文档介绍:校园网统一身份认证系统设计张健上海思创华信信息技术有限公司上海200233摘要:由于在校园网络环境下需要建立多个信息系统,为学校领导、各部门及全校教师、学生提供多种服务,这样就带来了一个突出的问题,众多用户面对多个系统要重复输入帐号、口令等信息,不仅烦琐,更重要的是容易出现口令丢失,一旦口令泄漏不仅会造成不可估量的损失。关键词:LDAP;数字化校园;身份认证一建设目标数字化校园校内应用环境复杂,将面临不同的网络环境、硬件平台、操作系统、软件结构、开发语言、运行模式,统一身份认证系统必须能够开放的支持应用集成服务,所有安全服务,除了加密、解密服务以外,其它安全服务必须对应用开发人员透明。建立统一的身份认证中心,集中进行身份认证,提高数字化校园应用系统的安全性。平台设计满足以下要求:1) 支持两种类型客户端的认证,Web浏览器和胖客户端应用程序;2) 支持基于HTTP协议基木认证方式的用户名/密码(来源于多种用户存储方式)验证,为了能够保护使用HTTP协议传送密码,必须能够使用传输层安全技术(比如HTTPS),或者使网络层安全技术(比如IPSEC或者VPN等)来对密码提供保护;3) 支持基于HTTPS协议的用户CA证书验证;4) 支持主流Web服务器,包括系统:Apache>MicrosoftIIS等;5) 提供便捷的用户、用户组、角色管理功能模块,支持统一的权限管理。二LDAP目录服务和统一身份认证系统LDAP最大的优势是:它是跨平台的和标准的协议,它可以应用在任何计算机平台上,很容易获得,而且它也很容易定制应用程序为它加上LDAP的支持。其次,它有优秀的检索性能,LDAP在处理大量用户并发检索访问问题上优势明显,具有比关系数据库系统更快的响应速度。第三,它有完善的安全机制,LDAP通过访问控制列表ACL设置对目录数据的读和写的权限,通过支持基于SSL(SecureSocketLayer)的安全机制完成对明文加密,能提供更安全的保障。由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统中大量用户口令的存储和管理的要求,因此,在统一认证系统的设计中,目录服务数据库是整个统一认证系统的基础。三校园网统一身份认证系统的设计在建立基于LDAP统一身份认证系统的过程中,既要方便新建立的系统使用统一身份认证子系统,又要照顾原来建立的老系统,使原有系统做尽可能小的变动就可以使用统一身份认证子系统,最人限度实现数据整合。统--认证系统设计的核心思想是用目录服务数据库集中存储用户的信息和各个应用系统的信息,实现对用户的集中管理、统一认证和统一授权,以及实现对应用系统的访问控制。统一身份认证系统的体系结构如图I所示。统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证机制,而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可以大大提高系统的安全性,同吋也可以保证用户的电子身份标识能安全、高效地在网络中传输。通过分析系统的体系结构,该系统的设计实现了用户的集中管理、独立应用系统的集成、统一授权和单点登录。下面对该系统所具有的一些特点进行分析:支持Web方式认证,提供单点登录服务功能。本系统提供了一个与其他系统相融合的框架,将各自独立开发的应用系统通过应用系统注册通用接口集成起来,方便独立系统用户与认证系统用户映射。提供基于LDAP开放标准的统