单点登录的基本思想是用户只需要登录一次就可以访问所有相互信任的应用系统。由于Web服务业务经常需要不同域中的多个站点协同工作,这就面临跨域的协同认证和安全信息传递的问题。因此,基于统一标准-SAML的单点登录就成为当前安全领域的研究热点。本文首先对当前单点登录解决方案的优势和不足进行了详细的分析,然后针对当前单点登录系统虽然能提供单个域内多个站点间联合认证,但缺乏统一标准、运行流程过于复杂和安全性不足等问题,提出了一种基于SOAP消息扩展的安全远程密码认证策略和一种基于SAML的消息安全策略,并在此基础上建立了一个基于SAML的单点登录安全模型,最后在数字化校园中得到实现。本文的主要工作如下:①针对当前SAML单点登录缺乏有效认证机制的问题,本文结合SOAP消息的可扩展性和安全远程密码的优点,提出了一种基于SOAP消息扩展的安全远程密码认证策略。即使用户使用弱口令,该策略也可以保证单点登录过程中口令和验证断言的安全。②针对当前SAML消息机制的脆弱性和传输层消息保护机制的不足,本文提出了一种基于SAML的消息安全策略,并对该策略的安全性进行了总结。该策略能在整个传输期间保证消息的安全,能满足Web服务中安全消息跨节点、跨域等传输的要求。③为解决当前SAML单点登录模型中存在的安全信息交换过程复杂,安全性不足,缺乏灵活性等问题,本文基于①、②两种策略,提出了一个SAML单点登录安全模型。该模型具有流程简单、消息传输量减少、配置灵活等优点。④对上述提出的SAML单点登录安全模型进行了设计和实现,并进行了安全测试。结果表明:本文提出的模型与以前的模型相比,较好地提高了单点登录系统的安全性。