术能很好的保证SAML消息的完整性、私密性和不可抵赖性,有效的解决SAML Browser/Artifact模型的安全性问题。针对PKI的复杂性,本文提出使用XML密钥管理规范(XKMS)结合PKI的形式来统一管理密钥,并在此基础上提出一种基于XKMS的密钥管理子层,该模型能屏蔽复杂的PKI语法,同时以Web服务的形式供客户端调用,有效的解决了PKI的复杂性问题。本文分析和比较了国内外单点登录技术和产品,提出了基于Web Service的安全的单点登录解决方案。该方案采用XKMS密钥管理服务对密钥进行有效管理,通过对SAML消息进行XML数字签名和加密能保证其安全性,LDAP(轻量级目录访协议)用来管理用户信息和应用资源,使用SAML服务器来代理子系统与认证服务器交互消息。该单点登录模型实现了统一身份认证、统一密钥管理和用户的集中管理,满足企业单点登录的要求。以北京雪迪龙科技股份有限公司为实例,通过分析和研究公司的人事管理系统和财务管理系统,来实现企业级的单点登录,最后从安全性、可扩展性、可实施性和可靠性来分析此系统的性能。