高校数字化校园的统一身份认证解决方案

1、    高校数字化校园的统一身份认证解决方案     摘要：数字化校园的基础平台有用作全校统一的身份认证中心的统一身份认证平台，用作资源整合和应用集中展现的信息门户平台，还有用作数据集中和共享流转的共享数据平台。本文对高校数字化校园中统一身份认证的体系结构、实现技术、认证集成、用户管理等整套解决方案进行了阐述。关键词：数字化校园，统一身份认证，idap，认证接口，单点登录sso一、引言 “数字化校园”的提法始于1990年由美国克莱蒙特大学教授凯尼斯·格林（kenneth green）发起并主持的一项名为“信息化校园”的大型科研项目，并

2、由此逐步演变完善成为今天的“数字化校园”概念，即利用计算机技术、网络技术、通信技术对学校与教学科研、管理和生活服务等相关的信息资源进行全面的数字化，并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制。数字化校园即在传统校园之上构建一个数字化空间，以提升传统校园的效率，扩展传统校园的功能，最终实现校园各项活动的全面信息化。随着信息技术的不断进步与普遍应用，校园网不断扩展和延伸，计算机处理领域不断扩展，高校校园中各种服务日益增多，各种服务的构架平台也都不尽相同。应用系统建设缺乏统一的规划，难以建立统一的技术体系，每个不同的应用服务拥有各自独立的用户

3、，互相分离的数据库系统和应用平台，这种各自为政的服务模式不仅大大增加了校园网管理的复杂性，而且也导致在信息交互处理时出现合作障碍。大多数传统的应用系统都有各自的用户认证模块，使用各自独立的认证机制。这种用户认证模式有如下几个弊端：（1）每个应用系统中都必须存储用户名和密码，并且每个应用系统不尽相同。（2）用户认证信息的维护管理不方便。如更改认证信息，用户须逐个应用系统进行更改。（3）每个应用系统重复设计开发各自独立的用户认证模块。（4）用户使用不同的应用系统时，须反复登录。于是，一个能够集成校园内应用服务，并且具有独立安全的统一身份认证解决方案就成了需要重点关注和研究的领域。二、系统框架和体系

4、结构高校的统一身份认证平台应具备以下四个特点：1.海量的用户数据存储统一身份认证平台所管理的用户数据量庞大，并将逐年快速增长，需集中有效地将用户身份信息储存管理，以便长期使用，并且需要能对用户数据进行快速检索。2.高性能的认证服务，高效的单点登录支持（sso）各集成业务系统中用户账号一致（可以通过共享数据平台进行数据集成来实现）的情况下，应在业务系统间实现sso（单点登录）。由于不断有新的业务系统集成统一身份认证，故需要一个高性能的认证服务来支撑全校业务系统的认证请求。3.支持不同应用服务器环境、不同开发语言的认证集成校内应用系统环境复杂，面临不同的网络环境、硬件环境、操作系统、中间件服务器环

5、境、开发语言、运行模式等，这些都需要统一身份认证平台能够有效支持。4.方便的管理和服务监控统一身份认证中需建立起集中安全策略的储存、处理、设置和管理机制，提供方便的管理功能。统一身份认证平台支撑着全校业务系统的认证服务，稳定的运行和及时的故障处理至关重要，因此需要有对统一身份认证自身相关服务及运行环境的监控功能。基于以上特点，统一身份认证平台总体架构如图1所示。 使用层：统一认证的主要功能是身份校验和单点登录。其身份验证的主要方式有：password、ca认证、smart card等方式，本设计中使用的是password方式。统一认证与应用系统的集成方式有：认证接口、代理网关、lda

6、p接口三种。其中，认证接口是针对于可改造的应用系统而设计，其认证主要通过认证头完成；对于不可改造的应用系统是通过代理网关进行代理认证；对于高并发量的应用系统，如：选课系统、bbs等通过ldap接口完成认证。数据层：统一身份认证的用户数据存放在ldap目录中，用户信息从共享数据库或业务系统数据库中同步。管理维护层：主要描述了统一身份认证系统的管理、维护、监控功能。这里面主要包含两大块：给用户提供的个人自助服务和提供给管理员的维护监控功能。三、用户数据存放和同步1.ldap简介ldap的英文全称是lightweight directory access protocol。它是基于x.500标准的，

7、可以根据需要定制。与x.500不同，ldap支持tcp/ip，这是访问internet的必需。ldap技术是一种标准的目录服务技术，它为浏览和查找目录及内容读取提供了专门的优化。目录中的信息存放模型基于条目（entry），每个条目拥有全局唯一的名字（dn）并且包含了基于属性的描述信息。ldap中条目的存放基于树状模型，层次结构相当明晰，适于对应现实世界的组织模型，也为信息的检索提供了复杂的过滤条件。ldap目录服务并不像传统的数据库一样支持复杂的事务或者回滚技术，数据之间也没有复杂的关系和数学计算，因为它的主要应用并不是更改或操作数据，而是提供快速的查询读取操作。目录服务支持大量复制信息从而增

8、加可用性和可靠性，并且减少了反应时间。除了结构清晰，快速读取之外，ldap服务还具备以下特点：（1）跨越平台和系统：由于ldap协议位于tcp/ip的上层，与具体的操作系统无关，服务器提供的是标准统一的接口，各种平台的服务端都可以通过ldap端口进行数据的存取。（2）同步复制和分布式服务功能：大部分ldap server都提供了自动复制备份功能，保证了数据的安全和同步，并且通过指引功能支持分布式的ldap服务。（3）完善的安全控制设施：ldap服务可以使用标准的ssl连接（ldaps），保证连接的机密性，并且对于自身数据的访问也允许通过acl进行控制，丰富的安全措施保证了数据的可靠性。2.用户

9、数据存放高校的统一身份认证中，我们采用扁平模式存储用户数据。所谓扁平模式即人员和组信息等都存放在最上层的根下面的容器中。ldap目录服务器中数据的存放结构如图2所示： 该目录树顶层节点为dc=xxx，dc=edu，dc=cn，其中，本专科生信息（uid，姓名，密码等）放在了ou=bzks节点下，教职工信息放在ou=jzg节点下，同样还有研究生信息、校友信息、应用管理员信息。扁平模式的存放数据方式，便于统一管理，并且减少了目录层次间的aci开销，从而大大提高了条目检索速度。组（ou=groups）容器中存放的是组信息，jzg人员容器下的用户同时属于jzg组。除图中所示外，可另外建立如“

10、oa组”包含教职工中所有的行政人员，通过添加组属性的方式来辅助进行用户的分类和管理。目录服务中的目录树类似于文件系统中的树模型。树的根（root）节点，在层次关系的最顶上，叫做root suffix。在目录服务中：dc（domain component）表示这个企业或者组织的域名。ou表示组织单元（organization unit），用来表示一个企业或者组织的下属子组织或者机构。uid表示一个用户对象的id，在整个系统中每个用户都有自己唯一的标识。cn表示目录服务器中对象的通常名称（common name）。3.用户数据的来源和同步高校统一身份认证平台的一大特点是用户数据管理的分散性和管理流

11、程的复杂性，用户数据一般是分散在各个不同的应用系统中的。常见的情况是：“人事系统”负责管理教职工的基本信息；“教务系统”负责管理全校本科生的教学基本信息；“研究生系统”负责管理全校研究生的基本信息。先要从各自的权威数据源获取到这些人员信息，然后将其同步到需要用户信息的业务系统（由共享数据平台完成）；同时同步到统一身份认证的ds，即ldap目录服务中（由统一身份认证平台的人员同步程序完成）。人员同步程序原理：数据库中人员信息表提取几个需要判断差异的字段生成一张人员信息对照表，当有人员信息更新到人员信息表时，对照表之间就有了差异，差异数据在差异视图中体现，同步程序每隔固定周期后启动读取差异视图中的

12、数据，按照更新类型同步到ldap目录服务中，同时更新对照表以消除人员信息差异。另外在平台架构的管理维护层，平台提供了少量用户信息手动维护以及对大量用户信息进行批量操作的功能。四、身份认证和集成1.单点登录（sso）原理单点登录系统的根本原理是保持用户的会话（session）状态。用户经过一次认证就可建立单点登录会话，每个单点登录会话对应一个令牌（token），用户访问应用系统时向应用系统传递单点登录令牌，应用系统能够根据令牌识别用户的认证状态，从而使一次认证能够被多个应用系统认可，避免了重复认证。以sun java system access manager（简称am）作为实现单点登录的底层技

13、术举例。根据上述原理，am对单点登录提供sdk级别的支持，其中包括单点登录令牌的创建与验证。以web应用的单点登录为例：用户通过am的认证页面进行认证，认证通过之后，平台为该用户创建一个单点登录令牌，并将该令牌的id通过cookie返回至用户浏览器：当用户访问web应用系统时，单点登录令牌id自动通过cookie传递至web应用系统，web应用系统可以通过单点登录令牌id还原单点登录令牌，并向access manager验证单点登录令牌是否有效。如果有效，则应用系统可以从单点登录令牌获取用户身份信息，而不再需要用户进行再次认证。因需要使用cookie，所以应用系统必须要用域名来访问，并且需要和

14、统一身份认证平台amconsole的访问域名后缀一样。2.集成方式（1）认证接口通过ice中间件技术封装对am的api方法的远程调用，并开发各类认证接口客户端以适应不同的应用系统集成，实现了跨平台、跨语言的应用集成（java客户端接口，com组件客户端接口，php客户端接口，c客户端接口）。ice采用了一种用于使对象接口与其实现相分离的基础性抽象机制，为构建面向对象的客户服务器应用提供了工具、api和库支持。ice认证接口api是线程安全的，开发人员无需额外的付出就可以获得高效的多线程功能。同时ice也支持统一身份认证平台的双机热备模式，能够动态进行切换，集成应用无需付出额外工作考虑平台状态问

15、题。ice认证接口增加了系统监控功能，可以通过配置在系统出现问题时通过邮件通知系统管理员。ice认证接口的架构如图3所示。  应用系统参照帮助信息和认证接口调用示例，就可以很方便地进行身份认证集成。（2）代理网关认证代理网关认证指安装特定的apache版本和agent插件程序，在用户访问该apache时触发agent认证代理，转向统一身份认证的amconsole要求登录，用户登录成功后转向apache预先配置好的应用系统中。该方法通过在http header中保存参数传递给配置的应用系统，应用系统接收参数获取用户登录信息，同样实现应用系统的统一身份认证。（3）ldap接口认

16、证对于高校中高并发认证型应用的集成需求，比如教务选课系统，直接开放ldap目录服务的端口，应用系统通过所用开发语言中自带或开源的ldap连接方法直接连到目录服务进行用户绑定校验。这种绕过am的方法能够满足短时间内上万人次的身份校验，但缺点是因为绕过了am，所以无法实现单点登录。五、管理维护1.个人自助服务供用户自行修改密码、找回密码用。用户可以通过正确回答预先设定好的密码找回问题来重设密码。用户可设定自己的登录别名，别名同样需要符合唯一性，设置成功后可跟账号一样登录平台。2.管理员维护对用户信息的管理，包括手动或批量维护用户、组信息。修改用户密码时同样只能重设密码。管理员可以设定多个密码修改管理员，分别指定到不同的人员容器，以减轻管理员自己修改用户信息的工作量。数据备份：用户数据非常重要，必须定时备份。平台服务操作：可以在网页上起停相关的服务，方便管理员的操作。六、系统监控1.运行环境监控监控操作系统的硬盘空间、cpu空闲、空闲内存大小等，以达到预警的作用。2.平台服