范义山

【摘要】基于校园网的应用系统越来越多，在没有统一身份管理的情况下，用户体验很差，管理难度也很大，迫切需要建设统一身份认证平台。本文介绍了数字化校园建设中有关身份认证的一些现状，分析了统一身份认证平台的技术架构和认证流程。

【关键词】数字化校园 统一身份认证 LDAP

【中图分类号】TP393.18 【文献标识码】A 【文章编号】2095-3089（2015）19-0234-02

1 数字化校园建设的一些现状

随着高校IT应用的迅速发展，基于校园网的应用系统越来越多，在没有统一身份管理的情况下，不同的系统需要各自维护用户信息。用户如需访问多个系统，不仅要面对多个登录界面，还要记忆不同的用户名和口令。这样一种各自为政、管理松散的用户管理模式，不仅影响用户的使用效率，还使系统管理员的管理难度越来越大。除此之外信息和资源还无法实现高效共享，数据无法实时更新，造成信息的重复管理。随着应用系统的不断增多，以上问题将会更加严重，管理更加困难，这些都迫切需要统一身份认证系统的支持，以适应数字化校园的发展趋势。

统一身份认证系统集中存储用户信息，实行统一认证、统一授权和集中管理。终端用户在通过统一身份认证中心的验证后，就可以登录到任何已经接人统一身份认证中心的、其有权限访问的应用系统，极大地方便用户使用，提高系统的易用性，提升用户体验，减少应用系统的开发和维护成本。

2 统一身份认证平台技术架构

统一身份认证平台包含四大逻辑组成部分：数据存储、用户身份管理、用户认证和对外服务，其技术架构如图所示。

（1）身份管理

身份管理用于实现认证服务的管理与监控，主要使用者是学校信息技术中心管理员。该功能旨在提供一个功能全面且易用的身份管理平台，使管理员能够管理全校的身份数据及其权限关系，掌握全校身份数据的管理状态和使用状态，审计全校身份数据管理和使用的问题，监控身份管理平台各系统服务的运作状态。身份管理功能主要包括概况、账号、认证、授权、审计、监控和系统功能等功能模块。

概况模块用于展现当前身份管理平台内一些重要的状态数据，让管理员对当前系统的运行状态一目了然，便于管理员及时发现问题和异常。

账号模块用于完成全校身份账号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。其中用户数据采集可以采用以下方式：

① 使用公共数据平台从学校数据中心学生库和教师库自动抽取用户身份数据，并加以归纳和整理后同步到身份管理平台的身份数据库。

② 通过身份管理平台用户管理程序进行用户数据管理。

认证模块用于管理全校已经集成的所有应用系统，每个集成的应用系统均需要一个认证应用账号来进行身份认证集成和单点登录集成。全校已经集成的应用系统在此功能中将一目了然。

（2）数据存储

统一身份认证平台中数据存储有两种类型，即LDAP数据库和关系数据库。

LDAP数据库用以存储用户完整的账号信息（含密码），主要用于身份认证服务。LDAP中的账号数据均采用单向加密的方式存储，因此不可能被明文读出。LDAP支持目录数据的多主复制，能够在多个目录服务器之间进行实时数据同步。

关系型数据库存储所有用户的身份信息（不存储密码）、系统运行的所有日志数据、系统运行所需要的所有配置数据，目的在于提供灵活高效的身份管理功能。

（3）身份认证

身份认证功能是统一身份认证平台的核心功能，用于对学生、教师和其他人员的数字化身份的登录验证，创建并维护用户的单点登录回话。

LDAP认证方式是统一身份认证系统提供的缺省认证方式。使用LDAP认证方式，用户名与口令是存储在指定的LDAP目录中。当一个用户登录时，提供的用户名与口令若与该LDAP目录指定子树中某一个用户记录的用户名与口令相同，则认证成功，登录者具有LDAP目录中该用户记录对应的身份。

（4）对外服务

①集成接口

集成接口的主要使用者为被保护的应用系统，其主要目的是提供统一身份认证和单点登录功能的API供应用系统调用，从而使各个应用系统实现统一身份认证和单点登录。集成接口分认证接口和LDAP接口这两类。

认证接口基于ICE技术，它为外部应用访问统一身份认证平台提供了高可用性和跨平台的远程调用接口和通道。通过认证接口可以获得用户身份认证、用户身份数据提取、单点登录服务，同时可以获得认证服务负载均衡的能力。

LDAP接口基于JNDI，直接通过LDAP协议实现对应用系统的认证支持，实现用户名密码校验、用户属性信息获取等功能，能够满足短时间内上万人次的认证，并具有高稳定性，特别适用于高并发认证型应用的集成需求，比如选课系统。

②个人自助服务

个人自助服务面向校内的最终用户，包括所有学生、教师和工作人员。主要用于用户对自己账号信息和密码信息的维护、密码找回、查询自己的账号的使用信息和维护信息等。

3 系统认证流程

（1）用户第一次访问某应用系统，并在应用系统登陆界面登陆。

（2）应用系统不对用户的登录信息进行认证，而是将取得的登录信息采用加密方式或明文方式打包送到统一身份认证中心。

（3）用户第一次访问某应用系统，若不在应用系统登陆，会被引导至认证系统中进行登录。

（4）根据用户提供的登录信息，认证系统进行身份验证（用户名和口令与LDAP目录中指定子树中某一个用户记录的用户名与口令比对），如果通过验证，返回给用户一个认证令牌（token），用户就可以进行随后所需要的操作，否则系统将拒绝用户的登录或提示用户重新输入账户信息和密码。

（5）用户再访问别的应用的时候就会将这个认证令牌带上，作为自己认证的依据，应用系统接受到请求之后会把认证令牌送到认证系统进行验证，检查认证令牌的合法性，如果通过验证，用户就可以在不用再次登录的情况下访问其它应用系统了。

4 结语

统一身份认证平台的设计思想就是将机构、用户信息统一存储，对应用系统统一授权，规范应用系统的用户认证方式。实践结果表明：统一身份认证平台在为用户提供极大方便的同时，也使对用户的统一集中管理得到了实现，并且使应用系统的可靠性和安全性得到了很大的提高。

参考文献

[1]陈兵数字化校园中统一身份认证平台的实现《科技风》2012年第22期