常艳辽宁警官高等专科学校 辽宁 116037

0 引言

随着网络的发展，网络应用更加丰富，各领域和各行业逐渐将各种信息管理及业务处理都移植到网络中，学校也不例外。涉及到学生的基本信息、选课情况、成绩以及学生的表现情况都在网络当中管理；涉及到教师的教师基本信息、授课情况、考勤和考核信息等也在网络当中管理；涉及到学校的各方面状况(如师资状况、校舍状况及财务状况等)、各部门情况及工作的完成情况等也在网络中管理。信息化管理可以提高工作效率又可以节约资源，其优点主要因为用户可以在权限范围内实现远程管理，但远程管理最大的弊端是安全问题，有的机构因为不同数据在不同的系统中进行管理，安全级别不同，对每个用户的管理权限不同，用户必须通过账号和密码对系统进行不同权限级别的访问，使得用户必须记多个账号和密码，为用户和管理带来极大地不便，甚至有的机构为了避免高安全级别的数据出现安全问题，采取屏蔽部分功能不允许外部访问的方式，这样极大的削弱了信息化管理的优势，为了解决这类对用户分散管理的问题，本文认为应该建立统一身份认证平台，对用户认证及各系统使用权限信息进行整合，实现统一存储、统一管理，统一授权的用户单点登录身份认证方式。

1 统一身份认证系统分析与设计

实现跨平台、跨数据库、甚至跨网段的各系统统一身份认证，目前比较常用也是比较有效的解决方案就是基于LDAP(Lightweight Directory Access Protocol 轻量级目录访问协议)协议的单点登录机制，可以对多个应用系统身份认证及访问控制进行整合，用户只需要登录一次就可以访问所有相互信任的应用系统。用户只需要通过一个账号和密码就可以实现，但是账号和密码很容易泄露，对整个系统，特别是安全级别要求高的系统具有一定的安全隐患，为了解决这个问题，本系统结合数据证书认证技术，对高安全级别用户采取账号和证书双重身份认证机制。

1.1 访问权限分析

由于校园网信息管理系统应用功能繁杂，访问用户比较多，并且存在明显的权限划分，因此根据安全级别的不可以将所有用户权限分为两大类：①一般系统使用者权限；②高级系统使用者权限。

一般系统使用者权限是指可以浏览及管理系统中公开的或安全级别不高的信息的访问权限。比如学生对学校的通知及个人相关信息进行查询及简单的录入和修改权限，或者一般教师对个人及相关业务信息进行录入和修改权限。

高级系统使用者权限是指可以管理及维护个人业务相关或权限范围内其它用户的相关信息。

需要获取一般系统使用者权限的用户只需通过账号和密码统一身份认证，对于需要获取高级使用权限的用户在账户和密码认证的同时还需要提交具有高级使用权限的数字证书。

1.2 统一身份认证系统结构分析

该系统身份认证过程比较简单，不同权限用户如果只提交账号和密码那么只能获得一般系统使用者相应的权限，只有提交具有高级权限的证书才能获取高级系统使用者权限，对系统的敏感信息进行管理。整个过程分为三大模块，如图1所示。

图1 统一身份认证系统结构

（1）认证及访问控制信息管理模块

LDAP是一种可扩展的目录访问协议，是按照树状模式组织信息(如图 2所示)，是实现信息管理和服务接口的一种方式，实际上是一种特殊的数据库系统，目录一般用来存储相对静态的数据，能够提供比关系数据库更快速的数据读取、浏览和搜索操作，对数据的修改也仅是使用简单锁定机制来实现。目录以属性的形式存储及管理信息，并支持精细复杂的过滤能力。一个应用程序如果要访问目录中的信息，它不需要直接访问目录，而是通过一系列API函数来产生请求并传送给目录服务器。目录服务器则根据请求查询目录，并把结果返回给发起调用的进程。

图2 目录树

（2）统一身份认证管理模块

LDAP服务是典型的C/S模式，需要读写目录信息的应用并不直接访问目录，它通过调用API函数访问目录中的信息对用户身份进行认证，并将认证结果返回给身份认证管理模块。当用户第一次访问某个应用系统时，因为还没有登录，会被引导到认证管理系统中进行登录，如果用户通过账号和密码登录，只能获取一般用户权限，要想获取高级用户权限必须提交相应的数字证书，根据用户提供的登录信息，认证系统进行身份效验，如果通过校验，相应的产生一个认证凭据(ticket)，用户访问其它应用时就会将这个凭据带上，作为该用户的认证凭据，应用系统接受到请求之后会把凭据送到认证管理系统进行校验，检查其合法性，如果通过校验，用户就可以在不用再次登录的情况下访问其它应用系统。

（3）用户及认证信息管理模块

该模块提供用户对个人基本信息及认证信息进行管理及维护，包括登录密码的修改，数字证书的申请、恢复和作废处理，提供管理员对用户信息及访问控制权限进行管理和维护。

2 统一身份认证管理系统的实现

2.1 数字证书认证管理的实现

用户选择一个证书之后，服务器会从用户证书中提取一些资料，核对证书是否是本系统颁发的，是否有效，之后继续进行身份鉴别和权限控制管理：

//获取客户证书序列号

string usercertsn=Request.ClientCertificate["SerialNumber"];

//获取客户证书全部内容(二进制代码)

string usercertbinary=Request.ClientCertificate["Certificate"];

//获取客户证书有效期结束时间

string dateuntilstr= Request.ClientCertificate["ValidUntil"];

DateTime dateuntil=Convert.ToDateTime (dateuntilstr);

//审核证书是否有效

if(todatet＜dateuntil)

{ //根据以上信息获取高级用户权限的有效性及权限列表}

2.2 LDAP认证管理的实现

系统中以XML树状模式存储各部门及具有不同权限的各用户认证信息(账号、密码和证书序列号)，通过对该模式数据的查询，返回用户访问控制序列码，并写入用户凭证当中：

string accessed;//访问控制码

Session[“uid’]=user.UName;

Session[“upw”]=user.UType;

try{

accessed =checkuser(Session[“uid’], Session[“upw”]) ;//验证一般用户权限身份接口

accessed+=checkcert(user.certsn); 验证高级用户权限身份接口

return accessed;

}

catch{

//用户账号/密码不正确

}

3 总结

系统身份认证和权限控制是实现系统安全最基本、最有效的方式之一，因此大部分系统都要对用户的合法身份进行认证，用户面临访问不同系统要进行多次身份认证的问题，于是统一身份认证思想应运而生，实现统一身份认证可以通过很多种方法实现，但基于LDAP协议的目录服务为实现统一身份认证提供了更快速有效的信息管理机制，通过一次身份认证之后，在该次访问过程中再访问其它应用程序将不必再次输入登录信息，也可获得合法的访问权限。其中数字证书的引入可以实现认证信息的不可伪造性，特别和账户密码结合提高了系统的安全性。

[1]张冲,武超,杨要科.校园网统一身份认证系统的设计与实现.中原工学院学报.2008.

[2]张先红.数字签名原理及技术.北京:机械工业出版社.2004.

[3]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现.研究与发展.2008.

[4]刘幺和,林宇航,宋庭新.基于 SSO 技术的信息门户网站构建.软件导刊.2009.