上海交通大学统一身份认证及授权系统.pdf

上海交通大学统一身份 认证和授权系统 白雪松 2009-5-27 上海交通大学统一身份认证和授权系统 概述 总体框架 关键技术 应用示例 改进方向 上海交通大学统一身份认证和授权系统 jaccount 认证体系 jaccount 认证体系是上海交通大学网络信息中心开发的用户 认证体系。上海交通大学网络信息中心为每个注册的交大 校园网用户提供了一个统一的网络账户。 jaccount 可以在Web应用中实现单点登录，即用户在一个浏 览器会话期中只需登陆一次就能进入所有他拥有访问权限 的jaccount成员站点，不必每进入一个站点就登录一次。 jaccount使用了各种安全技术来保障登陆的安全。 jaccount 为校园网网络应用提供了便捷的开发方式。 上海交通大学统一身份认证和授权系统 jaccount 成员站点的开发方式 jaccount成员站点本身不需要建立和维护自己的认证系统， 网络信息中心所提供的jaccountSDK 可以很方便的将 jaccount 集成入各应用系统。 目前的jaccountSDK 支持各种主流Web开发运行平台，包 括：jaccountSDK for Java, jaccountSDK for .Net , jaccountSDK for ASP和jaccountSDK for PHP, 分别运行于 Java, Microsoft .Net, Microsoft ASP和PHP平台。 上海交通大学统一身份认证和授权系统 统一授权 统一授权系统（entitle.sjtu.edu.cn ）基于jaccount账号进 行管理。 统一授权系统为各应用系统提供了一个统一授权的接 口。 各应用系统的管理员可以通过web接口对用户在该应用系 统内的权限进行管理，当用户访问使用了统一授权的第 三方应用系统时，第三方应用系统通过调用统一授权系 统提供的webservice接口，通过用户的jaccount账号得到 用户在该应用系统内的权限。 上海交通大学统一身份认证和授权系统 总体框架 上海交通大学统一身份认证和授权系统 认证模型 上海交通大学统一身份认证和授权系统 关键技术讨论 身份信息同步 单点登陆的安全性 webservice 的安全性 上海交通大学统一身份认证和授权系统 身份信息同步 在高校的信息化实践中，经常会面临不同 信息源的同步问题，特别是不同身份信息 数据源之间的同步问题。在我们的统一身 份认证与授权系统中，也面临着AD 中的用 户信息和LDAP中的用户信息的同步问题。 上海交通大学统一身份认证和授权系统 MIIS的体系结构 上海交通大学统一身份认证和授权系统 AD 与LDAP之间的同步 上海交通大学统一身份认证和授权系统 密码同步 除了用户的基本信息以外，还需要对密码 进行同步，由于AD和LDAP中密码都是单 向加密方式，而且AD和LDAP中使用的加 密算法不同，我们不能通过密文获得明 文，然后再用另外一种方式加密。为了解 决这个问题，我们利用了PCNS （password change notification service ）。 上海交通大学统一身份认证和授权系统 单点登陆的安全性 借鉴了Kerberos的思想。 Kerberos为了避免口令在网络上的传播， 需要客户端有相应的计算能力来实现相应 的算法。但这对于Web 应用的瘦客户端的 特性是不适合的，因为浏览器不具备这种