學校網絡統一身份認證系統設計

摘 要：隨著計算機技術和網絡技術在校園中的普及，校園中建立了多種應用系統，來實現對人員的管理、信息的管理，提供各種信息服務。但是，由于各個系統豐管部門不同、面向對象不同、對學校影響的緊迫程度不同，各個系統是分步建成的，并不是統一規劃的。各個系統建立的時間不同，在提供應用的廠商不同，各個系統之間大都互相獨立，缺乏一個統一的登錄入口。本文可以設計一個統一認證的系統，通過單點登錄來實現對各個應用系統的訪問和使用。此系統是基于PKI的校園網身份認證系統。

關鍵詞：校園網； 統一身份認證

統一認證系統是學校各個應用系統的對外窗口，是整個校園網絡應用的門戶。它為校園網絡各個應用系統提供一個統一的認證入口，將用戶在不同應用系統中設置的多個口令相統一，為實現統一用戶管理、將來建立統一信息集成系統打下良好的基礎。統一用戶認證設計的功能和目標為：設計一套全校統一的用戶認證系統，為各個應用系統提供用戶身份認證的功能。這個系統需要實現校園網絡的單點登錄，用戶通過了認證后就可以直接訪問學校的應用系統。系統中認證及漫游支撐系統必須穩定、可靠、安全、高效，特別是安全問題應該著重考慮。

系統設計：單點登錄系統采用基于數字證書的加密和數字簽名技術，對用戶實行集中統一的鈴理和身份認證，并作為各應用系統的統一登錄入口。單點登錄系統在提高系統安全性、降低管理成本方面有突出作用，不僅規避密碼安全風險，還簡化用戶認證的相關應用操作。校園網PKI系統是建立數字校園的堅實基礎，建立適用于校園網的PKI系統模型，必須充分考慮校園網的特殊環境：1.通過實施單點登錄功能，使用戶只需一次登錄就可以根據相關的規則去訪問不同的應用系統，提高信息系統的易用性、安全性、穩定性；2.在此基礎上進一步實現用戶在異構系統統一身份認證功能；3.實現提供對校園內無線WAP接入和無線射頻譬接入的統一認證支持；4.采用LDAP無縫集成現有的應用系統的統一用戶數據庫作為SSO應用軟件系統的用戶數據庫。

系統模塊設計與實現之UIDP服務器的設計：用戶授權的基礎是對用戶的統一管理，對于在用戶信息庫中新注冊的用戶，通過自動授權或手工授權方式，為用戶分配角色、對應用系統的訪問權限、應用系統操作權限，完成對用戶的授權。如果用戶在用戶信息庫中被刪除，則其相應的授權信息也將被刪除。完整的用戶授權流程如下：1.用戶信息統一管理，包括了用戶的注冊、用戶信息變更、用戶注銷；2.權限管理系統自動獲取新增用戶信息，并根據設置自動分配默認權限和用戶角色；3.用戶管理員可以基于角色調整用戶授權或直接調整單個用戶的授權；4.授權信息記錄到用戶屬性證書或用戶信息庫中；5.用戶登錄到應用系統，由身份認證系統檢驗用戶的權限信息并返回給應用系統，滿足應用系統的權限要求可以進行操作，否則拒絕操作；用戶的授權信息和操作信息均被記錄到日志中，可以形成完整的用戶授權表、用戶訪問統計表。

用戶信息庫數據結構設計：定義統一用戶管理系統用戶數據庫中關于用戶信息部分的主要數據結構，以便了解統一認證系統所能夠提供的用戶信息。用戶信息庫包含以下內容：

證書認證服務器結構設計：安全認證中心基礎設施與數字證書服務受理服務器組成如下：

1.CA管理中心：CA管理中心是系統的核心，其在安全環境中產生用于數字簽名的RSA公鑰對，然后產生自簽名的數字證書，負責為RA操作員、RA服務器、cA管理員簽發數字證書，同時接受來自RA服務器發送來的終端實體數字證書的請求，為終端實體簽發數字證書。在校園PKI系統中，CA認證中心主要由學校的網絡信息中心進行維護和運行?；谇拔膶缙脚_需求的研究，CA管理中心為內網服務器提供基于SAML的WebService認證機制，確保正確響應跨平臺跨系統的應用系統的認證請求。2.數字證書服務受理服務器：CA網站是CA與用戶溝通的橋梁，CA網站采用Web服務器，為用戶提供網上申請證書、下載證書、掛失證書等服務。3.審核機構RA：審核機構RA在校園PKI體系結構中起承上啟下的作用。RA服務器根據用戶提交的表單信息，產生標準格式的證書請求，通過SSL安全信道將此標準格式的證書請求傳送至CA服務器然后對用戶頒發證書。在校園PKI系統中，RA的維護和運行也由學校網絡信息中心負責，并通過RA服務器和RA操作員連接。4.數據中心：數據中心是證書的存放地，提供根證書實體數字證書和CDL的檢索與下載服務，用戶可以通過訪問數據中心獲取自己或他人以及CA的數字證書以及CRL。5.CA操作員：通過SSL安全信道實現對CA服務器進行全面的配置管理和操作審計功能。CA操作員由學校網絡信息中心安排并分別為其頒發CA操作員證書。6.RA操作員：通過SSL安全信道管理登錄RA。負責驗證終端實體的證書請求，如果驗證成功，直接將此證書請求發送給CA服務器。RA操作員由各院系團支書擔任，負責相關的本院系同學的驗證工作。其中各角色的用例圖設計如下：

數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。本證書采用X509v3標準，證書中附帶用戶在各

個應用系統中授予的權限。各應用系統可以直接根據證書中的授權提供給用戶響應的服務。其各個CA中心頒發的數字證書結構如下：

本文以統一身份認證服務為中心，通過對PKI和統一認證技術的學習，針對現在校園網絡中多個應用系統并行、多種接入方式并存的情況等問題的研究。最后根據對這些問題的分析，設計出了一個基于PKI的校園網身份認證系統。該系統利用PKI體系的非對稱體制，實現了用戶身份的鑒別以及信息傳輸過程中的機密性，完整性和不可否認性。通過實施單點登錄功能，使用戶只需一次登錄就可以根據相關的規則去訪問不同的應用系統，提高信息系統的易用性、安全性、穩定性；進一步實現用戶在異構系統統一身份認證功能；實現提供對校園內無線WAP接入和無線射頻卡接入的統一認證支持；目前各高校多個信息系統并存，將各個系統能夠整合歸一、建立一個學校統一的信息系統，是將來最終建設的目標。本文主要是從理論上進行了論證，從而設計出學校網絡統一身份認證系統。

參考文獻

[1]史偉奇，張波云，PKi安全性分析，計算機安全，2007.02

[2]唐潔，張月琳，PKI研究以及在數字化校園中的應用，計算機技術與發展，2008.08

[3]朱興榮，數字校園PKI/CA認證體系的規劃和建設，網絡通訊及安全，2007.04

[4]吳向東，構建基于PKI高校校園網身份認證系統，通信技術，2009.06

[5]聶維，高校校園I網PKI系統模型研究與分析，福建電腦，2008.10

[6于華、蔡海濱，基于LDAP和PKI的Intranet統一身份認證系統研究，計算機工程與設計，2006.05

作者簡介

周思吉，男，（1986—），漢族，四川達州人，四川文理學院計算機科學系，助教