数字化校园统一身份认证系统的模型研究与实现.ppt

数字化校园统一身份认证系统的模型研究与实现,专业：软件工程姓名：聂坤苗日期：2009.5.25,;,内容概要,课题研究背景及意义统一身份认证集成中存在的问题本文的解决思路实验及其结果系统的具体实现未来的工作,课题研究背景及意义,随着应用系统开发的迅速发展，各应用系统都有了自己的身份认证机制，采用了各种不同的身份认证技术，这给用户的使用和管理都带来了很大的难题。用户在不同应用系统之间切换时，必须重复登录。,课题研究背景及意义,各院校正向着数字化校园的目标不断探索前进，一个能够集成校园网内所有服务并且具有安全的统一身份认证功能的数字化解决方案就成为了当今校园网应用及时的热点研究领域。,身份认证相关技术,Kerberos：由认证服务器AS、票据服务器TGS组成，安全性较高LDAP：轻量级目录访问协议，按照树状信息组织模式，实现信息管理和服务接口的一种方法，不同于关系数据库，具有更高的读取效率ICE中间件：适合所有的异构网络环境，客户端和服务器端可以用不同的程序语言实现，运行在不同的操作系统和不同体系结构的机器上,1.单一的认证模型存在不足：网关模型的缺点：存在制约性,统一身份认证集成中存在的问题,1.单一的认证模型存在不足：代理模型的缺点：用户登陆凭证本地存储，容易泄漏,统一身份认证集成中存在的问题,1.单一的认证模型存在不足：经纪人模型缺点：工作量较大,统一身份认证集成中存在的问题,2.认证接口的灵活性问题3.存在跨平台、跨开发框架的问题,统一身份认证集成中存在的问题,本文的解决思路,基于三层架构的身份认证模型的提出：应用层：统一身份认证平台的服务对象服务层：Kerberos认证思想，基于角色的访问控制数据层：构建共享数据平台，用户身份数据库与外部数据源的同步,本文的解决思路,本文的解决思路,一、应用层认证接口的客户端与平台的服务接口的服务端进行交互。例如J2EE应用NET应用PHP应用,本文的解决思路,二、服务层：,Kerberos认证机制,本文的解决思路,三、数据层,通过差异视图实现外部数据源与LDAP用户数据库的同步，底层数据平台具有更好的维护性,本文的解决思路,高效率：与LDAP目录服务结合细粒度：RBAC基色进行职责分离,细粒度的RBAC访问控制,本文的解决思路,三层架构模型的认证接口采用中间件通信：几种相关技术的比较：COM/DCOMJavaBeansCORBAWebServiceICE,实验及其结果,一、对系统建模和分析,实验及其结果,二、建立了多优先级非抢占M/M/n队列模型，得出了一组衡量中间件性能的指标队列平均长度服务窗口数消息排队等待时间消息在系统中的逗留时间,实验及其结果,三、系统能够处于平衡状态的条件,消息排队等待时间,实验及其结果,不同窗口数的平均等待时间表,实验及其结果,实验及其结果,服务窗口数n=5。此时满足系统平衡条件，而且在此值之后，等待时间随窗口数变化不大。实验验证了较短等待时间和服务窗口数的选取之间的关系，以使系统达到最佳平衡状态，达到了理论与实践相结合的效果。,系统的具体实现,单点登录流程设计LDAP目录结构设计API接口设计认证接口实现,系统的具体实现,单点登录流程设计,系统的具体实现,LDAP目录结构设计,系统的具体实现,API接口设计JSP、ASP、PHP、Java、C、C#、VB等多种语言的接口,系统的具体实现,认证接口实现,系统演示,系统演示,系统演示,认证系统性能测试,并发对比表,认证系统性能测试,在100并发和200并发的时候，服务器处理能力都稳定在54个TPS。随着并发用户的增加处理能力并没有增强，说明统一身份认证系统单位时间的处理能力基本上是固定。相应的在并发用户较大的情况下登录成功需要花费的时间较长。,未来的工作,1对Kerberos加密算法的进一步研究和改进，提高安全性。2分布式的身份认证交互模式要求也越来越高，因此分布式身份认证模型需要不断发展和完善。3WebService在身份认证中已经是一项比较完善的机制，可以解决跨域的认证问题