基于轻量目录访问协议技术的校园网统一身份认证的设计与实现
2020-10-21赵亚辉夏依旦·阿布拉阿孜古丽·阿布拉
赵亚辉 夏依旦·阿布拉 阿孜古丽·阿布拉
摘 要:现如今随着我国高校校园网基础设施的快速建设和不断升级,校园网的应用也得到了快速的普及,为了能够更好的保障每个应用系统之间用户数据具有着一致性和简单的操作性,急需要对校园网对统一身份认证体系的支持,所以在本文中,主要对根据轻量目录访问协议技术的校园网统一身份认证的设计和实现做出了全面的分析,在此基础上提出了下文中的一些内容,希望能够给予同行业工作人员提供相应的参考价值。
关键词:轻量目录访问协议技术;校园网;统一身份认证;设计实现
现如今伴随着我国数字化校园网络建设的不断深入,网络信息在高校所扮演的角色已经越来越重要,教务系统以及网络课程和邮件系统等在一定程度上方便了我们的工作以及学习,为了能够保证系统的安全性,每一个系统时需要使用用户名和登录密码,在人们对电脑进行使用的时候,最为普遍的就是需要记住几套不同的用户名以及口令,这也为用户访问的每个系统增加了比较多的麻烦,更加重要的则是随着业务系统的增加,因为系统自身存在着一定的特点,导致其存在着较多的孤岛信息,因此必须要具有统一的管理系统,通过这个系统用户可以更加方便以及快速的对每种授权资源进行访问,使其孤岛信息可以相互的联系到一起,这便是统一身份的认证系统。
1 关于轻量目录访问协议技术概述分析
对于轻量目录访问协议技术(Lightweight Directory Access Protocol)主要是根据X.500标准的,并且也是访问了X.500目录所需要的某一些协议,比如目录的访问协议,但是DAP则需要一些大量的系统资源和支持的机制对这些复杂的协议进行处理,该协议技术仅仅知识通过使用原来的X.500目录存取协议的功能子集,便是可以减少所需要的系统消耗资源,同时也能在一定程度上根据实际的需要进行科学有效的定制。
2 分析統一身份认证系统的结构
对于统一的身份认证系统而言,在结构上通常情况下可以分为三个部分:一是身份鉴别的模块;二是范文控制模块;三是为身份认证元目录。首先用户是可以通过账号以及密码去进行相应的认证和数字签名认证等方式去登录到统一的身份认证系统中,对其自身的身份进行鉴别,然而身份鉴别模块则可以有效的访问身份原目录,将用户所提交的信息以及用户目录中所存储的信息作出相应的检验,如果是否,那么将会直接的返回失败的信息,如果验证成功了,那么是可以直接的进入到访问控制模块中,同时访问控制模块也是需要对身份认证和原目录进行验证,根据其用户目录之中所存储的信息执行有关的措施,同时对相关的权限作出合理分配,这样用户可以更加方便的对统一身份认证系统进行相应的访问,同时也还能在一定程度上应用系统以及相关的网络服务,并不需要再一次的进行验证。
在此之外对于技术方面而言,主要是可以采用Portal门户作为其数字化校园的入口,合理的应用客户端的浏览器便可以需要对所有的服务进行访问。然而Portal的信息平台服务器主要是负责校园之中的服务信息进行掌握,也是集成了院校网中每一个服务器向信息平台服务器所提供出来的入口,同时也是可以提供出页面以及服务器的定制功能,在轻量目录访问协议技术之中对用户的相关认证以及授权的信息作出读取,在进行认证之后可以为用户分配相应的角色令牌,用户得到操作令牌之后,通过此协议技术根据其所持有的凭证和需要进行访问的模块作出相互交换,同时将所用使用到的信息可以展示到页面上。
3 关于统一身份认证系统的实现分析
这点主要是将其公共数据库系统前的单个开发主要应用系统集成问题进行解决,并且已经是运行的几个应用系统主要是包括图书馆管理系统以及一卡通管理系统等。在学校中,应用最为广泛的一个系统便是为一卡通管理系统,其中主要是包括了就餐系统以及考勤系统和挂失解挂系统等。该系统主要是采用了Microsoft.net的架构,前段的服务程序则是应用了IIS6.0+ASP.net的一种方式,然而后段则是采用了Oracle的数据库对卡的各种信息进行存储,其中认证的方式主要是应用教师的工号以及学生的学号,为了能够在一定程度上可以和现有的系统作出集成,可以建立起公共数据库路到一卡通的系统单点进行登录,也是可以让用户通过公共数据库的访问协议技术进行认证之后,仅仅只需点击一卡通的系统超链接便是可以直接的入到该系统中。为了可以实现这个目的,可以在一卡通系统的服务器上安装SUN Portal Identity Server的Agent,可以通过Agent去负责一些公共数据库的Identity Server进行交互,使其一卡通的系统信任可以从公共数据库逐渐 转过来查询需要,这点也是通过以下方面进行实现的,通过将工号或者是学号的文明和加密的密文以及时间戳直接的传输到一卡通的系统中,这个时候一卡通号进行对比,如果匹配是成果了,那么便是认为该请求是合法的请求,这个时候通过Web的服务器通过调用有关接口,返回到一个合适的界面内,同时将其嵌入到公共数据库的Portal的页面中,在这个时候,时间戳的作用就是能够避免一些重放攻击,如果用户不是从公共数据库的主要接口进入到校一卡通网站,那么需要加入以下方面:需要在一卡通的主页上输入相应的工号或者学号及密码,这样才可以进入到一卡通系统中,为了可以让一卡通系统的密码公共数据库密码得到统一,必须要到公共认证中心进行相应的认证,想要对这个想法进行实现,便是开发了组件LdapAuth,同时一卡通的Web服务器主要是通过对该组件进行调用,直接验证用户以及密码是否合理,如果是通过了验证,那么可以进行相关操作,这时会把用户的密码采用Md5进行散列,同时也会在本地的系统中进行保存,方便在认证中出现问题的过程中,用户能够顺利进行登录,然而就业管理系统以及图书管理系统的实施细节和一卡通系统是类似的。
4 安全性的讨论分析
针对于上述系统到LDAP的认证中心进行认证,基本上都是根据明文式的方式所进行的,如果仅仅需要获得安全性,在每个应用系统的认证接口上采取SSUTLS能够实现加密的认证,但是如果发现认证的用户数量比较大,那么对这些信息进行加密可能会占用到系统的一些资源。
5 总结
通过对上述内容进行分析得出,所建立起来对统一身份认证体系,网络用户在此基础上仅仅只需要维护一套用户名和密码便可以使用学校的每个系统,对用户的使用带来了一定的方便。此外,用户的密码丢失之后仅仅只需要到网络信息中进行更换便可以,不需要向原来一样进行修改,导致密码修改出现错误。
参考文献:
[1]王砚瀚,叶本青.漫谈基于LDAP的校园网统一身份认证系统设计[J].信息记录材料,2017,18(04):85-86.
[2]李莉.基于CAS的校园统一身份认证系统的设计与实现[J].微型电脑应用,2016,32(10):198-199.
[3]夏建兵,廖大强.基于LDAP的校园网统一身份认证系统的设计[J].现代计算机,2013,99(09):198-199.
[4]杨洪雪,詹晓东.基于LDAP统一认证的校园网盘系统设计与实现[J].实验技术与管理,2013,30(01):105-107+118.
课题:本文为2018年度新疆维吾尔医学专科学校校级社科类课题结题成果,《基于CAS部署我校认证服务器技术实现研究》(课题编号:2018XK0022)