数字化校园身份认证系统的设计与实现.docVIP

数字化校园身份认证系统的设计 许鑫 苏新宁 陆炯 （南京大学信息管理系） （南大百合网络科技有限公司） [摘要] 本文首先介绍了高校统一身份认证系统的总体框架，并在此基础上对两个核心服务器的设计在技术上做了进一步探讨。包括分析了LDAP的基本情况，并就LDAP的定制、复制与安全措施做了相应研究，最后阐述了LDAP服务器是如何设计使用的。还包括对CertServer服务器的设计思想和具体实现情况做的相应研究。 [关键词] 数字化校园、统一身份认证、LDAP、XML [分类号] G43 Design of CA System in Digital Campus Xu Xin Su Xinning （Department of Information Management, NanJing University） Lu Jiong （Lily Network Technology Co.,Ltd.,NJU.） [Abstract] First, this paper introduces the architecture about CA system in the university. And based on this, two kernel servers’ design is researched on. We analyze LDAP directory、customization、replication and security functions about LDAP, then talk about how LDAP is designed and implemented in CA system. After this we analyze the design idea and real implementation of CertServer. [KeyWords] Digital Campus CA LDAP XML 1 总体框架概述 网络环境下信息安全的日益得到重视，其技术也在逐步完善，传统的对称加密方法的不断改进与强化到非对称加密技术的出现，再到数字证书的概念广为人知，包括各种认证令牌的使用逐渐增多，PKI的概念不但流行而且也已经得到广泛的实际应用。同时对于XML加密和签名标准与Web Service安全性研究的进展也在不断促进它的日益成熟与广泛应用[ 9,10 ]。 信息安全技术的不断发展与完善，为设计和建设一个完整的数字化校园，尤其是统一身份认证平台类的系统，提供了坚实的技术背景。图1就是本文设计的数字化校园中的统一身份认证系统的示意图[ 8 ]。 图1 数字化校园中的统一身份认证系统技术框图 Web浏览器作为访问数字化校园的入口，普通用户通常无需安装客户端程序，利用无处不在的Web浏览器便可进行登录访问各种所需要的服务，并且能享受适合个人需求和喜好的定制服务，为用户获取信息和服务提供极大便利。 Portal信息平台服务器负责校园网中各种服务信息的展示，它集成了校园网内各个服务器向信息平台服务器所提供的入口，并提供页面与服务定制功能，通过与CertServer服务器通信来读取用户的各种所需认证与授权信息，然后，凭借所持有的凭证，Portal服务器与所需访问的服务器进行交互，读取用户所需信息展现在页面上。 校园网内的各种服务器则向信息平台服务器开放自己的接口，并利用CertServer服务器作为为权限控制机构来服务于从信息平台传输过来的请求，利用自身的资源对请求进行处理，并将结果返回给信息平台服务器进行处理与展示。 CertServer服务器是一个提供了各种操作接口的中间层服务器，并且也是一个提供认证与授权机制的服务器，它以所连接的LDAP服务器为数据存取场所，为信息平台和校园内各种服务器提供认证和操作接口，也为各种服务提供了访问控制功能，并且它还负责向认证中心服务器提出申请数字证书和废除证书，以及其他证书管理的请求。 LDAP服务器存放着整个系统内一切有关组织，人员和资源的信息数据，也是认证中心的数字证书和CRL的存放场所，是整个数字化校园系统的信息中心，所有的认证服务与大部分的信息服务都围绕着LDAP服务器展开。 上述两类服务器是高校数字化校园统一身份认证系统中的核心应用服务器，本文在后面对其设计还将做进一步的研究和探讨。而作为系统基础的认证中心服务器则管理着与数字证书相关的服务，其中CA掌管着数字证书的发放和取消，RA是申请机构，这两者主要是利用LDAP服务器作为证书库，提供了证书的管理功能。 为了加强数字化校园系统的安全性以及为了以后系统进一步发展的需要，采取PKI作