本站原创关于数据库及系统及计算机方面的免费优秀学术论文范文,关于数据库方面怎么做论文目录,关于数字化校园统一身份认证系统相关论文例文,对写作数据库论文范文课题研究的大学硕士、本科毕业论文开题报告范文和文献综述及职称论文参考文献资料下载有帮助。
摘 要 :随着信息技术的不断发展,基于数字化校园的应用系统日益增多,多异构系统共存下的身份认证的统一性和访问控制的安全性等问题日益突出.针对数字化校园发展的特点,提出了基于CAS和LDAP的统一身份认证解决方案,并对整体架构进行了设计,对各部分系统进行了描述,为数字化校园各应用系统的集成和进一步发展打下了良好的基础.
关 键 词 :数字化校园;统一身份认证;CAS;LDAP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5277-03
Research on Digital Campus Unified Identity Authentication System
RAN Xu1,ZHONG Ming1,CHEN Chun-ming1,2
(1.Chongqing Communication Institute,Chongqing 400035,China, 2.Defense Information Institute, Wuhan 430010,China)
Abstract: Along with the information technology unceasing development, application systems based on the digital campus are increasing, so security issues of unified identity authentication and access control bee increasingly serious. The unified identity authentication system based on CAS and LDAP was discussed and described, and it laid a great foundation to develop application systems in digital campus.
Key words: digital campus, unified identity, CAS, LDAP
“数字化校园”是以计算机和网络信息技术为基础,以数字化信息为依托,使教学资源得到充分优化利用的一种虚拟教育环境.近几年全国各大高校大力开展数字化校园的建设工作,各院校的数字化校园基础平台日渐完善,基于校园网的网络应用系统日益丰富.但是各个应用系统可能隶属于多个互不从属的部门,因此缺乏统一的设计架构和开发规范,造成了大量基于不同系统平台和技术规范开发的应用系统共存的现象,导致各应用系统相对独立无法有效共享安全认证信息,于是形成了网络环境下的多个信息孤岛.随着数字化校园建设的不断深入,校园网上的各种应用系统的身份认证问题日益突出.数字化校园用户在使用各种网络应用时,必须面对多种登录界面,记忆多个用户账户和口令,校园网系统管理员也不得不维护多个系统中的用户信息,以保证数据的一致性.数字化校园内各应用系统的安全认证问题严重制约了数字化校园的进一步发展,因此,建立一个统一的身份认证系统对数字化校园实现统一管理、统一认证和统一授权有着十分重要的意义.
1统一身份认证系统的设计思路
统一身份认证系统的设计思路是采用唯一的认证服务系统统一管理全校所有应用系统各自独立的认证模块,进行用户账户的统一存储、统一授权;各种应用只需遵循统一认证服务调用接口,即可实现身份认证的过程.而用于用户身份信息、存储和数据传输的安全性则由统一认证服务提供的安全认证协议来保证.这既可规范各应用系统的身份认证方式,方便用户使用,提高用户工作效率,降低系统维护成本,还可以全面提升整个数字化校园网络的完整性和安全性.
2统一身份认证系统的设计原则
数字化校园用户统一身份认证系统需要满足对用户登录时进行集中统一认证、登录后进行分级分类授权、注销后进行集中安全审计等功能的需求,从而提供集统一认证、分类授权和集中审计三位一体的安全解决方案.通过对数字化校园门户网站的需求分析,确定了统一身份认证系统的设计应遵循以下原则:
2.1统一的认证途径
基于数字化校园的多应用统一身份认证系统的核心功能是实现用户的“一次登录,处处访问”,因此身份认证系统要提供一个统一的认证途径,让用户一次登录后,即可访问全网的资源.
2.2良好的通用性
由于各个应用系统各有特点,分别运行在不同的平台上,都要能与统一身份认证系统交互,这就要求统一身份认证系统提供跨平台认证的功能.实现跨平台、跨数据库、甚至跨网段的身份认证,实现与数字化校园各种应用系统的无缝整合和互操作性.
2.3高度的安全性和稳定性
统一身份认证系统负责数字化校园全网用户的身份认证和统一授权,是数字化校园正常运转的核心基础平台,只有系统的安全稳定运行才能保障各种应用系统对用户认证授权的正常开展,因此必须采取多项措施提升统一身份认证系统的安全防护等级,保证系统的安全稳定运行.
2.4灵活的可扩展性
统一身份认证系统为全网各应用系统的集中统一身份认证和授权提供支撑,这就要求统一身份认证系统具有灵活的可扩展性,不仅能够支持现有应用系统对身份认证接口的升级改造,还要能够适应未来应用系统开发部署时对身份认证接口提出的新要求,使新的应用能够平滑整合到统一身份认证系统所搭建的总体框架之内.
2.5完备的权限管理
通过建立用户、角色和权限之间的对应关系,实现对用户的网络访问权限进行灵活配置,有效提升整个系统的易用性、灵活性和健壮性;基于用户所属单位对系统权限进行分级管理,有效的保证了用户、角色及资源信息的隐秘性.
3统一身份认证系统的设计实现
统一身份认证系统的核心设计思想是统一存储用户身份数据,统一授权网络应用系统,统一管理数字化校园内各种应用系统的身份认证方式,从而提升整个数字化校园的易用性、整体性和安全性.
为实现跨数据库、跨系统、跨平台、甚至跨网段的多个应用系统的统一身份认证,目前比较常用而有效的解决方案就是基于LDAP(轻量目录访问协议)的CAS(认证服务)单点登录系统方案.该方案可以对多个应用系统进行统一身份认证和授权,用户只需在统一的登录界面进行登录认证就能获得多个应用系统的访问权限.该方案主要分为三大模块:统一身份认证接口模块、CAS认证服务模块及LDAP目录服务模块.统一身份认证接口为用户提供系统登录的入口,通过对各网络应用系统登录界面的集成,实现用户登录及认证界面的统一;CAS认证服务是统一身份认证系统的核心,为用户提供基于CAS协议的多应用系统统一身份认证服务;LDAP目录服务实现用户身份信息的集中统一存储、管理与维护,保证用户信息在多应用系统中的唯一性和权威性.整个系统的架构如图1所示.
图1统一身份认证系统
3.1统一身份认证接口
统一身份认证接口为数字化校园中的各个应用系统提供一个统一的登录界面,并将统一身份认证接口集成到各个应用中,替换各应用系统原有独立的身份认证功能,统一身份认证接口根据用户的登录信息向CAS服务器发起身份认证请求.对于合法用户,认证接口将得到一个有效的Ticket作为登录应用系统的凭证,同时认证服务器也要存储该Ticket以备合法性验证.最后认证接口要将该用户信息提交给相应的应用系统;对于非法用户,认证接口会拒绝用户访问相应的应用.
3.2 CAS认证服务
CAS认证服务旨在为Web应用系统提供一种可靠的单点登录方法,目前得到了广泛的应用,具有独立于平台的特性.CAS认证服务是由CAS服务器统一完成的,它将统一身份认证接口发起的请求与LDAP中的用户信息匹配认证,对通过认证的用户,CAS服务器将生成一份特定的Ticket,这份Ticket强制用户通过统一身份认证接口访问授权的应用系统.整个认证过程默认采用HTTPS协议完成,数据通过SSL通道加密传送,保证了证书和Ticket的安全性.认证服务流程如图2所示.
用户访问统一身份认证接口,接口会分析用户的访问请求中是否含有合法的Ticket,如果有则允许通过接口访问授权的应用,否则进入第2步.
统一身份认证接口将用户的访问请求重定向到CAS服务器,CAS服务器通过LDAP服务器验证用户身份的合法性,如果不合法则给予用户提示,否则进入第3步.
CAS服务器产生一个随机的Ticket,附带上该Ticket的用户访问请求,将被重定向到用户请求的应用.
应用系统将该Ticket返回给CAS服务器,CAS服务器进行Ticket合法性验证.如果验证成功,CAS服务器将用户的身份信息返回给应用系统,应用系统根据用户身份分配相应的访问权限;如果匹配不成功,则给予相应的提示.
3.3 LDAP目录服务
LDAP是由美国Michigan大学研发的轻量级目录访问协议,该协议用来将目录信息发布到不同的资源.LDAP基于X.500标准,并新增了对TCP/IP的支持.LDAP服务器使用“推”或“拉”的方法复制数据,复制技术内置于LDAP服务器中,可以进行方便灵活的配置.
图2 CAS认证服务流程
LDAP中目录按照树型结构进行组织和存储,目录由条目组成,条目类似于关系型数据库存储在表中的记录,条目是具有区别名DN的属性集合.LDAP协议规定了区别名DN的命名规则、存取方式、复制方法及搜索格式等.
目录树的各个节点使用不同的关 键 词 ,如“dc”、“uid”、“dn”等,它们分别代表不同的含义,见表1.
表1 LDAP关 键 词 含义表
LDAP的组织和存储特性决定了其具有查询效率高但修改删除效率低的特点,因此必须建立完备的初始目录信息树,以避免进行大面积的修改和删除.针对数字化校园的特点,可以将单位信息、部门信息和人员信息保存在每个用户的LDAP条目中,如图3所示.
图3 LDAP中的目录树结构
4结束语
该文中讨论的数字化校园统一身份认证系统采用了基于LDAP协议的CAS单点登录系统方案,比较完善的解决了用户信息统一存储、应用系统统一授权、应用系统规范认证和数字化校园的完整性及安全性等方面的主要问题.但是该方案可能涉及很多现有应用系统的升级改造,大量用户信息的集中汇总可能会导致数据冗余问题的出现,这仍需要进一步思考完善.