范義山

【摘要】基于校園網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多，在沒(méi)有統(tǒng)一身份管理的情況下，用戶(hù)體驗(yàn)很差，管理難度也很大，迫切需要建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)。本文介紹了數(shù)字化校園建設(shè)中有關(guān)身份認(rèn)證的一些現(xiàn)狀，分析了統(tǒng)一身份認(rèn)證平臺(tái)的技術(shù)架構(gòu)和認(rèn)證流程。

【關(guān)鍵詞】數(shù)字化校園 統(tǒng)一身份認(rèn)證 LDAP

【中圖分類(lèi)號(hào)】TP393.18 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2015）19-0234-02

1 數(shù)字化校園建設(shè)的一些現(xiàn)狀

隨著高校IT應(yīng)用的迅速發(fā)展，基于校園網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多，在沒(méi)有統(tǒng)一身份管理的情況下，不同的系統(tǒng)需要各自維護(hù)用戶(hù)信息。用戶(hù)如需訪(fǎng)問(wèn)多個(gè)系統(tǒng)，不僅要面對(duì)多個(gè)登錄界面，還要記憶不同的用戶(hù)名和口令。這樣一種各自為政、管理松散的用戶(hù)管理模式，不僅影響用戶(hù)的使用效率，還使系統(tǒng)管理員的管理難度越來(lái)越大。除此之外信息和資源還無(wú)法實(shí)現(xiàn)高效共享，數(shù)據(jù)無(wú)法實(shí)時(shí)更新，造成信息的重復(fù)管理。隨著應(yīng)用系統(tǒng)的不斷增多，以上問(wèn)題將會(huì)更加嚴(yán)重，管理更加困難，這些都迫切需要統(tǒng)一身份認(rèn)證系統(tǒng)的支持，以適應(yīng)數(shù)字化校園的發(fā)展趨勢(shì)。

統(tǒng)一身份認(rèn)證系統(tǒng)集中存儲(chǔ)用戶(hù)信息，實(shí)行統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和集中管理。終端用戶(hù)在通過(guò)統(tǒng)一身份認(rèn)證中心的驗(yàn)證后，就可以登錄到任何已經(jīng)接人統(tǒng)一身份認(rèn)證中心的、其有權(quán)限訪(fǎng)問(wèn)的應(yīng)用系統(tǒng)，極大地方便用戶(hù)使用，提高系統(tǒng)的易用性，提升用戶(hù)體驗(yàn)，減少應(yīng)用系統(tǒng)的開(kāi)發(fā)和維護(hù)成本。

2 統(tǒng)一身份認(rèn)證平臺(tái)技術(shù)架構(gòu)

統(tǒng)一身份認(rèn)證平臺(tái)包含四大邏輯組成部分：數(shù)據(jù)存儲(chǔ)、用戶(hù)身份管理、用戶(hù)認(rèn)證和對(duì)外服務(wù)，其技術(shù)架構(gòu)如圖所示。

（1）身份管理

身份管理用于實(shí)現(xiàn)認(rèn)證服務(wù)的管理與監(jiān)控，主要使用者是學(xué)校信息技術(shù)中心管理員。該功能旨在提供一個(gè)功能全面且易用的身份管理平臺(tái)，使管理員能夠管理全校的身份數(shù)據(jù)及其權(quán)限關(guān)系，掌握全校身份數(shù)據(jù)的管理狀態(tài)和使用狀態(tài)，審計(jì)全校身份數(shù)據(jù)管理和使用的問(wèn)題，監(jiān)控身份管理平臺(tái)各系統(tǒng)服務(wù)的運(yùn)作狀態(tài)。身份管理功能主要包括概況、賬號(hào)、認(rèn)證、授權(quán)、審計(jì)、監(jiān)控和系統(tǒng)功能等功能模塊。

概況模塊用于展現(xiàn)當(dāng)前身份管理平臺(tái)內(nèi)一些重要的狀態(tài)數(shù)據(jù)，讓管理員對(duì)當(dāng)前系統(tǒng)的運(yùn)行狀態(tài)一目了然，便于管理員及時(shí)發(fā)現(xiàn)問(wèn)題和異常。

賬號(hào)模塊用于完成全校身份賬號(hào)數(shù)據(jù)的增加、刪除、修改、過(guò)期設(shè)置、鎖定/解鎖和加入組操作。其中用戶(hù)數(shù)據(jù)采集可以采用以下方式：

① 使用公共數(shù)據(jù)平臺(tái)從學(xué)校數(shù)據(jù)中心學(xué)生庫(kù)和教師庫(kù)自動(dòng)抽取用戶(hù)身份數(shù)據(jù)，并加以歸納和整理后同步到身份管理平臺(tái)的身份數(shù)據(jù)庫(kù)。

② 通過(guò)身份管理平臺(tái)用戶(hù)管理程序進(jìn)行用戶(hù)數(shù)據(jù)管理。

認(rèn)證模塊用于管理全校已經(jīng)集成的所有應(yīng)用系統(tǒng)，每個(gè)集成的應(yīng)用系統(tǒng)均需要一個(gè)認(rèn)證應(yīng)用賬號(hào)來(lái)進(jìn)行身份認(rèn)證集成和單點(diǎn)登錄集成。全校已經(jīng)集成的應(yīng)用系統(tǒng)在此功能中將一目了然。

（2）數(shù)據(jù)存儲(chǔ)

統(tǒng)一身份認(rèn)證平臺(tái)中數(shù)據(jù)存儲(chǔ)有兩種類(lèi)型，即LDAP數(shù)據(jù)庫(kù)和關(guān)系數(shù)據(jù)庫(kù)。

LDAP數(shù)據(jù)庫(kù)用以存儲(chǔ)用戶(hù)完整的賬號(hào)信息（含密碼），主要用于身份認(rèn)證服務(wù)。LDAP中的賬號(hào)數(shù)據(jù)均采用單向加密的方式存儲(chǔ)，因此不可能被明文讀出。LDAP支持目錄數(shù)據(jù)的多主復(fù)制，能夠在多個(gè)目錄服務(wù)器之間進(jìn)行實(shí)時(shí)數(shù)據(jù)同步。

關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)所有用戶(hù)的身份信息（不存儲(chǔ)密碼）、系統(tǒng)運(yùn)行的所有日志數(shù)據(jù)、系統(tǒng)運(yùn)行所需要的所有配置數(shù)據(jù)，目的在于提供靈活高效的身份管理功能。

（3）身份認(rèn)證

身份認(rèn)證功能是統(tǒng)一身份認(rèn)證平臺(tái)的核心功能，用于對(duì)學(xué)生、教師和其他人員的數(shù)字化身份的登錄驗(yàn)證，創(chuàng)建并維護(hù)用戶(hù)的單點(diǎn)登錄回話(huà)。

LDAP認(rèn)證方式是統(tǒng)一身份認(rèn)證系統(tǒng)提供的缺省認(rèn)證方式。使用LDAP認(rèn)證方式，用戶(hù)名與口令是存儲(chǔ)在指定的LDAP目錄中。當(dāng)一個(gè)用戶(hù)登錄時(shí)，提供的用戶(hù)名與口令若與該LDAP目錄指定子樹(shù)中某一個(gè)用戶(hù)記錄的用戶(hù)名與口令相同，則認(rèn)證成功，登錄者具有LDAP目錄中該用戶(hù)記錄對(duì)應(yīng)的身份。

（4）對(duì)外服務(wù)

①集成接口

集成接口的主要使用者為被保護(hù)的應(yīng)用系統(tǒng)，其主要目的是提供統(tǒng)一身份認(rèn)證和單點(diǎn)登錄功能的API供應(yīng)用系統(tǒng)調(diào)用，從而使各個(gè)應(yīng)用系統(tǒng)實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。集成接口分認(rèn)證接口和LDAP接口這兩類(lèi)。

認(rèn)證接口基于ICE技術(shù)，它為外部應(yīng)用訪(fǎng)問(wèn)統(tǒng)一身份認(rèn)證平臺(tái)提供了高可用性和跨平臺(tái)的遠(yuǎn)程調(diào)用接口和通道。通過(guò)認(rèn)證接口可以獲得用戶(hù)身份認(rèn)證、用戶(hù)身份數(shù)據(jù)提取、單點(diǎn)登錄服務(wù)，同時(shí)可以獲得認(rèn)證服務(wù)負(fù)載均衡的能力。

LDAP接口基于JNDI，直接通過(guò)LDAP協(xié)議實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的認(rèn)證支持，實(shí)現(xiàn)用戶(hù)名密碼校驗(yàn)、用戶(hù)屬性信息獲取等功能，能夠滿(mǎn)足短時(shí)間內(nèi)上萬(wàn)人次的認(rèn)證，并具有高穩(wěn)定性，特別適用于高并發(fā)認(rèn)證型應(yīng)用的集成需求，比如選課系統(tǒng)。

②個(gè)人自助服務(wù)

個(gè)人自助服務(wù)面向校內(nèi)的最終用戶(hù)，包括所有學(xué)生、教師和工作人員。主要用于用戶(hù)對(duì)自己賬號(hào)信息和密碼信息的維護(hù)、密碼找回、查詢(xún)自己的賬號(hào)的使用信息和維護(hù)信息等。

3 系統(tǒng)認(rèn)證流程

（1）用戶(hù)第一次訪(fǎng)問(wèn)某應(yīng)用系統(tǒng)，并在應(yīng)用系統(tǒng)登陸界面登陸。

（2）應(yīng)用系統(tǒng)不對(duì)用戶(hù)的登錄信息進(jìn)行認(rèn)證，而是將取得的登錄信息采用加密方式或明文方式打包送到統(tǒng)一身份認(rèn)證中心。

（3）用戶(hù)第一次訪(fǎng)問(wèn)某應(yīng)用系統(tǒng)，若不在應(yīng)用系統(tǒng)登陸，會(huì)被引導(dǎo)至認(rèn)證系統(tǒng)中進(jìn)行登錄。

（4）根據(jù)用戶(hù)提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份驗(yàn)證（用戶(hù)名和口令與LDAP目錄中指定子樹(shù)中某一個(gè)用戶(hù)記錄的用戶(hù)名與口令比對(duì)），如果通過(guò)驗(yàn)證，返回給用戶(hù)一個(gè)認(rèn)證令牌（token），用戶(hù)就可以進(jìn)行隨后所需要的操作，否則系統(tǒng)將拒絕用戶(hù)的登錄或提示用戶(hù)重新輸入賬戶(hù)信息和密碼。

（5）用戶(hù)再訪(fǎng)問(wèn)別的應(yīng)用的時(shí)候就會(huì)將這個(gè)認(rèn)證令牌帶上，作為自己認(rèn)證的依據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把認(rèn)證令牌送到認(rèn)證系統(tǒng)進(jìn)行驗(yàn)證，檢查認(rèn)證令牌的合法性，如果通過(guò)驗(yàn)證，用戶(hù)就可以在不用再次登錄的情況下訪(fǎng)問(wèn)其它應(yīng)用系統(tǒng)了。

4 結(jié)語(yǔ)

統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)思想就是將機(jī)構(gòu)、用戶(hù)信息統(tǒng)一存儲(chǔ)，對(duì)應(yīng)用系統(tǒng)統(tǒng)一授權(quán)，規(guī)范應(yīng)用系統(tǒng)的用戶(hù)認(rèn)證方式。實(shí)踐結(jié)果表明：統(tǒng)一身份認(rèn)證平臺(tái)在為用戶(hù)提供極大方便的同時(shí)，也使對(duì)用戶(hù)的統(tǒng)一集中管理得到了實(shí)現(xiàn)，并且使應(yīng)用系統(tǒng)的可靠性和安全性得到了很大的提高。

參考文獻(xiàn)

[1]陳兵數(shù)字化校園中統(tǒng)一身份認(rèn)證平臺(tái)的實(shí)現(xiàn)《科技風(fēng)》2012年第22期