冉旭 鐘鳴 陳春明

摘要：隨著信息技術的不斷發(fā)展，基于數(shù)字化校園的應用系統(tǒng)日益增多，多異構系統(tǒng)共存下的身份認證的統(tǒng)一性和訪問控制的安全性等問題日益突出。針對數(shù)字化校園發(fā)展的特點，提出了基于CAS和LDAP的統(tǒng)一身份認證解決方案，并對整體架構進行了設計，對各部分系統(tǒng)進行了描述，為數(shù)字化校園各應用系統(tǒng)的集成和進一步發(fā)展打下了良好的基礎。

關鍵詞：數(shù)字化校園；統(tǒng)一身份認證；CAS；LDAP

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)22-5277-03

Research on Digital Campus Unified Identity Authentication System

RAN Xu1,ZHONG Ming1,CHEN Chun-ming1,2

(1.Chongqing Communication Institute,Chongqing 400035,China; 2.Defense Information Institute, Wuhan 430010,China)

Abstract: Along with the information technology unceasing development, application systems based on the digital campus are increasing, so security issues of unified identity authentication and access control become increasingly serious. The unified identity authentication system based on CAS and LDAP was discussed and described, and it laid a great foundation to develop application systems in digital campus.

Key words: digital campus; unified identity; CAS; LDAP

“數(shù)字化校園”是以計算機和網(wǎng)絡信息技術為基礎，以數(shù)字化信息為依托，使教學資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。近幾年全國各大高校大力開展數(shù)字化校園的建設工作，各院校的數(shù)字化校園基礎平臺日漸完善，基于校園網(wǎng)的網(wǎng)絡應用系統(tǒng)日益豐富。但是各個應用系統(tǒng)可能隸屬于多個互不從屬的部門，因此缺乏統(tǒng)一的設計架構和開發(fā)規(guī)范，造成了大量基于不同系統(tǒng)平臺和技術規(guī)范開發(fā)的應用系統(tǒng)共存的現(xiàn)象，導致各應用系統(tǒng)相對獨立無法有效共享安全認證信息，于是形成了網(wǎng)絡環(huán)境下的多個信息孤島。隨著數(shù)字化校園建設的不斷深入，校園網(wǎng)上的各種應用系統(tǒng)的身份認證問題日益突出。數(shù)字化校園用戶在使用各種網(wǎng)絡應用時，必須面對多種登錄界面，記憶多個用戶賬戶和口令，校園網(wǎng)系統(tǒng)管理員也不得不維護多個系統(tǒng)中的用戶信息，以保證數(shù)據(jù)的一致性。數(shù)字化校園內各應用系統(tǒng)的安全認證問題嚴重制約了數(shù)字化校園的進一步發(fā)展，因此，建立一個統(tǒng)一的身份認證系統(tǒng)對數(shù)字化校園實現(xiàn)統(tǒng)一管理、統(tǒng)一認證和統(tǒng)一授權有著十分重要的意義。

1統(tǒng)一身份認證系統(tǒng)的設計思路

統(tǒng)一身份認證系統(tǒng)的設計思路是采用唯一的認證服務系統(tǒng)統(tǒng)一管理全校所有應用系統(tǒng)各自獨立的認證模塊，進行用戶賬戶的統(tǒng)一存儲、統(tǒng)一授權；各種應用只需遵循統(tǒng)一認證服務調用接口，即可實現(xiàn)身份認證的過程。而用于用戶身份信息、密碼存儲和數(shù)據(jù)傳輸?shù)陌踩詣t由統(tǒng)一認證服務提供的安全認證協(xié)議來保證。這既可規(guī)范各應用系統(tǒng)的身份認證方式，方便用戶使用，提高用戶工作效率，降低系統(tǒng)維護成本，還可以全面提升整個數(shù)字化校園網(wǎng)絡的完整性和安全性。

2統(tǒng)一身份認證系統(tǒng)的設計原則

數(shù)字化校園用戶統(tǒng)一身份認證系統(tǒng)需要滿足對用戶登錄時進行集中統(tǒng)一認證、登錄后進行分級分類授權、注銷后進行集中安全審計等功能的需求，從而提供集統(tǒng)一認證、分類授權和集中審計三位一體的安全解決方案。通過對數(shù)字化校園門戶網(wǎng)站的需求分析，確定了統(tǒng)一身份認證系統(tǒng)的設計應遵循以下原則：

2.1統(tǒng)一的認證途徑

基于數(shù)字化校園的多應用統(tǒng)一身份認證系統(tǒng)的核心功能是實現(xiàn)用戶的“一次登錄，處處訪問”，因此身份認證系統(tǒng)要提供一個統(tǒng)一的認證途徑，讓用戶一次登錄后，即可訪問全網(wǎng)的資源。

2.2良好的通用性

由于各個應用系統(tǒng)各有特點，分別運行在不同的平臺上，都要能與統(tǒng)一身份認證系統(tǒng)交互，這就要求統(tǒng)一身份認證系統(tǒng)提供跨平臺認證的功能。實現(xiàn)跨平臺、跨數(shù)據(jù)庫、甚至跨網(wǎng)段的身份認證，實現(xiàn)與數(shù)字化校園各種應用系統(tǒng)的無縫整合和互操作性。

2.3高度的安全性和穩(wěn)定性

統(tǒng)一身份認證系統(tǒng)負責數(shù)字化校園全網(wǎng)用戶的身份認證和統(tǒng)一授權，是數(shù)字化校園正常運轉的核心基礎平臺，只有系統(tǒng)的安全穩(wěn)定運行才能保障各種應用系統(tǒng)對用戶認證授權的正常開展，因此必須采取多項措施提升統(tǒng)一身份認證系統(tǒng)的安全防護等級，保證系統(tǒng)的安全穩(wěn)定運行。

2.4靈活的可擴展性

統(tǒng)一身份認證系統(tǒng)為全網(wǎng)各應用系統(tǒng)的集中統(tǒng)一身份認證和授權提供支撐，這就要求統(tǒng)一身份認證系統(tǒng)具有靈活的可擴展性，不僅能夠支持現(xiàn)有應用系統(tǒng)對身份認證接口的升級改造，還要能夠適應未來應用系統(tǒng)開發(fā)部署時對身份認證接口提出的新要求，使新的應用能夠平滑整合到統(tǒng)一身份認證系統(tǒng)所搭建的總體框架之內。

2.5完備的權限管理

通過建立用戶、角色和權限之間的對應關系，實現(xiàn)對用戶的網(wǎng)絡訪問權限進行靈活配置，有效提升整個系統(tǒng)的易用性、靈活性和健壯性；基于用戶所屬單位對系統(tǒng)權限進行分級管理，有效的保證了用戶、角色及資源信息的隱秘性。

3統(tǒng)一身份認證系統(tǒng)的設計實現(xiàn)

統(tǒng)一身份認證系統(tǒng)的核心設計思想是統(tǒng)一存儲用戶身份數(shù)據(jù)，統(tǒng)一授權網(wǎng)絡應用系統(tǒng)，統(tǒng)一管理數(shù)字化校園內各種應用系統(tǒng)的身份認證方式，從而提升整個數(shù)字化校園的易用性、整體性和安全性。

為實現(xiàn)跨數(shù)據(jù)庫、跨系統(tǒng)、跨平臺、甚至跨網(wǎng)段的多個應用系統(tǒng)的統(tǒng)一身份認證，目前比較常用而有效的解決方案就是基于LDAP（輕量目錄訪問協(xié)議）的CAS（中央認證服務）單點登錄系統(tǒng)方案。該方案可以對多個應用系統(tǒng)進行統(tǒng)一身份認證和授權，用戶只需在統(tǒng)一的登錄界面進行登錄認證就能獲得多個應用系統(tǒng)的訪問權限。該方案主要分為三大模塊：統(tǒng)一身份認證接口模塊、CAS認證服務模塊及LDAP目錄服務模塊。統(tǒng)一身份認證接口為用戶提供系統(tǒng)登錄的入口，通過對各網(wǎng)絡應用系統(tǒng)登錄界面的集成，實現(xiàn)用戶登錄及認證界面的統(tǒng)一；CAS認證服務是統(tǒng)一身份認證系統(tǒng)的核心，為用戶提供基于CAS協(xié)議的多應用系統(tǒng)統(tǒng)一身份認證服務；LDAP目錄服務實現(xiàn)用戶身份信息的集中統(tǒng)一存儲、管理與維護，保證用戶信息在多應用系統(tǒng)中的唯一性和權威性。整個系統(tǒng)的架構如圖1所示。

圖1統(tǒng)一身份認證系統(tǒng)

3.1統(tǒng)一身份認證接口

統(tǒng)一身份認證接口為數(shù)字化校園中的各個應用系統(tǒng)提供一個統(tǒng)一的登錄界面，并將統(tǒng)一身份認證接口集成到各個應用中，替換各應用系統(tǒng)原有獨立的身份認證功能，統(tǒng)一身份認證接口根據(jù)用戶的登錄信息向CAS服務器發(fā)起身份認證請求。對于合法用戶，認證接口將得到一個有效的Ticket作為登錄應用系統(tǒng)的憑證，同時認證服務器也要存儲該Ticket以備合法性驗證。最后認證接口要將該用戶信息提交給相應的應用系統(tǒng)；對于非法用戶，認證接口會拒絕用戶訪問相應的應用。

3.2 CAS認證服務

CAS認證服務旨在為Web應用系統(tǒng)提供一種可靠的單點登錄方法，目前得到了廣泛的應用，具有獨立于平臺的特性。CAS認證服務是由CAS服務器統(tǒng)一完成的，它將統(tǒng)一身份認證接口發(fā)起的請求與LDAP中的用戶信息匹配認證，對通過認證的用戶，CAS服務器將生成一份特定的Ticket，這份Ticket強制用戶通過統(tǒng)一身份認證接口訪問授權的應用系統(tǒng)。整個認證過程默認采用HTTPS協(xié)議完成，數(shù)據(jù)通過SSL通道加密傳送，保證了證書和Ticket的安全性。認證服務流程如圖2所示。

用戶訪問統(tǒng)一身份認證接口，接口會分析用戶的訪問請求中是否含有合法的Ticket，如果有則允許通過接口訪問授權的應用，否則進入第2步。

統(tǒng)一身份認證接口將用戶的訪問請求重定向到CAS服務器，CAS服務器通過LDAP服務器驗證用戶身份的合法性，如果不合法則給予用戶提示，否則進入第3步。

CAS服務器產生一個隨機的Ticket，附帶上該Ticket的用戶訪問請求，將被重定向到用戶請求的應用。

應用系統(tǒng)將該Ticket返回給CAS服務器，CAS服務器進行Ticket合法性驗證。如果驗證成功，CAS服務器將用戶的身份信息返回給應用系統(tǒng)，應用系統(tǒng)根據(jù)用戶身份分配相應的訪問權限；如果匹配不成功，則給予相應的提示。

3.3 LDAP目錄服務

LDAP是由美國Michigan大學研發(fā)的輕量級目錄訪問協(xié)議，該協(xié)議用來將目錄信息發(fā)布到不同的資源。LDAP基于X.500標準，并新增了對TCP/IP的支持。LDAP服務器使用“推”或“拉”的方法復制數(shù)據(jù)，復制技術內置于LDAP服務器中，可以進行方便靈活的配置。

圖2 CAS認證服務流程

LDAP中目錄按照樹型結構進行組織和存儲，目錄由條目組成，條目類似于關系型數(shù)據(jù)庫存儲在表中的記錄，條目是具有區(qū)別名DN的屬性集合。LDAP協(xié)議規(guī)定了區(qū)別名DN的命名規(guī)則、存取方式、復制方法及搜索格式等。

目錄樹的各個節(jié)點使用不同的關鍵詞，如“dc”、“uid”、“dn”等，它們分別代表不同的含義，見表1。

表1 LDAP關鍵詞含義表

LDAP的組織和存儲特性決定了其具有查詢效率高但修改刪除效率低的特點，因此必須建立完備的初始目錄信息樹，以避免進行大面積的修改和刪除。針對數(shù)字化校園的特點，可以將單位信息、部門信息和人員信息保存在每個用戶的LDAP條目中，如圖3所示。

圖3 LDAP中的目錄樹結構

4結束語

該文中討論的數(shù)字化校園統(tǒng)一身份認證系統(tǒng)采用了基于LDAP協(xié)議的CAS單點登錄系統(tǒng)方案，比較完善的解決了用戶信息統(tǒng)一存儲、應用系統(tǒng)統(tǒng)一授權、應用系統(tǒng)規(guī)范認證和數(shù)字化校園的完整性及安全性等方面的主要問題。但是該方案可能涉及很多現(xiàn)有應用系統(tǒng)的升級改造，大量用戶信息的集中匯總可能會導致數(shù)據(jù)冗余問題的出現(xiàn)，這仍需要進一步思考完善。

參考文獻：

[1]賀超波,陳啟買,歐陽輝.數(shù)字化校園門戶平臺統(tǒng)一身份認證的實現(xiàn)[J].現(xiàn)代計算機,2008(297):25-18.

[2]顧青.統(tǒng)一身份認證技術的研究[J].上海電機學院學報,2006(2):226-227.

[3]陽富民,劉軍平.統(tǒng)一認證技術研究與實現(xiàn)[J].計算機工程與科學,2007,29(2):124-126.

[4]張銳,張建林,孫國忠.多業(yè)務系統(tǒng)的統(tǒng)一認證授權研究與設計[J].計算機工程與設計,2009，30(8):1826-1828.