校园网统一身份认证系统的设计方案
统一身份认证设计方案
统一身份认证设计方案目录1.1 系统总体设计 (4)1.1.1 总体设计思想 (4)1.1.2 平台总体介绍 (4)1.1.3 平台总体逻辑结构 (6)1.1.4 平台总体部署 (6)1.2 平台功能说明 (7)1.3 集中用户管理 (7)1.3.1 管理服务对象 (8)1.3.2 用户身份信息设计 (9)1.3.2.1 用户类型 (9)1.3.2.2 身份信息模型 (10)1.3.2.3 身份信息的存储 (11)1.3.3 用户生命周期管理 (11)1.3.4 用户身份信息的维护 (12)1.4 集中证书管理 (12)1.4.1 集中证书管理功能特点 (12)1.5 集中授权管理 (14)1.5.1 集中授权应用背景 (14)1.5.2 集中授权管理对象 (15)1.5.3 集中授权的工作原理 (16)1.5.4 集中授权模式 (16)1.5.5 细粒度授权 (17)1.5.6 角色的继承 (17)1.6 集中认证管理 (19)1.6.1 集中认证管理特点 (19)1.6.2 身份认证方式 (20)1.6.2.1 用户名/口令认证 (20)1.6.2.2 数字证书认证 (20)1.6.2.3 Windows域认证 (21)1.6.2.4 通行码认证 (21)1.6.2.5 认证方式与安全等级 (22)1.6.3 身份认证相关协议 (22)1.6.3.1 SSL协议 (22)1.6.3.2 Windows 域 (22)1.6.3.3 SAML协议 (23)1.6.4 集中认证系统主要功能 (25)1.6.5 单点登录 (25)1.6.5.1 单点登录技术 (25)1.6.5.2 单点登录实现流程 (28)1.7 集中审计管理 (31)1.1 系统总体设计为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
校园无线网一体化认证方案
校园无线网一体化认证方案分析目前大部分校园网都已经部署了完善的认证计费系统,建设无线校园网之后,如何在保证用户使用方便性的前提下实现有线和无线用户采用同样的认证系统,同样的用户数据?用户需要提供一体化认证方案来解决这些问题。
校园网认证的现状多数高校的有线网络都是采用的收费策略是校园网和教育网包月,出Internet和国际按照流量收费。
这种情况下,有线网络的认证流程是:A.用户插上网线系统自动检查用户的IP、MAC等绑定关系,或者客户端自动启动802.1x认证,如果用户不欠费,用户可以正常获得IP,可以不受限制的访问校园网和教育网;B.当用户有去往Internet或者国际的流量时,出口计费网关弹出认证页面,用户输入正确的用户名后可以访问Internet和国际网段;C.整个过程只有在用户流量出Internet时才需要用户输入用户名和密码进行确认,操作十分简洁。
图1 校园网中有线认证流程无线校园网认证遇到的问题当用户建设了无线校园网后,由于无线介质的开放性和终端的漫游特性,导致无线无法向有线网络那样实现用户、IP、MAC、端口的绑定,因此在接入无线网络时如果不对用户进行认证,就无法确定用户的身份,出现问题也就无法定位到用户,因此和接入有线网络不同,用户接入无线网络时必须先进行认证,然后用户才能访问网络资源,这样就存在如下问题:A.无线网络能否和有线网络使用同样的用户名密码?B.增加了接入无线网络的认证后,用户是否仍然使用相同的一次认证流程?一体化认证1.统一身份认证有线和无线统一身份问题,分三种情况:第一种情况:学校有专门的小区计费服务器,用户数据存储在认证服务器中。
这种情况下,无线系统和有线系统都通过标准的Radius协议和认证计费系统来进行用户名密码的验证,由于二者采用相同的服务器和数据库,很容易实现有线和无线统一用户名和密码;第二种情况:学校使用专门的计费网关,用户数据存储计费网关的数据库中,计费网关同时完成用户流量采集和用户认证计费工作。
校园信息门户统一身份认证系统的设计
S S e r ok t L y r i 个统一身份认证系统是解决校园网内部应用系统集中的有效途 读 写权 限 ,通过 支持 基 于 S L ( e teS c es a e )的安全 机 制完成 对 明文 加密 ,能 提供 更安 全的保 障 。 径。
1 .统一身份认证系统关键技术概述
录 ,就 可 以实 现应 用漫 游 ,访 问所 有 被授 权 的应 用 系统 ,对 统 一 身份 认证 系 统整 体设 计思想 、结构 框 架 、关 键技 术 的实 现进 行 论述 。
关 键词 :统一 身份 认证 ;单点 登 录 ;数字 化 校 园
Ab t a t A nio m ie iy a t e tc to e vc lto m a e n sn e sg n wa o sr ce sr e: u fr d ntt u h n ia in s r ie paf r b sd O igl in o s c n tu td.The d sg d pa fr pr vd s eine lto m o ie
11目录服务 .
目录服 务就 是按照 树状 信息组 织模式 , 实现信 息管 理和服 务 接 口的一种 方法 。 它将 分布 式系 统 中的用 户 、 资源 和组 成分 布 式系 统 的其他 对 象统 一组 织起 来 ,提 供一 个 单一 的逻 辑视
3跨 平 台支 持 .
由于 L PS re 运行 在 T PI DA evr c/ P上层 , 联 网上 的各 种应 互 用 ,无论 是运 行在 U i nx还是 在 Wid w ,都 可 以通 过 T Uni r I e tt y wo d : f m d n iy Aut n i a i n;Si gl i n On; Di ia Ca us o he tc tO n eSg g tl mp
校园网基础上的统一身份认证系统建设
校园网基础上的统一身份认证系统建设摘要基于校园网的应用系统的建设带来一个用户需要许多账号和密码的问题,使用统一身份认证系统可以实现用户单点登录、多种方式认证。
对统一身份认证服务的组成和实现进行了论述,并给出了一个使用统一身份认证的校园门户的结构框架。
就校园网统一认证身份平台相关内容进行分析,重点探讨用户管理、权限管理、统一身份管理服务和统一身份认证服务设计要求和技术特点。
关键词校园网身份认证身份管理一、统一身份认证在高校信息化建设中的重要作用目前,各大高校也在整合自己的网上资源,把各个独立信息系统的认证统一起来,实现统一身份认证,通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数,简化登录过程,实现一次登录多点使用,实行统一管理,方便用户的同时也极大的提高了信息系统的安全性。
校园网内用户只要登录一次就可以访问其它的网络资源。
可以说随着高校信息化建设的发展,统一身份认证是重中之重。
对于维护校园网络安全,更好的保证校园网的稳定工作,有着重要的作用和意义。
二、校园网统一认证身份平台相关内容及技术分析1、用户管理用户是指统一身份认证体统所管理的用户,这个用户是身份认证系统总管理的一种对象。
所有用户都必定归属到一个特定的机构。
和机构与用户组共同组成一棵树。
用户管理实现了以下功能:①用户可以自注册,填写自己的基础信息,管理员可以激活用户。
注册的用户激活有时间限制,超过一定期限的用户如果未被激活,则自动删除;②用户的对象除了标准的属性,还需要建立一个描述权限的属性。
这个权限的属性内存储的是XML文档,所有应用的权限都保存在这里;③用户只能设置它自己的个人信息,管理员可以设置他管辖的所有人员的信息;④管理员可以增、删、改用户,可以移动用户实现用户岗位的调动;⑤用户可以自己开启或者停止自身的若干服务,设置系统的参数;⑥用户的口令、数字证书等关键信息都存储在目录服务器中,这些信息均采用了高强度加密算法进行了加密。
统一身份认证设计方案(版)
统一身份认证设计方案日期:2016年2月目录1.1 系统总体设计 (5)1.1.1 总体设计思想51.1.2 平台总体介绍61.1.3 平台总体逻辑结构71.1.4 平台总体部署8 1.2 平台功能说明 (8)1.3 集中用户管理 (9)1.3.1 管理服务对象101.3.2 用户身份信息设计111.3.2.1 用户类型111.3.2.2 身份信息模型111.3.2.3 身份信息的存储121.3.3 用户生命周期管理121.3.4 用户身份信息的维护13 1.4 集中证书管理 (14)1.4.1 集中证书管理功能特点14 1.5 集中授权管理 (16)1.5.1 集中授权应用背景161.5.2 集中授权管理对象171.5.3 集中授权的工作原理181.5.4 集中授权模式191.5.5 细粒度授权191.5.6 角色的继承20 1.6 集中认证管理 (21)1.6.1 集中认证管理特点221.6.2 身份认证方式221.6.2.1 用户名/口令认证231.6.2.2 数字证书认证231.6.2.3 Windows域认证241.6.2.4 通行码认证241.6.2.5 认证方式与安全等级241.6.3 身份认证相关协议251.6.3.1 SSL协议251.6.3.2 Windows 域251.6.3.3 SAML协议261.6.4 集中认证系统主要功能281.6.5 单点登录291.6.5.1 单点登录技术291.6.5.2 单点登录实现流程31 1.7 集中审计管理 (35)为了加强对业务系统和办公系统的安全管控,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.1 总体设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:在内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
XXXX网络统一身份认证计费管理系统建设方案(综合)
XXXX学院网络统一身份认证计费管理系统建设方案2016年03月页脚内容1目录一................................................................................................... 计费系统设计规划4二.......................................................................................................... 方案建设目标4三.................................................................................................................. 总体方案51. .............................................................................................................. 方案设计5A.方案(串连网关方式)5B.方案(旁路方式+BRAS,BRAS产品)7四.....................................................认证计费管理系统与统一用户管理系统的融合144.1统一用户管理系统的融合 (14)4.2一卡通系统的融合 (15)4.3用户门户系统的融合 (15)五................................................................................... 认证计费管理系统功能介绍16六.................................................................................................................. 用户案例226.1清华大学案例介绍 (22)6.2成功案例-部分高校 (27)页脚内容26.3系统稳定运行用户证明 (27)七.实施方案 (35)7.1实施前准备工作 (35)7.2认证计费系统安装 (35)7.3实施割接前测试工作 (35)7.4实施中割接、割接后测试工作 (36)页脚内容3一.计费系统设计规划XXXX技术学院整体用户规模设计容量为10000用户,同时在线用户规模为5000人,具有多个出口线路;网络特点呈现高带宽,高用户,多种接入方式使用人群,并且在未来还会以多种网络架构存在(有线,无线)。
统一身份认证平台实施方案
统一身份认证平台实施方案一、背景介绍随着互联网的快速发展和信息化建设的深入推进,各类应用系统和服务平台不断涌现,用户的数字身份信息也变得越来越重要。
然而,由于不同系统间的数据孤岛和信息壁垒,用户需要在多个系统中重复注册、登录,给用户带来了诸多不便,也增加了系统管理和维护的难度。
为了解决这一问题,统一身份认证平台应运而生。
二、实施目标统一身份认证平台的实施目标是为了实现用户在不同系统中的单点登录和统一身份认证,提高用户体验,简化系统管理,降低运维成本,提升信息安全性。
三、实施方案1. 系统整合首先,需要对现有的各类应用系统进行整合,将它们接入统一身份认证平台。
通过统一身份认证平台,用户只需进行一次登录,即可访问所有接入系统,实现单点登录的便利。
2. 用户信息同步其次,需要确保用户在不同系统中的身份信息是同步的。
一旦用户的身份信息发生变化,统一身份认证平台能够及时更新并同步到所有接入系统中,保证用户信息的一致性和准确性。
3. 安全保障在实施统一身份认证平台时,信息安全是至关重要的。
需要采取多种安全措施,包括加密传输、身份认证、访问控制等,确保用户的身份信息不被泄露和篡改。
4. 用户体验优化统一身份认证平台的实施还应该注重用户体验的优化。
通过统一的登录界面、统一的用户信息管理界面等,为用户提供统一、便捷的操作体验,提升用户满意度。
5. 运维管理最后,需要建立完善的统一身份认证平台的运维管理机制,包括监控系统运行状态、定期检查系统安全性、及时处理系统故障等,确保统一身份认证平台的稳定运行。
四、实施效果通过统一身份认证平台的实施,可以实现以下效果:1. 用户体验提升:用户无需重复注册、登录,提高了用户的使用便利性和满意度。
2. 系统管理简化:统一身份认证平台减少了系统管理和维护的工作量,降低了运维成本。
3. 信息安全性提升:通过统一身份认证平台的安全保障措施,可以有效保护用户的身份信息安全。
4. 数据一致性:用户在不同系统中的身份信息保持一致,避免了数据冗余和不一致的问题。
校园网环境下统一身份认证系统的设计与实现
第 2 4卷 第 1期
21 0 0年 3月
湖 北 汽 车 工 业 学 院 学 报
J Hn l fHu e tmoieId sr sI si t o ra b i o Auo t n u t e n t ue v i t
随着高 校信 息化建 设不 断深 人 . 高 校纷纷 开 各
始 建立 各种 网络应 用 系统 。 经过 多年不 断 的积 累和
改进 以及 网络 应用 开发 技术 的不 断飞速 发展 . 加之
使 得管 理用 户任 务繁重 2 )每个 应 用 都 开 发 自己 的用 户 认 证 系统 . 造 成重 复开 发 , 不利 于跨 系统 的整合 因此 . 立一个 为 所有应 用 服务 的统一 的身份 建
关 键词 :统一 身份 认 证 ; bS ri ;实现 We ev e c
中 图分 类号 : P 9 T 39 文献柄一码: -A 、= - A 文 章 编 号 :1 0 — 4 3 2 1 ) 1 0 3 — 3 0 8 5 8 (0 00 — 0 5 0
De i n n I p e e a i n o sg a d m lm nt to fUni e s lAut ntc to S se v r a he ia i n y t m i Ca pusNe wo k n m t r
基 金 项 目 :湖北 省 教 育 厅 科 学 研 究 计 划 项 目( 2 0 2 0 1 B0630 )
作 者 简 介 : 正清 (9 3 1 )男 , 北 武 汉 人 , 士 , 事 计 算 机 网 络 、 潘 16 — 1 , 湖 硕 从 网络 建 模 等 研 究 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校园网统一身份认证系统的设计与实现 摘要 随着高校信息化建设和互联网技术的不断发展,很多高校在不同阶段开发出了许多应用系统,这些系统可能是跨平台跨域的,都有其独立的安全验证机制。用户使用的应用系统越多,所妯须记住的用户ID和用户密码就越多;客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此,建立一个统一身份认证系统,对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要步骤。从LDAP协议出发,描述了典型的校园网络中如何实现多系统之间的统一身份认证。
关键词:LDAP;目录服务;单点登录机制;统一身份认证 前言 随着信息技术的不断发展,学校信息化建设的不断推广和深入,数字化校园已成为建设现代化高校的建设目标之一,基于校园网的应用系统也会越来越多,如网络课堂、数字化图书馆、网络视频会议、一卡通系统等。另外,网络用户、网络带宽需求、联网主机数量的急剧增大,都对数字化校园的管理提出了挑战。而不管哪种应用系统,都需要对用户的身份进行识别认证,同时对不同的身份所拥有的操作权限进行授权。用户使用的应用系统越多,所必须记住的用户ID和用户密码就越多,客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此,建立一个统一身份认证系统,对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要内容。
第1章 LDAP目录服务和统一身份认证系统 目前主流的统一身份认证方案中,都使用了目录服务技术。随着轻量级目录访问协议(LightDirectory Access Protocol,LDAP)技术的兴起和应用领域的不断扩展,目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案,特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面,都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。根据美国著名的网络顾问公司Burton Group的说法: “目录服务是由系统安全架构、应用程序与其他网络服务所构成的分布式计算环境的中心点,也是大型分布式运算环境中的最重要的元件,而它的实现会为我们所熟知的网络运算模式带来根本的改变"。 LDAP最大的优势是:它是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。它可以应用在任何计算机平台上,很容易获得,而且它也很容易定制应用程序为它加上LDAP的支持。其次,它有优秀的检索性能,LDAP在处理大量用户并发检索访问问题上优势明显,具有比关系数据库系统更快的响应速度。第三,它有完善的安全机制,LDAP通过访问控制列表ACL设置对目录数据的读和写的权限,通过支持基于SSL(Secure Socket Layer)的安全机制完成对明文加密,能提供更安全的保障。第四,同步复制功能,分布在不同地域的两台目录服务器通过使用“推”、“拉”技术,使服务器保持数据的同步和一致啦’。由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统中大量用户口令的存储和管理的要求,因此,在统一认证系统的设计中,目录服务数据库是整个统一认证系统的基础。采用标准的LDAP目录服务数据库,通过LDAP目录服务将用户和应用系统的信息以层次结构、面向对象的数据库的方式加以集中和管理,保证了数据的一致性和完整性,为各类应用系统提供用户信息的共享和使用。 第2章 校园网统一身份认证系统的设计 在建立基于LDAP统一身份认证系统的过程中,既要方便新建立的系统使用统一身份认证子系统,又要照顾原来建立的老系统,使原有系统做尽可能小的变动就可以使用统一身份认证子系统,最大限度实现数据整合。统一认证系统设计的核心思想是用目录服务数据库集中存储用户的信息和各个应用系统的信息,实现对用户的集中管理、统一认证和统一授权,以及实现对应用系统的访问控制。统一身份认证系统的体系结构如图l所示。
统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证机制,而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可以大大提高系统的安全性,同时也可以保证用户的电子身份标识能安全、高效地在网络中传输。其次,统一认证系统把原来分散的用户管理集中了起来,各个系统之间依靠相互信赖的关系来进行用户身份的自动认证。用户的帐号信息是集中保存和管理的,管理员只需要在统一的用户信息数据库中添加或删除用户帐号,不必在多个系统中分别设置用户信息数据库。通过分析系统的体系结构,该系统的设计实现了用户的集中管理、独立应用系统的集成、统一授权和单点登录。下面对该系统所具有的一些特点进行分析: 1)支持Web方式认证,提供单点登录服务功能。本系统提供了一个与其他系统相融合的框架,将各自独立开发的应用系统通过应用系统注册通用接口集成起来,方便独立系统用户与认证系统用户映射。 2)提供基于LDAP开放标准的统一用户管理功能,并具有将多种异构数据源整合到目录的功 能,易于系统维护和降低管理成本。这种方案结合基于角色的访问控制,实现了用户与系统的分离,保证了服务器的安全。 3)支持基于改进Kerberos认证机制。加强应用安全。放弃Kerberos协议采用的加密算法AES,采用基于椭圆曲线上离散对数计算问题的ECC算法,改进了原Kerberos协议p。1存在的部分缺陷,使系统运行更加安全。改进的Kerberos协议保密强度更高,密钥产生、分配和管理更加方便,能够防止口令猜测攻击和重放攻击,验证过程更安全、真实和更可靠。由于新的验证协议不再需要用户输入登录应用系统的口令,可实现多业务模式下的单点登录。 第3章LDAP协议与数据模型分析 3.1 目录数据选择 设计目录中存储的数据是目录信息库设计中最重要的一步,也是最耗费时间的一项工作。目录数据的选择耍遵循以下的一些原则: 1)要根据目录服务种类收集所需的数据确定有哪些基于目录的应用程序及它们所需要的数据。例如,本系统要提供查询服务,就需要查询服务确定学生、老师、部门组织等的具体信息。 2)选择合适的数据目录的特性决定了其中的数据类型——结构化、被搿读”的频率高、具有访问的普遍性,即不止一个应用程序需要访问的数据。 3)调查数据的来源、所有者,对已存在的数据确定将其导入目录的策略。 3.2目录模式分析 模式设计是将我们所选择的数据结构化的一个步骤。模式定义了各种属性类型和对象类型。当客户端程序访问目录时,服务器以此决定目录中的条目是否满足某查询条件或添加的条目是否符合类型定义。目录服务器的缺省模式中定义了丰富的类型,如RFC2798定义了一个名为lnetOrgPerson的LDAP对象类以及一组该对象类可用的属性。这些属性都是目录服务中经常要用到的一个人的常用信息,如:Users,Password。针对办公自动化系统的实际应用,InetOrgPerson对象类中已有的属性所能表示的信息是不够的,很多属性以及各种服务之间的关系(如用户拖欠上网费用,可以暂停向其提供阅览图书馆电子图书的服务,但是又不能影响该用户浏览校内公文)很难直接用标准模式中定义的属性来表示。为此我们也可根据实际的需要自己定义一些类型,自定义模式不仅能够恰当的描述系统的需求,而具有很好的可扩展性,当需要一个新的属性或对象时,只要在模式文件中定义相应的属性类型和对象类就行了。但要确保模式在目录中的一致性,不能同样类型的数据有多种类型定义。 3.3 目录信息树分析 目录信息树的根(RoOT)是一个虚根,并没有实际意义。树中的任意一个节点都是目录信息树的一个入口,每一个节点旁的标注指明了该入口的一个或多个属性值,构成了该入口的相关辨识名(简称RDN),把该入口与其它同级入口区别开来,从特定入口到根的直接下级入口的相关辨识名序列形成了该特定入口的辨识名(简称DN),可以在整个树中标识该入口。如图2所示。 目录信息树的结构是根据一定的结构确定的。可以按地理位置来进行分支设计,也可以按逻辑组织来划分。在设计目录信息树结构时最重要的一条原则就是保持“平”结构,即目录树的层次尽量少。因为我们设计目录信息树的宗旨之一就是当改变信息树中的某个信息时,尽量减少对其他部分的影响。目录信息树的层次越少,对应的各条目的DN越短,受其它信息变化的影响就越小。而且用户的管理员在使用时更为方便。同时,对于物理位置独立或具有单独的管理权限的部分在结构设计时尽量为独立的一部分。 例如,Uid--tansl,OU=person,Oufdgut,O-edu,Cmcn。 LDAP目录树的“根”或顶部是基本DN。基本DN通常有两种形式:从组织的属性派生的(例 如,C=cn,o=edu),或者从组织的DNS域组件派生的DN(例如,DC--cn,DC---edu)。 树根下有三类信息; 1)People:存储用户和帐号信息,分为三类角色:Teachers,Students和Others,每一类角色可以根据需要进一步细化。 2)Application:应用系统的信息,如Mail、人事、教务、OA系统等。 3)Services:需要发布为Web服务的应用。
第4章 统一身份认证在校园网的应用 为实现校园网用户身份的统一认证,本系统开发选用SUN ONE Directory Server5.2 for Linux。它是一个开放源代码项目,实现了对LDAP v3的支持,支持SSL连接,支持密码认证、Kerberos和SASL身份认证机制,支持ACL访问控制,支持多种后台数据库。开发环境为Sun ONE Smdio 5.2。采用B/S结构,使用JDKl.5的开发环境,对用户管理系统进行开发,SUN ONE Directory Server5.2作为身份存储库,用Syb∞e 10 for Solaris作为辅助数据库,用JOSSO作模型,开发单点登录系统。如图3所示。
统一的认证系统并非意味着只存在单个的认证服务器,整个系统可以拥有两个以上的认证服务器,这些服务器甚至可以是不同的产品。认证服务器之间只要