数字化校园的统一管理认证平台研究.docVIP

数字化校园的统一管理认证平台研究 　　摘要：数字化校园是一个多种应用系统高度集成的复杂巨系统，不同类型的应用系统，都需要对用户的身份进行识别认证和授权，因此，建立一个统一的管理认证平台对于数字化校园建设与应用是十分重要的。该文首先对基于目录服务的统一管理认证平台总体架构进行了阐述，其次对统一用户管理服务、统一身份认证服务和统一授权管理服务等进行了研究分析，探讨了数字化校园之统一管理认证平台的建设思路。 　　关键词：数字化校园；目录服务；统一管理认证 　　中图分类号：TP302.1 文献标识码：A 文章编号：1009-3044（2014）25-5837-03 　　随着学校信息化建设的不断推广和深入，数字化校园中的各类应用系统越来越多，校园网络用户的数量不断扩展。而不管哪种应用系统，都需要对用户的身份进行识别认证和授权。用户使用的应用系统越多，所必须记住的用户登录名称和密码就越多，造成客户出错、密码泄露等安全隐患的风险也就越大，影响系统的安全稳定。因此，在数字化校园建设中亟需建立一个统一的管理认证平台，对学校用户实行统一的管理、认证和授权。 　　1 基于目录服务的统一管理认证平台体系架构 　　数字化校园中有许多种类多样、功能各异的应用系统，学校教师、学生、管理者等用户往往需要使用多个不同的应用系统，如果各系统独立使用和存储管理一份不同的身份信息，分别进行身份认证，同一个用户就需要记忆多个不同的密码和身份，当他在使用不同的系统时就需要进行多次的登录，这对用户和系统管理来说都非常不便。通过建设统一的管理认证平台，就是要将分散的用户和权限进行统一、集中的管理，实现学校用户身份的统一认证和单点登录，用户只需通过一次身份认证，就可以进入具有相应权限的所有应用系统。 　　在目前比较先进的统一管理认证平台技术方案中，其后台数据库都采用了高效的LDAP（Lightweight Directory Access Protocol）轻量目录访问协议。LDAP是一种跨平台和标准的协议，具有数据存取速度快、几乎可以存储所有类型的数据，跨越平台和系统，同步复制和分布式服务，完善的安全控制等特点，并且因采用Internet的标准而得到业界的广泛认可。通过运用LDAP技术，可以构建分布式目录结构，存储各种类型的数据，并提供基于这些目录的高效访问。根据数字化校园中用户数据量大，具有统一管理认证系统的应用需求，以及LDAP的技术特点，在构建学校统一管理认证系统时采用LDAP目录服务是理想的技术方案。利用LDAP清晰的目录结构存放学校的组织结构、人员信息、资源和权限信息，以及作为数字证书的存放库，对学校用户认证信息进行有效组织和管理。 　　利用LDAP技术建立数字化校园统一管理认证平台，要着眼于各类应用系统的统一身份认证，如既要方便新建系统使用身份认证系统，又要兼顾已有的老系统，使老系统做尽可能小的改动就可以使用身份认证子系统，最大限度实现数据整合。统一管理认证平台建设的核心理念，是利用目录服务数据库来集中存储用户和各应用系统的信息，从而实现对用户的统一管理、统一认证和统一授权，同时实现对各类应用系统的访问控制，进而提高整个系统的整体性、可管理性和安全性。基于目录服务的统一管理认证平台总体上由目录服务、统一用户管理服务、统一身份认证服务和统一授权管理服务四大模块组成。该管理认证平台的体系结构如图1所示。 　　2 统一用户管理服务 　　统一用户管理服务主要管理学校用户的电子身份，通过它可以对所有信息系统中的人员进行统一管理，这是统一身份认证和授权管理的前提。数字化校园统一用户管理服务的目标，是完成学校各应用系统的用户信息整合，实现学校用户身份信息的集中统一管理，建立与各应用系统的同步机制，简化用户及其账号的管理复杂程度，降低系统管理的安全风险。 　　具体来说，数字化校园统一用户管理服务主要实现以下功能： 　　1） 注册管理。用户注册是指用户在统一管理认证平台中注册用户帐号，通过该帐号，可以对所有使用统一管理认证平台的学校应用系统进行登录。注册管理包括新用户注册和用户修改注册信息两部分。注册管理模块的功能主要包括启动、注册向导、登录、注销等。 　　2） 部门管理。部门管理即对部门信息进行统一管理，可以修改部门信息，增加、删除子部门。同时，将需要维护的部门信息，如部门的顺序号、名称、ID等数据同步到其他信息系统中。 　　3） 人员管理。人员管理即对人员信息进行管理，可以增加、删除和修改人员的信息，可以重置人员密码。同时将需要维护的人员信息，如人员的顺序号、姓名、ID、职务级别、所属部门等数据同步到其他信息系统中。 　　4） 人员信息查询。人员信息查询采用目录树的方式展示部门与人员的隶属关系，可以在相应的部门列表中按多种条件查询人员信息