统一身份认证开启区域教育信息化的应用新篇章.docVIP

统一身份认证开启区域教育信息化的应用新篇章 　　近年来，随着教育信息化的不断深入与发展，各级各类教育应用系统呈现越来越丰富的态势且发展速度迅猛。随着应用系统的不断增多，在教育信息化建设进程中形成了多应用系统独立运行、资源分散和分别管理的状况。所有应用系统都有各自的用户管理和认证方式，包括基于windows AD管理资源的系统。这些系统彼此独立、资源分散，加大了管理难度，降低了工作效率。通过研究分析，笔者发现主要存在如下问题： 　　 　　1.使用不便：各个应用系统往往由不同的单位开发，因此呈现出多个应用系统、多个登录界面、多个用户、多个口令的状况。这日渐成为阻碍管理员管理和用户使用的“瓶颈”。 　　 　　2.维护困难：多个应用系统，不同的用户身份信息库，不同的用户权限库，多种用户管理和认证方式，这加大了应用系统的维护成本。 　　 　　3.安全隐患：很多用户为了便于记忆，在各个应用系统中使用相同的用户名、密码，而多数系统在认证过程中的密码是明文传送的，这给整体信息化体系带来了巨大的安全隐患。在这种情况下，只要一个系统出现问题，整个体系都将处于暴露的威胁之中。 　　4.效率低下：多个应用系统，各自独立的用户管理模式，使各个系统成为“信息孤岛”；用户信息无法共享，需要重复建设用户管理和认证方式。各系统间不能形成一个统一、联动的整体，使得管理效率低下，违背了信息化发展的趋势。 　　综合以上分析，为了加速信息化建设与应用，不仅需要关注信息化建设对业务的覆盖程度，更需要以人为本，关注信息化应用的使用效率，提升各应用系统之间合理和高效的资源分配，这些都迫切需要摒弃原有应用系统的分散管理模式，采用集中统一的用户管理模式，搭建一个服务于多应用系统的统一认证平台。 　　 　　一、规划与设计 　　 　　在前期分析研究的基础上，结合北京的实际需求，我们统一规划设计了北京市教育应用认证系统。 　　该系统的建设目标是：建设一个多级部署、集中与分布相结合、易于扩展、具有良好弹性的统一认证系统。它将在各个教育应用系统中起到粘合剂的作用。通过本认证系统，各教育应用系统将形成一个有机的整体，充分体现用户体验，为实现数据整合与业务融通奠定基础。 　　该认证系统规划的应用范围涵盖了市、区县及学校级(主要指高校)，适合于应用系统和网络环境的多样性，同时支持与第三方认证系统的互信认证。 　　该认证系统的设计思路如下： 　　统一的用户管理：多个应用系统实行统一的用户身份信息、角色信息和组织机构信息，由一个管理平台进行统一维护和管理，从而降低整体维护成本和管理风险。 　　统一的认证方式：多个应用系统实行统一的用户注册、身份认证和权限管理，用户只需注册一次即可访问所有授权的应用系统。另外，由于各应用系统自身的安全等级不同，统一认证系统应能支持不同安全等级的注册与身份认证方式。 　　单点登录，多点漫游：在统一身份认证的基础上，实现单点登录，用户只需登录一次就可以访问其权限范围内的各应用系统，并且可以方便地在各应用系统间切换访问，极大地方便用户，实现“单点登录，多点漫游”。 　　安全性、高效性、扩展性：认证系统是其他应用系统的入口，必须保证用户认证过程的安全性，并满足大量应用系统的认证请求，同时满足认证接口的多样性需求，使各种各样的应用系统都可以使用本系统进行身份认证。 　　共享的信息服务：各应用系统用户信息可以通过统一管理平台共享，供其内部流程使用，为应用整合奠定基础。 　　支持终端多样性：支持PC(BS／CS应用)、POS、智能设备、手机等终端设备的应用。 　　分级管理、灵活授权：采用市、区县分级管理模式，按照各区县实际需求，提供多种互联方案，在保持数据同步的基础上，同时满足市、区县的多种应用。 　　系统从上至下分为三大模块，即系统接口、后台管理和身份数据存储。系统接口包括认证、互信、数据同步和数据采集等接口；后台管理包括用户管理、权限管理、审计管理、证书管理和系统管理等模块。用户管理是系统的核心功能模板，主要涉及四方面的内容：用户资料、角色、组织机构、用户组。权限管理模块主要包括两方面的内容：系统内部管理的授权和接人系统的授权。审计管理主要包括：统一记录应用系统情况，创建登录日志，检查安全漏洞并提出修复建议，全方位实现安全控制。证书管理模块，即系统采用数字证书解决在网络环境下认证过程和数据传输过程中的安全问题。系统管理模块则主要包括：系统角色管理、接入系统管理、系统参数设置及其他管理。 　　 　　二、市区应用与互联 　　 　　作为服务全市教育系统的统一认证系统，本系统采用数据大集中的方式，提供市级各应用系统的认证支持，同时兼顾网络环境等各种因素，建立区县(或者学校)级的分认证中心，各级认证中心之间逐级通过同步引擎实现数