随着网络技术的不断发展和企业信息化建设的不断进步,企业开发的应用系统也在不断增多,这些系统有着独立的安全验证机制,用户的身份信息分别被每个系统保存的,无法互相传递,用户在进入不同系统时都要重新提交自己的身份标识来通过系统的认证。繁琐的登录过程给用户带来诸多不便,而且登录次数越多对系统的威胁也就越大。单点登录(SSO)解决了这个问题,它使得用户只需在网络中主动进行一次身份认证,即登录一次,便可以访问其被授权的所有网络资源。 企业之间的合作也开始建立在信息化之上,企业与供货商、代理商共同建立价值链系统,与同行企业建立联盟以组成不同的可信任安全域。在同一个安全区域中,企业之间的安全信息可进行共享,以提高用户在企业之间的互操作性及增强企业之间的合作性。为此,业界提出了SAML (Security Assertion Markup Language)规范,在同一个可信任区域中,其实现了在不同的安全服务系统之间的互操作性,提供了一种机制使得在不同的安全服务系统之间共享身份认证和授权信息,即身份认证的信息可以在多个服务系统中传递。 本文对单点登录系统所涉及到的技术进行了研究,对两种传统的基于SAML的单点登录模型进行深入分析和比较。在此基础上,综合考虑安全性、互操作性提出了一种基于SAML规范的单点登录集成身份认证系统。最后给出了基于SAML单点登录系统的一个应用实例,对系统的结构和流程进行了介绍,并对系统中所涉及到的安全问题进行了进一步的研究,同时描述了各个部分的详细设计及所用技术。