统一身份认证系统数据存储研究和设计.docVIP

统一身份认证系统数据存储研究和设计 　　摘要:结合数字化校园基础平台,对基于目录服务的统一身份认证体系结构进行了研究,对用户身份信息的存储、授权及认证管理进行了论述并从工程应用出发给出了相关实现模型。 　　关键词:统一身份认证;目录服务;数据采集;单点登录 　　中图分类号:TP274文献标识码:A文章编号:1009-3044(2010)22-6222-02 　　Research and Design of Data Structure in Uniform Identity Authentication System 　　LIU Ling1, DAI Zhi-feng2, ZUO Min3, YAO Lin3 　　(1.Center of Network Information, Southwest University of Science and Technology, Mianyang 621010, China; 2.Equipment Manufacturing Branch Company of Baoji Oilfield Machinery Company, Chengdu 621000, China; 3.Southwest Engineering Design Company of China Petroleum Corporation, Chengdu 621000, China) 　　Abstract: Concerning the problem of identity authentication, taking the unified identity authentication system in university for example, made a deep study of identity authentication framework and made a exquisite description of the storage, authorization and authentication management in identity authentication structure. 　　Key words: uniform identity authentication; directory service; data acquisition; single sign-on 　　随着信息化建设的不断深入,特别是高校数字化校园的推行,各种网络应用系统相继建立,用户数量也日益增加。而各系统大多是独立认证授权、独立用户账号管理,由此带来的访问控制和信息安全问题日趋突出。因此,如何构建一个完整统一、稳定高效、安全可靠的集中身份认证及管理平台已成为当前数字化校园建设的重要目标。 　　1 统一身份认证平台的系统功能结构 　　统一身份认证平台管理庞大的用户数据数,特别是在高校应用环境中,每年都有数千新的用户增加,而毕业生用户账号也要保留,所有这些身份信息都需集中存储并加之有效的管理;同时,就需建立起相应的安全策略以及海量的基于LDAP目录服务器的用户数据存储和管理功能。而这种集中存储、管理用户身份的方式为单点登录(SSO)[1]的实现提供了基础。 　　由于数字化校园校建设进程的参差不齐,各高校均面临已有的众多业务及信息系统复杂多样,而各系统应用的网络环境、软硬件环境以及开发语言、软件系统架构等也是各不相同。因此,集中的统一身份认证平台必须能够提供多种开发语言、多应用系统集成服务支持,同时还必须透明的支持除加解密服务之外的其它所有安全服务。 　　当前所采用的身份认证的主要方式有password、CA认证、SmartCard等[2],该设计中使用的是password方式。统一认证与应用系统的接口有:认证接口、代理网关、ldap接口三种。其中,认证接口主要通过认证头完成对可改造的应用系统的认证;而对于不可改造的系统是通过代理网关完成代理认证;LDAP接口则主要设计用于选课系统之类高并发应用系统的认证。 　　整个统一身份认证平台的功能结构如图1所示。 　　在数据层,统一身份认证的身份信息等数据放在LDAP目录中,因此就面临两个必须解决的基本问题,一个是海量的身份数据要以什么样的方式存放在LDAP中,才能为使用层提供高效便捷的服务,另一个问题是如何与业务数据库、共享数据库之间进行数据的采集以及数据的分发交互,并保证数据的同步。 　　维护层主要包含两大部分:给用户提供个性化定制服务和给管理员提供维护功能。 　　2 LDAP目录数据存贮 　　LDAP(轻量目录访问协议)按照树形结构组织,可以看着是一中快速的得到关于人或者资源的集中、静态数据的方式,还是一种