随着Web服务的发展,越来越多的应用集成采用了Web服务技术,Web服务的安全问题也越来越受到人们的关注和重视。Web服务环境松耦合、跨域、分布式、跨平台等特性,使得传统的单点登录不再适用。单点登录作为系统身份认证的一个重要组成部分,对Web服务的安全具有重要的意义。由于传统的单点登录不适应于Web服务,所以本文主要对Web服务环境下基于SAML的单点登录系统进行安全性研究。Web服务环境下的单点登录具有跨域访问的特点。在Web服务的安全机制中,一般通过WS-Security规范来确保Web服务消息层端到端的安全。目前在公共消费站点中应用比较广泛的是基于OpenID的单点登录。本文从软件架构、系统参与者、工作原理和应用领域这四个方面,对基于SAML的单点登录和基于OpenID的单点登录进行比较,最后得出基于SAML的单点登录系统更适合于安全性要求较高的Web服务环境的结论。本文在分析Web服务的安全性需求基础上,提出了针对Web服务环境下的单点登录系统的三种网络攻击方式:重放过载攻击、DNS欺骗和分布式拒绝服务攻击。叙述这三种攻击方式的攻击原理,分析对单点登录系统的攻击实施过程,阐述其可能对系统造成的危害和具体的防范措施。对SAML协议本身的安全性进行扩展,同时提出对基于SAML的单点登录系统的改进性意见:客户端和服务器之间采用强认证;进行SAML断言检查;保持服务器之间的时间同步;修改注册表的相关属性。本文选取Shibboleth开源项目,搭建Web服务环境下基于SAML的单点登录实验环境。通过攻击试验,来分析改进后系统的安全性。本文在对比基于SAML的单点登录和基于OpenID的单点登录、分析针对基于SAML的单点登录系统的网络攻击、进行SAML协议的安全性扩展、改进基于SAML的单点登录系统、通过攻击试验验证系统安全性等方面的工作,对于Web服务环境下基于SAML的单点登录系统的安全性研究,具有一定的意义。