数字化校园统一身份认证系统的模型研究与实现

基于WebService的数字化校园统一门户平台构建研究摘要：天津师范大学校园门户平台的作用是在Internet环境下，把原有教务系统、科研系统、数据资源和新建的人事系统、档案系统、OA办公系统、空间信息系统集成到校园信息门户统一登录平台之中，根据各种角色用户权限的不同，形成个性化的应用界面，并通过后台数据仓库以及对事件和信息的处理传输，将用户有机地联系在一起。

关键词：信息门户网站；WebService Portal；系统集成；数据仓库0 引言天津师范大学设计的教育门户是天津师范大学信息化校园应用的支撑平台。

各应用系统通过Portal在应用层进行集成并提供给用户个性化的服务，是学校内网的应用平台。

1 天津师范大学数字化校园统一门户平台软件总体框架天津师范大学数字化校园统一门户平台总体框架包括两个层次：表示层和应用服务层。

表示层包括浏览器、邮件客户端、专用客户端；应用服务层包括WEB/Portal应用层、业务应用层、平台服务层、平台支撑层。

其中Web/Portal应用层包括社会公共信息、个人信息管理、门户信息发布、门户工具/服务、业务系统集成、综合信息查询，业务应用层包括科研系统、人事系统、OA系统、邮件系统、教务系统、档案系统；平台服务层包括灵活查询、用户管理与授权、身份认证与SSO、数据交换、服务接口；平台支撑层包括CleverPortal、CAS、Oracle Weblogic Server、JVM。

2 天津师范大学数字化校园统一门户平台设计基于天津师范大学应用系统的建设规模和模式，本项目应用系统的载体采用稳定、开放、安全和高性能结构的AIX操作系统、Clever Portal 和WebLogic应用服务器及Oracle数据库；硬件服务器采用稳定、高性能和纵向扩展性好的基于AIX操作系统的服务器,有效地保证了学校应用系统高效、不间断的运行。

应用平台符合J2EE标准，从逻辑上构造了门户平台、身份认证平台。

本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ～/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。

目录摘要 (3)Abstract (3)一．需求分析1.1 设计任务 (4)1.2 需求分析 (4)二．802.1X协议2.1 802.1x认证特点 (5)2.2 802.1x工作机制 (5)2.3 802.1x工作过程 (6)2.4 802.1x应用环境特点 (7)2.5 802.1x认证的安全性分析 (7)2.6 802.1x认证的优势 (7)2.7 802.1x认证的过程 (8)三．设计过程3.1 802.1x相关设置 (8)3.2 802.1x典型配置 (10)四．调试分析4.1 配置调试 (12)五．总结5.1 心得体会 (15)六．参考文献 (15)摘要数字化校园是数字化、信息化、智能化的统一，它在网络和数字化信息的基础上，利用计算机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理，在传统校园基础上构建了一个数字化空间，使这些信息资源能够有序地运转，更好地为教学、科研、管理和生活服务。

随着现代信息网络技术的发展，信息网在逐渐的庞大，同时作为教育中心的大学对数字化校园网的建设也加紧了步伐。

从一定意义上讲，校园网的建设是衡量一个高校综合实力的重要标志。

学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。

建设数字化校园目的就是充分利用现代信息技术，提高信息利用效率，提高学校教学、办公管理的水平，实现学校信息化管理，为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。

建立统一身份认证系统，对用户的身份集中统一管理，保证用户电子身份的惟一性、真实性与权威性，大大提高了数字化校园应用系统的安全性。

802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

统一身份认证系统数字化校园建设方案在数字化校园统一综合管理平台普及前，校园网各个应用系统相互独立存在，登录不同的应用系统都要设置登录密码并进行验证，造成应用系统认证资源的浪费，电子身份信息的重复、造假等弊端。

多个应用系统重复认证的弊端日益显露，数字化校园建设方案的不断完善，单点登录技术应运而生，建设安全有序的数字化校园统一身份认证系统得到重视。

安全有序的数字化校园统一身份认证系统通过集中身份认证，实现用户只需一次登录认证，就可访问所有相互信任的应用系统，实现对所有被授权的应用系统的无缝访问，保证了用户电子身份信息的唯一性、真实性、权威性。

数字化校园建设方案统一身份认证系统的工作机制用户通过用户名及密码认证等多种认证方式将用户登录信息传递给各应用服务器。

应用服务器在接收到用户提交的信息后。

向认证前置机发出认证请求。

认证前置机首先确认该应用服务器的应用是否是统一身份认证系统所认可的。

如果应用服务器的应用是统一身份认证系统所认可的，则认证前置机与后台的认证服务器进行用户认证信息确认。

在通过对用户身份认证的同时返回一个认证令牌给用户；否则，将直接返回失败信息，用户通过认证令牌即可访问应用系统，并可在其他统一身份认证系统所认可的应用系统间自由切换，无需再次认证。

数字化校园建设方案管理身份认证方案功能：(1)通过对在校已注册用户身份的认证提高了用户信息的安全系数。

(2)通过身份认证可以对已注册用户信息访问、修改、增加和删除。

(3)该方案是实现一卡通的基础．会给高校的管理带来极大的便利。

以安全有序为目的建设的浙江大学统一身份认证系统数字化校园建设方案统一身份认证系统建设目的在于构建浙江大学统一的数字身份管理与服务中心，保障学校信息资源的有序应用，确保学校信息资源和服务的安全。

统一身份认证系统由身份数据库、身份管理与数据服务、资源管理与访问控制、PKI基础设施、电子签章及其应用等组成，能够向全校范围内所有部门、信息系统提供用户身份数据服务，能够为网上审批、网上支付等应用服务提供数字证书认证，能够为学校整合现有的各种应用系统提供支撑，能够满足师生“单点登录、多点漫游”的需求。

统一身份认证系统数据存储研究与设计作者：刘玲,代智峰,左敏,姚林来源：《电脑知识与技术》2010年第22期摘要:结合数字化校园基础平台,对基于目录服务的统一身份认证体系结构进行了研究,对用户身份信息的存储、授权及认证管理进行了论述并从工程应用出发给出了相关实现模型。

关键词:统一身份认证;目录服务;数据采集;单点登录中图分类号:TP274文献标识码:A文章编号:1009-3044(2010)22-6222-02Research and Design of Data Structure in Uniform Identity Authentication SystemLIU Ling1, DAI Zhi-feng2, ZUO Min3, YAO Lin3(1.Center of Network Information, Southwest University of Science and Technology, Mianyang 621010, China; 2.Equipment Manufacturing Branch Company of Baoji Oilfield Machinery Company, Chengdu 621000, China; 3.Southwest Engineering Design Company of China Petroleum Corporation, Chengdu 621000, China)Abstract: Concerning the problem of identity authentication, taking the unified identity authentication system in university for example, made a deep study of identity authentication framework and made a exquisite description of the storage, authorization and authentication management in identity authentication structure.Key words: uniform identity authentication; directory service; data acquisition; single sign-on随着信息化建设的不断深入,特别是高校数字化校园的推行,各种网络应用系统相继建立,用户数量也日益增加。

校园网统一身份认证的研究与实现
宿宏毅
【期刊名称】《内蒙古石油化工》
【年(卷),期】2011(037)004
【摘要】本文根据目前数字化校园发展的现状对Web Services系统集成的校园网统一身份认证的方法进行了研究,该方法支特单点登录方式,通过一次身份验证,可以登录到所授权的应用,可以有效地管理校园网的访问权限,提高访问的安全性.【总页数】2页(P80-81)
【作者】宿宏毅
【作者单位】内蒙古化工职业学院,内蒙古,呼和浩特,010010
【正文语种】中文
【中图分类】TP393.180.7
【相关文献】
1.云环境下校园网统一身份认证与授权策略研究 [J], 刘波;廖娟;李松波
2.高校校园网统一身份认证系统的安全研究——以山西大学商务学院校园网为例[J], 冯小玲
3.漫谈基于LDAP的校园网统一身份认证系统设计 [J], 王砚瀚;叶本青
4.高可用LDAP校园网统一身份认证设计与实现 [J], 倪叶青
5.基于轻量目录访问协议技术的校园网统一身份认证的设计与实现 [J], 赵亚辉; 夏依旦·阿布拉; 阿孜古丽·阿布拉
因版权原因，仅展示原文概要，查看原文内容请购买。