用户登录验证程序的实现
- 格式:pdf
- 大小:5.00 MB
- 文档页数:8


基于802.1x的校园网用户身份认证设计与实现
吴贤平
【摘 要】当前我国高校校园网事业飞速发展,但随着用户数的急剧增加和业务样式的增多,校园网的安全问题也日益突出.本文针对标准的802.1x协议在实际应用中存在不足,提出了适合于校园网身份管理系统中的用户身份认证切实可行的协议改进方法.提出了校园网认证系统的整体框架,为建造安全可靠的校园网提供了新的思路和方法.
【期刊名称】《制造业自动化》
【年(卷),期】2012(034)009
【总页数】3页(P47-49)
【关键词】802.1x认证;PPPoE认证;Radius认证;认证系统;校园网
【作 者】吴贤平
【作者单位】温州大学,温州325035
【正文语种】中 文
【中图分类】TP39
0 引言
由于传统认证(Authentication,又称鉴别)方式对校园网中用户数据包繁琐的处理造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而成为当前校园网选型的一个热点。
1 IEEE802.1x技术简介
1.1 IEEE802.1x协议的工作机制
802.1 x作为一个认证协议,在实现的过程中有很多重要的工作机制[1,2](如图1所示)。
图1 IEEE 802.1x协议的工作机制
认证的发起可以由用户主动发起,也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络,就会主动发起认证;用户端则可以通过客户端软件向认证系统发送EAPOL-Start报文发起认证。
1.2 IEEE802.1x协议的体系结构
图2 802.1x协议的体系结构
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。图2描述了三者之间的关系以及互相之间的通信。
单点登录CAS与LDAP整合的实现
单点登录(Single Sign-On,SSO)是一种身份验证和访问控制机制,允许用户使用一组凭据(如用户名和密码)登录到一个应用程序,然后在登录后访问其他应用程序而无需再次提供凭据。这种机制的实现需要集成不同的身份验证系统,例如,CAS(Central Authentication Service)与LDAP(Lightweight Directory Access Protocol)。
CAS是一种基于Web的身份验证协议,它提供了一种单点登录解决方案,允许用户在一次登录后访问多个Web应用程序,并且不需要再次输入凭据。CAS通过提供一个认证服务器来实现这一功能,该服务器负责验证用户的凭据,并生成一个票据(Ticket)以表示用户的身份。
LDAP是一种用于访问和维护分布式目录信息服务(Directory
Information Services)的协议。目录服务用于存储和组织用户和组的信息,包括用户名、密码和其他属性。LDAP提供了一种标准化的方式来查找、添加、修改和删除目录条目,提供了对用户身份信息的集中存储和访问。
要将CAS和LDAP整合,首先需要配置CAS服务器以使用LDAP作为其用户存储和验证机制。下面是实现此集成的步骤:
1. 配置LDAP服务器:首先,需要在LDAP服务器上创建一个目录以存储用户和组的信息。可以使用开源的LDAP服务器,如OpenLDAP或Microsoft的Active Directory。
2.配置LDAP属性映射:CAS需要将LDAP中的用户属性映射到CAS的用户模型中。这些属性包括用户名、密码、姓名、角色等。需要根据LDAP服务器的架构和CAS的用户模型进行正确的属性映射。 3.配置LDAP身份验证器:CAS使用一个或多个身份验证器来验证用户的凭据。应该配置一个LDAP身份验证器来使用LDAP服务器进行用户身份验证。
单点登录技术应用及实践分享
在现今大数据时代,人们为了方便自己的生活和工作,使用的各种应用程序越来越多。然而,每个应用程序都需要用户登录账号和密码才能使用,这种多账号多密码的方式给用户带来了很多不便,同时也让应用程序的安全性受到了威胁。为了解决这一问题,单点登录技术应运而生。
一、 什么是单点登录技术
单点登录技术(Single Sign-On,简称SSO)是一种允许用户在多个应用程序间使用一组统一的认证凭证(如:用户名和密码)登录的解决方案。单点登录技术使得用户只需登录一次就可以在所有应用程序中自由切换。
二、 单点登录技术的实现方式
单点登录技术实现的方式有很多种,其中比较常见的有三种。下面将简要介绍一下这三种方式:
1. 基于浏览器的单点登录
基于浏览器的单点登录是指用户先登录身份验证中心,之后进入通过身份验证中心进行授权的目标应用程序。此时,浏览器将用户的凭证保存在其本地缓存中。此后,如果用户在同一个浏览器中访问另一个通过身份验证中心进行授权的目标应用程序,则浏览器会自动将用户的凭证发送给目标应用程序以完成登录。
2. 基于代理服务器的单点登录
基于代理服务器的单点登录是指在代理服务器上设置中央认证服务,通过认证服务将用户凭证保存在服务器中,然后通过代理服务器来处理用户请求。此时,用户在访问需要认证的应用程序时,需要经过代理服务器的认证服务进行验证,如果验证通过,则用户就可以在应用程序中使用凭证进行访问。如果用户访问的应用程序没有进行认证,代理服务器就会将其引导到认证服务进行登录。
3. 基于令牌的单点登录
基于令牌的单点登录是指使用Token(令牌)来进行身份验证和授权的方式。这种方式的实现方式也比较简单,即:用户在通过身份验证中心登录后,会收到一个Token,这个Token会被保存在用户端,之后可以通过Token来实现用户的身份验证和授权。
三、 单点登录技术的优势
单点登录技术的优势主要表现在以下几个方面:
统一(tǒngyī)用户认证和单点登录解决方案
随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏(pòhuài)的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。统一用户管理的基本原理。
一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用(shǐyòng)多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 多大 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建(chuàngjiàn)用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何(rènhé)一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。
解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能:
1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。
2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。