（机械电子工程专业论文）网络教学平台安全认证体系的研究.pdf

摘要 本文论述了网络教学平台面临的安全问题和目前常见的几种重要 的安全技术，并针对随着在校园网中提供的网络教学和其它应用服务 越来越多，给用户管理和操作带来许多不便这一现状，提出了基于数字 化校园的统一电子身份认证系统解决方案。该系统中用户使用校园网 中的所有服务只需一套口令和密码，另外，该系统还实现对重要资源 的授权访问。方案实现的核心技术是基于l d a p 的目录服务技术。 系统采用c i s c o 公司的安全访问控制器c i s c os e c u r ea c s ( a c c e s s c o n t r 0 1 s e r v e r ) 2 6 作为认证服务器，i p l a n e td i r e c t o r y s e r v e r 5 1 作为目录服务器，以及实达的基于8 0 2 1 x 的交换机 s t a r - s 1 9 2 4 f 作为用户接入设备即认证客户端，实现用户在所有应用的 账号与密码等相对固定的信息集中管理和基于角色的访问控制。本文 详细讲述了网络教学安全认证体系的技术架构和实现基理以及部分认 证服务器的配置参数。 另外，文中叙述了目录服务二次开发的实现过程，采用n e t s c a p e d i r e c t o r yj a v as d k 开发包，j s p 和j a v a b e a n s 技术来开发基于w e b 的 目录服务客户端，使目录服务中的数据能更方便更安全的被访问和管 理。用户管理采用基于角色的分级管理模式。将用户主要分为匿名用户、 学生、教师和管理员四种类型，通过对其分别设譬访问控制权限来实现 安全访问和管理。基于w e b 的目录服务客户端实现的具体功能有：分 类查询、修改密码、条目的添加、删除、修改、设置组、设置角色和设 置访问控制等，前台页面使用了树型结构，直观的反映了目录服务器中 数据的拓扑结构。 上述统一电子身份认证系统使用的核心技术是基于l d a p 的目录 服务来实现，因此使认证和管理变得可靠、便捷，并且在国内外电子商 务平台中已得到广泛应用，该技术对教学平台也同样适用。但是基于目 录服务开发w e b 应用在国内还很少见，而这正是课题最主要的工作，本 文对目录服务总结的阶段成果对将来进一步的开发可以起到一定的参 考和借鉴作用。 关键词；l d a p ，a a a ，目录服务，安全认证，访问控制 a b s t r a c t i nt h i sp a p e r , w ed i s c u s sp r o b l e m so fs e c u r i t yf o rt h ee l e a m i n gs y s t e ma n d s o m em a i ns e c u r i t yt e c h n o l o g y , a n dp u tf o r w a r du n i v e r s a lu s e ri da u t h e n t i c a t i o n b a s e do nd i g i t a ls c h o o ln e t w o r k a c c o r d i n gt ot h ep r e s e n ts i t u a t i o nt h a ti n c o n v e n i e n t t ou s e rm a n a g e m e n ta n do p e r a t i o nb r i n g sb ym o r ea n dm o r ea p p l i c a t i o ns e r v e r p r o v i d e d t h ec o r et e c h n o l o g yi sd i r e c t o r ys e r v e rb a s e do nl d a p - t h i s a r t i c l et e l l s a b o u tt h et e c h n i c a ls u p p o r t ，p r i n c i p l eo ft h ee l e a n i n gs e c u r ea u t h e n t i c a t i o na n dt h e p a r a m e t e r i nc o n f i g u r a t i o no f a u t h e n t i c a t i o ns e r v e r t h es y s t e ma d o p t sc i s c os e c u r ea c s ( a c c e s sc o n t r o ls e r v e r ) 2 6o fc i s c o c o m p a n y a st h ea u t h e n t i c a t i o ns e r v e r , i p l a n e td i r e c t o r ys e r v e r 5 1a st h ed i r e c t o r y s e r v e ra n ds 1 a r - s1 9 2 4 fs w i t c hb a s e do n8 0 2 1 xa s 也ea u t h e n t i c a t i o nc l i e n t n a m e l y u s e rn e t w o r ka c c e s sd e v i c et oi m p l e m e n tc e n t r a l i z em a n a g e m e n to ft h eu s e r a c c o u n ta n dp a s s w o r da n ds oo ni na l lt h ea p p l i c a t i o n ，a n dt h ea u t h o r i z a t i o na c c e s s b a s e do n p o r t i na d d i t i o n ，p r o c e s so f d e v e l o p i n g t h ec l i e n to fd i r e c t o r ys e l v e ri sd i s c u s s e di n t h i sp a p e r n e t s c a p ed i r e c t o r yj a v as d k , t h e t e c h n o l o g yo f j s pa n dj a v a b e a n sa l e u s e dt oi m p l e m e n tt h ec l i e n tb a s e do nw e bw h i c hm a d ed a t ai nt h ed i r e c t o r ys e r v e r i sm o r ee a s i e ra n ds e c u l et ob em a n a g e da n da c c e s s e d t h eu s e l sa r em a n a g e db a s e d o nr o l e sa n dg r a d e s ，t h e t y p e s o fu s e r s a r e ：a n o n y m ，s t u d e n t ，t e a c h e r a n d a d m i n i s l r a t o r , i m p l e m e n ts e c u r em a n a g e m e n tb ys e t t i n ga c c e s s c o n t r o lp r i v i l e g e s p e c i a l l y t r e ev i e wi su s e di nt h ew e b i n t e r f a c em a d et h ed i r e c t o r yd a t a1 0 0 k sm o r e u n d e r s t a n d a b l e t h ef u n c t i o nt h a ti m p l e m e n ta r es e a r c he n t r y , e d i te n t r y , d e l e t ee n t r y , s e tg r o u p ，s e tr o l e ，s e ta c c e s sc o n t r o la n ds oo n 1 1 1 ed i r e c t o r ys e r v e rt e c h n o l o g yb a s e do nl d a p , u s e di nt h es o l v i n gs c h e m eo f u n i v e r s a lu s e r - i d s y s t e mw h i c hm a k e st h ea u t h e n t i c a t i o n a n dm a n a g e m e n tm o r e c r e d i b i l i t y , m o r ec o n v e n i e n t t h i 8t e c h n o l o g yi sa p p l i e db r o a d l yo ne - c o m m e r c e s y s t e mi nf o r e i g nc o u n t r ya n dn a t i o n ，a n dt h i st e c h n o l o g y i ss a m et o a p p l yo n e l e a n i n gs y s t e m i na d d i t i o n ，t h ew o r k o f d e v e l o p m e n tw e ba p p l i c a t i o nb a s e d o n d i r e c t o r yi sal i t t l e i nn a t i o n h o w e v e r , t h i si st h em a i nt a s ko ft h i st o p i c n es t a g e p r o d u c t i o nd i s c u s s e di nt h i st o p i cw i l lt a k es o m e r e f e r e n c et ot h ep e o p l ew h od om o r e d e v e l o p m e n t o n d i r e c t o r y s e r v e ri n 血ef u t u r e k e yw o r d s ：l d a p ，d i r e c t o r ys e r v e r , a a a ，a u t h e n t i c a t i o n ，a c c e s sc o n t r o l i i 武汉理丁人学顾 。学位论文 第1 章网络教学的现状及其存在的问题 1 1 网络教学是解决高等教育的社会巨大需求与教育设 施相对不足矛盾的有效手段 中国的高等教育比例与发达国家相比还很落后，随着经济和社会的发 展，越来越多的人希望接受高等学历教育，但是受到现有的师资和设施、校 园容量等条件的限制，很多人失去了继续接受的机会。即便是扩招，也无法 在短期内改变我国高等教育市场供求严重失衡的现实。另外，有一部分人希 望继续提升自己的知识层次，获取更高学历，但由于受各种因素，影响不能或 不想全职学习。不能进入大学的这部分人将转向通过其他途径获取学历。图 1 1 是2 0 0 0 年高等教育需求统计【1 l ，这为网络远程教育提供了广阔的发展空 间。 图1 12 0 0 0 年高等教育需求统计 培养人才，出科研成果，为社会提供必要的服务，每一个方面都需要投 入大量的人力资源、物力资源和资金。国家和社会给予学校的各项任务都是 光荣而重大的，但是国家提供的资金却又是非常有限的，结果必然造成学校 心有余而力不足。在我们国家存在的每年一次“千军万马过独木桥”的高考现 象，就是这个矛盾的直接反映。实际上，即使是世晃上资金最充沛的学校， 它的人力资源、物质资源和资金也是有限的，也存在着这个矛盾，只是表现 武汉理丁人学顾1 一学位论文 的程度不同罢了。如何解决社会需求同教育资源相对不足和教学手段落后 之间的矛盾，使有限的教育资源得到合理利用和共享，并提高人才培养的质 量将成为今后教育界的一个重要课题。在这种国情和教育现状下，迫切需要 采用一种新的技术手段来充分利用各种资源，增加教育普及程度，提高教学 质量，缩小东西部差距，培养创新人才，从而构建一个面向全社会的终身学 习的体系。网络教育为解决上述矛盾提供了最好的解决方案。 1 2 网络教育与传统教育手段的异同【z ， 网络教学是将计算机网络技术应用到教学之中的具体体现，是建立在多 媒体、计算机网络和国际互联网基础之上的一种全新的教学系统或教学模 式，是把教室扩展到校园网、互联网上，使资源在全校甚至全国、全球范围 共享的教学。网络教学的基本要素是教师、学生、计算机网络和课件式的教 材。网络教学拥有全新的教学模式和全新的教学设计思想。 网络教学是一种超时间和超空间的教学，较之传统教学，网络教学的特 点是信息容量大，传输速度快，交互性、渗透性强，多媒体，无形化。它具 有满足所有人的教育需求的潜力。它可以让任何人都能随时随地接受到个性 化的教育。网络教学是一种高效率的教学网络世界把无数学者的最好劳动聚 集起来，使优秀教师在广阔的平台上传播知识，让所有的人分享。网络教学 不受环境的限制，覆盖面广，成本相对较低。这将使专门知识简单而廉价地 流向任何需要的地方，有助于及时把受最佳教育的机会传到那些不能有幸进 入最好学校的学生那里。高效率使得网络教学尤其有利于高等教育发展。 网络教学强调个性化教学，对学生的指导具有针对性。但在传统的教学 模式下，一名教师同时教授几十名甚至上百名不同层次、不同能力的学生， 基本上做不到有“针对性”的学习指导，而在课时减少的“减负”环境下实施 “针对性”教学更是捉襟见肘。结果，教师只好采取“一锅端”的教学方式，布 置大量的作业，增加了学生的课业负担。 网络教学是一种真正以学生主体的教学，它结束了以教师为中心、课堂 为中心的传统教学模式，代之以学生为中心、参与为中心的网络教学模式。 在网络教学中，a 地上课的学生可以向b 地教师提问并与c 地学生进行讨 2 武汉理t 人学顿 ：学位论文 论，学生和教师的交流如同在同一教室中一样自如。网络教学的这种交流与 传统教学的直接交流有区别。原来面对面的交流方式被思想对思想的交流方 式所取代，交流的重心由外表转移到内在情感上。这比传统的师生交流更深 刻。 1 3 本项研究的目的和意义 随着校园网信息化建设的不断深入，校园网络规模不断扩大，网络应用 日益丰富，服务范围不断扩大，网络用户的数量和水平大幅提高，网络安全 的重要性愈加凸现出来。校园网在给教学带来方便的同时，也提出了一个新 的课题，由于i n t e r n e t 协议本身的缺陷，使得它对网络安全性、可靠性和 网络管理等缺乏足够的保证，如果没有相应的安全措旌，用户数据和网络资 源就会遭到各种各样的攻击，比如，个人机密数据丢失，数据完整性遭到破 坏以及账号被骗取、系统被攻击等。而安全认证授权系统可以使应用服务运 行在一个相对安全的平台上，该系统对于网络教学安全还有更具体的意义： 1 个性化教育 网络教学的多样性，为个性化教学提供了广泛的发展空间，教学双方可 根据自己的需要进行教和学，从而使个性化教育成为可能。个性化教育，就 是要根据学生的不同年龄段、不同水平、不同学科，采用不同的教学方法， 帮助学生找到重点难点，帮助学生答疑解惑找到适用的学习方法，而不是面 面俱到。而实现个性化教育中确认每个学生身份，并对他的访问进行控制是 一个必须解决的闯题，只有在这个前提下才能提供个性化教学。举个例子： 假设学习工程制图的学生必须有高中以上的学历，那么学生进行身份认证时 能取得他的学历信息，对达不到这个学历的学生则不提供学习工程图学的资 源，而根据他的情况提供学习更基础的知识，对达到学历要求的学生根据平 时的作业及个性化学习行为特征来动态地调整，实现合理化的教学资源分 配，使学生的学习效果达到最好。 2 知识产权的保护“1 武汉理t 人学硕f “学位论文 网络教学的各种资源都是以软件的形式提供给学生的，软件是国内外知 识产权方面关注的一个焦点，因此，在项目研究过程中要注意避免侵犯国内 外已有知识产权，同时尽量形成自主知识产权。根据目前软件知识产权保护 的现状，可以视每项技术成果的具体情况申请国外专利、发明专利、实用新 型专利、软件著作权登记。除此之外，在教学资源发布后，对这些教育资源 可以采用不同级别的保护措施也是很必要的手段。校园网上的教学资源可以 是完全开放或者仅对部分用户开放，也可以是有偿服务服务性质的。这些教 学资源被访问时要识别用户的身份。比如有的课程是选了该门课程的学生才 可以学，有的是某个专业的学生才能学习。这时需要确定用户的身份，判断 其是否为合法使用者。另外，教学资源的创建和维护也受身份限制，网上的 教学资源是由相应的老师创建和维护的，其他的人没有权利修改。所以在进 行教学资源管理之前，也应验证用户是否有相应的权限，这需要有一套安全 的认证系统和授权机制来实现。 3 教学过程的全面跟踪和教学效果的评估 在网络教学过程中要跟踪学生、教师、教务管理人员的行为，并能对相 关人员的行为进行统计分析，对学习行为进行指导，为学习者进一步选择学 习内容、制订个性化的学习计划提供参考，对旆教者教学内容的组织提出指 导性的意见，并对教学效果进行评估。即实现教学过程的全面跟踪和教学效 果的评估。在教学的不同阶段，以及不同的教学活动都要涉及到学生和教学 人员的身份和权限信息，在系统中表现为不同的教学资源管理和应用模块中 对用户的认证。包括用来实现非实时交流的邮件系统，办公自动化系统；教 学资源的发布、维护系统，考试系统、题库的维护、考试成绩的维护和查询 等。总之，教学的整个过程都必须建立在安全认证体系和用户统一管理的基 础上。 目前，许多网络教学中的各种服务通过各自的一套账号和密码来进行认 证和授权，用户访问不同的应用系统时需要提供相应的账号和密码，这样用 户使用几个应用服务就需要几套账号和密码，不方便用户使用也不方便管 理。本项研究的目的就是要实现基于数字化校园的统一电子身份认证系统， 即用户只需一套账号和密码就可以访问这些服务，并对重要资源的授权访问 武汉理t 人学硕十学位论文 控制。系统中用户管理用目录服务技术来实现，目录服务的应用使跨校选课、 学校之间相互承认学分成为可能。该认证系统使网络教学平台能在安全可靠 运行的前提下给用户提供更多、更好的服务。并且，实现用户信息的集中管 理，使其它的服务能共享这些数据，从而更便于用户信息的操作和维护。另 外，采用j a v a 技术来开发基于w e b 的目录服务客户端，使目录服务中的数 据能更方便的被访问和维护。 武汉理t 人学顿 一学位论文 第2 章网络教学支持技术全面解决方案 2 1 几种重要的安全技术一 网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络 设备的软件和硬件互相配合来实现的。网络安全技术领域中最常见的是防火 墙技术和基于数据加密的安全技术。防火墙技术和数据加密技术是目前用来 实现网络安全的基本技术手段，主要是对信息数据的保护和对网络资源安全 合理使用的管理。如果使用得当，可以很大程度上提高网络安全性能，但是 并不能完全解决网络上的信息安全问题。因此网络安全单靠数据加密技术和 防火墙技术是不够的，还需要考虑其它技术和非技术的因素，如操作系统安 全内核技术，网络反病毒技术、制定法规，提高网络管理使用人员的安全意 识等。以下主要介绍防火墙技术和基于数据加密的智能卡技术和动态口令认 证技术。 2 1 1 防火墙技术 防火墙技术是一种典型的安全访问控制技术。防火墙通常是软件和硬件 的组合体，它是设置在可信任的内部网和不可信任的外界之间的一道屏障， 它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵 破坏。通常防火墙服务于以下目的： 限制进入内部网络，过滤掉不安全服务和非法用户 限制访问特殊站点 为监视i n t e m e t 安全提供方便 由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部 的非法访问难以有效地控制。因此，防火墙适用于相对独立的网络。防火墙 技术实现方式主要有静态包过滤技术、状态检测防火墙技术与应用代理防火 墙技术等多种。 静态包过滤技术的实现非常简单，就是对每一个进入网关主机的 6 武汉理t 人学硕1 ：学位论文 t c p i p 协议栈的口层的p 包头信息进行过滤检查。而状态检测除了检查 口包头之外还检查相关的状态信息( 以前的通信连接状态和其他应用信息) 。 状态检测的安全性较静态包过滤高，目前己成为防火墙包过滤技术的主流。 应用代理技术不同于包过滤技术，它工作于应用层，当连接请求经过该网关 主机时，应用代理会阻塞这个远程连接，然后对请求的各个域( 包括应用层 协议、用户账号等等) 进行检查，应用代理安全性高但效率较低。 2 1 2 智能卡技术 智能卡的名称来源于英文名词“s m a r tc a r d ”，又称集成电路卡，即i c 卡( i n t e g r a t e dc i r c u i t c a r d ) 。它将一个集成电路芯片镶嵌于塑料基片中，封装 成卡的形式，其外形与覆盖磁条的磁卡相似。i c 卡芯片具有写入数据和存 储数据的能力，i c 卡存储器中的内容根据需要可以有条件地供外部读取， 成供内部信息处理和判定之用。根据卡中所镶嵌的集成电路的不同可以分成 以下三类： 1 、存储器卡卡中的集成电路为e e p r o m ( 可用电擦除的可编程只读存储器 2 、逻辑加密卡卡中的集成电路具有加密逻辑和z e p r o m 。 3 、c p u 卡卡中的集成电路包括中央处理器c p u 、e e p r o m 、随机存储器 r a m 以及固化在只读存储器r o m 中的片内操作系统c o s ( c h i p o p e r a t i n g s y s t e m ) 。严格地讲，只有c p u 卡才是真正的智能卡。 智能卡技术是与数据加密技术紧密相关的一项技术。所谓智能卡就是密 钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋与它 一个口令或密码字，该密码与内部网络服务器上注册的密码一致，当口令与 身份特征共同使用时，智能卡的保密性能还是相当有效的。 2 1 3 动态口令认证技术 动态口令认证系统的概念在2 0 世纪七八十年代就被提出，最早由r s a 公司在1 9 9 7 年推出成熟的产品，并提出了双因素的概念一- - s o m e t h i n gy o u h a v ea n ds o m e t h i n gy o uk n o w , 它采用3 d e s 算法，但其成熟产品价格较高。 动态口令认证系统是一种较安全的身份认证系统，采用基于双因素的身 1 武汉理t 人学硕1 。学位论文 份认证技术，利用被认证方所知道的秘密信息( p i n 码) 和所支持的专有硬 件( 动态口令卡) 产生一组( 4 8 位) 当前口令，由认证方将这组口令与 系统产生的当前口令进行比较即可完成身份认证。每个用户都有一个与众不 同的标志身份的动态口令卡。动态口令卡在发放给用户时进行初始化，它存 储着用户密钥k e y 和卡的时间t i m e ( e a r d ) ，同时在系统的服务器中也存储用 户的密钥和卡的时间，还有用户输入的p i n 码，固化在卡上的变换函数根 据k e y ，t i m e ( c a r d ) 和p i n 码产生p l o g i n 。在服务器上，也有一个使用相同变 换函数的口令生成模块，该模块根据系统中的相应用户k e y , t i m e ( s e r v e r ) 在 每次用户使用时系统都要对t i m e ( s e r v e r ) 进行校正，使得 t i m e ( s e r v e r ) 一t i m e ( c a r d ) 和p 玳码，计算出用户当前的口令( p c u r r e n t ) 。若 p l o g i l l = p c u r r e n t ，系统责判定在登录的用户为授权用户；否则，即为非授权用 户。 动态口令认证系统无论在原理上还是具体实现上，都有较强的安全保 障，与c a 等大型安全身份认证系统相比，有系统简单，容易实现，投资规 模小等优点，在金融、证券和内部网的管理域中有着非常广泛的应用前景。 2 2 网络教学安全认证系统设计 2 2 1 网络教学平台及其安全问题 网络教学是利用计算机访问本地及全球各地的计算机资源，并使教师与 学生或学生与学生之间通过网络进行广泛的交流与协作。其主要特点是将传 统课堂教学的以教师的教为中心，转变为以学生的学为中心，真正使教学过 程变成了教师为主导、学生为主体的教学过程，促使了学生内因作用的发挥， 使他们从被动地接受知识转变为主动地获取知识，从而为创新能力和创造能 力的培养提供了必要的客观条件。 要使网络教学系统正常运作，迅速扩展，网络安全是不容忽视的，网络 安全相对于网络教学平台的关系就如同地基与房子的关系一样，而我们采用 的安全解决方案应该适合教学平台的特点： 1 用户数量的增多给安全和管理带来新的挑战 。r 武汉理t 人学硕 ：学位论文 随者校园网信息化建设的不断深入，校园网络规模不断扩大，网络应用 日益丰富，服务范围不断扩大，网络用户的数量和水平大幅提高，网络安全 的重要性愈加凸现出来。校园网在给教学带来方便的同时，也提出了一个新 的课题，由于i n t e r a c t 协议本身的缺陷，使得它对网络安全性、可靠性和网 络管理等缺乏足够的保证，如果没有相应的安全措旌，用户数据和网络资源 就会遭到各种各样的攻击。随着网络教学规模不断扩大，用户数量的也在逐 渐增多，这使网络教学迫切需要运行在一个安全、易管理的平台上。 2 教学管理中的角色 由于网络教学的管理涉及许多敏感性数据的操作，需确认用户的角色， 并确定该角色的权限来控制用户的访问。在学生的成绩和学籍管理系统中， 还有网上的考试系统、班级管理、邮件服务、网上交流和资源维护等教学管 理活动都需区别用户的角色以便提供相应的服务。因此，保护和传递敏感的 信息资源，并在无否认条件下对用户进行审计是网络教学系统的一个关键环 节。 3 多重账号的管理 由于学校的信息资源( 如教学资源，文件，打印机，电子邮件及内部业 务系统数据库) 分布在不同系统平台上，用户不得不需要多个账号来分别访 问他们。不但用户感到麻烦，系统管理也比较困难。同一个用户拥有多个账 号，这本质上是一个数据的冗余问题，大量的数据冗余主要有两大弊端：第 一是数据重复，其危害时浪费系统存储和网络通信资源，造成系统管理员的 重复劳动；第二是难以保证冗余数据间的一致性，其危害是出现系统管理和 安全上的漏洞。有资料表明，由于用户口令保管不善造成的修密是企业中的 第一大隐患。除此之外，多重账号还会造成维护成本和培训费用上升，而系 统易用性却大大下降。传统的用户名、口令方式进访问控制存在许多缺点， 如需要记忆大量的用户名、口令，口令容易被破解，传输时被窃听，已远远 不能满足网络教学的安全性要求。 由以上的分析得知，网络教学的安全问题主要是服务验证用户身份，并 进行授权访问。对此，我们提出了统一电子身份认证的解决方案：校园网用 武汉理t ：人学硕十学位论文 户只需一个单一的账号就可以实现对校园网中所有应用的访问，而对于网络 教学系统按照一定的规则赋予用户某种角色实现对重要资源的授权访问控 制。这样既能保证数据安全，又使用户操作方便，同时加强了网络管理的能 力。 2 2 2 统一电子身份认证模型 校园网络上的应用系统主要都是基于口令认证，为了提高这些口令认证 系统的安全性，并实现不同的应用系统间的账号和口令的统一，设计了统一 身份认证系统。系统设计的功能和特性主要有： ( 1 ) 基于简单认证机制中的口令认证机制，以用户名和密码为确认用户 身份的标志； ( 2 ) 用户密码在系统中加密存放，且不可逆；在认证过程中，明文密码 不能在网络上传输，防止窃听导致泄密，保证用户密码的安全； ( 3 ) 可以实现认证客户端和认证服务器的双向认证，确保认证双方的身 份； ( 4 ) 能够抵抗重放攻击，既防止攻击者使用窃听到的过时的认证数据包 再次获得认证而冒充合法用户的身份； ( 5 ) 支持分布式认证的方式。 统一电子身份认证系统使网络教学平台安全、高效、易于管理。统一电 子身份类似于我们日常生活中身份证，它唯一标识用户的身份。用户只有一 套账号、口令，但可以访问他有权访问的多种应用服务，即用户在不同服务 上使用相同的账号和口令，这样简化了用户的记忆：且统一电子身份认证对 用户实行基于角色的访问控制，用户只能使用他有权使用的资源，增加了信 息安全性。统一电子身份认证系统结构如图2 1 。 用户与认证客户端的通信使用了8 0 2 1 x 认证协议，校园网内部用户需 运行符合i e e e8 0 2 i x 客户端标准的软件，整个系统采用c s 结构的r a d i u s 认证。由网络访问服务器蠕( n e t w o r k a c c e s ss e r v e r ) 充当客户端，一般 为交换机或防火墙，它负贵将用户的标识和口令，以及用户希望得到的服务 类型和配置等信息封装在请求报文中送到服务器端，并且根据服务器端回送 武汉理丁人学硕1 学位论文 的响应作进一步动作。认证依据是保存在用户信息库中的用户数据，它相对 独立于认证系统，可以单独管理。这里使用基于l d a p 的目录服务器来存储 用户数据，这是实现统一电子身份认证的核心。 匮圃婴! 区五习兰型岖困 f 匠五卫 图2 1 统一电子身份认证系统结构 2 2 3 统一电子身份认证实现 统一电子身份的实现包括两个主要功能模块：用户认证系统模块和用 户管理系统模块。用户认证服务采用c i s c o 公司的安全访问控制服务器 c i s c os e c u r ea c s ( a c c e s sc o t r o ls e r v e r 2 6 ) 来完成。c i s c os e c u r ea c s 是目前广泛使用的aaa ( 身份认证a u t h e n t i c a t i o n 、授权a u t h o r i z a t i o n 与审 计a c c o u n t ) 服务器，支持多种认证协议，如r a d i u s 或t a c a c s + 等。用户管 理系统选用i p l a n e t 的d i r e c t o r ys e r v e r 5 1 ( 下面简称i d s ) 来实现。i d s 是基于开放的l d a p 设计的，具有可伸缩性以的特点，并对查询进行了优化， 每一个服务器可以管理数百万个登录资料，每秒钟可以处理数千个查询作 业。i d s 支持客户端授权的s s l 、v e r i t y 的集成式检索器、s n m p 、出色的数 据库联接功能及w e b 网站内容管理等，从而保证了高效和安全以及利于扩展 武汉理下人学硕士学位论文 的性能，近几年在网络用户管理中应用非常广泛。 图2 2 简要的表示了用户身份认证的过程：e n d u s e r l ，e n d u s e r 2 分别 代表局域网用户和远程拨号用户两大校园网主要用户类型，分别通过 p p p o e 、p p p 协议与a a ac 1 i e n t ( a a ac l l e n t 可以是交换机或防火墙) 建立 连接，p p p 协议具有用户认证及通知i p 地址的功能，而p p po v e re t h e r n e t ( p p p o e ) 协议，是在以太网络中转播p p p 帧信息的技术，尤其适用于d s l 等方式【2 9 。a 从c l i e n t 在这里为是实达的s t a r - s 1 9 2 4 f 交换机。用户输入 身份信息并发出一个服务请求到交换机，交换机向认证服务器即c i s c o s e c u r ea c s 发出认证请求，在c i s c os e c u r ea c s 服务器端进行有效性检验， c i s c os e c u r ea c s 服务器支持外挂数据库，通过r a d i u s 协议与目录服务器 进行通信，校验用户的合法性并返回结果到从ac l i e n t ( s t a r - s 1 9 2 4 f ) ， a a ac l i e n t 根据认证服务器返回的结果及权限信息给予用户放行或拦截， 并在a 从c 1 i e n t 保存其权限信息和访问记录，同时在s q ls e r v e r 里储存访 问日志，这为基于用户访问信息的计费提供了可能性和现实性。系统将用户 的账号、密码邮箱地址等基本用户信息集中存储在目录数据库中，校园网中 所有的信息服务都共享这些用户数据，对于需要进行账号与密码验证的信息 服务，用户只要输入其在校园网中唯一的账号和密码即可，从而实现统一身 份认证。 图2 2 统一认证系统 武汉理t 人学硕十学位论文 第3 章基于w e b 的目录服务客户端开发 i p a n e td i r e c t o r ys e r v e r 提供了基于命令行和控制台方式的客户端操作 方式，但需要管理者对目录服务有较专业知识，且目前未提供很完善的汉化 版本。为方便用户操作，使之为用户提供更个性化管理服务，课题中对目录 服务进行了二次开发，实现了基于w e b 方式的目录服务客户端管理。 3 1 开发平台及实现技术 采用n c t s c a p e 提供的l d a ps d k 开发包，l d a ps d k 支持3 种开发语 言，c 、j a v a 和p e r l ，课题中使用的是n e t s c a p ed i r e c t o r yj a v as d k 。开发 包中主要包括如下类库 3 1 l ： ( 1 ) c o r l l n e t s e a p e s a s l ( 2 ) t o m n e t s c a p e s a s l m e c h a n i s m s ( 3 ) n e t s e a p e i d a p ( 4 ) n e t s c a p e 1 d a p b e a n s ( 5 ) n e t s c a p e 1 d a p b e r s t r e a m ( 6 ) n e t s c a p e 1 d a p c o n t r o l s ( 7 ) n e t s e a p e 1 d a y u t i l 在程序编制中主要用到的是n e t s c a p e 1 d a p 包，此包中包含了对目录服务 器访问的连接对象类及其它常用目录服务器操作需要的类及其方法。开发环 境为j b u i l d e r 7 0 ，服务器端执行环境为t o m c a t 4 1 ，开发技术j s p 、j a v a b e a n s 。 基于w e b 的目录服务客户端的主要技术特点是商务逻辑和表现的逻辑 分离，以更利于管理和扩展。j a v a 所支持的商务逻辑一表现逻辑技术体系如 图3 1 所示。基于j a v a 的w e b 应用对商务逻辑一表现逻辑的分层架构提供 了j a v as e r v e rp a g e ，j a v as e r v l e t 和j a v ab e a n 的实现技术( e j b 和其它相关 技术本身就是j a v a b e a n s 的扩展) 。 1 ) h t m l 通过u r l 指向一个应用服务器上的s e r v l e t ； 武汉理t 人学烦1 。学位论文 2 ) s e r v l e t 起控制请求的作用，调用j a v a b e a n s 。j a v a b e a n s 代表商业逻 辑元素： 3 ) s e r v l e t 调用j s p ，j s p 被应用服务器解析。由j s p 调用的j a v a b e a n s 允许对商业逻辑信息进行存取； 4 ) j s p 向浏览器客户端发送已生成的h t m l 页面。 图3 1 商务逻辑表现逻辑技术实现 商务逻辑商务逻辑代码最终是为了满足客户端的请求，因此必须全面 的考虑到所有可能的要求，这包括：1 ) 保证应用程序组件的事务完整性。2 ) 维护并快速的存取应用程序数据。3 ) 为现存的应用程序结合新的应用程序组 件。 表示逻辑表示逻辑负责产生用于返回浏览器的h t m l 。在一般情况下， s e r v l e t 将动态数据传递到显示页面以便格式化。有时显示页面会直接调用商 务逻辑去获得动态数据 3 2 1 。 3 2 基于目录服务用户管理系统的设计与实现 3 2 1 扩展目录模式设计 目录模式( s c h e m a ) 是一组规则，用来定义在目录中数据存储的方式【3 孔。 数据在目录中是以条目的方式存在的，每一个条目由一系列的属性及属性值 武汉理丁人学硕t 学位论文 组成，而且每一个条目必须含有一个对象类属性( o b j e c t c l a s s ) 。对象类用来 区别不同的条目描述的对象，它决定了该条目中必须包含的属性以及可以存 在的属性，并且包括这些属性的结构和语法。标准l d a p 目录提供了一些 基本的对象类：组( g r o u p s ) ；地域( l o c a t i o n ) ：组织( o r g a n i z a t i o n s ) ；人( p e o p l e ) ； 设备( d e v i c e s ) 五种类型。可以根据实际的需要对模式进行修改和扩展。下 面以认证系统中用到的i p l a n e td i r e c t o r ys e r v e r 为例来实现模式的扩展。 i p l a n e td i r e c t o r vs e r v e r 带有一个包含数百个对象类和属性的标准模 式。在安装完毕后，可以通过管理控制台在“配置”标签页中查看到这些对 象类和属性。虽然标准对象类和属性能够满足大部分要求，但标准对象类中 的属性不能满足网络教学学生、老师的属性要求。它没有包括班级、职称等 属性，为了适应学校网络教学中用户信息的特点，需要创造新的对象类和属 性以对模式进行扩展，自定义个性化模式。 在模式中添加新属性时，必须创建包含该属性的新对象类。如果只将所 需的属性添加到包含大部分所需属性的现有对象类中，这样尽管看似简便， 实际上却会危及l d a p 客户机的互操作性。d i r e c t o r ys e r v e r 与现有的l d a p 客户机的互操作性依赖于标准l d a p 模式。如果更改标准模式，则在升级 服务器时会遇到困难。出于同样原因也不能删除标准模式的元素。 对象类中的属性分为必须属性和允许属性两种，对象类对象类属性可以 允许多个值，每个对象类值包含的属性在该条目中使用。基于互操作性原则， 我们定义了几个新的属性，分别添加到两个新的对象类w h u t s t u d e n t ，w h u t t e a c h e r 中。对象类使用继承的方式定义。犹如j a v a 标准类库中终极超类为 o b j e c t 类似，顶级对象类为t o p ，每个对象类都由它开始继承。如：用户条目 的对象类属性 t o p , p e r s o n ，o r g a n i z a t i o n a l p e r s o n ，i n e t o r g p e r s o n 包括四个值， p e r s o n 是继承t o p ，而o r g a n i z a t i o n a l p e r s o n 继承p e r s o n ，i n e t o r g p e r s o n 继承 o r g a n i z a t i o n a l p e r s o n 。不是后一个属性一定会继承前一个属性，但一个属性 的父属性必须和该属性同时存在，比如上面的例子中不能删除i n e t o r g p e r s o n 之前的任何一个属性，因为他们为后面属性的父属性。常用的条目类型有组 织单元、组、角色、用户、服务类( 和组与角色的功能相似，主要是用来管 理条目，在系统中没有用到) ，其对象类分别为： - 组织单元 t o p ，o r g a n i z a t i o n a l u n i t ) ， 15 武汉埋丁= 人学预十学位论文 组 t o p ，g r o u p o f u n i q u e n a m e s ，g r o u p o f u r l s ) - 角色 t o p ，i d a p s u b e n t r y , n s r o l e d e f i n i t i o n ，n s s i m p l e r o l e d e f i n i t i o n ， n s m a n a g e d r o l e d e f i n i t i o n ) - 用户 t o p ，p e r s o n ，o r g a n i z a t i o n a l p e r s o n ，i n e t o r g p e r s o n ) 系统中扩展的对象类： 1 教师条目设计 父项( p a r e n t ) ： i n e t o r g p e r s o n 对象标识符( o r e ) ： w h u t t e a c h c r - o i d 对象类( o b j e 圮t c l a s s ) ： t o p ，p e r s o n , o r g a n i z a t i o n a l p e r s o n ，i n c t o r g p e r s o n ， w h u t t e a c h e r ) 必须的属性(