基于Web校园网统一身份认证系统设计实现.docxVIP

基于Web校园网统一身份认证系统设计实现 摘要：本文提出了一个基于.NET Passport认证机制的统 一身份认证系统，本系统利用Active Directory组件建立 目录服务数据库和SQLServer数据库，实现用户信息、组织 架构和角色的统一管理，实现用户单点登录，实现用户统一 身份认证，为数字化校园建设提供了技术参考。 关键词：认证；Active Directory； WebService 中图分类号：TP393. 18文献标识码：A文章编号： 1007-9599 (2012) 21-0000-02 1前言 目前，数字化校园建设中基于校园网的应用系统越来越 多，如教务管理系统、数字化图书馆、校园网BBS系统等， 在没有统一身份管理的情况下，不同的业务系统需要各自维 护一套用户身份信息。对于普通用户而言，需要对每个系统 记忆一套登录名和密码。随着系统数量增加，用户必将通过 降低密码复杂度等为代价记住不同系统的登录信息。一套统 一的身份管理系统能够让IT集中精力，只要完善一套身份 管理系统的维护，就能提纲挈领统揽全局。 2统一认证框架设计 本系统的框架采用? NET平台进行设计，从逻辑角度上将 系统框架分为：表示层、业务层、业务数据访问层、数据访问层，每层完成不同的功能： 管理界面使用ASP. NET实现，管理员通过IE浏览 器使用HTTP协议访问管理站点，实现用户信息、部门信息 和角色的统一管理。 接口组件使用ASP. NET Web Services实现，应用 系统通过SOAP协议与接口组件进行交互，实现系统的单点 登录和授权服务。 所有的功能组件，包括数据库访问组件和AD访问 组件，使用.NET平台实现，并作为程序集进行发布。 SQLServer数据库存储权限信息和校内用户信息， Windows活动目录采用标准的LDAP目录服务数据库，存储校 内用户信息和应用系统信息，SQLServer数据库和活动目录 实现数据同步，为校网的各类应用系统提供用户信息的共 实现数据同步，为校 网的各类应用系统提供用户信息的共 孚和使用。 数据库访问组件通过ADO. NET与数据库交互。AD 访问组件通过?NET的类库使用LDAP协议与活动目录交互。 3统一认证的实现 统一身份认证平台包含三大逻辑组成部分：目录服务、 用户身份管理服务和用户身份认证服务，其中目录服务实 现用户信息和应用系统信息的集中存储，用户身份认证服务 是核心，实现对用户的集中管理、统一认证和统一授权，以 及实现对应用系统的访问控制。 3.1目录服务及用户身份管理服务的实现 目录服务是一种特殊的数据库系统，可以存储包括个人 信息、web链结、jpeg图像等各种更新频率不大的信息。通 过LDAP轻型目录访问协议访问Acitve Directory中的数据。 目录设计 一棵目录信息树由若干条目组成，每个条目有惟一的标 识名DN,条目可以描述用户账号、打印机和计算机等对象。 一个条目是一个对象，每个条目由多个“属性”组成，每个 属性由一个类型和一个到多个值组成，每个属性可以对应一 个或多个“值”，如联系电话属性可以包含有多个值。 目录系统一般包括用户目录、组织机构目录、用户权限 目录。用户目录存储认证系统用户信息和应用系统用户信 息，认证系统用户信息只存储用户的基本信息，如一卡通卡 号、电话、电子邮件、学院等，应用系统用户信息则存储应 用系统域名、IP地址等；组织结构目录存储学院、行政机构 等各种组织机构及下级分支机构；用户权限目录存储不同用 户的权限信息，在权限目录设计中可将不同组织机构人员的 权限整体划分为元权限，将多个元权限赋给不同应用系统的 角色，一个用户可以拥有多个角色。 目录服务部署与管理 在完成系统的目录设计后，就可以按照设计思想在 Active Directory上创建目录，并部署和管理目录服务。 Active Directory自带有一套目录管理系统，系统开发人员 可以使用这套系统来管理目录，也可以按照目录服务的要求 自行设计一套管理系统，以便更好地满足目录管理的需求。 ?Net架构对Active Directory提供了丰富的支持功能， 其命名空间 System. DirectoryServices 包含的 DirectoryEntry DirectorySearcher 等类库可与任何 Active Directory服务提供程序一起使用. 3.2用户身份认证服务的实现 由于所有主要的平台均可通过Web浏览器来访问 Web, Web Services可以看成是部署在Internet上的API, 不同的平台可以借此进行交互，它可以方便被应用程序甚至 其它Web Services集成和调用，形成新的应用服务。本系 统的身份认证子模块基于ASP.