随着计算机科学的快速发展与广泛应用，信息网络技术业已深入到现代教育的众多领域。与此同时，高校信息化建设的步伐也越来越快，学校内各个部门都开发出了自己的应用系统以满足校园内不同人员的应用服务需求。但是，这些系统之间的身份认证和权限管理机制相互独立，使得用户在访问不同应用服务时不得不多次输入不同的用户名、口令等信息来重复登录验证，这种状况很明显降低了用户的访问效率并且会带来一定程度的安全危机。因此，就必然非常需要一种新型的用户登录模式来解决这个问题实现更加高效率、高安全的身份认证和权限管理，也就是所谓的单点登录。而在数字化校园网络建设的过程中，一个基础性工作便是要建立一个统一的身份认证和权限管理平台，因此单点登录无疑不是高校数字化校园网络建设的一块基石。本文详细研究了SAML（SecurityAssertion Markup Language，安全断言标记语言）和单点登录的基本概念、结构组成及工作原理，并且指出了传统的单点登录方案和SAML协议中的SOAP（Simple Object Access Protocol，简单对象访问协议）绑定存在的缺陷。SOAP是由中介方负责数据信息的发送、接收和处理的，因为它本身不具备安全机制，所以经常需要与SSL（Secure Sockets Layer，安全套接字层）搭配使用。但是SSL本身只支持点到点的传输模式，因此要想保证数据信息在端到端的传输模式下的安全性，就必然要求在全部的中介方之间都必须建立一种信任关系以及安全的数据通信链路层。数字信封与数字签名数字信封采用了对称密钥加密技术来确保当且仅当预先规定好的特定收信者才能有权限来解密加密后的数据信息并阅读通信数据的内容，实现了数据信息的加密传输。但是，它并不能保证传输的数据信息是否已遭到其他非法用户的破坏，而数字签名采用了私人密钥加密机制恰巧确保了数据信息的完整传输和身份的不可否认。最后，又重点探讨了两种典型的获取SAML断言的模式——“推送模式”和“拉取模式”，提出了自己的改进方案，并在此基础之上结合数字信封和数字签名技术，设计并实现了基于SAML和签名数字信封的安全单点登录系统。