随着互联网技术的发展和人们对电子办公、电子商务等的依赖,信息安全问题显得愈发重要。用户每天需要登录到许多不同的信息系统。每个系统都要求用户遵循一定的安全策略,比如要求输入用户ID和口令。单点登录就是指客户端用户在网络中只需进行一次身份认证,便可以访问其被授权范围内的所有网络资源的身份认证过程。跨域单点登录使不同的域之间的相互连通成为可能。本文研究的重点集中在如何改进已有的跨域单点登录与访问控制方法来保证信息在互联网中安全传输、如何整合现有跨域的系统、如何对用户的访问请求进行授权决策等。本文主要研究了跨域单点登录系统中涉及的身份认证和访问控制问题。本文介绍了单点登录和访问控制技术的研究现状,对当前比较主流的单点登录和访问控制解决方案进行了分析和比较,并讨论了实现跨域单点登录时的技术难点。本文详细介绍了SAML规范(Security Assertion Markup Language,安全断言标记语言)、SAML单点登录和XACML(eXtensible Access Control Markup Language,可扩展的访问控制标记语言)的背景技术,对SAML单点登录方法提出了分析和改进,并将SAML技术与XACML相结合设计了新的访问控制模型。利用改进后的方法,本文提出了一套基于SAML的跨域单点登录和访问控制系统解决方案,简化和设计了用户访问外地域资源和服务的流程,对比现有的跨域单点登录系统和访问控制系统,具有较高的安全性和较高的效率。文中详细介绍了新的系统的各个模块设计,并进行了实现。最后对本文提出的系统运行效果进行了测试,并针对系统安全性进行了分析。本文的可能的创新点体现在以下几个方面：1.提出了改进的基于SAML的单点登录模型,此模型改变了原有SAML模型中各个模块之间的消息交换流程,使单点登录流程得到简化,身份提供者与服务提供者交互效率的提升增加了单点登录系统的运行效率。认证断言只在身份提供者与服务提供者之间传输,且认证断言经过颁布者签名,这种操作防止了攻击者在传输过程中篡改消息。2.提出了SAML与XACML目结合的访问控制模型,在对Web服务的访问控制中将SAML和XACML二者结合运用。将SAML与SOAP消息绑定,使用SOAP消息的形式请求、传输、存储、保护、XACML上下文信息。3.提出了一种新的基于SAML的跨域单点登录和访问控制系统,并对该系统的认证授权流程进行了设计,对系统中设计的三个主要模块进行了详细设计和实现。系统借用了Kerberos协议中票据的思想,使用安全Cookie存储票据来实现安全跨域单点登录,并使用SAML交换认证和鉴权信息。