84数字化校园中统一身份认证的设计研究刘晓艳(南京广播电视大学,江苏南京210029)【摘要】统一身份认证是数字化校园的基础,其提出的目的就是要解决校园中各应用系统用户名和口令不统一、身份验证方式各自为政的现状。文章提出了一种应用中间件ICE认证接口、LDAP数据存储管理、高效支持SSO身份认证服务的统一身份认证平台的设计方案,具有很好的实用性、安全性、扩展性和可集成性。【关键词】数字化校园SSOLDAPICE【中图分类号】TP393【文献标识码】A【文章编号】1009-1459(2011)02-0084-04【收稿日期】2011-02-24【作者简介】刘晓艳,女,高级工程师,南京广播电视大学。一、引言校园网上存在着各种应用,例如教务系统、财务系统、邮件系统、办公自动化系统、设备系统等。传统情况下,每个应用系统都有不同的身份验证方式,用户访问每个应用都得重复输入账号、口令等信息,管理员在管理用户时也需要在不同的业务应用系统上配置、维护用户信息,这样不仅烦琐,而且容易出现口令丢失。随着数字化校园建设的不断前进,对于用户的身份认证信息管理的需求也相应提高,原有应用系统各自为政的身份验证方式难以达到这个要求。因此,建立一个独立的、高安全性和可靠性的身份认证和管理,是推进数字化校园建设首要解决的问题。统一身份认证提出的目的就是要解决各应用系统用户名和口令不统一的问题,期望提供统一的授权机制及一套方便、安全的口令认证方法,实现单点登录SSO(SingleSign-On),即用户只要一套用户名和口令就可以使用校园网络上他有权使用的所有业务系统。二、设计要点统一身份认证平台设计需要实现以下几方面的要点:1.适合高校用户数据分散管理的用户数据集成;2.使用灵活、方便,高校用户尤其是教职工多重身份可以通过多种方式自由使用该统一身份认证服务;3.提供完整的认证集成方式,保证学校本期业务系统和后续业务系统都能与统一身份认证平台进行集成;4.具备良好的扩展性和可集成性,满足不同用户或系统的认证安全需求;5.具备高可靠性和高效率。前三个需求是统一身份认证平台功能设计的基础,随着应用集成的力度和广度的加大,后两个需求将是统一身份认证平台必须妥善处理的问题。三、平台架构根据以上设计要点,统一身份认证平台的架构主要有三个层次,由底至上分别为:数据层、服务层、应用层,如图1所示。1.数据层数据层的主要功能为向平台提供数据的存储管理服务。数据层包括三部分:目录服务、平台数据库、共享库。其中目录服务存储所有的用户身份数据,平台数据库用于存储系统配置数据和平台日志,共享库存储外部权威数据源。数据同步服务用于外部应用系统用户数据和平台内部用户数据的集成,从而产生用户的统一身份凭证。在此基础上,才能进一步实现统一身份认证以及单点登录功能。2.服务层南京广播电视大学学报总第63期SumNo.632011年第2期No.2.2011JournalofNanjingRadio&TVUniversity85图2.统一身份认证平台功能结构图ICE是ZeroCInc.公司开发的一款高效的开源中间件平台,全称是InternetCommunicationsEngine,即因特网通信引擎。它的主要设计目标是提供适用于异种环境的面向对象中间件平台,支持广泛领域中实际分布式应用的开发,易于学习和使用,并内建安全性,能适用于不安全的公共网络。所以基于ICE中间件平台来自主开发各类认证接口,可以很好地解决上述集成问题,其架构如图3所示。图3.ICE认证接口架构图从图3中我们可以看到,ICE认证接口架设在集成应用系统和统一身份认证中心之间,这种基于ICE架构的认证接口设计支持主流的MSWindows系统平台和Unix/Linux系统平台,程序开发人员无需编写复杂的XML解析程序就可以完成所有认证相关操作,大大减少了集成开发的工作量,并且系统进行平滑升级时不受应用系统的影响,可以自由的扩展各类异构的、语言层的认证接口,从而提高了系统的可集成性、扩展性和稳定性。2.海量的基于LDAP目录服务器的用户数据存储和管理功能目录服务器对所有用户身份信息进行统一管理,并保证数据的完整和一致,是统一身份认证平台的基础。目录服务适用于存储读多写少的数据,由于统一身份认证中的用户信息主要用于身份认证,更新的频率较低,往往是成批的增加或成批的删除服务层作为整个平台的主体,首先实现了平台除目录服务外的核心服务,如统一身份认证服务、单点登录服务以及其他相关服务等。其次,服务层还包括了平台所有的功能组件。其中访问组件为外部应用提供接口和通道,用于从平台中获取用户身份认证服务、将外部权威用户数据与平台内部的用户身份数据进行同步;管理组件用于统一管理整个身份认证平台,使平台能够安全可靠地工作。服务层在数据层和应用层之间,为整个平台提供了安全性、可用性、跨平台、负载均衡等多方面的功能特性。3应用层应用层包含各种各样的校园系统中的应用,它们是统一身份认证平台的使用者。统一身份认证平台提供的认证接口可以嵌入外部应用程序中,通过访问这些接口,外部应用程序与平台进行交互,从而应用平台提供的身份认证、单点登录服务。四、详细设计统一身份认证平台的开发设计基于SUN的JES(JavaEnterpriseSystem)身份管理产品,在此之上可以根据学校特性进行扩展,其功能结构如图2所示。平台的设计主要有以下三个特点:1.基于面向对象的中间件ICE的认证接口如果直接使用SUNAccessManager的API(ApplicationProgrammingInterface)接口,会给系统集成带来诸多问题,如跨平台限制、XML解析复杂、开发工作量大、升级困难等。图1.统一身份认证平台架构图刘晓艳:数字化校园中统一身份认证的设计研究86刘晓艳:数字化校园中统一身份认证的设计研究,并且各数据项之间无密切关联,所以采用目录服务来存储用户数据是昀好的解决方案。轻量级目录访问协议LDAP(LightweightDirec-toryAccessProtocol)基于X.500标准,是一种标准的目录服务技术。与X.500不同处在于,LDAP是目录服务在TCP/IP上的实现,它可以根据应用的需要进行定制和扩展,相对来说比较简单。LDAP以树状的层次结构来描述数据信息,并且对目录的浏览、查找以及内容的读取进行了优化,因此数据读取的速度比一般的关系型数据库快,数据存储结构如图4所示。所有的用户数据在LDAP服务器中被统一管理和统一维护,所有的应用系统通过网络访问同一个用户数据库。图4.LDAP数据存储结构图图4中采用了四级树型结点来存储数据,其中一级结点O=Root为LDAP服务器的目录根节点;二级结点Dc(domaincomponent)代表所有的应用系统;三级结点Ou(OrganizationUnit)为各个应用系统的名称,例如Ou=OA代表该结点存储OA(办公自动化)系统的信息;昀后一级结点Uid存储该用户对应上级应用系统的用户信息数据,如图中Uid=Tom结点表示存储用户Tom在Mail(邮件)系统的相关用户信息。该四级层次结构形象描述了应用系统与用户之间的关系,增加应用系统名称以及用户信息都非常灵活。此外,通过LDAP服务器提供的目录检索机制,可以快速查询验证某用户是否存在某应用系统的操作权限。3.高效的支持SSO(单点登录)的高性能身份认证服务认证服务用于学校对教师、学生和其他人员的数字化身份认证,它定义了符合学校特点的身份数据规范并将其应用于每个身份,以管理这些用户对资源的访问,提供了单点登录SSO。因此,不同的用户群与不同的应用范围,采用的认证方式也是不同的,需要进行个性化配置。在单点登录系统中,认证模块以插件的方式实现,这种实现方式使得单点登录系统能够支持各种标准认证方式,也支持客户自行定制的认证方式。图5显示了单点登录系统认证服务的架构,该认证服务基于JAAS(Java认证与授权服务)框架,程序开发人员可以直接使用它提供的认证应用编程接口。系统提供了Java和XML/HTTP两种认证接口:在本地调用Java认证接口直接与JAAS认证API交互;在远程调用XML/HTTP认证接口与认证平台的认证服务交互。系统对两种认证接口的结合应用,保证了所提供身份认证服务的可靠性和高效率。图5.单点登录系统认证服务的架构平台中所有认证模块的用户界面是基于JATO(J2EEAssistedTake-Off)WEB应用框架创建的,它通过JSP和XML为用户提供图形化界面的交互方式:向用户显示登录表单、搜集用户认证信息、传回服务器端进行认证、为通过认证的用户创建单点登录会话等。五、小结在高校信息化建设过程中,建设数字化校园是一个重要的目标。统一身份认证作为数字化校园的基础,为数字化校园的应用提供一个安全的信息共享平台。本文根据学校的实际需求和建设环境,提出了一种灵活方便、安全可靠且可扩展的统一身份认证平台的设计方案,并投入了应用。【参考文献】[1]谷松,张月琳.统一身份认证在数字化校园中的应用[J].中山大学学报,2009,(48).[2]袁先珍,崔益峰.基于校园信息门户的统一身份认87证系统[J].微计算机应用,2006,(2).[3]李翔,晁爱农,刘孟强.LDAP的研究及其在统一身份认证系统中的应用[J].计算机应用,2008,(28).[4]李新华.基于LDAP的Web统一身份认证的研究与实现[J].科技资讯,2006,(25).[5]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机,2008,(12).[6]常潘等.基于LDAP的校园网统一身份认证的实现刘晓艳:数字化校园中统一身份认证的设计研究[J].计算机工程,2007,(5).[7]彭伟.单点登录在数字化校园中的应用[J].计算机应用与软件,2007,(8).[8]吴晓斌等.基于LDAP的校园网统一身份认证系统设计[J].华中科技大学学报(自然科学版),2003,(31).[9]马荣飞.统一身份认证系统的研究与实现[J].计算机工程与科学,2009,(2).ResearchanddesignontheunifiedidentityauthenticationondigitalcampusLiuXiaoyan(NanjingTVUniversity,Nanjing,JiangsuProvince210029)Abstract:Unifiedidentityisthebasisforthedigitalcampusanditspurposeistosolvesuchproblemsasdisunitybetweenthesystemusersanddifferentwaysofidentityauthentication.ThisarticleputsforwardaplanaboutmiddlewareICEbeingusedincertificationinterface,LDAPdatastoragemanagementandthedesignoftheunifiedidentityauthenticationplatformwhichcanefficientlysupportSSOidentityauthenticationservices.Andthisplanwouldbepractical,safe,extensibleandintegrated.KeyWords:digitalcampus,SSO,LDAP,ICE.