基于輕量目錄訪問協議技術的校園網統一身份認證的設計與實現

趙亞輝 夏依旦·阿布拉 阿孜古麗·阿布拉

摘?要：現如今隨著我國高校校園網基礎設施的快速建設和不斷升級，校園網的應用也得到了快速的普及，為了能夠更好的保障每個應用系統之間用戶數據具有著一致性和簡單的操作性，急需要對校園網對統一身份認證體系的支持，所以在本文中，主要對根據輕量目錄訪問協議技術的校園網統一身份認證的設計和實現做出了全面的分析，在此基礎上提出了下文中的一些內容，希望能夠給予同行業工作人員提供相應的參考價值。

關鍵詞：輕量目錄訪問協議技術;校園網;統一身份認證;設計實現

現如今伴隨著我國數字化校園網絡建設的不斷深入，網絡信息在高校所扮演的角色已經越來越重要，教務系統以及網絡課程和郵件系統等在一定程度上方便了我們的工作以及學習，為了能夠保證系統的安全性，每一個系統時需要使用用戶名和登錄密碼，在人們對電腦進行使用的時候，最為普遍的就是需要記住幾套不同的用戶名以及口令，這也為用戶訪問的每個系統增加了比較多的麻煩，更加重要的則是隨著業務系統的增加，因為系統自身存在著一定的特點，導致其存在著較多的孤島信息，因此必須要具有統一的管理系統，通過這個系統用戶可以更加方便以及快速的對每種授權資源進行訪問，使其孤島信息可以相互的聯系到一起，這便是統一身份的認證系統。

1 關于輕量目錄訪問協議技術概述分析

對于輕量目錄訪問協議技術（Lightweight Directory Access Protocol）主要是根據X.500標準的，并且也是訪問了X.500目錄所需要的某一些協議，比如目錄的訪問協議，但是DAP則需要一些大量的系統資源和支持的機制對這些復雜的協議進行處理，該協議技術僅僅知識通過使用原來的X.500目錄存取協議的功能子集，便是可以減少所需要的系統消耗資源，同時也能在一定程度上根據實際的需要進行科學有效的定制。

2 分析統一身份認證系統的結構

對于統一的身份認證系統而言，在結構上通常情況下可以分為三個部分：一是身份鑒別的模塊;二是范文控制模塊;三是為身份認證元目錄。首先用戶是可以通過賬號以及密碼去進行相應的認證和數字簽名認證等方式去登錄到統一的身份認證系統中，對其自身的身份進行鑒別，然而身份鑒別模塊則可以有效的訪問身份原目錄，將用戶所提交的信息以及用戶目錄中所存儲的信息作出相應的檢驗，如果是否，那么將會直接的返回失敗的信息，如果驗證成功了，那么是可以直接的進入到訪問控制模塊中，同時訪問控制模塊也是需要對身份認證和原目錄進行驗證，根據其用戶目錄之中所存儲的信息執行有關的措施，同時對相關的權限作出合理分配，這樣用戶可以更加方便的對統一身份認證系統進行相應的訪問，同時也還能在一定程度上應用系統以及相關的網絡服務，并不需要再一次的進行驗證。

在此之外對于技術方面而言，主要是可以采用Portal門戶作為其數字化校園的入口，合理的應用客戶端的瀏覽器便可以需要對所有的服務進行訪問。然而Portal的信息平臺服務器主要是負責校園之中的服務信息進行掌握，也是集成了院校網中每一個服務器向信息平臺服務器所提供出來的入口，同時也是可以提供出頁面以及服務器的定制功能，在輕量目錄訪問協議技術之中對用戶的相關認證以及授權的信息作出讀取，在進行認證之后可以為用戶分配相應的角色令牌，用戶得到操作令牌之后，通過此協議技術根據其所持有的憑證和需要進行訪問的模塊作出相互交換，同時將所用使用到的信息可以展示到頁面上。

3 關于統一身份認證系統的實現分析

這點主要是將其公共數據庫系統前的單個開發主要應用系統集成問題進行解決，并且已經是運行的幾個應用系統主要是包括圖書館管理系統以及一卡通管理系統等。在學校中，應用最為廣泛的一個系統便是為一卡通管理系統，其中主要是包括了就餐系統以及考勤系統和掛失解掛系統等。該系統主要是采用了Microsoft.net的架構，前段的服務程序則是應用了IIS6.0+ASP.net的一種方式，然而后段則是采用了Oracle的數據庫對卡的各種信息進行存儲，其中認證的方式主要是應用教師的工號以及學生的學號，為了能夠在一定程度上可以和現有的系統作出集成，可以建立起公共數據庫路到一卡通的系統單點進行登錄，也是可以讓用戶通過公共數據庫的訪問協議技術進行認證之后，僅僅只需點擊一卡通的系統超鏈接便是可以直接的入到該系統中。為了可以實現這個目的，可以在一卡通系統的服務器上安裝SUN Portal Identity Server的Agent，可以通過Agent去負責一些公共數據庫的Identity Server進行交互，使其一卡通的系統信任可以從公共數據庫逐漸 轉過來查詢需要，這點也是通過以下方面進行實現的，通過將工號或者是學號的文明和加密的密文以及時間戳直接的傳輸到一卡通的系統中，這個時候一卡通號進行對比，如果匹配是成果了，那么便是認為該請求是合法的請求，這個時候通過Web的服務器通過調用有關接口，返回到一個合適的界面內，同時將其嵌入到公共數據庫的Portal的頁面中，在這個時候，時間戳的作用就是能夠避免一些重放攻擊，如果用戶不是從公共數據庫的主要接口進入到校一卡通網站，那么需要加入以下方面：需要在一卡通的主頁上輸入相應的工號或者學號及密碼，這樣才可以進入到一卡通系統中，為了可以讓一卡通系統的密碼公共數據庫密碼得到統一，必須要到公共認證中心進行相應的認證，想要對這個想法進行實現，便是開發了組件LdapAuth，同時一卡通的Web服務器主要是通過對該組件進行調用，直接驗證用戶以及密碼是否合理，如果是通過了驗證，那么可以進行相關操作，這時會把用戶的密碼采用Md5進行散列，同時也會在本地的系統中進行保存，方便在認證中出現問題的過程中，用戶能夠順利進行登錄，然而就業管理系統以及圖書管理系統的實施細節和一卡通系統是類似的。

4 安全性的討論分析

針對于上述系統到LDAP的認證中心進行認證，基本上都是根據明文式的方式所進行的，如果僅僅需要獲得安全性，在每個應用系統的認證接口上采取SSUTLS能夠實現加密的認證，但是如果發現認證的用戶數量比較大，那么對這些信息進行加密可能會占用到系統的一些資源。

5 總結

通過對上述內容進行分析得出，所建立起來對統一身份認證體系，網絡用戶在此基礎上僅僅只需要維護一套用戶名和密碼便可以使用學校的每個系統，對用戶的使用帶來了一定的方便。此外，用戶的密碼丟失之后僅僅只需要到網絡信息中進行更換便可以，不需要向原來一樣進行修改，導致密碼修改出現錯誤。

參考文獻：

[1]王硯瀚，葉本青.漫談基于LDAP的校園網統一身份認證系統設計[J].信息記錄材料，2017，18（04）：85-86.

[2]李莉.基于CAS的校園統一身份認證系統的設計與實現[J].微型電腦應用，2016，32（10）：198-199.

[3]夏建兵，廖大強.基于LDAP的校園網統一身份認證系統的設計[J].現代計算機，2013，99（09）：198-199.

[4]楊洪雪，詹曉東.基于LDAP統一認證的校園網盤系統設計與實現[J].實驗技術與管理，2013，30（01）：105-107+118.

課題：本文為2018年度新疆維吾爾醫學?？茖W校校級社科類課題結題成果，《基于CAS部署我校認證服務器技術實現研究》（課題編號：2018XK0022）