2015/12/14 16:42:30 您是否关注过数字化校园中身份认证的问题

    身份认证平台实现提供统一规范的授权机制,如图所示,用户只需记录和使用一组用户、和口令就可以使用有授权的业务系统,解决了一个用户访问多个业务系统需要使用多组用户名和口令的问题,减少了重复建设,降低了投入。

    数字化校园身份认证平台


    整体规划建立的身份认证平台,实现了用户身份的集中认证,大大提高了安全性,用户只需记录一组用户名和口令,方便了使用,在组织结构、人员架构发生变动时,系统将自动在各系统之间同步最新数据,极大的节约了后期开发和维护工作。

    平台设计满足以下目标:

    一、支持B/S和C/S两种架构下的认证。

    二、利用HTTPS等传输层安全协议对HTTP环境下认证的用户名密码加密传输。或者在网络结构上,采用网络层的安全设备(比如IPSEC或者VPN等)实现密码的加密传输和使用。

    三、利用HTTPS协议加密传输用户验证CA证书的过程和结果。

    四、可以与部署在主流上Web server的业务系统对接。

    五、用户管理策略和方法简便易行,可选择统一的权限管理。

    设计要点

    一、提供适合数据分散管理的用户数据集成。

    二、可以满足教职工多重身份的单一用户身份数据存储机制。

    三、认证集成预留接口先进、合理,在一定时间内不落后,可满足一定时间内后续业务系统的集成需要。

    四、兼容性良好的安全认证体系,实现各种用户或系统的安全认证需求。

    五、安全、可靠、可信、可用、高性能。

    用户数据的集成、身份数据的存储和认证接口的合理可用是支撑身份认证平台运行的基础,而针对高校用户数量和需求增长的特点,后两条是需要面临的挑战。

    平台框架

    身份认证平台的设计应该涵盖以下模块:

    1、基于LDAP目录服务存储和管理海量的用户数据;

    2、基于SSO(单点登录)服务的高效率身份认证;

    3、丰富的集成接口,支持不同的幵发环境和异构的系统环境的认证集成方式。

    如图所示:

    数字化校园身份平台架构


    一、用户身份信息库设计

    1、LDAP目录服务

    目录服务适用于大量检索数据的应用,因为他只执行简单的更新操作,不更新批量的事务,并且,目录服务会尽量广的复制信息以便于使用,信息按照树状结构进行组织,结构清晰,方便查找,这些措施极大的节省了查找和响应时间。目录服务系统通常由分布式数据库再加上访问控制协议组成,国际上最先认定的目录服务标准是X.500标准,后来又推出了他的简化版本LDAP标准,LDAP是的X.500一个子集,他们之间是继承和发展的关系。目录服务非常适合于高校数字化校园中实现身份认证平台的信息管理和接口服务,考虑到学校现状和业务部门的应用需求,我们选择应用LDAP标准。

    用户模型设计

    (1)用户组织结构如图:

    身份认证平台用户组织结构

    (2)分类存放人员

    将用户按照所属单位等身份信息的不同,分成学校级别人员、院系级别人员、负有业务管理职能的用户。

    ①学校级别人员:按照学校要求,在学校主管部门的统一注册、统一接待的学生、教师,或者是学校联系的访问学者。

    ②院系级别人员:不归学校管理,而是由院系自行管理、自主招生的学生,院系根据业务需要自行招聘的教师,以及院系出面联系邀请的访问学者。

    ③业务系统管理员:在各业务系统中,负有一定管理职能的用户,这些管理员的增删、权限修改等工作均由所在组织的管理员负责。

    (3)用户结构扁平化

    利用用户属性保存用户的各类相关信息,应对转系、改名等特殊情况时不需要改动用户,只需在属性中更新相应信息,操作简单易行。

    (4)多重人员身份

    人员身份信息作为人员的属性保存,最主要的身份保存在表:

    数字化校园身份认证人员属性

    (5)用户标志符设计

    ①GUNO是用户在数字化校园中的身份标志,无论发生何种变动,GUNO均不变化,因此可通过这个编号与所有业务系统实现对这个用户的关联。

    ②登录别名ID

    在登录信息门户、邮件系统,或与其他系统集成时,单纯的数字GUNO不好记忆,或者其他应用系统中的贱号信息无法与身份认证平台的信息相关联,可以通过这字段实现简单好记,实现不同系统间的集成。

    (6)用户角色类型和职责

    共有以下几种角色:

    ①系统级管理员

    负责维护身份认证平台,包括身份信息服务器、目录服务器、Meta Directory服务器等,以及身份认证平台上用于为其他业务系统提供数据同步服务的接口程序等。

    ②校级管理员

    负责维护、管理部门级管理元,设置管理权限,增加或删除用户,维护用户部分属性。

    ③部门级管理员

    部门级管理员可以查看本部门人员的相关信息,在部门内管理临时人员。

    ④业务管理员

    业务管理员的职责是负责某个业务应用的管理。

    ⑤一般用户

    维护个人信息。

    ⑥密码管理员

    在有授权的时候,密码管理员可由更改用户的密码。

    二、统一身份管理

    在以往高校信息化建设中,各部门纷纷建立本部门的业务系统,每个系统都有用户管理、认证和授权的机制,由于信息孤岛的存在,各业务系统之间的用户身份既不相同,也无法实现兼容和共享。另外,伴随高校规模的扩张,高校的组织机构也在发展变化,分支越来越多,用户来源,角色定义和变化问题突出。这些问题为统一的身份管理带来了困难。

    1、身份管理的统一架构

    为了妥善的解决这些问题,我们考虑基于现行LDAP、Web server的标准,设计和构建一个身份管理的统一架构,如图,用来实现各业务系统中对用户身份信息以及他们之间对应关系的管理。

    身份管理架构

    相同用户在各业务系统中拥有各不相同的身份、权限、以及身份的有效期,通过统一架构的身份管理,能够智能捕获用户身份的变更,发现变更后,身份认证平台按照预先设置的规则将新的用户身份信息同步给其他业务系统。

    身份认证平台需要设定用于管理和维护用户信息的审批流程,流程中各环节由管理员按照学校相关规定预先定义,使用中可以修改,实现包括创建或中心用户信息等。

    系统根据以上规则在主目录服务器中创建用户账户信息,并根据用户在业务系统中的权限,在相应业务系统中同步帐户信息,创建、消除或是更新用户帐号。

    身份认证平台基于口令管理策略实现对口令的管理,记录口令变更历史记录等,为了更加安全和智能,身份认证平台中还设计了用户身份审计和自动分析用户帐户风险的功能。

    2、用户数据模型

    用户的数据模型见表:

    用户数据模型表

    图为数据模型图:

    用户数据模型图

    3、用户数据管理

    用户在各业务系统中均有单独的身份造成用户数据比较分散,各业务系统中用户都有单独的授权控制流程导致管理复杂,如何简化用户数据和管理流程,提高用户数据管理的可用性、灵活性成为身份认证平台面临的问题之一。

    在坚持符合学校实际情况的条件下,我们釆用以下措施解决问题:

    (1)坚持数据谁产生谁负责的原则,明确权威数据源,保证与权威数据源的业务系统集成以获取最新的权威数据,并且要强持谁使用谁管理的权威数据源管理原则。

    (2)通过统一的数据共享和集成平台实现数据的同步更新与共享。

    (3)使用身份认证平台提供的管理程序进行用户数据管理,放弃使用各业务系统自有的身份管理程序。

    4、身份数据集成

    为了补充完全用户身份信息库,身份认证平台在更新数据时,使用数据交换平台从其他业务系统中自动抽取业务系统内的用户身份数据,并按照一定规则归纳和整理这些数据,最后补充到身份信息库中。

    5、自动发现和动态同步

    身份认证平台自动发现用户信息更改,并根据规则将其同步到相关应用中。

    6、帐号和口令管理

    身份认证平台提供了统一的基于的管理界面,如图,可以方便地在其上管理帐号和口令。

    数字化校园身份管理账号

    7、分级管理

    对用户实行分级管理,是在用户遇到多重身份或者是所属组织变更时,可以最大限度的保证用户的认证效率。

    三、与业务系统集成

    身份认证平台在集成其他业务系统时,无需在业务系统中安装任何代理插件。这是因为身份认证平台的资源适配器是基于J2EE的适配器,部署在J2EE服务器端上,是依据通讯协议实现与待同步资源的互通。

    1、与目录服务器的集成

    身份认证平台和LDAP目录服务器的集成,如Sun Java System Directory Server是通过JNDI资源适配器完成的,如图:

    身份认证平台与目录服务器的集成

    2、通过实现与应用系统的集成

    这种集成方式是基于LDAP的,通过LDAP的资源适配器实现与这些应用系统的集成。

    3、集成基于关系型数据库的业务系统

    如业务系统采用关系型数据库存储用户数据,这种情况下,实现与业务系统的身份集成后,关系型数据库中存储的用户数据主要用于业务系统内的权限控制,身份认证功能上交身份认证平台取代实现。身份认证平台和关系型数据库的集成是通过身份认证平台提供的JDBC资源适配器完成的,如图,在身份认证平台上建立针对改业务系统的数据库,通过资源适配器获得关系型数据库中用户和权限的对应关系表,用户的信息表以及权限的信息表等,映射用户信息数据并及时同步变更。

    数据库业务管理系统

 
QQ在线咨询
销售热线
0371-53302651