统一身份认证系统用户信息远程调用与管理*
2015-01-01胡晓晔
胡晓晔
(宝鸡文理学院 教学设备与实验室管理处,宝鸡721013)
身份认证就是判断一个网络用户是否是合法用户的过程.而统一身份认证的定义是指在拥有多个应用系统的局域网内,给合法用户一个统一标准的电子身份判断方法,以使用户可以通过合法的电子身份访问网络.统一身份认证最终的目标就是实现“一次登陆,全网漫游”.
随着高校信息化的不断推进,信息系统已经渗透到高校的管理运营的各个领域,包括OA,电子邮件,教务系统,一卡通业务等,能实现统一身份认证的单点登陆解决方案就显得尤为重要[1].校园网统一身份认证系统建设的需求就日益强烈.实现统一身份认证的好处有:员工简化操作,提高操作的安全性,提高效率,降低劳动成本.我们迫切需要一个全面的、安全性高的、易于管理的、并具有优秀的可移植性和伸缩性的校园网络用户统一身份认证管理系统[2].最早提出的独立认证系统在应用系统少的情况下还可以胜任,但是目前应用系统越来越多的情况下,它的缺点就越来越明显:无法统一认证和授权策略;维护成本高;用户使用不便;无法统一分析用户行为.其次是基于目录服务的统一身份认证系统,它虽然也能实现统一身份认证,但是传统的目录服务器基本都是C/S架构,使用时需要每次输入用户名密码,安全性较差;而且很难与不同平台的应用系统整合,系统的兼容性和耦合性较差.第三是应用广泛的基于Web应用的统一认证服务,比如.NET Passport和Liberty等.他们的主要对象是在网上进行商务活动和喜欢上网的个人用户,对于校园这种特定的环境并不是很适用.首先高校中的很多应用系统都不是Web架构的,而是C/S架构的,所以这些应用系统很难加入到统一的认证服务系统中.
因此,文中提出了一种基于LDAP协议和Web服务体系结构相结合的统一身份认证系统,它能够整合校园网内所有的应用系统,使他们能很好的和统一身份认证系统对接,实现用户的单点登陆.
1 统一身份认证
轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)与 X.500不同的不同之处在于LDAP支持TCP/IP,并且可以根据需要来定制,类似于电话簿、地址簿和文件系统[3].LDAP协议是基于Internet标准建立的,它是一个跨平台的标准协议.LDAP协议采用的是客户机/服务器模型.客户机和服务器之间通过TCP/IP协议来完成发送请求和响应的过程.
信息模型、命名模型、功能模型和安全模型是LDAP的四种模型.信息模型描述LDAP的信息表达方式;命名模型描述如何在组织的命名模型数据和定位的条目;功能模型:LDAP中对数据操作访问的描述主要有查询类操作,更新类操作和认证类操作;安全模型:描述LDAP中的安全机制.
LDAP的主要功能有如下几点:①强制执行管理员制定的安全策略,以防入侵者的攻击,保证系统的安全.②为一个网络中存在的所有计算机分配目录来提供更高的性能.③复制目录的功能可以杜绝发生访问失败的状况,而且更多的用户可以使用目录.④为了存贮海量的对象数据,将目录划分为多个数据源存储区.
2 统一认证系统的设计
统一身份认证系统设计的主要思路就是通过统一身份认证服务来实现对用户的集中管理、认证和授权,而用户和各个应用系统的信息都保存在应用目录服务中.
2.1 目录信息树
目前绝大多数组织结构都可以采用树形层次结构来表述,部门和人员的树状组织结构也不例外.单位的组织结构决定了目录信息树的结构.为了提高目录信息树中查找信息的速度,在设计目录信息树结构时最重要的一个原则就是尽量减少目录信息树的结构层次.而且当想要改变信息树中的某个部门组织时,结构层次越少对其他部门和分支的影响就越小,而且大大简化了用户和管理员的操作.同时要注意目录信息树的结构要尽可能划分清晰,对于物理位置独立或具有单独的管理权限的条目,在结构设计时应尽量分为独立的部分,避免和其他条目混淆.
以宝鸡文理学院为例,主要有两类信息存放在其中,一类是用户的账户身份信息,第二个是各应用系统的信息.目录树的域作为树根,即DN为dc=bjwlxy,dc=com,树根下主要有三类信息:①People:用来存储用户信息,这个组还可以细分为四类 组 织 角 色:Groups,Teachers,Students和Others.Groups可以划分为系统管理员、域管理员、部门管理员等角色,还可以按照各个部门院系再细化;Teachers就代表所有的教职工,还可以细分为教师、行政人员、工人等级别;Students代表学生,也可以按本科生、专科生、研究生等标准划分;Others就代表校园的其他人员.②Application:这个条目代表的是应用系统,比如学校的教务系统、财务系统、人事系统、邮件系统等.③Services:指需要发布为WEB服务的应用.每个条目都有其相对应的对象类,例如person代表人,application代表应用进程等都可以通过协议定义的标准对象类来实现;而有些叶子条目就要使用自定义的对象类才能表达清楚它的属性情况,比如应用系统可以使用如下定义的对象类:
objectClass(2.5.6.12NAME‘application’SUP top STRUCTURAL
MUST(uuid$cn)MAY(ou$description))
其中的uuid(唯一标识符)要求是Unicode,用这个32位16进制数组成的字符串来标识一个应用系统.Cn是Directory string类型,可以有多个值.根据RFC2252的规范,uuid可以定义为如下:
Attributetype(1.1.2.1.1NAME ‘uuid’DESC ‘unique name with an application’EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1466.115.121.1.15 SINGLE-VALUE)
根据实际情况,目录信息树的基本单位就是普通用户,一个普通用户(教师/学生)主要具有以下属性,可以根据表1来设计用户的信息模式.
表1 用户基本属性Table 1 The basic properties of a user
2.2 统一身份认证模块
采用的是基于Kerberos协议的统一身份认证解决方案,其特点是安全、稳定、高效以及容易部署.对旧有的应用系统来说,只需要改造一下统一的认证接口即可,对于新的应用系统来说就更加方便,只需要按照统一认证系统的接口设计标准开发一个统一的认证接口,就可以把它集成到统一身份认证系统中.统一身份认证系统模块主要包括统一身份认证接口、目录服务器、认证服务器、票据服务器和日志审计服务器[4].如图1所示.
2.3 应用系统注册模块
应用系统注册模块的功能是在应用系统完成注册之后与统一身份认证系统的对接.应用系统注册时要提供以下信息:应用系统的名称、应用系统具有唯一性的标识、应用系统的描述、应用系统用户组以及应用系统管理员信息[5].
图1 统一身份认证模块架构Fig.1 The module architecture of unified identity authentication
首先应用系统将注册信息发送给统一身份认证系统后,服务器会在目录信息树中先添加应用系统相对应的节点,然后把系统管理员信息也增加到目录信息树中,之后要设定该应用系统节点访问控制信息和权限信息,全部完成后建立应用系统的标识并将该标识作为目录树中该条目的DN.
2.4 用户管理模块
用户管理模块的主要功能是将所有用户信息统一保存到目录数据库中,并确保用户真实身份信息和用户电子身份和权限一一对应,实现对用户信息的集中存储和管理.可以采用集中或者分布式的工作方式,由系统管理员对中央用户资料数据库进行统一管理操作.
对于学校的认证系统来说,各个部门的应用系统都有自己相应的数据库,不同的用户信息,如何把这些数据导入统一身份认证系统是本模块解决的主要问题.本文通过SOAP消息来传递以XML文件为数据传递介质,实现了异构数据库和目录数据库之间的数据交换[6].
2.5 访问控制模块
系统的特点是基于角色划分用户授权,系统管理员可以管理基于角色的用户权限,针对不同应用系统对用户进行访问控制.
在每一个应用系统中都会增加一个与统一认证系统进行通信的通用模块.在这个模块中,用户需要完成以下两方面工作:①输入用户名密码,通过认证系统的认证,系统会分配给用户一个角色信息;②用户获得角色认证信息后,会分配一个对应的任务权限列表,然后依据权限列表中相应的权限生成一个访问应用系统时控制权限的访问控制票据.
2.6 应用程序接口
给不同的应用系统使用统一的接口模块的机制使得各应用系统的统一认证得以实现.将应用系统的认证模块修改为使用LDAP接口的程序,并且对接口实现的增减用户、查询用户、修改帐号和密码等多种功能应用,这些功能就是分别对应LDAP中的add,delete,search和modify等功能模型[7].
设计采用的是面向对象的Java语言,设计过程中根据不同功能,分解设计各个构件,对功能的模块化设计保证了使用过程中可以根据具体需要调用相应的应用程序,易于扩展的优点非常鲜明.此外还具有以下两个特点:①应用程序接口丰富的功能,能够满足各应用系统方便快捷的访问LADP服务器中的信息.②程序之间耦合度很低,并且各自都能实现各自的功能,就算程序中的某一个功能发生变化,对其他部分的影响也是微乎其微.
2.7 Web信息服务
Web服务是近年来发展的一个热点,原因在于Web服务具有良好的数据互操作性、扩展性和松散耦合性,为资源共享与协同工作提供和很好的服务,保证不同机器之间可以进行操作交互.
系统中对用户采取分级管理的方式,不同的用户具有不同的权限.主要有以下三种用户:①系统管理员:负责维护和管理整个统一认证系统,具有最高权限.②用户管理员:负责维护和管理各种用户信息.③普通用户:只能修改自己的基本信息.本系统采用统一用户管理的逻辑结构及分布式实施模式的物理结构.整个信息服务系统整体分为三个层次为表现层、应用层和数据层.
2.8 不同架构的应用系统支持情况分析
目前所有的应用系统都是基于B/S或者C/S架构来实现的,C/S和B/S各有优势,C/S的强项是在图形的表现能力上以及运行的速度上比B/S要好,缺点是它不能跨平台使用而且还需要在计算机上安装运行匹配的客户端.而B/S模式是基于网页语言的,与操作系统无关,所以可以跨平台使用是它最大的优势.而且使用非常方便,只要运行浏览器就可以使用.将B/S与C/S的优势完美地结合起来是未来的发展趋势,新技术下开发的应用系统将会同时兼顾两种架构的所有优点,变得更加完美.
3 结 论
在研究和分析了LDAP技术及其体系结构,轻量目录访问协议的树形存储结构适用于高校的数字校园的结构,为高校数字校园中大量的信息提供的存储基础.其快速响应大容量查询和分布式复制信息的特性,解决了目前数字校园环境下的主要问题,保证了单点登录系统的可扩展性、可靠性和伸缩性.解决了用户资源的分散性,将分散在不同平台,不同架构的各种应用的用户资源统一管理.应用LDAP协议设计的统一身份认证系统,完成了认证和授权的过程,具有管理方便、安全可靠、扩展性好等特点.
[1] 姚培福.复杂异构应用环境下的单点登录设计与实现[J].福建电脑,2012(9):112.YAO Pei-fu.Design and Implementation of Single Sign on in Complex and Heterogeneous Application Environment[J].Fujian Computer,2012(9):112.(in Chinese)
[2] 刘易,孙曙辉.数字化校园的统一管理认证平台研究[J].电脑知识与技术,2014,10(25):5837.LIU Yi,SUN Shu-hui.Research on Unified Management Authentication Platform in Digital Campus[J].Computer Knowledge and Technology,2014,10(25):5837.(in Chinese)
[3] 贺玉明,李晋宏,唐辉.LDAP在数字校园统一身份认证系统中的应用[J].计算机技术与发展,2011,21(5):139.HE Yu-ming,LI Jin-hong,TANG Hui.Application of LDAP in Uniform Identity Authentication System in Digital Campus[J].Computer Technology and Development,2011,21(5):139.(in Chinese)
[4] 李翔,晁爱农,刘孟强.LDAP的研究及其在统一身份认证 系 统 中 的 应 用 [J].计 算 机 应 用,2008,28(S1):98.LI Xiang,CHAO Ai-nong,LIU Meng-qiang.Research on LDAP and Its Application in Unified Identity Au-thentication System[J].Journal of Computer Applications,2008,28(S1):98.(in Chinese)
[5] 沈斌,史鸣杰.统一身份认证平台的设计[J].南京师范大学学报:工程技术版,2004,4(2):73.SHEN Bin,SHI Ming-jie.Design of Unified Identity Authentication Platform[J].Journal of Nanjing Normal University:Engineering and Technology Edition,2004,4(2):73.(in Chinese)
[6] 毕建新,张照余.基于协同理论的高校电子文件管理模式研究——以东南大学为例[J].档案学研究,2013(5):42.BI Jian-xin,ZHANG Zhao-yu.Research on Management Mode of Electronic Documents in Colleges and Universities Based on Synergetic Theory—Taking Southeast University as an example[J].Archives Science Study,2013(5):42.(in Chinese)
[7] 单剑锋,马德锦.常用Web服务技术研究[J].计算机技术与发展,2013,23(6):253.SHAN Jian-feng,MA De-jin.Research on Common Web Service Technology[J].Computer Technology and Development,2013,23(6):253.(in Chinese)
