校园网统一身份认证系统的设计方案.doc

校园网统一身份认证系统的设计与实现摘要随着高校信息化建设和互联网技术的不断发展，很多高校在不同阶段开发出了许多应用系统，这些系统可能是跨平台跨域的，都有其独立的安全验证机制。用户使用的应用系统越多，所妯须记住的用户ID和用户密码就越多；客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要步骤。从LDAP协议出发，描述了典型的校园网络中如何实现多系统之间的统一身份认证。关键词：LDAP；目录服务；单点登录机制；统一身份认证前言随着信息技术的不断发展，学校信息化建设的不断推广和深入，数字化校园已成为建设现代化高校的建设目标之一，基于校园网的应用系统也会越来越多，如网络课堂、数字化图书馆、网络视频会议、一卡通系统等。另外，网络用户、网络带宽需求、联网主机数量的急剧增大，都对数字化校园的管理提出了挑战。而不管哪种应用系统，都需要对用户的身份进行识别认证，同时对不同的身份所拥有的操作权限进行授权。用户使用的应用系统越多，所必须记住的用户ID和用户密码就越多，客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要容。第1章 LDAP目录服务和统一身份认证系统目前主流的统一身份认证方案中，都使用了目录服务技术。随着轻量级目录访问协议(LightDirectory Access Protocol，LDAP)技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。根据美国著名的网络顾问公司Burton Group的说法：“目录服务是由系统安全架构、应用程序与其他网络服务所构成的分布式计算环境的中心点，也是大型分布式运算环境中的最重要的元件，而它的实现会为我们所熟知的网络运算模式带来根本的改变"。LDAP最大的优势是：它是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。它可以应用在任何计算机平台上，很容易获得，而且它也很容易定制应用程序为它加上LDAP的支持。其次，它有优秀的检索性能，LDAP在处理大量用户并发检索访问问题上优势明显，具有比关系数据库系统更快的响应速度。第三，它有完善的安全机制，LDAP通过访问控制列表ACL设置对目录数据的读和写的权限，通过支持基于SSL(Secure Socket Layer)的安全机制完成对明文加密，能提供更安全的保障。第四，同步复制功能，分布在不同地域的两台目录服务器通过使用“推”、“拉”技术，使服务器保持数据的同步和一致啦。由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统量用户口令的存储和管理的要求，因此，在统一认证系统的设计中，目录服务数据库是整个统一认证系统的基础。采用标准的LDAP目录服务数据库，通过LDAP目录服务将用户和应用系统的信息以层次结构、面向对象的数据库的方式加以集中和管理，保证了数据的一致性和完整性，为各类应用系统提供用户信息的共享和使用。第2章 校园网统一身份认证系统的设计在建立基于LDAP统一身份认证系统的过程中，既要方便新建立的系统使用统一身份认证子系统，又要照顾原来建立的老系统，使原有系统做尽可能小的变动就可以使用统一身份认证子系统，最大限度实现数据整合。统一认证系统设计的核心思想是用目录服务数据库集中存储用户的信息和各个应用系统的信息，实现对用户的集中管理、统一认证和统一授权，以与实现对应用系统的访问控制。统一身份认证系统的体系结构如图l所示。统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证机制，而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可以大大提高系统的安全性，同时也可以保证用户的电子身份标识能安全、高效地在网络中传输。其次，统一认证系统把原来分散的用户管理集中了起来，各个系统之间依靠相互信赖的关系来进行用户身份的自动认证。用户的信息是集中保存和管理的，管理员只需要在统一的用户信息数据库中添加或删除用户，不必在多个系统中分别设置用户信息数据库。通过分析系统的体系结构，该系统的设计实现了用户的集中管理、独立应用系统的集成、统一授权和单点登录。下面对该系统所具有的一些特点进行分析：1)支持Web方式认证，提供单点登录服务功能。本系统提供了一个与其他系统相融合的框架，将各自独立开发的应用系统通过应用系统注册通用接口集成起来，方便独立系统用户与认证系统用户映射。2)提供基于LDAP开放标准的统一用户管理功能，并具有将多种异构数据源整合到目录的功能，易于系统维护和降低管理成本。这种方案结合基于角色的访问控制，实现了用户与系统的分离，保证了服务器的安全。3)支持基于改进Kerberos认证机制。加强应用安全。放弃Kerberos协议采用的加密算法AES，采用基于椭圆曲线上离散对数计算问题的ECC算法，改进了原Kerberos协议p。1存在的部分缺陷，使系统运行更加安全。改进的Kerberos协议强度更高，密钥产生、分配和管理更加方便，能够防止口令猜测攻击和重放攻击，验证过程更安全、真实和更可靠。由于新的验证协议不再需要用户输入登录应用系统的口令，可实现多业务模式下的单点登录。第3章LDAP协议与数据模型分析31 目录数据选择设计目录中存储的数据是目录信息库设计中最重要的一步，也是最耗费时间的一项工作。目录数据的选择耍遵循以下的一些原则：1)要根据目录服务种类收集所需的数据确定有哪些基于目录的应用程序与它们所需要的数据。例如，本系统要提供查询服务，就需要查询服务确定学生、老师、部门组织等的具体信息。2)选择合适的数据目录的特性决定了其中的数据类型结构化、被搿读”的频率高、具有访问的普遍性，即不止一个应用程序需要访问的数据。3)调查数据的来源、所有者，对已存在的数据确定将其导入目录的策略。32目录模式分析模式设计是将我们所选择的数据结构化的一个步骤。模式定义了各种属性类型和对象类型。当客户端程序访问目录时，服务器以此决定目录中的条目是否满足某查询条件或添加的条目是否符合类型定义。目录服务器的缺省模式中定义了丰富的类型，如RFC2798定义了一个名为lnetOrgPerson的LDAP对象类以与一组该对象类可用的属性。这些属性都是目录服务中经常要用到的一个人的常用信息，如：Users，Password。针对办公自动化系统的实际应用，InetOrgPerson对象类中已有的属性所能表示的信息是不够的，很多属性以与各种服务之间的关系(如用户拖欠上网费用，可以暂停向其提供阅览图书馆电子图书的服务，但是又不能影响该用户浏览校公文)很难直接用标准模式中定义的属性来表示。为此我们也可根据实际的需要自己定义一些类型，自定义模式不仅能够恰当的描述系统的需求，而具有很好的可扩展性，当需要一个新的属性或对象时，只要在模式文件中定义相应的属性类型和对象类就行了。但要确保模式在目录中的一致性，不能同样类型的数据有多种类型定义。33 目录信息树分析目录信息树的根(RoOT)是一个虚根，并没有实际意义。树中的任意一个节点都是目录信息树的一个入口，每一个节点旁的标注指明了该入口的一个或多个属性值，构成了该入口的相关辨识名(简称RDN)，把该入口与其它同级入口区别开来，从特定入口到根的直接下级入口的相关辨识名序列形成了该特定入口的辨识名(简称DN)，可以在整个树中标识该入口。如图2所示。目录信息树的结构是根据一定的结构确定的。可以按地理位置来进行分支设计，也可以按逻辑组织来划分。在设计目录信息树结构时最重要的一条原则就是保持“平”结构，即目录树的层次尽量少。因为我们设计目录信息树的宗旨之一就是当改变信息树中的某个信息时，尽量减少对其他部分的影响。目录信息树的层次越少，对应的各条目的DN越短，受其它信息变化的影响就越小。而且用户的管理员在使用时更为方便。同时，对于物理位置独立或具有单独的管理权限的部分在结构设计时尽量为独立的一部分。例如，Uid-tansl，OU=person，Oufdgut，O-edu，Cmcn。LDAP目录树的“根”或顶部是基本DN。基本DN通常有两种形式：从组织的属性派生的(例如，C=cn，o=edu)，或者从组织的DNS域组件派生的DN(例如，DC-cn，DC-edu)。树根下有三类信息；1)People：存储用户和信息，分为三类角色：Teachers，Students和Others，每一类角色可以根据需要进一步细化。2)Application：应用系统的信息，如Mail、人事、教务、OA系统等。3)Services：需要发布为Web服务的应用。第4章 统一身份认证在校园网的应用为实现校园网用户身份的统一认证，本系统开发选用SUN ONE Directory Server52 for Linux。它是一个开放源代码项目，实现了对LDAP v3的支持，支持SSL连接，支持密码认证、Kerberos和SASL身份认证机制，支持ACL访问控制，支持多种后台数据库。开发环境为Sun ONE Smdio 52。采用BS结构，使用JDKl5的开发环境，对用户管理系统进行开发，SUN ONE Directory Server52作为身份存储库，用Sybe 10 for Solaris作为辅助数据库，用JOSSO作模型，开发单点登录系统。如图3所示。统一的认证系统并非意味着只存在单个的认证服务器，整个系统可以拥有两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间只要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。如图4所示，当用户在访问应用系统l时，由第一个认证服务器进行认证后，得到由此服务器产生的ticket。当他访问应用系统4的时候，认证服务器2能够识别此ticket是由第一个服务器产生，通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息，完成SSO的功能。结语目前，LDAP已应用在很多校园网络用户管理系统中，将LDAP目录服务的特点引入到校园网统一身份认证中，便于用户登录校园网络系统，帮助管理员维护系统。随着校园网的各种应用不断涌现和进一步发展，基于LDAP的校园网统一身份认证系统会有很好的发展前景，是未来实现数字化校园的基础。7 / 7