校園網中用戶統一身份認證技術的研究

王靜

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

校園網中用戶統一身份認證技術的研究

王靜

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

從統一身份認證的設計角度出發，提出了一個基于LDAP的統一身份認證的實現框架，實現對用戶進行統一管理、統一認證和統一授權.

統一身份認證；LDAP；目錄；目錄服務

隨著網絡和信息技術的發展，學校內很多部門相繼開發自己的網絡應用系統以提高工作效率.校園網應用系統涉及廣泛，包括辦公自動化服務、一卡通服務、郵件服務等多種應用.應用系統都有一套自己的用戶管理方案，用戶在轉換系統時不得不重新輸入用戶名和密碼，這不僅繁瑣并且容易出現口令丟失，而且還增加了用戶帳號泄密的危險，降低了系統的安全性.系統管理員又要維護這些系統中重復的帳戶，從而增加了工作負擔.

校園網的統一身份認證系統將這些應用的獨立認證系統進行整合，使不同應用在統一的用戶資料基礎上進行統一身份認證.目錄和LDAP技術在存儲、查詢數據時有很高的執行效率，可以利用LDAP構建復雜的分布式目錄結構，在目錄中存儲各種類型的數據，并提供基于這些目錄的高效訪問.

1 系統的設計目標

(1)統一的用戶認證機制，支持單點登錄.用戶登錄所有應用系統都使用唯一的用戶名和口令(或數字證書)；所有應用系統都使用一致的登錄操作；訪問多個系統時，只需要登錄一次.

(2)提供統一、集中、有效的用戶管理.盡可能利用現有系統的身份認證模塊以及現有的用戶設置和權限設置，減少重新進行用戶設置和權限設置的費用，避免對現有系統進行大規模的修改；具有良好的擴展性和可集成性.

(3)設計成獨立的服務，具有方便的第三方開發接口.

(4)具有良好的平臺兼容性.統一身份認證系統由于要和各種應用系統集成才能為其提供服務，而各應用系統可能運行在多種操作系統平臺之上，使用不同的數據庫系統.因此，統一身份認證應該屏蔽各應用系統的平臺差異，能夠為各種應用系統提供一致的認證服務.

(5)高度的安全性.一方面，認證服務本身的功能性質，要求系統注意杜絕漏洞和隱患的存在.另外，有些應用系統（如安全郵件）的特點更加突出了安全性在系統設計開發中的地位.應采取一定措施，使得信息的生成，存儲和傳遞等各個環節，都處在有效的安全保障之中.

(6)可集成性.對于遺留的應用系統，提供認證結果自動向應用系統的認證模塊進行傳遞.能夠盡可能地利用現有系統的身份認證模塊及現有的用戶設置和權限設置，避免對遺留系統進行大規模的修改.

(7)擴展性.當有新的應用被部署或開發的時候，這個統一身份認證服務還可以作為其身份認證模塊的形式工作，自動生成授權結果傳遞給應用系統的授權執行模塊.

(8)易操作性.方便管理員對安全信息管理配置.

2 基于LDAP的統一認證模型

把目錄服務器作為存儲各應用服務器用戶信息的數據庫，開發使用LDAP進行身份認證的功能模塊，實現不同應用服務器的用戶身份認證的多證合一，即同一用戶使用唯一的帳戶和密碼就可以訪問不同的服務.使用目錄服務器來進行身份認證具有管理方便、安全可靠、可擴展性好等優點.其認證模型如圖1所示.

3 統一身份認證系統的工作原理

使用統一身份認證平臺來接管各個應用中的認模塊，從而將原先獨立的應用系統有機地整合在一起.對于用戶而言，只要登錄統一身份認證服務后，即可使用所有支持統一身份認證服務的應用系統.客戶端登錄流程如圖2所示.

客戶端用戶登錄子系統提供完整的單點登錄支持，用戶輸入身份認證信息，系統接收到信息后，由統一驗證服務來驗證該信息，驗證成功接受用戶的訪問；若驗證失敗，則提示用戶是否進行重新的驗證.用戶只登錄一次，就可以使用同一使用者憑證，在平臺上的各資源子系統中按授予的權限訪問網絡資源，用戶不會因為訪問不同資源子系統的資源而被要求多次登錄.

4 統一身份認證系統的結構

統一身份認證系統設計的主要思想是應用目錄服務集中存儲用戶的信息和各個應用系統的信息，然后通過統一身份認證服務實現對用戶的集中管理、集中認證和統一授權.系統結構如圖3所示.

系統主要包括三個部分：

(1)用戶的認證

為了在校園網中實現基于用戶的網絡管理，要求所有用戶在使用網絡資源以前要先登錄認證服務器以確認身份.之后，將用戶的身份和他所使用的IP地址和MAC地址綁定，以解決IP地址盜用的問題，同時實現基于用戶的記費等管理.用戶登錄應用系統申請服務時，提供一個由統一身份認證系統發給的身份認證令牌，由應用系統將這個認證令牌交給統一身份認證服務器進行認證，確認用戶身份后應用系統根據用戶的組別授予用戶相應的訪問權限.

(2)用戶的集中管理

在學校里，每個人都有自己的一個身份，它是由學校相應的管理部門負責維護和管理的.各個管理部門有自己的一套數據庫系統維護著相應的資料.作為網絡管理部門，進行用戶的身份的集中管理，主要的任務就是實現用戶的真實身份到用戶的電子身份的一個映射，確保每個校園網的用戶得到一個和他的真實身份相對應的電子身份，并享有和他的身份相對應的網絡使用權限.因此，用戶集中管理部分的設計重點在于實現和現有用戶管理系統之間的信息交互，實現異構數據庫之間的數據交流.

(3)應用系統注冊

在校園網中，某個應用系統總是設計給校園中特定的用戶群使用的.每個應用系統要使用統一身份認證模式，它必須先向統一身份認證系統進行注冊，通過登錄系統注冊的Web界面，填寫相應的表單，提供必須的信息，包括應用系統的身份信息、應用系統所有合法用戶的信息、應用系統的訪問控制信息、應用資源的訪問控制信息等.

5 統一身份認證系統的實現

系統主要實現三個功能模塊：統一認證和授權、用戶資料管理和應用系統的注冊.各個功能模塊相對獨立，可以分別實現.

5.1 統一認證和授權模塊

系統的主要功能就是實現用戶的統一認證和授權，用戶登錄統一身份認證后即可使用所有支持統一身份認證服務的應用系統.

基于請求/應答模式的認證機制在實現上比較簡單，并且可以反映用戶的在線狀態，防止地址盜用，有利于實現校園網網絡管理中基于用戶的管理機制.但是這種模式只適用于對用戶的登錄認證，為了將它應用于其它應用系統的統一認證過程，可以結合Kerberos協議對其進行擴展.身份認證一般是和授權控制相結合的，授權控制就是一旦用戶的身份通過認證后，確定哪些資源是該用戶可以訪問的、該用戶對資源的訪問權限操作等.認證的目的就是為了給用戶授權.結合校園網的實際情況，系統中可采用基于角色的訪問控制策略.

授權策略的具體實現是，應用系統根據用戶權限不同將合法用戶分為若干組，應用系統根據用戶的身份信息決定用戶屬于哪個用戶組別.應用系統注冊后將其用戶組信息存儲在目錄數據庫中，應用系統要求統一身份認證系統認證用戶身份信息時，統一身份認證系統根據用戶身份查找用戶在應用系統所屬的用戶組，并將該信息返回給應用系統，應用系統根據用戶所屬組別決定用戶權限.

5.2 用戶資料管理模塊

該模塊主要實現對于用戶資料的統一管理.為了保證用戶的電子身份和他在校園內真實身份的映射，該模塊應具有接收來自不同部門的用戶信息、并將其保存到目錄數據庫中的功能.信息的交互主要通過SOAP消息傳遞實現.

對于校園網的應用來說，用戶資料來自不同的管理部門，而各管理部門往往有他們自己的數據庫管理系統來管理這些數據.怎么把這些數據導入統一身份系統是本模塊要解決的主要問題.實現異構數據庫在目錄數據庫的數據傳遞，我們用XML文件作為數據傳遞的中間介質，通過SOAP消息實現傳遞.

對于個別用戶信息的維護，可以采用SOAP的遠程調用機制，在統一認證服務的用戶管理模塊中提供相應的SOAP服務，如更改用戶信息的服務、刪除用戶服務等.對于需要大批增加數據的情況，可采用異步消息機制.SOAP提供了這樣的一種異步的消息傳遞模式，客戶端發送信息后，并不等待服務端的即時響應，可以批量的傳遞數據，提高效率.

5.3 應用系統注冊模塊

統一身份認證集成平臺中，我們需要先實現各個應用系統在認證系統中的注冊.應用系統的注冊通過登錄系統注冊的WEB界面，填寫相應的表單，提供必要的信息完成.應用系統需提供的信息包括：

(1)應用系統的名稱.

(2)應用系統的路徑.

(3)應用系統的標識，與其它系統區別，必須唯一.

(4)應用系統的描述.

(5)應用系統管理員信息，包括帳號和口令等.應用系統管理員以后可以用該帳號登錄管理該應用系統信息.

統一身份認證系統接收應用系統注冊信息后完成下列工作：

(1)在目錄樹中增加該應用系統的節點.

(2)增加該應用系統管理員信息.

(3)設定應用系統節點訪問控制信息.

(4)將應用系統標識作為目錄樹中該條目的DN.

6 結論

本文從統一身份認證的設計角度出發，提出了一個基于LDAP的統一身份認證的實現框架，實現對用戶進行統一管理、統一認證和統一授權.運用XML和SOAP技術實現對異構數據庫中的用戶數據的集中管理和數據交換，通過應用系統注冊模塊簡化了應用系統的集成過程.

統一身份認證是實現網絡安全、基于策略管理、控制用戶訪問網絡資源的基礎.隨著校園網的各種應用的發展，校園網統一身份認證技術會有很好的發展前景，是數字化校園的基礎.

〔1〕柴曉路,梁宇奇.WebServices技術架構和應用[M].北京:電子工業出版社,2003：79-92,173-183,201-215.

〔2〕李安逾.Web Services技術與實現[M].國防工業出版社,2003.

〔3〕陳莉,楊貫中.LDAP的研究與在校園網統一身份認證中的應用 [J].株洲師范高等專科學校學報,2004,9(2):48-50.

〔4〕潘利群，胡波.基于目錄服務實現校園網統一身份認證.武漢理工大學學報·信息與管理工程版，2005（4）.

TP393.18

A

1673-260X（2010）02-0047-03