单点登录(Single Sign On,简称SSO)的基本思想是用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录打破了传统的“各自为政”的模式,用户不必在不同的系统之间频繁的切换,也不必频繁的进行登录操作,从而,提高了网络资源的利用率,改善了用户的体验。由于Web服务业务经常需要不同域中的多个站点协同工作,这就面临着跨域的协同认证和安全信息传递的问题。因此,基于统一标准的跨域的单点登录成为当前国内外安全领域的研究热点。 本文对当前的单点登录解决方案进行了深入研究和对比分析,在了解各自实现思想和实现过程的基础上,分析了各自的优势和不足。针对当前单点登录系统虽然能提供单个域内多个站点之间的联合认证,却面临缺乏统一标准、运行流程过于复杂、无法跨域实施和安全性不足等问题,进行了深入的考查与阐述。在对用于跨域交换身份验证和授权信息的标准规范--SAML进行了详细研究的基础上,着重对基于SAML的两种典型的单点登录模型进行了深入的比较和分析,针对这两种模型的运行流程较为复杂等不足之处,提出了基于SAML规范的单点登录改进模型,以简化单点登录过程中系统的运行流程。 为了使改进模型不因流程的简化而降低安全性,本文接着对简化后的单点登录过程中重要信息传递将会面临的安全隐患进行详细的预测和分析。结合对现有的传输层安全技术和基于PKI的XML安全技术这两种常用的Web服务间消息保护和验证机制的研究,对它们各自的优缺点进行了比较,并参照Web服务安全规范,通过综合使用XML签名、加密和添加标识符信息等技术,进一步提出了单点登录系统中端到端的安全信息传输方案。 为了将上述理论构思应用到实际的安全系统中,并加以验证,本文设计了一个基于SAML的单点登录系统的整体架构,同时对整个系统的执行流程进行详细的构思和描述,并为该系统设计了SSO门户、SSO Server和Service Provider这三个端点,以及安全处理模块、传输模块这两个通用模块。最后逐一对系统的各个部分进行了详细的设计和实现。