校园网中用户统一身份认证技术的研究

2010-10-09王静

赤峰学院学报·自然科学版 2010年2期

关键词：校园网统一身份

王静

（赤峰学院计算机科学与技术系，内蒙古赤峰 024000）

校园网中用户统一身份认证技术的研究

王静

（赤峰学院计算机科学与技术系，内蒙古赤峰 024000）

从统一身份认证的设计角度出发，提出了一个基于LDAP的统一身份认证的实现框架，实现对用户进行统一管理、统一认证和统一授权.

随着网络和信息技术的发展，学校内很多部门相继开发自己的网络应用系统以提高工作效率.校园网应用系统涉及广泛，包括办公自动化服务、一卡通服务、邮件服务等多种应用.应用系统都有一套自己的用户管理方案，用户在转换系统时不得不重新输入用户名和密码，这不仅繁琐并且容易出现口令丢失，而且还增加了用户帐号泄密的危险，降低了系统的安全性.系统管理员又要维护这些系统中重复的帐户，从而增加了工作负担.

校园网的统一身份认证系统将这些应用的独立认证系统进行整合，使不同应用在统一的用户资料基础上进行统一身份认证.目录和LDAP技术在存储、查询数据时有很高的执行效率，可以利用LDAP构建复杂的分布式目录结构，在目录中存储各种类型的数据，并提供基于这些目录的高效访问.

1 系统的设计目标

(1)统一的用户认证机制，支持单点登录.用户登录所有应用系统都使用唯一的用户名和口令(或数字证书)；所有应用系统都使用一致的登录操作；访问多个系统时，只需要登录一次.

(2)提供统一、集中、有效的用户管理.尽可能利用现有系统的身份认证模块以及现有的用户设置和权限设置，减少重新进行用户设置和权限设置的费用，避免对现有系统进行大规模的修改；具有良好的扩展性和可集成性.

(3)设计成独立的服务，具有方便的第三方开发接口.

(4)具有良好的平台兼容性.统一身份认证系统由于要和各种应用系统集成才能为其提供服务，而各应用系统可能运行在多种操作系统平台之上，使用不同的数据库系统.因此，统一身份认证应该屏蔽各应用系统的平台差异，能够为各种应用系统提供一致的认证服务.

(5)高度的安全性.一方面，认证服务本身的功能性质，要求系统注意杜绝漏洞和隐患的存在.另外，有些应用系统（如安全邮件）的特点更加突出了安全性在系统设计开发中的地位.应采取一定措施，使得信息的生成，存储和传递等各个环节，都处在有效的安全保障之中.

(6)可集成性.对于遗留的应用系统，提供认证结果自动向应用系统的认证模块进行传递.能够尽可能地利用现有系统的身份认证模块及现有的用户设置和权限设置，避免对遗留系统进行大规模的修改.

(7)扩展性.当有新的应用被部署或开发的时候，这个统一身份认证服务还可以作为其身份认证模块的形式工作，自动生成授权结果传递给应用系统的授权执行模块.

(8)易操作性.方便管理员对安全信息管理配置.

2 基于LDAP的统一认证模型

把目录服务器作为存储各应用服务器用户信息的数据库，开发使用LDAP进行身份认证的功能模块，实现不同应用服务器的用户身份认证的多证合一，即同一用户使用唯一的帐户和密码就可以访问不同的服务.使用目录服务器来进行身份认证具有管理方便、安全可靠、可扩展性好等优点.其认证模型如图1所示.

3 统一身份认证系统的工作原理

使用统一身份认证平台来接管各个应用中的认模块，从而将原先独立的应用系统有机地整合在一起.对于用户而言，只要登录统一身份认证服务后，即可使用所有支持统一身份认证服务的应用系统.客户端登录流程如图2所示.

客户端用户登录子系统提供完整的单点登录支持，用户输入身份认证信息，系统接收到信息后，由统一验证服务来验证该信息，验证成功接受用户的访问；若验证失败，则提示用户是否进行重新的验证.用户只登录一次，就可以使用同一使用者凭证，在平台上的各资源子系统中按授予的权限访问网络资源，用户不会因为访问不同资源子系统的资源而被要求多次登录.

4 统一身份认证系统的结构

统一身份认证系统设计的主要思想是应用目录服务集中存储用户的信息和各个应用系统的信息，然后通过统一身份认证服务实现对用户的集中管理、集中认证和统一授权.系统结构如图3所示.

系统主要包括三个部分：

(1)用户的认证

为了在校园网中实现基于用户的网络管理，要求所有用户在使用网络资源以前要先登录认证服务器以确认身份.之后，将用户的身份和他所使用的IP地址和MAC地址绑定，以解决IP地址盗用的问题，同时实现基于用户的记费等管理.用户登录应用系统申请服务时，提供一个由统一身份认证系统发给的身份认证令牌，由应用系统将这个认证令牌交给统一身份认证服务器进行认证，确认用户身份后应用系统根据用户的组别授予用户相应的访问权限.

(2)用户的集中管理

在学校里，每个人都有自己的一个身份，它是由学校相应的管理部门负责维护和管理的.各个管理部门有自己的一套数据库系统维护着相应的资料.作为网络管理部门，进行用户的身份的集中管理，主要的任务就是实现用户的真实身份到用户的电子身份的一个映射，确保每个校园网的用户得到一个和他的真实身份相对应的电子身份，并享有和他的身份相对应的网络使用权限.因此，用户集中管理部分的设计重点在于实现和现有用户管理系统之间的信息交互，实现异构数据库之间的数据交流.

(3)应用系统注册

在校园网中，某个应用系统总是设计给校园中特定的用户群使用的.每个应用系统要使用统一身份认证模式，它必须先向统一身份认证系统进行注册，通过登录系统注册的Web界面，填写相应的表单，提供必须的信息，包括应用系统的身份信息、应用系统所有合法用户的信息、应用系统的访问控制信息、应用资源的访问控制信息等.

5 统一身份认证系统的实现

系统主要实现三个功能模块：统一认证和授权、用户资料管理和应用系统的注册.各个功能模块相对独立，可以分别实现.

5.1 统一认证和授权模块

系统的主要功能就是实现用户的统一认证和授权，用户登录统一身份认证后即可使用所有支持统一身份认证服务的应用系统.

基于请求/应答模式的认证机制在实现上比较简单，并且可以反映用户的在线状态，防止地址盗用，有利于实现校园网网络管理中基于用户的管理机制.但是这种模式只适用于对用户的登录认证，为了将它应用于其它应用系统的统一认证过程，可以结合Kerberos协议对其进行扩展.身份认证一般是和授权控制相结合的，授权控制就是一旦用户的身份通过认证后，确定哪些资源是该用户可以访问的、该用户对资源的访问权限操作等.认证的目的就是为了给用户授权.结合校园网的实际情况，系统中可采用基于角色的访问控制策略.

授权策略的具体实现是，应用系统根据用户权限不同将合法用户分为若干组，应用系统根据用户的身份信息决定用户属于哪个用户组别.应用系统注册后将其用户组信息存储在目录数据库中，应用系统要求统一身份认证系统认证用户身份信息时，统一身份认证系统根据用户身份查找用户在应用系统所属的用户组，并将该信息返回给应用系统，应用系统根据用户所属组别决定用户权限.

5.2 用户资料管理模块

该模块主要实现对于用户资料的统一管理.为了保证用户的电子身份和他在校园内真实身份的映射，该模块应具有接收来自不同部门的用户信息、并将其保存到目录数据库中的功能.信息的交互主要通过SOAP消息传递实现.

对于校园网的应用来说，用户资料来自不同的管理部门，而各管理部门往往有他们自己的数据库管理系统来管理这些数据.怎么把这些数据导入统一身份系统是本模块要解决的主要问题.实现异构数据库在目录数据库的数据传递，我们用XML文件作为数据传递的中间介质，通过SOAP消息实现传递.

对于个别用户信息的维护，可以采用SOAP的远程调用机制，在统一认证服务的用户管理模块中提供相应的SOAP服务，如更改用户信息的服务、删除用户服务等.对于需要大批增加数据的情况，可采用异步消息机制.SOAP提供了这样的一种异步的消息传递模式，客户端发送信息后，并不等待服务端的即时响应，可以批量的传递数据，提高效率.

5.3 应用系统注册模块

统一身份认证集成平台中，我们需要先实现各个应用系统在认证系统中的注册.应用系统的注册通过登录系统注册的WEB界面，填写相应的表单，提供必要的信息完成.应用系统需提供的信息包括：

(1)应用系统的名称.

(2)应用系统的路径.

(3)应用系统的标识，与其它系统区别，必须唯一.

(4)应用系统的描述.

(5)应用系统管理员信息，包括帐号和口令等.应用系统管理员以后可以用该帐号登录管理该应用系统信息.

统一身份认证系统接收应用系统注册信息后完成下列工作：

(1)在目录树中增加该应用系统的节点.

(2)增加该应用系统管理员信息.

(3)设定应用系统节点访问控制信息.

(4)将应用系统标识作为目录树中该条目的DN.