下载文档原格式
158数据库技术Database Technology电子技术与软件工程Electronic Technology & Software Engineering1 引言近几年我校通过智慧校园平台建设,先后建成了包括统一身份认证系统、校园门户、岗位角色平台、统一消息平台、公共数据平台、办事大厅。
通过高校智慧校园平台的建设,我校已基本完成了数据中心的建设,并与各业务部门的业务系统实现了数据对接,获取相关的业务数据,包括人事系统、教务系统、研究生管理系统、知识产权管理系统、机构知识库、科研系统、网上办事大厅等。
经过多年的建设,已沉淀下来大量的业务数据,形成19个数据子集、1137张表、 13554个数据项、5186万数据,在学校教学、科研、管理和服务等工作中发挥了重要作用。
但是仍然存在校务管理信息采集不全面、校务管理信息多次填报和未能深度应用等问题[1]。
为实现学院级基础数据的统一采集及共享互通,并利用数据资源服务于管理业务,实现院系成果的数字化与管理工作的智能化,我们启动了“一张表”应用的建设。
延时500cycles 模仿业务流程2;}针对自旋悲观锁实现,基于CAS 操作的实现,以及基于无锁机制的实现,分别使用1~6个线程测出了一组对比数据。
3.1 性能比较数据测试程序在一秒钟时间内入队出队次数统计如图4所示。
由图4中可见,随着核数的增加,悲观锁机制入队出队次数逐渐增加,后由于冲突的增大,其性能反而降低。
CAS 机制的入队出队性能也经历了从低到高再到低的过程。
无锁机制随着核数增加,其性能基本呈现线性增长。
3.2 耗时比较数据测试程序统计了在一秒钟时间内,入队操作操作消耗的平均cycle 数,其结果如图5所示。
由图5中可见,随着核数的增加,基于悲观锁的机制消耗的平均cycle 数逐渐增加。
基于CAS 的机制消耗的平均cycle 数也逐渐增加,不过比悲观锁要好。
而无锁的机制随着核数增加,其消耗的cycle 数基本保持稳定。
高校数字化校园的统一身份认证解决方案作者:段海波来源:《中国教育信息化·高教职教》2010年第09期摘要:数字化校园的基础平台有用作全校统一的身份认证中心的统一身份认证平台,用作资源整合和应用集中展现的信息门户平台,还有用作数据集中和共享流转的共享数据平台。
本文对高校数字化校园中统一身份认证的体系结构、实现技术、认证集成、用户管理等整套解决方案进行了阐述。
关键词:数字化校园;统一身份认证;LDAP;认证接口;单点登录SSO中图分类号:G434文献标识码:A文章编号:1673-8454(2010)17-0043-04一、引言“数字化校园”的提法始于1990年由美国克莱蒙特大学教授凯尼斯·格林(Kenneth Green)发起并主持的一项名为“信息化校园”的大型科研项目,并由此逐步演变完善成为今天的“数字化校园”概念,即利用计算机技术、网络技术、通信技术对学校与教学科研、管理和生活服务等相关的信息资源进行全面的数字化,并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制。
数字化校园即在传统校园之上构建一个数字化空间,以提升传统校园的效率,扩展传统校园的功能,最终实现校园各项活动的全面信息化。
随着信息技术的不断进步与普遍应用,校园网不断扩展和延伸,计算机处理领域不断扩展,高校校园中各种服务日益增多,各种服务的构架平台也都不尽相同。
应用系统建设缺乏统一的规划,难以建立统一的技术体系,每个不同的应用服务拥有各自独立的用户,互相分离的数据库系统和应用平台,这种各自为政的服务模式不仅大大增加了校园网管理的复杂性,而且也导致在信息交互处理时出现合作障碍。
大多数传统的应用系统都有各自的用户认证模块,使用各自独立的认证机制。
这种用户认证模式有如下几个弊端:(1)每个应用系统中都必须存储用户名和密码,并且每个应用系统不尽相同。
(2)用户认证信息的维护管理不方便。
本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ~/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。
统一身份认证平台在高校信息化建设中的应用分析随着信息化建设的不断推进,高校的各项业务系统和服务不断完善和扩展,学生、教师和工作人员的信息化需求也日益增加。
随之而来的问题也日益凸显,比如账号密码过多、信息泄露风险增加等。
为了解决这些问题,越来越多的高校开始引入统一身份认证平台,以提供更加安全、便捷的身份验证和访问控制服务。
本文将对统一身份认证平台在高校信息化建设中的应用进行分析,探讨其优势和问题,并借鉴外部案例,为高校信息化建设提供一些建议。
1. 提高安全性传统的身份验证方式往往依赖于账号密码的组合,然而这种方式容易受到恶意攻击和破解。
统一身份认证平台采用多因素认证方式,如密钥、生物特征、单点登录等,提高了身份验证的安全性,可以有效防止账号密码被盗用。
2. 简化用户操作统一身份认证平台可以让用户使用单一的身份信息登录不同的系统和应用,极大地简化了用户的操作流程,提高了工作效率。
而且还可以实现单点登录,用户无需重复输入账号密码,提高了用户体验。
3. 降低管理成本相较于传统的身份验证方式,统一身份认证平台可以集中管理用户身份信息和权限,降低了管理成本和维护成本。
管理员可以通过平台对用户的身份和权限进行统一管理,简化了管理流程。
4. 融合其他业务系统高校内部常常存在各种业务系统,如教务系统、图书馆系统、校园卡系统等,统一身份认证平台可以为这些不同的系统提供统一的身份验证和访问控制服务,实现了这些业务系统之间的融合和互联。
5. 提高信息共享和互操作性统一身份认证平台可以为高校内的不同系统和应用提供标准的身份认证接口和协议,提高了这些系统之间的信息共享和互操作性,实现了各种业务系统的无缝衔接。
二、统一身份认证平台的问题与挑战1. 安全性风险虽然统一身份认证平台可以提高身份验证的安全性,但也存在一些潜在的安全风险,比如身份信息泄露、恶意访问等。
高校需要加强对平台的安全管理和监控,及时发现并解决安全漏洞。
2. 技术整合难度高校内部存在各种多样的业务系统,这些系统的技术架构和数据格式可能存在差异,统一身份认证平台需要与这些系统进行整合,这会带来一定的技术挑战和成本压力。
校园一卡通系统统一身份认证和电子钱包主账户管理的应用李卓方科成都师范学院网络与信息管理中心目前全国各大高校基本都已构建了一卡通系统、财务管理系统、办公自动化系统、邮件系统、教务管理系统、学工系统、图书管理系统、控电系统等诸多应用系统。
数字化校园建设就是通过对校园各应用系统进行连接,实现相互资源的有效集成、整合、优化和有效利用,提高各部门的工作的效率。
校园一卡通将通过统一的身份认证和消费交易管理,将数据的集成与共享,推进数字化校园建设,实现校园信息管理和消费服务方式的智能化和数字化,提高信息化管理水平和质量。
校园一卡通的根本在于每张校园卡对应的个人用户信息,这些信息包含用户基本信息(学院、专业、学号、身份证号、卡的有效性等)、账户信息和交易信息。
一卡通的设计要架构在校园网上,不仅具备消费功能,而且还要具备身份识别和校务管理功能。
正确处理好一卡通与其他已有的信息系统(如图书管理系统、人事、财务、教务等管理系统)的对接和系统数据共享问题是“数据集中”和“应用集成”的重要关键。
交易信息是用户在一卡通终端进行交易后才能产生的,是未知的不能修改和管理的。
而当学生转专业(学院、专业、课程等)或教职工调职(部门、职务等)后对应的基本信息都会发生改变;学生通过圈存机或其他方式对电子钱包账户进行操作,用户主账户和校园卡上的金额也会改变。
诸如此类可变的信息我们统一归纳为校园卡的统一身份认证和电子钱包信息。
如何对这部分具有可变性的信息进行管理,成为了一卡通系统与各应用系统之间进行数据共享交换的核心问题。
一、统一身份认证校园一卡通建设,必须满足数字化校园的整体规划设计。
虽然现在的校园一卡通系统包含了教务、图书馆、财务等诸多子系统,但相对于专业做教务系统、图书管理系统、财务系统的这些软件,它在功能的实现和人性化上存在很大的局限性,所以目前绝大多数高校对于各应用系统的建设都是使用的不同软件,并没有用一卡通系统来实现校园的信息化。
中小学智慧校园解决方案一、用户需求分析(一) 师生需求建设智慧教室,实现智慧化的教学、智慧化的学习、智慧化的评价.提供学校各种业务系统和学习资源,通过公共服务门户一站式登录,享受便捷的教学资源和应用服务。
(二) 公众需求实现一站式教育事务办理和信息查询,获取优质的专业发展学习资源,家长可以和学校一起为学生的成长保驾护航。
(三) 教育管理者需求为学校教育管理者提供最强大的管理服务,高效地对学校的工作进行管理。
二、建设目标学校及教育管理部门依托云计算、大数据等先进的互联网新技术,将教学、科研、管理和家校沟通等信息资源进行整合、集成和全面的数字化,构成统一教育信息化平台,并在此基础上,实现教材多媒体化、办公自动化、教学个性化、学习自主化、环境虚拟化等智慧型教育创新模式,以学习方式和教育模式创新为核心,建立一个智慧化的、系统化的教与学生态智慧教育云系统。
(一) 校园环境数字化要利用计算机技术、网络技术、通信技术等先进的信息化手段和工具,实现从基础设施(网络、终端、教室等)、资源(图书、讲义、课件等)到活动(学习、教学、研究、管理、生活等)的全面教育数字化。
(二) 应用泛在化拓展现实校园的时空维度,实现各种应用系统互联互通;建设网络应用环境,实现泛在的应用模式;促进优质数字资源的建设、应用和共享,每一个班级都享受到优质数字资源;打造网络学习空间,实现教师与教师、教师与学生、学生与学生的网络连通。
(三) 创新教育模式促进信息技术与教育教学主流业务的融合,实现学习方式和教育模式的变革与创新;支持学校服务与管理流程优化与再造,提升管理效率与决策水平;改变师生交流方式,培养师生信息化生存能力,实现师生全面和谐发展.(四) 推动教育公平结合各学校或者教育管理部门的实际条件和发展目标,通过智慧教室、录播教室、资源平台来建设教育资源中心与共建共享平台,可向农村与偏远学校分享优质教育资源,推动优质资源公平共享.三、建设思路智慧教育云建设应依托云服务、物联网、云计算、挪移互联网等新一代信息技术打造符合国家政策方向与用户需求的教育形态和教育模式,进行现代技术与教育的深度融合,进行教育的创新。
论统一身份认证在高校信息化建设中的重要作用与建设作者:王雷来源:《科学与财富》2011年第09期[摘要] 随着高校信息化建设的发展,统一身份认证平台在数字化校园中发挥越来越重要的作用,改变了高校信息系统各自为政、一个用户N多个帐号或需要重复登录的状况,实现单点登录,有限的提高了整个信息系统的安全性和用户的工作效率。
而基于LDAP的统一身份认证让实际开发变的更加轻松、可行性更高。
[关键词] 统一身份认证 LDAP 单点登录重要性一、目前高校信息化建设现状随着信息技术的发展,各个高校都高度重视信息化建设工作,“数字校园”即是将信息技术运用于教育改革过程形成的最新研究成果。
在数字校园中,学校针对各种需求建设应用系统,力图通过信息化来整合机构内的各种资源。
但在实际信息化建设过程中,由于前期缺少统一规划,并且高校系统软件很少有做的很全或很专业的公司,基本上是学校各个部门各自为政,各自购买建设自己的信息系统。
如教务处购买自己的教学管理系统,学生处购买单独的学生综合管理系统,图书馆有自己的借还书管理系统。
在多系统并存的情况下,校园网内每个用户拥有多个密码,用户需要逐一登录自己所要使用的应用系统,这给用户造成了很大的不便,安全性存在严重隐患。
同时,用户的信息分散存储于各个应用系统中,这不仅为用户的正常使用也为应用系统的管理和维护增加了很大的麻烦,工作效率重复低下。
为了解决这些问题,需要在多应用系统并存的情况下,实现应用系统间的用户统一认证和信息共享。
二、统一身份认证在高校信息化建设中的重要作用网络信息系统的统一认证技术已经相当成熟,从门户网站(如新浪)到企业内部网(如平安保险公司)都对原有的系统进行改造升级,使得不同历史时期购进的信息系统能够整合起来,进行统一认证,降低了管理成本同时又提高了信息系统的安全性,对用户来说也解决了多账户多密码难于记忆的问题。
目前,各大高校也在整合自己的网上资源,把各个独立信息系统的认证统一起来,实现统一身份认证,通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数,简化登录过程,实现一次登录多点使用,实行统一管理,方便用户的同时也极大的提高了信息系统的安全性。
[收稿日期] 208-12-16[作者简介] 孙月洪(1967-),男,连云港师范高等专科学校讲师,硕士研究生,从事现代教育技术研究。
统一身份认证在数字化校园中的作用与实践孙月洪(连云港师范高等专科学校,江苏连云港222006)【摘 要】 重点介绍了一种基于角色访问控制R BAC (R ole Base Access C ontrol )的身份认证技术。
在理论研究的基础上,设计了一个基于LDAP 目录服务,结合Web Service 以及X M L 技术的统一身份认证系统模型。
该系统模型解决了校园网多个异构系统的集成认证问题,充分考虑了系统的安全性和扩展性,为校园网的信息化建设提供了很好的参考模型。
【关键词】 统一身份认证;轻量级目录访问协议;R BACU nified Status Authentication in Digitized C ampus Function and PracticeSUN Yue 2hong【Abstract 】 Introduced with em phasis one kind based on role access control R BAC (R ole Base Access C ontrol )the technology ,the R BAC core thought is connected through the role the user and the jurisdiction.In the fundamental research foundation ,has de 2signed one based on the LDAP table of contents service ,unifies Web Service as well as the X M L technology unified status authent 2ication system m odel.This system m odel has s olved the cam pus net many is omerism system integrated authentication problem ,had considered fully the system security and the extension.【K ey w ords 】 unified status authentication ;lightweight table of contents visit agreement ;rbac 〔中图分类号〕TP393 〔文献标识码〕A 〔文章编号〕1674-3229(2009)02-0037-03 在当前的高校校内信息管理系统中,各个系统之间必要的数据交互业务越来越多。
譬如一个决策系统,可能会涉及人事系统、财务系统、学籍系统和招生系统等各个方面。
用户为了访问这些应用系统,必须要记住其在各个应用系统中的口令,并需要反复输入这些口令,十分繁琐。
迫切需要一个身份认证的集成认证平台,来解决认证信息的共享问题,做到一站登录,全网通行。
1 统一身份认证系统设计与实现1.1 系统目标统一身份认证系统主要是实现一个以目录服务为核心的用户认证系统,通过提供一个完整的用户管理平台和授权、认证体系,实现各应用系统的“集中认证”,强化用户合理使用数字化校园资源的意识。
用户只需通过一次认证,即可获得相应权限,访问所有应用系统提供的服务。
1.2 系统组成结构设计统一身份认证必须要包含三大基本模块,分别是用户管理、接入应用子系统管理和提供认证服务。
系统软件架构图如图1所示:用户管理模块负责对用户的日常管理,包括用户的增、删、改、查以及角色权限的分配。
应用系统注册模块负责注册新的应用系统,当一个新的应用系统通过此模块注册成功后,就可以挂接在统一身份认证平台下,此时应用系统已经通过注册服务得到了唯一的系统标识,其信息已经存到LDAP 目录・73・2009年4月廊坊师范学院学报(自然科学版)Apr.2009第9卷第2期Journal of Lang fang T eachers C ollege (Naturnal Science Edition )V ol.9N o.2数据库里面。
注册时必须提供应用系统的身份信息、应用系统所有合法用户信息、应用系统的访问控制信息等。
认证模块负责用户请求访问应用系统时对用户的身份进行审核授权,只有当用户的身份合法时,才赋予用户访问应用系统的权限。
对应系统的体系结构如图2所示。
1.3 认证流程设计系统采用B ΠS 架构,利用客户端浏览器的C ook 2ie 保存用户的登录信息。
认证的流程如图3所示。
1.4 目录信息树设计统一身份认证系统利用LDAP 目录数据库来实现校园网用户、组织机构、资源信息的统一存储。
因此目录信息树的设计至关重要,其设计的好坏直接关系到这个系统的扩展性、适应性等动态特性。
图4就是结合校园网常用服务设计出的目录信息树的缩影。
在此目录信息树里要存放的信息主要包括用户信息、组织机构信息、用户组信息、角色信息、权限信息等。
以校内成绩管理系统中的“成绩查询”和“成绩录入”功能为例,教师角色对于这两个受控资源都有写的权限,而对学生角色则只有读的权限。
各个OU 所包含的意义如下:1)department OU :代表学校里所有的组织机构,父机构可包含多个子机构。
2)people OU :代表校园网所有用户集合。
用户的信息包含用户的账号、密码、所属分组或者角色、控制访问权限信息等基本信息。
3)service OU :代表校园网服务的集合,每个应用系统有自己的应用模块,这样的设置便于细粒度的权限控制、认证服务器的查询以及目录服务器的管理等。
当新的应用系统注册时,便在service OU 下添加此应用系统及各模块的信息。
4)group OU :代表校园网里用户组的集合,用户可以按照各种划分方法属于不同的用户组,在此处每个注册的应用系统对应一个用户组OU 。
5)role OU :代表校园网里角色的集合,角色是用户和权限的集合,也是用户和权限两个集合之间联系的媒介。
6)permission OU :代表校园网里权限的集合,代表了用户对受控资源的操作,各个具体的权限是有应用系统定义的。
按照同样的策略为每个应用系统定义一个权限OU ,应用系统定义的对受控资源的权限都在对应的权限OU 下。
1.5 认证和授权设计系统的主要功能是实现用户的统一认证和授权。
用户登录统一身份认证服务后,即可访问所有支持统一身份认证服务的应用系统。
统一身份认证的安全认证和授权的UM L 时序图如图5所示:1.5.1 访问控制模型设计资源、用户、用户组、角色、权限实体是统一身份认证系统里的核心模型。
根据前面介绍的RBAC 模型权限设计思想,建立用户、用户组、角色、权限核心对象模型如图5、图6所示:・83・2009年4月廊坊师范学院学报(自然科学版)第9卷・第2期对象模型中包含的基本元素主要有:用户(Use2rs)、用户组(G roup)、角色(R ole)、控制对象(C ontrolObject)、对象类别(C ontrol Object Categ ory)、访问模式(Access M ode)、操作(Operator)。
主要的关系有:分配角色权限(R ole Permission Assignment)、分配用户组角色(R ole G roup Assignment)、分配用户用户组(G roup User Assignment)。
1.5.2 权限访问统一身份认证系统将用户信息、应用系统信息、角色信息、权限信息统一存储在LDAP目录数据库中。
统一身份认证系统的权限管理模块,必须能提供集中管理权限的服务,负责提供用户的鉴别、用户信息、组织机构信息以及权限关系表的计算,如图7所示。
权限管理服务根据用户、角色、权限、访问策略和控制对象之间的关系,在业务层通过权限管理接口来进行权限计算控制服务。
返回的是用户权限关系表,即二元组{objecteiI D,opertorI D}。
应用系统接收到用户的权限关系表后,通过权限标签读取C L进行相应的权限控制。
取得用户权限表的步骤是首先根据用户的登录名取得用户的所有角色属性,在目录设计的时候已经为用户添加了自定义的角色属性,这个属性根据需要被设置成为多值(multi2valued)类型。
根据角色关联的权限找到对应的资源编号和权限编号,通过循环控制,得到用户在每个应用系统里的权限二元组,以X M L文本流的形式返回到客户端的C ookie里。
应用系统通过读取用户在其中的权限二元组,来对用户进行权限控制。
2 总结身份认证技术是当今研究的热点之一,如何实现高效、安全的用户身份鉴别是网络应用系统的设计目标。
本文根据校园网的特点,结合LDAP目录服务设计出了一个松散耦合的基于LDAP目录服务的统一身份认证系统模型,并对其中的关键技术进行了研究。
[参考文献][1]李蔚.数字校园统一身份认证系统的实现[J].科技资讯,2006,(20).[2]尹文平,兰雨晴,高静.基于LDAP的用户统一身份认证管理系统的设计与实现[J].计算机系统应用,2005,(10).[3]裴沛.一卡通在数字化校园整合中的关键技术研究[J].教育信息化,2006,(13):20-21.[4]胡刚.基于T CPΠIP门禁一卡通系统的设计[J].I B智能建筑与城市信息,2005,(3).[5]范莉莎.多校区数字化校园建设[J].现代教育技术,2006,(1).・93・第9卷・第2期孙月洪:统一身份认证在数字化校园中的作用与实践2009年4月。
