基于LDAP的高校數字化校園統一身份認證集成實施方案

黃秀芳，王 海

(1.江蘇科技大學校辦，江蘇鎮江212003)

(2.南京郵電大學信息化建設與管理辦公室，江蘇南京211100)

基于LDAP的高校數字化校園統一身份認證集成實施方案

黃秀芳1，王 海2

(1.江蘇科技大學校辦，江蘇鎮江212003)

(2.南京郵電大學信息化建設與管理辦公室，江蘇南京211100)

隨著高校信息化建設的不斷發展，統一身份認證平臺可實現單點登錄，從而提高了整個信息系統的安全性和用戶的工作效率.文中就統一身份認證平臺架構及其集成方式展開了研究，根據統一身份認證平臺的特點，提出了基于LDAP的校園統一身份認證架構方案;研究了統一身份認證平臺集成體系，分析集成方式和集成原理，提出了統一身份認證集成的實施方案.該實施方案有效實現了對校園網中用戶的統一身份管理和統一身份認證.

信息化建設;單點登錄;校園網;身份管理

隨著信息技術的發展，各個高校都高度重視信息化建設工作，校園數字化網絡建設已初具規模，各個業務部門也已經建設了相當數量的以人、財、物為管理核心的業務系統.然而，由于業務系統建設的參差不齊又帶來了信息安全威脅、信息孤島以及管理責權不清等難題，所以，現在的信息化校園建設已由原來的網絡基礎建設和部分孤立應用系統的構建，逐漸向集成的全局信息系統建設方向轉變［1-3］.

在多系統并存的情況下，校園網內每個用戶擁有多個密碼，用戶需要逐一登錄自己所要使用的應用系統，使得用戶使用不便，存在安全隱患.同時，用戶的信息分散存儲于各個應用系統中，這也為應用系統的管理和維護增加了麻煩，導致工作效率低下.因此，需要在多應用系統并存的情況下，實現應用系統間的用戶統一認證和信息共享具有現實意義［4-6］.

隨著IT應用的迅速發展，各種業務系統數量和用戶數量在不斷增加，網絡規模也逐日擴大，訪問控制和信息安全問題愈見突出，原有分散的獨立認證、獨立授權、獨立賬號管理的模式已經不能滿足目前及未來發展的要求［7-8］.輕量目錄訪問協議(lightweight directory access protocol，LDAP)是關于從目錄中創建、訪問、移除對象和數據的一種IETF協議.LDAP提供了搜索、比較、添加、刪除、修改目錄對象以及修改對象名的功能;同時LDAP也支持會話綁定、解綁定以及丟棄等操作［9-10］.因此，文中基于LDAP，提出了構建完整統一、高效穩定、安全可靠的集中身份管理和身份認證的平臺集成實施方案，以提高信息應用系統的使用和管理效率.

1 高校統一身份認證平臺的特點及架構方案

1.1 統一身份認證平臺特點

高校統一身份認證平臺具有以下幾個特點.

1)標準化:高校統一身份認證平臺以國際上流行的單點登錄認證解決方案為基礎開發，符合行業標準，具有很好的開放性，支持不同的應用服務器環境和不同的開發語言的認證集成.

2)高穩定性:成熟的目錄服務器技術，支持雙機備份，可實現遠程災備的部署要求.

3)海量用戶數據存儲:統一身份認證平臺所管理的用戶數據量龐大，并將逐年快速增長，離校用戶將作為校友長期保存，需集中有效地存儲管理用戶身份信息，便于長期使用以及服務推送.

4)簡單易用性:統一身份認證平臺需建立集中安全的策略存儲、管理、設置.不僅要提供用戶賬號維護，還要提供便捷的批量操作功能以及與業務系統數據庫賬號同步的功能，更為關鍵的是需要提供自助功能以及監控管理功能.

1.2 統一身份認證平臺架構方案

基于以上特點，高校統一身份認證平臺的總體架構如圖1.

圖1 高校統一身份認證平臺的總體架構Fig.1 General framework of the campus unified identity authentication platform

高校統一身份認證平臺主要分為4個部分，分別是對外服務、身份管理、平臺基礎服務和數據存儲，以下對每個部分分別進行簡單介紹.

1)對外服務:又稱使用層，主要是為第三方業務系統提供集成接口服務，以及為個人用戶提供自助服務.

2)身份管理:又稱管理維護層，主要實現統一身份認證平臺的賬號管理、認證管理、審計管理、授權管理、監控管理服務.

3)平臺基礎服務:主要描述了平臺的基礎組成單元，包括任務調度、密碼策略，系統管理、監控設置等功能模塊.

4)數據存儲:統一身份認證平臺的數據存儲在LDAP數據庫中，對于一些需要同步交換的數據則需要存儲在oracle，sql之類的關系型數據庫上.

2 統一身份認證平臺集成體系

2.1 集成方式

將高校的各個業務系統與身份管理平臺連接，通過身份管理平臺實現用戶身份認證和單點登錄功能.這個過程即各個應用系統與身份管理平臺的集成，主要包括以下幾種集成方式.

2.1.1 認證接口

這是各個應用系統與身份管理平臺集成的最主要的方式.各應用將認證接口的客戶端部署在各自的系統上，替換自身原有獨立的身份認證功能，通過身份管理平臺實現身份認證和單點登錄過程.該接口目前涵蓋的類型主要包括JAVA，COM，PHP和C語言等，適合于不同語言和平臺的應用程序.目前高校統一身份認證集成主要應用到的認證接口分別為中心認證服務(central authentication service，CAS)接口和金智公司開發的私有認證ICE接口.

2.1.2 LDAP接口

對于選課、選宿舍這樣的高并發應用，使用LDAP接口可以滿足認證的性能需求.該接口直接通過LDAP向應用系統提供認證服務.

2.1.3 門戶偽認證

由于學校內應用系統建設起步比較早，因此會有一部分應用系統無法通過更改代碼來實現集成，甚至用戶的賬號也無法統一至校內的身份管理平臺.對于這種情況，可以通過在門戶內實現偽認證的方法實現應用系統的認證集成.

高校統一身份認證平臺集成方式可以展現為圖2:

圖2 高校統一身份認證平臺集成方式Fig.2 Integration of the campus unified identity authentication platform

2.2 集成原理

高校統一身份認證平臺為第三方提供認證接口、LDAP接口，這兩種接口分別采用不同的集成原理，各接口的使用原理分別介紹如下.

2.2.1 認證接口

認證接口分為CAS中心認證接口和ICE認證接口兩種模式，其集成原理有所不同.

1)CAS中心認證接口:中心認證服務的單點登錄架構由一個CAS Server和多個CAS Client組成.通過CAS認證的用戶將獲得CAS頒發的一個證書，使用這個證書，用戶可以在server端的承認CAS證書的各個系統上自由穿梭訪問，不再需要登錄認證，即實現所謂的單點登錄.

2)ICE認證接口:當用戶訪問認證服務器，通過認證后，認證服務器產生一個單點登錄會話令牌，該令牌記錄著用戶的身份，同時產生一個相關聯的隨機數tokenID，該隨機數發送給用戶的瀏覽器作為一個cookie保存.當用戶登錄到同一個域下的另外一個服務器，這個服務器讀取cookie中的令牌信息，如果讀到此cookie中的身份信息，則認證通過.

2.2.2 LDAP接口

對于高校中的一些高并發的認證型需求，例如教務的選課、上網認證等，可以直接開放LDAP認證目錄接口，應用系統通過其開發語言自帶的或者開源的LDAP連接方法直接連接到目錄服務器進行用戶名、密碼的綁定校驗，由于繞過了AM，所以能夠在短時間內滿足上萬人次的身份校驗.

在高校統一身份認證集成的實施過程中，主要運用認證接口和LDAP認證兩種方式實現，實現流程如下圖3:

圖3 高校統一身份認證集成實現流程Fig.3 Flow chart of the campus unified identity authentication platform

3 統一身份認證集成實施

高校的統一身份認證平臺一般都具備開發好的認證接口，根據第三方應用系統的語言不同，認證接口的編譯方式也不同，認證接口主要支持C語言、JAVA、.net和PHP等幾種語言.下面就高校中各主流語言接口程序包的具體實施以及開發等展開說明.

3.1 Java客戶端部署

將“認證接口ICEClientJavalib”下所有的jar文件拷貝到客戶端應用所在服務器中，并將存放這些jar包的路徑設置到應用的classpath中.

jar包中主要包括:接口語言客戶端程序包和client.properties文件樣例.配置文件密碼加密工具是對配置文件中的口令進行加密的工具.

3.1.2 修改client.properties文件

將client.properties文件拷貝到與jar包相同目錄下，并編輯以下內容

ids.UserName=amadmin(需轉碼加密)

ids.Password=12345678(需轉碼加密)

馱子盯著周小羽，周小羽的眼睛里充滿了水，但他卻咬著嘴唇，硬是沒讓眼淚滴下來。在眼淚沒滴下來的時候，周小羽的嘴巴里終于有了聲音——

IdentityManager.Proxy=IdentityManager:tcpp 20000-h xxx.xxx.xxx.xxx(注意修改IP地址和端口號)

修改成實際應用中的用戶名/密碼，以及服務監聽端口.在部署Client端的時候，要根據需要，配置上面的幾個屬性值.其中在設置ids.UserName和ids.Password字段的時候要進行base64轉碼加密;在設置IdentityManager.Proxy字段的時候，設置的端口以及主機IP要和服務器端的一致.

3.2 Com客戶端部署

3.2.1 拷貝開發包

將“認證接口ICEClientWin32COM”下所有的文件拷貝到客戶端應用所在服務器中的某一個目錄下，目錄名稱要求為英文且全路徑無空格.修改組件所在文件夾下的client.properties文件，按照部署Java客戶端的方法修改其中的參數.

3.2.2 注冊COM組件

運行組件目錄下的Registe或者直接輸入命令regsvr32 idstar.dll進行注冊.可以使用UnRegiste腳本進行反注冊.COM對象接口的ProgID為Idstar.IdentityManager.當COM組件應用在IIS服務器上的asp或者asp.net的時候，如果重新啟動了Server端或者修改了Client端的配置，都要重新啟動IIS服務器.必須先修改client.properties再注冊組件，修改該文件后需要重新注冊.

3.3 PHP客戶端部署

3.3.1 拷貝開發包并注冊

PHP開發包與客戶端應用的操作系統環境嚴格相關，當前提供的Linux和Solaris客戶端分別對應不同的操作系統、PHP、gcc版本以及CPU類型，在部署前要慎重選擇客戶端.如果客戶環境與所有提供的客戶端的參考環境不同則必須進行重新開發.

3.3.2 安裝

把安裝包解開放在/opt/目錄下，目錄說明:

/opt/idstar/etc 配置文件目錄

/opt/idstar/lib 庫

/opt/idstar/include C 客戶端頭文件

/opt/idstar/doc php接口api說明

/opt/idstar/example php例程

拷貝client.properties到 c:下，并按照部署Java客戶端的方法修改其中的參數.修改$(PHPHOME)/lib/php.ini，加入如下配置:

extension-dir=/opt/idatar/lib

extension=libIdstarPhp.so

3.3.3 啟動Apache

在啟動apache前需要設置庫的加載路徑，過程如下:

export LD_LIBRARY_PATH=/opt/idstar/lib

apachectl start

或者加入到系統的搜索路徑中去

編輯/etc/ld.so.conf，加入/opt/idstar/lib

3.4 認證接口集成的代碼示例

文中僅以Java為例，介紹統一身份認證的集成實施，具體參考以下代碼:

//獲取cookie

String loginURL=im.getLoginURL()+"?goto ="+java.net.URLEncoder.encode(gotoURL); //如果取到相應的cookie值，則可驗證是否有效

SSOToken token=im.validateToken(decodedCookieValue);

//取得當前用戶String curUser=im.getCurrentUser(decoded-CookieValue);

//注銷本次登錄

String gotoURL=HttpUtils.getRequestURL (request).toString();

String logoutURL=im.getLogoutURL()+"? goto="+java.net.URLEncoder.encode(gotoURL);

4 結論

高校統一身份認證集成系統將成為整體數字化校園建設的一個重要支撐平臺，不僅解決了用戶使用各個系統需要重復記住登錄用戶名和密碼的問題，而且還減輕了系統管理員的維護工作量，規范了校內用戶的管理.文中就統一身份認證平臺架構及其集成方式展開了研究，根據統一身份認證平臺的特點，提出了基于LDAP校園統一身份認證架構方案;從認證接口、LDAP認證以及門戶偽認證等幾方面，研究了統一身份認證平臺集成體系;通過分析集成方式和集成原理，提出了統一身份認證集成的實施方案，有效地實現了對校園網中用戶的統一身份管理、統一身份認證.從實際的應用來看，統一身份認證平臺集成系統取得的預期效益更多體現在用戶使用各個信息系統的方便性方面，為內部信息系統以及外部信息系統集成整合打下堅實的基礎，使得各部門以及軟件系統操作更為方便、快捷，并且確保了系統的安全.所以，建設統一身份認證平臺對高校整體數字化校園建設具有重要現實意義.

References)

［1］ 張何燁，蘆冏耀.我國高校校園信息化建設的現狀研究［J］.經濟師，2014(12):202-203.

［2］ 鄭海英，鄭雅良.我國高校信息化建設發展路徑探析［J］.沈陽工業大學學報:社會科學版，2010，3 (2):175-178.Zheng Haiying，Zheng Yaliang.Analysis on developing approaches of information construction in Chinese colleges and universities［J］.Journal of Shenyang U-niversity of Technology:Social Science Edition，2010，3 (2):175-178.(in Chinese)

［3］ 馬麗君.對我國高校網絡教學平臺的現狀分析與思考［J］.青海師范大學學報:自然科學版，2015(2): 23-26.MA Lijun.Analysis and thoughts on present situation of our university network teaching platform［J］.Journal of Qinghai Normal University:Natural Science Edition，2015(2):23-26

［4］ 孫甲泉.基于LDAP的CAS的校園統一身份認證系統的研究［J］.電腦知識與技術，2013，9(6):1318 -1320.Sun Jiaquan.LDAP-based CAS campus unified authentication system research［J］.Computer Knowledge and Technology，2013，9(6):1318-1320.(in Chinese)

［5］ 蔣東興，王進展，袁芳，等.數字校園校級統一信息系統建設研究與實踐［J］.中山大學學報:自然科學版，2009，48(1):12-15.Jiang Dongxing，Wang Jinzhan，Yuan Fang，et al.Research and practice on the digital campus of university level unified information system［J］.Acta Scientiarum Naturalium Universitatis Sunyatseni，2009，48 (1):12-15.(in Chinese)

［6］ 周嚴英.基于LDAP的校園統一身份認證系統［D］.廣州:華南理工大學2014.

［7］ 許柳威，田文雅.基于LDAP的統一身份認證平臺的研究與應用［J］.中國教育信息化，2013(11):82-85.

［8］ 李多，范欽志.高校數字化校園建設中的統一身份認證研究［J］.吉林師范大學學報:自然科學版，2012(3):154-156.Li Duo，Fan Qinzhi.Discussion on the unified authentication of digital campus［J］.Journal of Jilin Normal University:Natural Science Edition，2012(3):154-156.(in Chinese)

［9］ 鄒春生.LDAP在企業統一認證項目過程中的初步實踐［J］.電子技術與軟件工程.2014(7):43.

［10］吳焱軍.云技術下的校園學習平臺設計與實現［D］.長沙:湖南大學2014.

(責任編輯:童天添)

Integrated implementation scheme of college digital campus unified identity authentication based on LDAP

Huang Xiufang1，Wang Hai2
(1.President Office，Jiangsu University of Science and Technology，Zhenjiang Jiangsu 212003，China)
(2.Information Construction and Management Office，Nanjing University of Posts and Telecommunications，Nanjing Jiangsu 211100，China)

With the development of college information construction，the unified identity authentication platform plays a more and more important role with benefit of single sign in，security and efficiency in digital campus system.The unified identity authentication platform architecture and integration ways based on LDAP were studied.According to the characteristics of unified identity authentication platform，the architecture of unified identity authentication was proposed.The integration system of unified identity authentication platform was studied.The integration mode and integration theory were analyzed.The integrated implementation scheme of the campus unified identity authentication was put forward.Thus，it can realize the unified identity management and authentication of users on campus network.

information construction;single sign in;campus network; identity management

TP311

A

1673-4807(2015)06-0580-05

10.3969/j.issn.1673-4807.2015.06.013

2015-05-30

黃秀芳(1964—)，女，副研究員，研究方向為行政辦公管理.E-mail:wqi003@126.com

黃秀芳，王海.基于LDAP的高校數字化校園統一身份認證集成實施方案［J］.江蘇科技大學學報(自然科學版)，2015，29(6):580-584.