高校信息化统一身份认证的设计与规划

合集下载

统一身份认证平台在高校信息化建设中的应用分析

统一身份认证平台在高校信息化建设中的应用分析【摘要】统一身份认证平台在高校信息化建设中发挥着重要作用。

本文首先介绍了统一身份认证平台的基本概念和特点，然后分析了高校信息化建设的现状与挑战。

随后通过应用案例分析，探讨了统一身份认证平台在高校信息化建设中的具体作用和优势。

对统一身份认证平台在高校信息化建设中的发展趋势进行了探讨，强调了其重要性和未来发展方向。

通过本文的研究，可以更好地理解和应用统一身份认证平台在高校信息化建设中的价值和意义，为高校信息化建设提供更加可靠和高效的支持。

【关键词】关键词：统一身份认证平台、高校信息化建设、应用分析、概念、特点、现状、挑战、案例分析、优势、作用、发展趋势、重要性、未来发展方向、总结1. 引言1.1 研究背景高校信息化建设已成为当前教育领域的重要趋势，对于提升教学科研水平、加强学校管理、提高学生服务质量具有重要意义。

在高校信息化建设中，由于信息系统的独立性和分散性，往往存在用户需重复注册、认证繁琐、信息孤岛难以整合等问题，导致效率低下、用户体验差等困扰。

而统一身份认证平台作为解决这些问题的利器，正在逐渐受到高校的关注和应用。

统一身份认证平台通过集中管理和认证用户的身份信息，实现跨系统、跨应用的统一认证和授权，为用户提供一次认证、多次授权的便捷体验。

在当前高校信息化建设中，要求实现不同系统、不同应用之间的互联互通，提高数据整合和共享效率，优化管理和服务流程。

统一身份认证平台在解决高校信息化建设中的身份认证难题、提升信息系统整合能力、改善用户体验等方面具有重要作用。

为深入探讨统一身份认证平台在高校信息化建设中的应用现状及未来趋势，本文旨在从研究背景、研究意义和研究目的三个方面展开阐述。

1.2 研究意义高校信息化建设是当前高校管理和发展的重要趋势，而统一身份认证平台作为信息化建设的重要组成部分，对于提升高校信息化管理水平和效率具有重要意义。

统一身份认证平台可以统一高校各类系统的用户身份认证，提高信息系统的安全性和稳定性，有效防范各类网络安全风险。

统一身份认证的设计与实现

3
结束语
本系统主要实现了单点登录、用户管理、统一身份认证管理、授权管理等功能, 从一定程度提高了系统管理效率, 避免了大量重复开发。但是本文对认证服务的安全性和访问控制策略考虑得不够深刻, 然而随着我国信息技术的高速发展, 未来必将会对统一身份认证系统提出更高的要求。
1
统一身份认证的设计与实现
1. 1 系统基本设计
本文所探讨的系统采用的结构是浏览器- 客户端, 使用 Java 语言, 其中 W eb 应用程序是采用三层架构的。身份认证过程包括以下内容: 首先在登录系统时, 要验证用户名和密码, 成功通过后, 要保存此用户的一些身份信息, 进入统一登录界面, 根据用户权限, 用户可以访问相应的系统, 并进行相关模块操作。整个统一身份认证系统是由服务访问者、服务响应者、网络服务中心、 U DDI 中心数据和用户管理组成的, 详细如图 1 所示。建立一种统一门户和统一身份认证系统及管理平台, 将财务、教学、学生、后勤等应用系统集成到统一门户平台中, 实现统一身份认证和单点登录, 使用户登陆所有应用系统都使用唯一的用户名和口令并且访问多个系统时只
0
引言
随着网络信息技术的发展, 特别是近年来高校校园网
一身份认证体系上保持外部应用系统用户数据和平台用户数据的同步, 发挥统一身份认证系统良好的兼容性与易移植性。
络建设不断完善和性能提高, 校园网内部运行的应用系统也是日益增多。一般说来, 这些各自独立的系统各自拥有一套用户及不同的身份认证方式, 结果造成多套用户存在着用户信息冗余、用户多密码记忆和多点登录等问题。如何既安全又方便地实现用户认证, 是一个需要解决的问题。这就要求我们通过一个公共平台把各自独立的应用系统的身份认证、授权和用户管理统一起来, 并把各自应用系统有效地集成, 实现用户的一次登录, 从根本上提高系统管理效率和安全。

数字化校园统一身份认证平台建设方案

数字化校园统一身份认证平台建设方案
数字化校园统一身份认证平台建设方案
1.1.1.平台概述
建立电子身份认证系统，实现统一的用户管理与权限控制。

身份认证系统将是数字化校园的重要组成部分，为各应用系统提供集中的身份认证服务，提高数字化校园应用系统的安全性。

通过指定相应的集中认证技术规范，提供统一的应用系统用户管理接口，最终实现所有新建系统用户认证的统一集中化管理，做到真正意义的集中认证。

该系统为数字化校园的所有用户提供统一的身份确认与权限交付。

用户通过统一信息门户实现单点登录，整体上避免重复投资。

单点登录
图书管系统
认证数字证书（）认证
1.1.
2.平台功能
⑴建立统一的用户身份数据中心，为用户身份提供集中
和统一的管理，保证用户身份的真实性、保密性、完整性。

⑵提供统一的身份认证，建立信息系统访问的身份信任
关系。

⑶提供单点登录（SSO ），一次认证，畅通无阻。

⑷基于WEB 界面系统管理，SSL加密传输，方便安全。

⑸用户身份来源于用户的产生部门，由身份同步机制自
动同步到用户身份中心。

（根据需要可开放注册）
⑹用户权限基于实际用户在不同系统中的权限管理，保
证了应用系统的独立、安全、可靠。

⑺系统具有密码找回功能，降低了系统管理员的负担。

除支持B/S用户名密码认证外，针对实际需求还可支持数字签名认证，卡认证等。

校园信息门户统一身份认证系统的设计

ＳＳｅｒｏｋｔＬｙｒｉ个统一身份认证系统是解决校园网内部应用系统集中的有效途读写权限，通过支持基于ＳＬ（ｅｔｅＳｃｅｓａｅ）的安全机制完成对明文加密，能提供更安全的保障。径。
１．统一身份认证系统关键技术概述
录，就可以实现应用漫游，访问所有被授权的应用系统，对统一身份认证系统整体设计思想、结构框架、关键技术的实现进行论述。
关键词：统一身份认证；单点登录；数字化校园
ＡｂｔａｔＡｎｉｏｍｉｅｉｙａｔｅｔｃｔｏｅｖｃｌｔｏｍａｅｎｓｎｅｓｇｎｗａｏｓｒｃｅｓｒｅ：ｕｆｒｄｎｔｔｕｈｎｉａｉｎｓｒｉｅｐａｆｒｂｓｄＯｉｇｌｉｎｏｓｃｎｔｕｔｄ．Ｔｈｅｄｓｇｄｐａｆｒｐｒｖｄｓｅｉｎｅｌｔｏｍｏｉｅ
１１目录服务．
目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。它将分布式系统中的用户、资源和组成分布式系统的其他对象统一组织起来，提供一个单一的逻辑视
３跨平台支持．
由于ＬＰＳｒｅ运行在ＴＰＩＤＡｅｖｒｃ／Ｐ上层，联网上的各种应互用，无论是运行在Ｕｉｎｘ还是在Ｗｉｄｗ，都可以通过ＴＵｎｉｒＩｅｔｔｙｗｏｄ：ｆｍｄｎｉｙＡｕｔｎｉａｉｎ；ＳｉｇｌｉｎＯｎ；ＤｉｉａＣａｕｓｏｈｅｔｃｔＯｎｅＳｇｇｔｌｍｐ

统一身份认证系统的设计与实现

统一身份认证系统的设计与实现随着互联网的快速发展和普及应用，人们对于网上服务的需求也越来越高。

无论是网上购物、在线银行还是社交媒体，这些服务都要求用户进行身份认证，以确保用户信息的安全性和服务的可信度。

为了解决这个问题，统一身份认证系统应运而生。

统一身份认证系统是一种集中管理和授权用户身份的系统，其核心目标是实现用户在多个应用中使用同一个身份标识进行认证和授权。

这样用户只需要一次认证，便可获得对多个应用的访问权限，提高了用户的便利性和服务的效率。

设计和实现一个好的统一身份认证系统涉及到多个方面的考虑和技术的应用。

下面将从以下几个方面介绍。

首先，安全性是统一身份认证系统设计的重中之重。

用户信息的安全性是用户选择使用该系统的最基本的保障。

设计者需要使用最先进的加密算法和安全协议来保护用户的个人信息，以防止用户信息被盗用或泄露。

其次，系统的可扩展性也是一个重要的考虑因素。

随着用户数量和业务规模的增长，系统需要能够处理大规模的身份认证请求。

可扩展性的设计可以包括将系统划分为多个分布式节点，采用负载均衡和故障恢复机制来提高系统的稳定性和可用性。

另外，用户体验也是统一身份认证系统设计的关键。

用户在登录和认证过程中，如果体验不好，可能会降低用户使用该系统的积极性。

因此，设计者需要考虑简化认证流程、增加多种认证方式和提供忘记密码等用户友好的功能。

除了以上方面，统一身份认证系统还需要和其他系统进行无缝集成。

这意味着系统需要支持各种不同的协议和接口，以实现与不同应用系统之间的数据交互和认证授权的传递。

例如，系统可以支持OAuth和SAML等标准协议，以适应不同应用的要求。

对于统一身份认证系统的实施，需要一定的技术支持。

开发团队应具备丰富的安全和身份认证技术的知识，熟悉常用的身份认证协议和加密算法。

同时，合理的项目管理和团队协作也是保证项目能够按时交付和高质量实现的重要因素。

总结起来，统一身份认证系统的设计与实现是一个复杂而又关键的任务。

校园网统一身份认证系统的设计方案(doc 7页)

校园网统一身份认证系统的设计方案(doc 7页)部门： xxx时间： xxx整理范文，仅供参考，可下载自行编辑校园网统一身份认证系统的设计与实现摘要随着高校信息化建设和互联网技术的不断发展，很多高校在不同阶段开发出了许多应用系统，这些系统可能是跨平台跨域的，都有其独立的安全验证机制。

用户使用的应用系统越多，所妯须记住的用户ID和用户密码就越多；客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。

因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要步骤。

从LDAP协议出发，描述了典型的校园网络中如何实现多系统之间的统一身份认证。

关键词：LDAP；目录服务；单点登录机制；统一身份认证前言随着信息技术的不断发展，学校信息化建设的不断推广和深入，数字化校园已成为建设现代化高校的建设目标之一，基于校园网的应用系统也会越来越多，如网络课堂、数字化图书馆、网络视频会议、一卡通系统等。

另外，网络用户、网络带宽需求、联网主机数量的急剧增大，都对数字化校园的管理提出了挑战。

而不管哪种应用系统，都需要对用户的身份进行识别认证，同时对不同的身份所拥有的操作权限进行授权。

用户使用的应用系统越多，所必须记住的用户ID和用户密码就越多，客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。

因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要内容。

第1章 LDAP目录服务和统一身份认证系统目前主流的统一身份认证方案中，都使用了目录服务技术。

随着轻量级目录访问协议(LightDirectory Access Protocol，LDAP)技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。

校园网统一认证身份平台的设计与实施

超过一定期限的用户如果未被激活，则自动删除：② 用户的对象除了标准
的属性，还需要增加一个描述权限的属性。这个权限的属性内存储的是
ｘ文档，所有应用的权限都保存在这里；③ 用户只能设置他自己的个人肌
信息，管理员可以设置他管辖的所有人员的信息；④ 管理员可以增、删、
存储，对应用系统统一授权、规范应用系统的用户认证方式，从而达到１校园罔统一认证身份平台相关内窖及技术分析
１１用户管理．
提高整个系统的整体性、可管理性和安全性的效果
用户是指统一身份认证系统所管理的用户，这个用户是身份认证系统
改用户，可以移动用户实现用户岗位的调动：⑤ 用户可以自己开启或者停止自身的若干服务，设置系统的参数；⑥ 用户的口令、数字证书等关键信
息都存储在目录服务器中，这些信息均采用了高强度加密算法进行了加
一
息的应用系统进行发送；③ 消息插件。所有需要订购消息的应用系统均需
要按照一定的标准开发消息插件，此插件运行在身份管理服务器端，需要先进行注册。消息中心将启动已注册的插件，并将消息发送给这些插件，这些插件再将消息按照其自己的标准传进各应用系统。３）用户状态查询。支持多种用户状态，如停用、在线、离开、离线等等，可以实时记录用户的状态，并提供用户和其它应用查询。为实现应用系统单点登陆奠定了基础。４）支持事务。对系统的修改往往是连动的，也就是可能若干信息需要同时修改。统一身份管理服务支持将一组需要修改的信息一并处理完成，保证系统数据的完整和安全。１４统一身份认证服务．统一的身份认证服务器提供统一身份认证服务，可以为应用系统提供用户身份认证。作为统一身份认证系统的重要组成部分，具有以下功能：

统一身份认证及集中登录系统建设方案

统一身份认证及集中登录系统建设方案1. 背景随着信息化的发展，各类应用系统不断增加，人们的工作、研究和生活中需要使用的系统也越来越多。

但是，由于每个系统都有独立的用户账号和密码，用户需要记忆多个不同的账号和密码，给用户带来了不便和困扰。

统一身份认证及集中登录系统的建设就是为了解决这个问题。

2. 方案介绍我们的方案是建立统一身份认证及集中登录系统，实现一个单点登录的体验。

具体实施过程如下：2.1 统一身份认证首先，我们将建立一个统一的身份认证系统，该系统将负责验证用户的身份信息。

每个用户将被分配一个唯一的身份标识，该标识将用于识别用户在各个系统中的身份。

2.2 集中登录系统其次，我们将建立一个集中登录系统，该系统将充当用户与各个应用系统之间的中间层。

当用户在集中登录系统中进行登录操作时，系统将验证用户的身份信息并分发一个登录凭证给用户。

2.3 单点登录最后，我们将实现单点登录功能。

一旦用户在集中登录系统中成功登录，他们将无需再次输入账号和密码即可访问其他各个应用系统。

这将极大地提高用户的使用便利性和效率。

3. 实施计划为了顺利实施统一身份认证及集中登录系统建设方案，我们制定了以下实施计划：3.1 需求分析在开始实施前，我们将与各个应用系统的负责人进行需求分析会议，了解各系统的用户认证方式、要求和接口等相关信息，以确保我们的方案能够兼容并满足各个系统的需求。

3.2 系统设计和开发在需求分析完成后，我们将进行统一身份认证系统和集中登录系统的设计和开发工作。

通过精心设计的系统架构和合理的开发策略，我们将确保系统的稳定性和安全性。

3.3 测试和优化完成系统设计和开发后，我们将进行系统测试和优化工作。

通过不断的测试和优化，我们将确保系统在各种场景下的稳定性和性能。

3.4 上线和培训在测试和优化完成后，我们将正式上线统一身份认证及集中登录系统，并进行相关用户和管理员的培训，以确保他们能够顺利地使用和管理系统。

统一身份认证设计方案和对策(最终版)

集中审计管理系统：提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息，支持应用系统、用户登录、管理操作等审计管理。
平台总体逻辑结构
总体逻辑结构图如下所示：
如图所示，平台以PKI基础服务、加解密服务、SAML协议等国际成熟技术为基础，架构统一信任管理平台的管理系统，通过WEB过滤器、安全代理服务器等技术简单、快捷实现各应用系统集成，在保证系统安全性的前提下，更好的实现业务系统整合和内容整合。
集中用户管理系统主要是完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统用户管理的安全风险。
集中用户管理功能示意图
管理服务对象
集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务，具体对象可以分为以下几类：
最终用户
自然人，包括自然人身份和相关信息
集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。
集中证书管理系统：集成证书注册服务（RA）和电子密钥（USB-Key）管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。
平台功能说明
平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能，总体功能模块如下图所示：
总体功能模块图
集中用户管理
随着企业整体信息化的发展，大致都经历了网络基础建设阶段、应用系统建设阶段，目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。随着企业的网络基础建设的不断完善和应用系统建设的不断扩展，在信息化促进业务加速发展的同时，企业信息化规模也在迅速扩大以满足业务的发展需要，更多的人员被融入信息化环境，由此突出反映的事件是无论是网络系统、业务系统、办公系统，其最终的主体将是企业内外的人员，每一为人员承担着使用、管理、授权、应用操作等角色。因此对于人员的可信身份的管理显得尤为重要，必将成为信息化发展的重中之重，只有加强人员的可信身份管理，才能做到大门的安全防护，才能为企业的管理、业务发展构建可信的信息化环境，特别是采用数字证书认证和应用后，完全可以做到全过程可信身份的管理，确保每个操作都是可信得、可信赖的。

统一身份认证系统的设计与实现

统一身份认证系统的设计与实现在当今信息化时代，各种网站、APP数量庞大，为了方便用户使用，很多应用都提供了注册功能。

但是，每个应用都要求用户注册一套账号密码体系，这不仅给用户带来了极大的麻烦，还造成了账号密码的泄露和安全问题。

为了解决这些问题，统一身份认证系统应运而生。

一、什么是统一身份认证系统？统一身份认证系统（简称“单点登录”）是一种用户授权认证系统，用户只需一次认证即可访问不同应用系统。

这样做的好处有很多，比如降低了用户的注册成本，提高了用户体验，减少了账号密码的泄露和安全问题。

同时，对于网站和应用开发者来说，统一身份认证系统可以大大减轻他们的开发工作量，提高应用安全性和稳定性。

二、统一身份认证系统的设计原则1. 安全性统一身份认证系统的首要任务是保证数据安全，确保用户的账号信息不被窃取。

因此，安全性一定是系统设计的首要原则。

在保证安全性的前提下，系统的架构应该简单、易于维护。

2. 开放性统一身份认证系统需要与各类系统集成，因此需要具备良好的开放性，能够很好地与各种系统兼容、交互。

3. 可扩展性应用系统数量和种类的增加，快速发展的信息科技行业给单点登录系统带来了挑战。

系统设计需要有很好的可扩展性，可以根据业务发展的需求来扩大系统规模。

三、统一身份认证系统的架构设计1. 前端接入层前端接入层是单点登录系统的门面，主要负责和终端用户进行交互。

常用的前端接入方式有网页式登录、弹出式登录等。

对于结构复杂、页面较多的系统，可以通过提供API接口方式实现。

2. 认证服务层认证服务层是单点登录系统的核心，主要负责用户认证工作。

该层包括认证中心、认证数据库、认证协议、认证安全策略等组成。

3. 应用管理层应用管理层主要负责应用类型管理、应用系统配置、接入授权等功能。

通过该层，管理员可以管理单点登录系统中所有的企业信息和各种应用的接入配置信息。

4. 应用服务层应用服务层管理所有应用系统，负责应用系统的认证和授权，向认证服务器发送请求并处理相应结果。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

高校信息化统一身份认证的设计与规划【摘要】统一身份认证产生的背景是如今的数字化校园多样性与复杂性。

随着高校 it 应用的迅速发展，各种业务系统和用户数量在不断增加，网络规模也逐日扩大，访问控制和信息安全问题愈见突出，构建一个完整统一、高效稳定、安全可靠的集中身份管理和统一身份认证平台已经成为各大高校数字化校园建设的重要目标。

本文针对统一身份认证平台建设的原因、设计要求、系统规划、存储规划、接口规划等方面进行探讨和研究，并在华侨大学信息化校园建设中实施，取得了良好的成果。

【关键词】统一身份认证 ldap协议系统规划【中图分类号】g647 【文献标识码】a 【文章编号】1006－9682（2011）10－0093－02一、引言目前，各大高校的校园网络建设已基本完成，部分高校也已经建成了以“人、财、物”为管理核心的业务系统，但同时业务系统建设的参差不齐也带来了信息安全威胁、信息孤岛和管理责权不清等难题，所以，现在的信息化校园建设已由原来的网络基础建设和部分孤立应用系统的构建，逐渐向集成的全局信息系统建设方向转变。

随着高校it应用的迅速发展，各种业务系统和用户数量在不断增加，网络规模也逐日扩大，访问控制和信息安全问题愈见突出。

原有分散的“独立认证、独立授权、独立帐号管理”的模式已不能满足高校目前及未来发展的要求，因此，构建一个完整统一、高效稳定、安全可靠的集中身份管理和统一身份认证管理已成为各大高校数字化校园建设的重要目标。

二、需求分析华侨大学2006年启动信息化校园项目，在规划设计信息化校园过程中，首先就考虑到统一身份认证管理。

经过调查，各高校在身份管理和身份认证方面主要存在以下问题：①各个业务系统管理分散，分别由相应的系统管理员负责维护和管理。

无法统一尺度的管理用户帐号，形成了帐号信息孤岛，因重复管理而付出高昂的管理成本。

②各个业务系统采用不同的认证技术和规范，不同认证系统之间数据不统一。

③帐号存在多人使用问题，发生安全事故后难于确定帐号的实际使用者，难于对帐号的扩散范围进行控制，容易造成安全漏洞。

④因学生毕业、教职工离职、it服务商测试等原因出现的“幽灵帐号”问题无法得到解决，存在严重的安全隐患。

⑤没有集中的帐号管理平台，无法按流程自动处理对帐号的生命周期管理。

⑥不能统一对帐号设置口令安全策略，无法实现对口令进行统一的强度控制和定期自动更改等功能。

⑦缺乏合理的审计手段，出现问题难以审计，因无据可查导致责任难以定位。

⑧用户需要记忆多套帐号/口令，在使用多个系统时需要重复输入帐号/口令等信息，操作繁琐，极不方便。

⑨没有统一的授权管理功能，因权限控制不严造成信息泄漏。

三、统一身份认证设计要求经过多年在高校身份管理和身份认证方面的研究和实践，针对高校身份认证方面存在的主要问题，我们提出了基于4a规范（访问控制（authentication）、身份管理（account）、统一授权（authorization）、安全审计（audit）四个方面）的身份统一认证管理概念。

设计一个好的高校统一身份认证管理平台，必须要考虑到：1．通用性需要与被保护应用系统的业务逻辑无关，无需安装代理；支持多应用系统之间的单点登录。

并考虑到与使用平台无关才能保证通用性。

2．标准化符合业内国际标准，具有很好的开放性。

标准包括ldap、jaas、http、ssl、tls、saml。

3．高安全性通过整体部署的安全性、安全审计、密码策略和行为统计等多种控制手段保证平台高度安全。

支持集群、热备、负载均衡部署。

遵从萨班斯（sox）法案404条款中关于用户帐号安全的标准。

4．可集成性支持对不同开发平台、不同开发模式的应用系统的认证集成和单点登录集成，需要提供多种成熟认证接口。

5．易用性友好易用的界面，要符合用户的操作习惯。

集中的身份帐号管理，有利于用户帐号的维护。

6．高稳定性对于部署要求支持多主复制，可实现远程灾备的要求。

对相关的设备和服务进行实时监控，出现异常时会自动预警，并立刻通知相关责任人，保证系统安全稳定运行。

7．适应高校管理模式由于高校教职工多重身份、多重职务的现状。

需要定义用户多重身份属性和存储。

四、统一身份认证系统规划高校统一身份认证主要使用者是高校信息中心管理员。

给管理员提供一个功能全面且易用的身份管理的平台，确保管理员能够管理全校的身份数据及其权限关系，掌握全校身份数据的管理状态和使用状态，审计全校身份数据管理和使用的问题，监控平台各系统服务的运作状态。

完善的高校统一身份认证管理应该包括概况、帐号、认证、授权、审计、监控和系统功能这些模块：1．概况展现了当前身份管理平台内一些重要的状态数据，可使管理员对当前系统的运行状态一目了然，便于管理员及时发现问题和异常。

2．帐号用于帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。

3．认证提供对系统身份认证的管理功能，用于管理全校已经集成的所有应用系统，每个集成的应用系统均需要一个认证应用帐号来进行身份认证集成和sso集成。

全校已经集成的应用系统在此功能中一目了然。

4．授权提供身份类型组的管理功能。

身份类型组用于区分用户的身份类型，这个区分是粗粒度的区分，不会很细化，其目的就是为那些无法进行授权的系统提供大致的人员区分，例如有些无线设备没有自身的数据库，就需要通过这些数据来区分用户。

5．审计为管理员及时发现问题之用，可发现帐号、认证和授权中出现的一些问题：例如帐号审计可以发现休眠帐号、孤儿帐号和密码强度不符合要求的帐号；认证审计可以找出恶意认证的帐号和密码暴力猜解的帐号。

6．监控为管理员提供了掌握系统运行各项服务运行状态，管理员可实时掌握系统的运行状态。

五、统一身份认证数据存储规划高校统一身份认证管理的数据存储，选择采用ldap协议，是因为：首先，ldap目录服务采用一种分布式的目录树结构存储用户信息，具有读取速度快，扩展方便的特点；其次，ldap也提供安全功能；最后，当用户的身份被识别后，它可以控制用户对网络资源、应用程序及其它网络服务的访问。

ldap协议ldap（lightweight directory access protocol），即轻量级目录访问协议。

它是基于x.500标准的，但ldap更简单并且可以根据需要定制。

同时，ldap支持tcp/ip，这对访问internet 是必须的。

目前，ldap已经得到了业界的广泛认可，大多数的产品都提供对ldap的支持。

使用ldap数据库来存储高校所有用户的帐号信息，包括密码（密码不可逆，默认用ssha加密），其目的是为了提供身份认证服务。

可以对ldap目录进行扩展，以管理高校用户特定的身份属性。

支持ldap的多主复制，能够提供双ldap部署，满足系统的稳定性要求。

可对外提供直接的ldap认证服务。

关系型数据库用来存储高校所有用户的身份信息，不存储密码，目的在于提供灵活高效的身份管理功能。

存储系统运行的所有日志数据，用于平台的统计功能和审计功能。

存储系统运行所需要的所有配置数据，可通过界面灵活配置。

六、统一身份认证接口规划高校统一身份认证管理的重要一点是要求提供良好的集成接口；集成接口主要用于被保护的应用系统，即提供一些api供应用系统调用，从而使各个应用系统实现统一身份认证和单点登录。

集成接口分为证接口和ldap接口两类。

1．认证接口为外部应用访问统一身份认证平台提供了高可用性和跨平台的接口和通道。

通过认证接口可以获得用户身份认证、用户身份数据提取、单点登录等服务。

需要提供面向多种操作系统平台和开发框架的客户端，从而实现跨平台能力；能支持多种语言，包括c（c＋＋）、com、java、php语言；通过认证接口客户端提供身份认证、身份数据访问和单点登录功能；具有自我监控机制，出现故障时可以自动重启并通知相关责任人。

2．ldap接口该类接口有非常特殊的运用场景，主要针对于高校中瞬时并发认证压力很高的应用，比如选课系统和选宿舍系统。

为了满足高认证并发的要求，该类接口直接使用ldap协议访问ldap目录服务器，从而完成业务系统对ldap的直接访问，迅速返回业务系统需要的信息。

因此，该接口能满足短时间内上万人次的认证，并且具有更高的稳定性。

七、结束语统一身份认证产生的背景是如今的数字化校园多样性与复杂性，在华侨大学数字化校园上线的系统及应用近20多个，如果按照传统的开发模式，每个应用系统都必须开发各自独立的用户认证模块，那数字化校园就形同散沙，只会消耗开发成本和延缓应用开发进度；用户需记忆多个账户和口令；无法统一认证和授权；无法统一分析用户的应用行为。

所以统一身份认证系统的开发和应用显得尤为重要。

所以华侨大学数字化校园建设首先着手的就是建立完善安全统一身份认证平台。

现在大部分服务与应用都基于此平台运行，取得了良好成果，使得华侨大学信息化校园建设，走在全省的前列。

参考文献1 裘慧奇.统一身份认证和单点登录系统分析［j］.电脑知识与技术，2008（13）2 左晓珲、沈富可、任肖丽、张巍.基于ldap的校园网统一身份认证技术简介［j］.计算机与数字工程，2006（9）3 刘永亮、张卫红、周骏.基于ldap的校园网统一身份认证的设计［j］.计算机与数字工程，2008（4）。