校园网基础上的统一身份认证系统建设

校园网基础上的统一身份认证系统建设

李军

李军陇东学院信息工程学院745000

摘要基于校园网的应用系统的建设带来一个用户需要许多账号和密码的问题，使用统一身份认证系统可以实现用户单点登录、多种方式认证。对统一身份认证服务的组成和实现进行了论述，并给出了一个使用统一身份认证的校园门户的结构框架。就校园网统一认证身份平台相关内容进行分析，重点探讨用户管理、权限管理、统一身份管理服务和统一身份认证服务设计要求和技术特点。

关键词校园网身份认证身份管理

一、统一身份认证在高校信息化建设中的重要作用

目前，各大高校也在整合自己的网上资源，把各个独立信息系统的认证统一起来，实现统一身份认证，通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数，简化登录过程，实现一次登录多点使用，实行统一管理，方便用户的同时也极大的提高了信息系统的安全性。校园网内用户只要登录一次就可以访问其它的网络资源。可以说随着高校信息化建设的发展，统一身份认证是重中之重。对于维护校园网络安全，更好的保证校园网的稳定工作，有着重要的作用和意义。

二、校园网统一认证身份平台相关内容及技术分析

1、用户管理

用户是指统一身份认证体统所管理的用户，这个用户是身份认证系统总管理的一种对象。所有用户都必定归属到一个特定的机构。和机构与用户组共同组成一棵树。用户管理实现了以下功能：①用户可以自注册，填写自己的基础信息，管理员可以激活用户。注册的用户激活有时间限制，超过一定期限的用户如果未被激活，则自动删除；②用户的对象除了标准的属性，还需要建立一个描述权限的属性。这个权限的属性内存储的是XML文档，所有应用的权限都保存在这里；③用户只能设置它自己的个人信息，管理员可以设置他管辖的所有人员的信息；④管理员可以增、删、改用户，可以移动用户实现用户岗位的调动；⑤用户可以自己开启或者停止自身的若干服务，设置系统的参数；⑥用户的口令、数字证书等关键信息都存储在目录服务器中，这些信息均采用了高强度加密算法进行了加密。

2、权限管理

权限也是一种对象，之所以权限也是一种对象是为了便于权限的修改。权限对象是一组应用的组合。权限管理是将应用组合成权限对象，然后再将权限对象授权给机构和用户组、用户的过程。①管理员可以定义权限，也就是指定若干应用，是可以被访问的应用组成树形结构的权限。②管理员可以对其管理的机构和用户组及用户的权限进行设置。③权限的系统具有继承的功能。权限的功能是逐级递减的，子节点可以从父节点继承权限或者单独设置，子节点的权限小于父节点的权限。④可以快速查询出具有某种权限的所有的人，也可以查处某个人具有的所有的权限。

三、统一身份管理服务

身份管理服务器提供统一的身份管理服务，是机构和用户组、用户、应用、权限管理的唯一入口，所有对存储上述四种对象的目录服务器的修改操作均要通过统一身份管理服务器进行，身份管理服务器会根据修改的信息，按照定义项若干的已用插件发送信息，保证修改后的信息可以实时地通知给集成进统一身份认证系统的应用。

统一身份管理服务包括以下的功能：

1）目录服务访问代理。对于机构和用户组管理、用户管理、应用管理、权限管理等系统访问目录服务器，都将通过统一身份管理服务提供的接口完成。封装了关键的直接对目录服务的操作。

2）实时信息中心。实时信息中心可以使对目录服务的操作及时的通知给相关的应用系统。消息中心包括了消息的订购、消息插件的管理与加载信息：①消息。即统一身份管理服务将对关键信息的修改按照一定的规则封装成一定格式的消息，用于通知应用系统，保证系统的实时性、安全性；②消息、订购。系统中被更改的消息种类非常繁多，如果一有新的信息均将通知所有的应用系统将引起广播风暴，影像系统的效率，因此合理的解决办法是应用系统预先通知消息中心，哪些信息是它所关心的，也就是消息订购。当消息中心产生一条新的消息的时候，也只向预先订购此消息的应用系统进行发送；③消息插件。所有需要订购消息的应用系统均需要按照一定的标准开发消息插件，此插件运行在身份管理服务器端，需要先进行注册。

3）用户状态查询。支持多种用户状态，如停用、在线、离开、离线等等，可以实时记录用户的状态，并提供用户和其他应用查询。为实现应用系统单点登录奠定了基础。

4）支持事务。对系统的修改往往是连动的，也就是可能若干信息需要同时修。统一身份管理服务支持将一组需要修改的信息一并处理完成，保证系统数据的完整和安全。

四、统一身份认证服务

统一的身份认证服务器提供统一身份服务，可以为应用系统提供用户身份认证。作为统一身份认证系统的主要组成部分，具有以下工程：①保证认真过程的安全。由于牵涉到身份认证，因此安全问题是非常关键的问题。用户身份数据是采用高强度加密算法加密的，在传输过程中采用了SSL进行通道加密，防止数据在传输过程中别窃听；②具有高响应速度。对于有些应用系统，需要频繁的进行身份的验证，比如网络代理（Proxy），身份认证的效率将严重影响应用系统效率，而这些应用系统将给身份认证中心带来较大的性能压力。统一的身份认证服务器应当具有很高的响应速度，而且支持用户的分布式认证；③提供多种认证方法。身份认证服务器将服务与多种多样的应用系统，应当在设计上有足够的开放性，可以提供多种标准的认证接口，又基于应用的接口和基于WDB的接口等多种方式，可以支持Domin等较为成熟的平台。④入侵检测。对于某些应用或者个人非法猜用户的口令，系统应当具有入侵检测和自我保护的能力，比如暂时冻结账户等等，充分保证系统的安全性。

总之，学校能够建设个性化的、集成各种信息的“一站式”校园教学信息门户，通过这个门户给教师学生提供可定制的、与个人身份权限密切相关的教学信息服务，同时还可以在网上创建虚拟班级，虚拟课堂和虚拟作业空间为教师和学生创造一个功能强大的虚拟交流和协作环境，帮助他们更好地利用校园内现有的信息技术手段开展教学活动。

参考文献

【1】王伟韩凉袁建华.校园网统一认证身份平台的设计与实施[J].硅谷.2010（4）

【2】南相浩,白鹏,徐志大.目录服务协议分析、比较与实现[J].计算机工程与应用.2001（37）