学校网络统一身份认证系统的设计.docVIP

学校网络统一身份认证系统的设计 　　摘 要：随着计算机技术和网络技术在校园中的普及，校园中建立了多种应用系统，来实现对人员的管理、信息的管理，提供各种信息服务。但是，由于各个系统丰管部门不同、面向对象不同、对学校影响的紧迫程度不同，各个系统是分步建成的，并不是统一规划的。各个系统建立的时间不同，在提供应用的厂商不同，各个系统之间大都互相独立，缺乏一个统一的登录入口。本文可以设计一个统一认证的系统，通过单点登录来实现对各个应用系统的访问和使用。此系统是基于PKI的校园网身份认证系统。 　　关键词：校园网； 统一身份认证 　　统一认证系统是学校各个应用系统的对外窗口，是整个校园网络应用的门户。它为校园网络各个应用系统提供一个统一的认证入口，将用户在不同应用系统中设置的多个口令相统一，为实现统一用户管理、将来建立统一信息集成系统打下良好的基础。统一用户认证设计的功能和目标为：设计一套全校统一的用户认证系统，为各个应用系统提供用户身份认证的功能。这个系统需要实现校园网络的单点登录，用户通过了认证后就可以直接访问学校的应用系统。系统中认证及漫游支撑系统必须稳定、可靠、安全、高效，特别是安全问题应该着重考虑。 　　系统设计：单点登录系统采用基于数字证书的加密和数字签名技术，对用户实行集中统一的铃理和身份认证，并作为各应用系统的统一登录入口。单点登录系统在提高系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险，还简化用户认证的相关应用操作。校园网PKI系统是建立数字校园的坚实基础，建立适用于校园网的PKI系统模型，必须充分考虑校园网的特殊环境：1.通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；2.在此基础上进一步实现用户在异构系统统一身份认证功能；3.实现提供对校园内无线WAP接入和无线射频譬接入的统一认证支持；4.采用LDAP无缝集成现有的应用系统的统一用户数据库作为SSO应用软件系统的用户数据库。 　　系统模块设计与实现之UIDP服务器的设计：用户授权的基础是对用户的统一管理，对于在用户信息库中新注册的用户，通过自动授权或手工授权方式，为用户分配角色、对应用系统的访问权限、应用系统操作权限，完成对用户的授权。如果用户在用户信息库中被删除，则其相应的授权信息也将被删除。完整的用户授权流程如下：1.用户信息统一管理，包括了用户的注册、用户信息变更、用户注销；2.权限管理系统自动获取新增用户信息，并根据设置自动分配默认权限和用户角色；3.用户管理员可以基于角色调整用户授权或直接调整单个用户的授权；4.授权信息记录到用户属性证书或用户信息库中；5.用户登录到应用系统，由身份认证系统检验用户的权限信息并返回给应用系统，满足应用系统的权限要求可以进行操作，否则拒绝操作；用户的授权信息和操作信息均被记录到日志中，可以形成完整的用户授权表、用户访问统计表。 　　用户信息库数据结构设计：定义统一用户管理系统用户数据库中关于用户信息部分的主要数据结构，以便了解统一认证系统所能够提供的用户信息。用户信息库包含以下内容： 　　证书认证服务器结构设计：安全认证中心基础设施与数字证书服务受理服务器组成如下： 　　1.CA管理中心：CA管理中心是系统的核心，其在安全环境中产生用于数字签名的RSA公钥对，然后产生自签名的数字证书，负责为RA操作员、RA服务器、cA管理员签发数字证书，同时接受来自RA服务器发送来的终端实体数字证书的请求，为终端实体签发数字证书。在校园PKI系统中，CA认证中心主要由学校的网络信息中心进行维护和运行。基于前文对跨平台需求的研究，CA管理中心为内网服务器提供基于SAML的WebService认证机制，确保正确响应跨平台跨系统的应用系统的认证请求。2.数字证书服务受理服务器：CA网站是CA与用户沟通的桥梁，CA网站采用Web服务器，为用户提供网上申请证书、下载证书、挂失证书等服务。3.审核机构RA：审核机构RA在校园PKI体系结构中起承上启下的作用。RA服务器根据用户提交的表单信息，产生标准格式的证书请求，通过SSL安全信道将此标准格式的证书请求传送至CA服务器然后对用户颁发证书。在校园PKI系统中，RA的维护和运行也由学校网络信息中心负责，并通过RA服务器和RA操作员连接。4.数据中心：数据中心是证书的存放地，提供根证书实体数字证书和CDL的检索与下载服务，用户可以通过访问数据中心获取自己或他人以及CA的数字证书以及CRL。5.CA操作员：通过SSL安全信道实现对CA服务器进行全面的配置管理和操作审计功能。CA操作员由学校网络信息中心安排并分别为其颁发CA操作员证书。6.RA操作员：通过SSL安全信道管理登录RA。负责验证终端实体的证书请求