校园网统一身份认证系统开发研究.docVIP

校园网统一身份认证系统开发研究 　　一、问题引出 　　 　　我校于2000年建立了校园网,现已形成一个初具规模的数字校园系统,该系统由多个子系统构成。然而,系统的开发缺乏标准化、规范化和兼容性,不能实现数据共享、互联互通,出现了一个个“信息孤岛”。尤其是各个系统带有用户身份验证的功能,使得教师必须去记多个用户名和密码,给系统的推广应用带来极大的不便。如何让教师使用一套用户名和密码,就能登录所有应用系统呢?同样,我校后期要开发的应用系统(如选课系统、调查系统)又如何与原有的应用系统接轨?这些问题成为我校教育信息化进一步发展的最大阻碍。 　　为解决以上问题,一些学校往往在新建校园网系统时,指定某一家软件开发商来做应用系统的整合工作,由该软件开发商修改各个系统的认证方式,让不同系统直接读取一个中心数据库,从而实现用户统一身份认证。但是,这种中心数据库形式的解决方案对我校来说是不现实的。因为它需要耗费一定的财力,而且我校现有系统存在跨网段(中心数据库服务器处于校园网的防火墙后,其他校区无法访问)、跨平台、跨数据库(如我校的网络教学平台系统是PHP开发的,使用Mysql数据库,运行在Linux中)的问题,技术上很难解决,况且直接读取数据库的做法本身是存在安全隐患的。为此,我们尝试自己改造这些系统,设计了以XML技术为核心的统一身份认证方案,并自主开发安全简单的统一身份认证系统(Unified Identity Service),以Web方式对外部系统提供身份验证服务,初步实现了跨系统、跨网段的用户统一认证功能。 　　 　　二、统一身份认证系统的功能分析 　　 　　校园网采用统一身份认证,必然要对原有系统改造和整合,这就涉及如何确保原有系统的稳定和安全问题。经多次研究和实践,我们认为把统一身份验证系统作为单独服务系统来开发的做法比较合理,其他应用系统只需按照一定的规范调用这个服务,而不需要对原系统做出较大的改动,减少了系统改造和整合的工作量。 　　为了方便描述,本文将提供身份验证服务的系统命名为统一身份认证系统,而需要通过该系统来验证身份的各个应用系统,统称为子系统。 　　1.系统功能要求 　　统一身份认证系统一般包括三大功能:(1)用户认证。(2)用户的集中管理。(3)应用系统注册。各功能模块相对独立,可以分别实现。其中用户认证模块最重要,其功能是接收子系统提交的用户名、密码信息和其他指令,返回相应的信息。 　　2.系统性能要求 　　统一身份认证系统负责多个子系统的用户身份认证。为了确保身份验证的响应速度,系统所在的服务器性能要高,同时带宽也要大,确保大量用户同时提交验证请求时不会响应延迟。 　　3.系统运行需求和开发工具 　　运行统一身份认证系统需要数据库服务器(存储用户数据)和Web服务器(响应身份验证)。在子系统数和用户不多的情况下,使用Access数据库即可。开发语言可以使用任何一种动态网页技术语言。 　　 　　三、统一身份认证系统总体设计 　　 　　统一身份认证的工作原理如下:当用户访问某成员站点时,子系统将用户名和密码以HTTP的方式提交到统一身份认证系统的认证接口(API),统一身份认证系统根据接收到的信息和指令,返回用户身份信息,供子系统调用。这一过程对用户来说是透明的,在网络不阻塞的情况下,用户无法察觉验证过程的复杂与否。 　　1.系统总体设计思想 　　以Web方式提供身份验证服务,接收子系统(代理)提交的用户名和密码,然后根据密码的错误与否和其他指令返回包含不同数据的XML文件。我们规定了认证提交的URL参数格式和认证返回的XML文件数据格式。 　　(1)认证提交的URL参数格式 　　URL:/API/checkuser.asp 　　参数说明:u:用户名,p:密码,ac:请求指令,其中1表示返回基本信息、2表示返回扩展信息、3表示修改密码、p1:要修改的密码。 　　认证提交的URL范例详见/api/demo.asp。 　　(2)认证返回的XML文件数据格式 　　XML字段名 XML字段含义(不同状态返回的数据) 是否必需 　　status 状态(成功返回1,失败返回0) 是(基础属性) 　　message 错误提示(成功返回“无”) 是(基础属性) 　　userid 用户id(成功返回用户id,失败返回0) 否(基础属性) 　　… … … 　　 　　2.统一认证系统的数据库设计 　　在中心数据库服务器上建立一张完整的用户信息表,作为学校用户信息数据源,我们称之为统一身份表。该表至少包括姓名、工号、登录密码、所属部门、身份证号等信息(符合国家教育部《教育管理信息化标准》)。 　　3.统一身份认证系统的运行流程图 　　 　　四、统一身份认证系统核