SAML-SSO系统的安全问题分析与改进

发布时间：2018-11-19 21:11

【摘要】：随着网络技术的飞速发展,日常生活和工作中运用到的系统越来越多,与此同时,代表用户身份的数据信息量也迅速飙升。如何整合利用信息资源、简化系统应用以及降低信息维护成本越来越受到人们的重视。要解决这些问题,首先就是要实现用户的统一身份验证,集中高效的管理用户的账号和密码等身份验证信息,而单点登录(SSO,即Single Sign-On的简称)就是实现这一目标的最好方案。单点登录是系统进行身份验证的一个重要组成部分,它可以实现用户在多个应用系统之间,只需要一次身份验证就可以访问互相可信的其他应用系统,得到“一站式服务”的体验。用户在获得便捷的同时,也很关注单点登录系统的安全性。所以对单点登录系统的安全问题进行研究,发现其中的安全漏洞并加以改进和防范,有助于提高单点登录系统的安全性,进而促进单点登录系统的发展和普及,对网络用户体验高效便捷且安全的网络应用服务具有重要的意义。 本文重点研究了以下几个方面的内容： (1)研究单点登录系统(也称作“SSO系统”)所涉及到的基本原理、相关技术、现有的多种单点登录实现机制等内容,了解到基于SAML的单点登录系统具备易扩展、跨平台、可移植、方便简单的优势,更符合现在的网络应用环境的要求。 (2)目前的SAML-SSO系统不能抵抗重放攻击、DNS欺骗攻击以及DDoS攻击,通过分析SAML-SSO系统在这些网络攻击手段下出现的安全问题,寻求解决这些安全问题的思路和方法,提出了针对SAML-SSO系统的具体的改进方案,包括采用动静态口令结合的认证方式、SAML断言的用户唯一性检查和SAML断言的唯一性检查以及其他一些辅助性改进方法。 (3)使用Shibboleth开源项目来搭建SAML-SSO系统的实验环境和进行压力测试,验证了改进后的SAML-SSO系统能够有效的解决所发现的安全问题,即SAML-SSO系统的安全性得到了增强。
[Abstract]:With the rapid development of network technology, more and more systems are used in daily life and work. How to integrate and utilize information resources, simplify the application of system and reduce the cost of information maintenance has been paid more and more attention. To solve these problems, the first step is to implement uniform authentication of the user, centralize and efficiently manage the authentication information such as the user's account number and password, while the single sign-on (SSO,) Single Sign-On is the best way to achieve this goal. Single sign-on is an important part of system authentication. It can realize that users can access other application systems that trust each other only once. Get a one-stop service experience. At the same time, users are concerned about the security of single sign-on system. Therefore, to study the security problems of SSO system, to find the security loophole and to improve and prevent it will help to improve the security of SSO system, and then promote the development and popularization of SSO system. It is of great significance for network users to experience efficient, convenient and secure network application services. This paper focuses on the following aspects: (1) the basic principle of single sign-on system (also known as "SSO system"), the related technology, the existing implementation mechanism of single sign-on, and so on. It is understood that the single sign-on system based on SAML has the advantages of easy extension, cross-platform, portability, convenience and simplicity, and meets the requirements of the current network application environment. (2) the current SAML-SSO system cannot resist the replay attack, the DNS spoofing attack and the DDoS attack. By analyzing the security problems in the SAML-SSO system under these network attack methods, we seek the way to solve these security problems. This paper presents a concrete improvement scheme for SAML-SSO system, including the authentication method of combining dynamic and static passwords, the user uniqueness check of SAML assertion, the uniqueness check of SAML assertion, and some other auxiliary improvement methods. (3) the Shibboleth open source project is used to build the experimental environment of SAML-SSO system and carry out the stress test, which verifies that the improved SAML-SSO system can effectively solve the security problems found, that is, the security of the SAML-SSO system has been enhanced.
【学位授予单位】：华中师范大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 李鹏飞;戚银城;郝娜;韩晶;;基于SAML的授权和访问控制研究[J];电力系统通信;2006年11期

2 江浩洁;徐东升;;SAML在集成身份认证中的应用[J];电信网技术;2008年07期

3 吴鹏,吉逸;基于SAML的安全服务系统的设计[J];计算机应用研究;2004年11期

4 吕栋;韩晶;王碧翠;何振辉;;自定义SAML身份声明提供程序的研究与实现[J];电力系统通信;2007年02期

5 林承佶;张保稳;薛质;;基于SAML的安全技术在电子商务中的应用[J];信息安全与通信保密;2007年05期

6 高小伍;顾春华;陈德庆;;基于SAML的虚拟企业访问模型[J];计算机工程与设计;2007年12期

7 王洪生;袁捷;曹春山;董媛媛;;基于SAML的身份联盟建立的研究[J];计算机工程与设计;2007年21期

8 张晶;高继森;赵杰;;基于SAML的授权和服务认证技术[J];菏泽学院学报;2007年05期

9 廖年锐;;基于SAML联合身份认证和访问控制的研究[J];计算机应用;2007年S2期

10 梁昌勇;李劳;;基于SAML的信任移植模型[J];微计算机信息;2008年03期

相关会议论文 前2条

1 李崴;张华;;基于SAML的联邦身份管理机制研究[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（下册）[C];2008年

2 郭磊;刘连忠;;一种基于SAML的集成身份认证系统的设计与实现[A];2006中国控制与决策学术年会论文集[C];2006年

相关重要报纸文章 前8条

1 ;实现一次登录的SAML[N];网络世界;2003年

2 ;SAML 2.0简化联邦身份[N];网络世界;2005年

3 ;联邦身份将大行其道[N];网络世界;2004年

4 晓晨 编译;SAML：集中身份管理的秘诀[N];计算机世界;2005年

5 边 一;保证Web服务安全的SAML[N];网络世界;2002年

6 本报记者 边歆;一次登录畅行网络[N];网络世界;2006年

7 ;联邦身份管理保障Web服务[N];网络世界;2004年

8 清水 编译;SOA的安全措施[N];计算机世界;2006年

相关博士学位论文 前1条

1 沈海波;Web服务中的关键安全技术研究[D];华中科技大学;2007年

相关硕士学位论文 前10条

1 周帆;基于SAML实现信任迁移的安全引擎[D];电子科技大学;2006年

2 李鹏飞;基于SAML的授权和访问控制研究[D];华北电力大学（河北）;2007年

3 李国勇;基于SAML集中认证的研究及其在数字化校园中的实现[D];重庆大学;2009年

4 廖望;基于SAML的单点登录技术在电信增值业务中的应用[D];电子科技大学;2012年

5 王唯;SAML-SSO系统的安全问题分析与改进[D];华中师范大学;2014年

6 鲁耀杰;基于SAML和属性证书的单点访问系统的设计与实现[D];南京理工大学;2004年

7 廖年锐;基于SAML联合身份认证和访问控制的研究[D];广东工业大学;2008年

8 刘浩;基于SAML的安全管理系统单点登录技术研究[D];北京交通大学;2014年

9 孙建华;基于SAML的统一身份认证服务研究与实现[D];内蒙古工业大学;2009年

10 吴志奇;SAML2.0的研究与应用[D];武汉理工大学;2013年

，

本文编号：2343435