2016/1/27 16:14:24 数字化校园统一身份认证平台的构建方案

随着计算机技术、信息技术、网络技术的迅猛发展,全球正在逐步形成一个互联互通的巨大信息网络。高校作为当代社会的教育核心领域,也在这场信息科技浪潮中不断完善自身的信息网络,数字化校园成为了高校信息化发展的必经之路。

目前,高校的信息化建设使得各种应用系统层出不穷,原本单一的网络管理工作趋于复杂化。

特别是各个系统身份认证机制的不同与孤立,大大增加了网络信息安全的隐患,同时也给广大的师生带来了诸多的不便,很大程度上降低了数字化校园的工作效率,原有分散的“独立认证、独立授权、独立账号管理”的模式已经不能满足目前及未来发展的需求,因此,构建一个完整统一、高效稳定、安全可靠的集中身份管理和身份认证平台已经成为数字化校园建设的重要目标。

1 统一身份认证平台体系结构

数字化校园统一身份认证平台整合了校园网络中的信息和各种应用系统,为用户提供了一个单一的访问入口。

为校园网络内的异构分散的各种应用和服务系统提供了集中的管理和安全认证机制,实现了各种应用系统的无缝接入与集成。统一身份认证需要建立每位用户针对每个管理系统的角色和身份( 管理人员、高级用户、普通用户、访客) 、密码、权限并进行统一的集中和管理,统一身份认证平台是数字化校园信息管理的重要组成部分,其体系结构框架如图 1 所示。

数字化校园统一身份认证平台主要分为三大部分: 信息门户、LDAP( 轻量目录服务) 以及 CAS( 中央认证服务)

信息门户

信息门户简介

作为数字化校园的服务展示层,信息门户主要是为网络用户、手机用户等用户终端提供服务接入与信息展示。信息门户的系统功能主要涵盖以下方面: 让合法用户利用互联网安全地对学校内部资源进行访问; 为用户提供极具个性化的信息检索与网络资源获取的功能; 把校内外的网站资源进行有效地集成、整合; 通过信息门户平台,可以快速配置要求极为严格的信息门户所需的成员管理、知识管理、个性化、累积、安全和集成的服务。通过自行定制的门户通道将集成的内容、应用程序和服务进行传递,并允许合法的用户、学生和教职工从校外远程访问门户,并且不需要安装额外的客户端软件,也不需要单独进行维护。开放、灵活、个性化的信息平台使内部已开发的应用系统和第三方应用程序方便地集成在数字化校园中。

Portal 技

Portal 是一种网络应用程序。为了消除信息孤岛,它能够快速地建立一个信息通道,将各种应用系统、数据资源和服务集成到一个信息管理平台之上。通过屏蔽应用的多样性,向合法用户提供一个信息资源访问环境,使其能够与人、内容、应用和程序进行个性的、安全的、单点式的互动交流。Portal 强调以用户为中心,提供统一的登录界面,对各种应用程序或组件进行集成,实现信息的集中访问。

LDAP 目录服

LDAP 协议是标准的目录服务协议,具有跨平台性,因此就不用关心 LDAP 目录存放的服务器类型和操作系统类型,均可以直接对 LDAP 目录中的内容进行读写。同时 LDAP 协议对数据的浏览与查找进行了优化,从 LDAP 服务器中读取数据或查找数据会比关系型数据库要快,速度要快一个数量级。LDAP 协议组织数据结构是基于树状模型,层次结构相当明晰,能有效明确地实现一个组织结构特性的相关信息。在树型结构上的每个节点称为条目( Entry) ,每个条目拥有全局唯一可区别的名称( DN) 并且包含了基于属性的描述信息,其中 DN 是由条目所在树型结构中的父节点位置( Base DN) 和该条目的某个可用来区别身份的属性( 称之为 RDN 如 uid) 组合而成,所以 LDAP 也为信息的检索提供了复杂的过渡条件。

LDAP 数据库

LDAP 目录服务是用面向对象的方式以及层次化的结构将校内的用户和各种应用系统的信息进行了集中和管理,从而保证了数据的一致性和完整性,使用户信息在校园网内各种应用系统之间得以共享和使用。同时对统一身份认证系统中的用户信息、账号关联信息以及各种应用系统资源信息等进行了有效的组织和集中的管理,从而为数字化校园的信息管理提供了更为高效安全的目录访问于 CAS 的单点登录

4. 1 单点登录( SSO) 关键技术单点登录( SSO) 是将一个对外认证平台作为统一身份认证的接口,合法用户只要在该接口处输入了正确的用户名和密码,就可以平滑进入其他内部的信息管理和服务系统。其认证过程是通过将用户名和密码等信息发送至核心认证系统,然后由核心认证系统对发来的认证请求进行判断,最终将认证结果以及权限对于用户的认证控制。在合法用户通过单点登录认证之后,其可以访问的应用系统的权限可以通过 SSO 提供的映射授予权限来实现,用户的注销功能就可以使用映射取消权限来实现。

数字化校园统一身份认证平台系统

集成身份认证

数字化校园统一身份认证平台是以 CAS 作为实现单点登录的底层技术,CAS 认证的数据源是 LDAP目录服务。CAS 在结构上包含两个部分: CAS Server认证中心和 CAS Client 认证服务。CAS Server 认证中心是与 LDAP 目录服务连接,负责用户信息查询并认证工作; CAS Client 是部署在服务上,负责接收客户端的请求并决定用户是否能访问所需的资源,需要登录时,重定向到 CAS Server。

  根据 CAS 的原理,CAS 客户登录的过程如下: 用户通过单点登录页面进行登录,系统将用户信息提交到 CAS 的认证页面进行认证,CAS Client 接收 Http 请求并分析其请求是否包含 Service Ticket,如果 ServiceTicket 的值为空,则说明该用户第一次应用,没有登录,则将该用户的请求转向 CAS Server 的登录地址进行身份认证,并且带去访问应用系统的地址,在 CASServer 中用户信息认证成功后则进行到要访问的应用系统中。如果用户直接请求 CAS Server 认证,成功后则进入单点登录系统,并且随机产生一个唯一的 Serv-ice Ticket,并且以 Cookie 形式存放在客户端,以待将来验证,如图 4 所。

 数字化校园统一身份认证平台解决了校园网内各种应用和服务系统之间用户名、密码和权限的不统一,用户信息的管理和用户使用不方便等问题,是数字化校园建设的重要组成部分。文中将 LDAP 目录服务、CAS 服务相结合设计提出了一个基于信息门户的数字校园统一身份登录认证模型。利用目录服务技术实现对用户信息的快速查找,利用 CAS 实现用户的认证并登录,使得多应用系统可以方便切换。最终,为整个校园网内各应用系统间的信息共享、整合打下了坚实的基础。


 
QQ在线咨询
销售热线
0371-53302651