（计算机软件与理论专业论文）校园网统一身份认证平台的设计与实施.pdf

爱 原创性声明和关于论文使用授权的说明 i l l l l l l l l l l l l l l l l l l l t l l l l l l l l l l l l l l l l l i l l l l l l l l l l y 17 9 3 2 16 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：五墨日 期：趋坐：! ：! 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 物壶导师签名拙日 期： 逸f 竺：尘：7 、! ； h 1 ii 东大学硕+ 学位论文 目录 中文摘要i 英文摘要 l 绪论一1 1 1 研究的背景及意义1 1 2 国外研究现状2 1 3 国内研究现状6 1 4 建立统一身份认证的必要性8 1 5 本文主要贡献。9 2 统一身份认证及相关技术1 1 2 1 传统认证模型分析1 1 2 1 1 用户口令认证1 l 2 1 2 挑战应答认证1 2 2 1 3k e r b e r o s 认证1 2 2 2 信息安全相关技术1 4 2 2 1 数据加密1 4 2 2 2 安全传输技术15 2 3w 曲服务系统架构1 5 2 3 1w 曲s e r v i c e 概述16 2 3 2w 曲s e r v i c e 体系结构1 7 2 3 3w 曲s e r v i c e 的特点和优势1 8 2 4 统一身份认证与单点登录1 9 2 4 1 统一身份认证系统1 9 2 4 2 单点登录技术概述2 3 2 5 用w 曲s e r v i c e 实现统一身份认证2 5 2 6 本章小结2 7 3 基于高校门户网站的统一身份认证平台设计2 8 山东大学硕士学位论文 3 1 高校门户网站的信息安全概述2 8 3 2 门户网站的身份认证分析3 0 3 3 基于角色的访问控制3 1 3 4 用户对门户网站访问的流程设计3 3 3 5 硬件认证机制3 4 3 6 用户、角色、权限的表示3 5 3 7 基于身份认证的信息发布3 9 3 8 用户的个性化页面设计4 0 3 9 本章小结4 1 4 统一身份认证平台的实现4 2 4 1 平台实施前后比较4 2 4 2 用户登录的实现4 3 4 3 管理员信息发布的实现4 6 4 4 用户个性化页面的实现4 9 4 5 系统测试5 2 4 5 1 黑盒测试5 2 4 5 2 压力测试5 5 4 6 本章小结5 8 5 总结和展望5 9 5 1 论文工作总结5 9 5 2 下一步工作一 参考文献 致谢一 攻读学位期间发表的学术论文 ，j一 1 h 1 if 东大学硕士学位论文 c o n t e n t s a b s t r a c ti ne n g l i s h i i i 1i n t r o d u c t i o n 。1 1 1b a c k g r o u n da n ds i g n i f i c a n c eo f t h er e s e a r c h 1 1 2s t a t u sq u oa b r o a d j 2 1 3s t a t u sq u oi nc h i n a 6 1 4n e c e s s i t yo fu n i f i e di d e n t i t y 8 1 5p a p e rc o n t r i b u t i o n 9 2t e c h n o l o g yf o ru n i f i e di d e n t i t ya u t h e n t i f i c a t i o n 1 1 2 1t r a d i t i o n a la u t h e n t i f i c a t i o nm o d e l s 11 2 1 1p a s s w o r da u t h e n t i f i c a t i o n 1 1 2 1 2q u e s t i o n a n s w e ra u t h e n t i f i c a t i o n 1 2 2 1 3k e r b e m sa u t h e n t i f i c a t i o n 1 2 2 2t e c h n o l o g yf o ri n f o r m a t i o ns e c u r i t y 1 4 2 2 1d a t ae n c r y p t i o n 1 4 2 2 2t e c h n o l o g yf o rs e c u r et r a n s f e r 1 5 2 3w e bs e r v i c es y s t e m 15 2 3 1w e bs e r v i c eo v e r v i e w 1 6 2 3 2w e bs e r v i c ed e t a i l s 1 7 2 3 3w e bs e r v i c ef e a t u r e sa n da d v a n t a g e s 1 8 2 4u n i f i e di d e n t i t ya u t h e n t i f i c a t i o na n ds s o 1 9 2 4 1 u n i f i e di d e n t i t ya u t h e n t i f i c a t i o n j 1 9 2 4 2s s ot e c h n o l o g y 2 3 2 5r e a l i z a t i o nv i aw e bs e r v i c e 2 5 2 6s u m m a r y 2 7 3u n i f i e di d e n t i t ya u t h e n t i f i c a t i o nb a s e do np o r t a l s 2 8 i 工j 东大学硕士学位论文 3 1s u m m a r yo fi n f o r m a t i o ns e c u r i t y 2 8 3 2i d e n t i t ya u t h e n t i f i c a t i o na b o u tw e b s i t ep o r t a l s 3 0 3 3r o l eb a s e da c c e s sc o n t r o l 3l 3 4p r o c e d u r e sf o ru s e r st oa c c e s sw e b s i t ep o r t a l s 3 3 3 5h a r d w a r ea u t h e n t i f i c a t i o n j 3 4 3 6d e s c r i p t i o no f u s e r 、r o l ea n da u t h o r i t y 3 5 3 7i s s u ei n f o r m a t i o nb a s e do nr o l e s 3 9 3 8d e s i g no f p e r s o n a l i z e dw e b 4 0 3 9s u m m a r y 4 1 4r e a l i z a t i o no f u n i f i e di d e n t i t ya u t h e n t i f i c a t i o n 4 2 4 1c o n t r a s t 4 2 4 2r e a l i z a t i o no fl o g g i n go n 4 3 4 3r e a l i z a t i o no fi s s u ei n f o r m a t i o n 4 6 4 4r e a l i z a t i o no f p e r s o n a l i z e dw e b 4 9 4 5s y s t e mt e s t 5 2 4 5 1b l a c k b o xt e s t 5 2 4 5 2s t r e s st e s t 5 5 4 6s u m m a r y 5 8 5c o n c l u s i o na n df u r t h e ri s s u e s 5 9 5 1c o n c l u s i o n 5 9 5 2f u r t h e ri s s u e s 6 0 r e f e r e n c e s 6 1 a c k n o w l e d g e m e n t 6 4 p a p e r sp u b l i s h e dd u r i n gs t u d i e s 6 5 i i ，j一 ，j h 山东大学硕十学位论文 摘要 由于校园网初期建设的局限性，网络中各个应用系统的建设由各个职能 部门自己负责，没有遵循统一的数据标准，数据格式也各不相同，系统间无 法实现有效的数据共享，于是便形成了局域网内网络环境下的信息孤岛。对 于用户来说，如果各系统各自存储管理一份不同的身份认证方式，用户就需 要记忆多个不同的身份和密码，而且在进入不同的应用系统时需要多次登录。 即使如此，用户仍无法一次性获得所需的所有信息，甚至各个系统的数据存 在不一致性。这不仅给用户而且给管理者带来了极大的不便，对于学校信息 化而言，大量重复的、不一致的用户个人信息，也不利于学校深层次的信息 化建设。 校园网统一身份认证平台可以完成对整个校园网用户的身份和权限管 理，保证各应用系统基于统一的模式、集中的环境开发与升级，一方面降低 了系统整体运行的维护成本，另一方面保证了整个校园系统能够随着平台的 升级而同步升级，方便使用和管理，也保证了整个系统的先进性与安全性。 本文对国内外现有的多种身份认证方式进行了统计和深入研究，讨论了 统一身份认证所采用的关键技术，同时对高校信息系统的现状和f - p 网站的 身份认证进行了详细的分析，并根据高校的实际情况，基于校园f - p 网站对校 园网统一身份认证平台提出了新的设计方案。新的方案通过定义多组用户角 色，使得用户和设备在经过统一身份认证平台认证后直接获取自身的角色， 并由系统为用户组织相应的业务，屏蔽与其不相关的工作项，直接映射为用 户的个性化操作页面。管理员在信息发布的同时添加其授权浏览的角色，用 户根据自己的角色获取权限范围内的数据和信息。新的方案在传统的“用户名 + 密码”的认证基础上，加入了对上网的终端设备的身份认证。在用户获取数 据信息时，认证系统首先根据上网设备的身份角色开放相关的资源，如果用 户需要更为机密的数据或敏感数据，则需进一步通过用户名和密码的认证。 二者结合使用，互为补充i 通过完善统一身份认证平台的功能，实现了资源 访问控制的智能化。文章最后通过模拟实验验证了平台的可行性，并给出了 统一身份认证平台实现的关键代码。 l l r a 和i 山东大学硕士学位论文 关键词：统一身份认证；门户网站；角色；访问控制 i ll 东大学硕十学位论文 a b s t r a c t c a m p u sn e t w o r ki st h eb a s i sf o rh i g h e r - l e v e le d u c a t i o n a li n f o r m a t i o n i z a t i o n d u et ot h el i m i t a t i o n sa tp r e l i m i n a r ys t a g e so fc a m p u sn e t w o r kd e v e l o p m e n t ， d i f f e r e n tw o r ks e c t i o n si nu n i v e r s i t i e sh a v eb e e ni nc h a r g eo fd i f f e r e n ta p p l i c a t i o n s y s t e m s t h e r ea r en ou n i f i e dc r i t e r i ao rf o r m sf o rd a t a t h e r e f o r e ，i ti si m p o s s i b l e t os h a r ed a t ae f f e c t i v e l ya n dt h e r eh a v ea p p e a r e dal o to fi s o l a t e di n f o r m a t i o n i s l a n d sw i t h i nl o c a la r e an e t w o r k ( l a a s i d ef r o mt h a t , i ti si n c o n v e n i e n tt o u s e r s ，f o rt h e yh a v et ou s ed i f f e r e n tn a m e sa n dp a s s w o r d s e v e ns o ，t h e ys t i l l c a n n o to b t a i na l lt h ei n f o r m a t i o nt h e yn e e dt h a t e a s i l y b e s i d e sa l l t h o s e d i s a d v a n t a g e s ，i ti su n h e l p f u lf o ru n i v e r s i t i e s c o n s t r u c t i o no fi n f o r m a t i o n i z a t i o n e i t h e f 、斩t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , c a m p u sn e t w o r kc a nn o w o f f e rb e n e rs e r v i c e ，a n dh a sh i g h e rr e q u i r e m e n tf o ri d e n t i t ya u t h e n t i f i c a t i o na n d a u t h o r i z a t i o nm a n a g e m e n t t h eo r i g i n a la p p l i c a t i o nn e t w o r k s ，w h i c ha l lw o r kb y t h e m s e l v e s ，c a n n o tm e e tt h ec u r r e n ts t a n d a r d s t h e r e f o r e ，i ti se s s e n t i a lt oh a v e u n i f i e d ，s e c u r e a n dr e l i a b l e i d e n t i t y a u n t h e n t i f i c a t i o na n da u t h o r i z a t i o n m a n a g e m e n ts y s t e m s t h eu n i f o r mi d e n t i t ya u t h e n t i c a t i o ns y s t e mc a nf i n i s ht h e w h o l es e to ft a s k s ，a n dg u a r a n t e eau n i f i e dm o d e la n dc e n t r a l i z e de n v i r o n m e n t d e v e l o p m e n ta n du p d a t e i ti sa b l et ol o w e rr e l a t i v ec o s t st or u nt h es y s t e ma n d a l l o w sc a m p u sn e t w o r kt ou p d a t ew i t ht h es y s t e m i nt h i st h e s i s ，w ew i l le x p l o r et h ec u r r e n ti d e n t i t ya u t h e n t i c a t i o ns y s t e m sa n d i n t r o d u c et h ek e yt e c h n o l o g i e sf o ru n i f i e di d e n t i t ya u t h e n t i c a t i o n m e a n w h i l e ，w e w i l la n a l y z et h es t a t u sq u oo fi n f o r m a t i o ns y s t e m si nu n i v e r s i t i e sa n di d e n t i t y a u t h e n t i c a t i o no fw e b s i t ep o r t a l s a f t e rt h a t ，w ew i l lp r o p o s ean e w d e s i g np l a nf o r u n i f i e di d e n t i t ya u t h e n t i c a t i o nb a s e do nu n i v e r s i t yw e b s i t ep o r t a l s t h en e w p l a n d e f i n e sv a r i o u sr o l e s ，a n da l l o w su s e f st oa c q u i r et h e i ro w ni d e n t i t i e s t h es y s t e m c a no r g a n i z er e l e v a n tt a s k sf o rc o n s u m e r sa n ds c r e e ni r r e l e v a n tt a s k s a d m i n i s t r a t o r sw i l la u t h o r i z eu s e r st h er i g h tt ob r o w s ew h e ni s s u i n gn e w i i i 山东大学硕士学位论文 i n f o r m a t i o n ，w h i c hu s e r sc a ng e ta c c o r d i n gt ot h e i ro w nr o l e s t h en e wp l a na d d s i d e n t i t ya u t h e n t i f i c a t i o na tt e r m i n a l st ot h et r a d i t i o n a l “u s e rn a m e + p a s s w o r d m o d e l w h e nu s e r sa r ea c q u i r i n gi n f o r m a t i o n ，t h es y s t e mw i l lo p e nt h er e l e v a n t r e s o u r c e s i fu s e r sn e e dm o r es e c r e to rs e n s i t i v ed a t a , f u r t h e ra u n t h e n t i f i c a t i o ni s n e e d e d i nt h ee n d , t h i st h e s i sw i l lp r o v i d et h em o d e l sf e a s i b i l i t yb yas i m u l a t i o n e x p e r i m e n ta n ds o m ec o d e sf o ri t k e yw o r d s ：u n i f i e di d e n t i t ya u t h e n t i o a t i o n ：w e b s i t ep o r t a i s ：r e i e ： t r a n s p a r e n tl o gin i v l ， 山东大学硕+ 学位论文 1 绪论 1 1 研究的背景及意义 随着大学校园网建设的深入进行，各学校大都开发了结合自身实际情 况的网络应用。网络应用开发技术在近几年中有了很大的发展和变化，这 就造成了使用不同平台、结构和技术开发的大量应用共存的现状。在这种 现状下，每一种网络应用服务系统都各自维护一个用户身份信息数据库， 不同的系统使用身份认证模块到各自的身份信息数据库中进行认证。由于 各个系统在设计与实现上互相独立，身份信息库格式各不相同，认证方式 也没有统一规定。每个新的网络应用服务的部署，都要对身份信息数据库 和身份认证模块进行重复设计和开发，既浪费资源，又不利于各个系统用 户身份信息的统一。同一个校园网用户在不同的应用服务系统中却可能有 不同的身份信息，这是不符合实际需要的。同时，许多用户为了避免账号 和密码记忆麻烦，在多个系统中使用相同的账号和密码，这种做法使攻击 者很容易从低安全等级的系统中窃取用户的口令而用来入侵更高安全等级 的系统，因为低安全等级的应用在账号密码的存储和网络传输时并没有采 用必要的安全机制来进行保护。 数字化校园建设涵盖的面很广，基本包括了学校信息化建设的各方面， 从网络基础设施，到教学资源，以及各个业务系统。如此多的应用系统， 我们首先面对的一个问题就是用户的管理问题。不难发现，传统开发模式 的诸多弊端已经严重影响了w e b 应用系统的性能和使用的方便性。一个安 全地、能够集成校园网内所有服务的解决方案就成为了当今校园网应用的 热点研究领域，也是当今的热点话题。 结合以上的分析，可以很清晰地看到在应用集成的过程中需要一种集 中式的身份认证来管理用户信息，解决这些问题。因此，需要建立统一身 份认证平台，统一管理用户在各个应用系统中的凭证信息，以达到“数据 集中、设备集群、应用集成的信息共享效果，避免重复建设。 统一身份认证的主要思想就是由一个全校范围内唯一的认证服务系统 心岭 山东大学硕士学位论文 接管各应用自身的认证模块，各应用只需要遵循统一认证服务调用接口即 可实现用户身份的认证过程。然而统一身份认证系统来进行身份认证也存 在一些安全隐患： 首先，账号和口令在网络中重复传输，使得口令泄露的风险增加。尽 管可以采用一些加密算法来避免口令在网上的直接明文传输，但仍不能保 证不会被攻破。在统一认证模式下，这种风险是可怕的，一旦泄露，黑客 分子就可以冒充该用户登录所有的应用系统。 其次，用户和应用系统直接连接，假如应用系统是不可信的，或是该 应用系统没有足够的安全措施来保护用户的口令等信息，那么也有可能导 致口令被不法分子窃取。 因此，统一认证系统还应实现单点登录( s i n g l es i g n o n ，s s o ) 功能。 所谓“单点登录”，简单地说，就是通过用户的一次性鉴别登录，即可获 得需访问系统和应用软件的授权，在此情况下，管理员无需修改或干涉用 户登录就能方便地实现安全控制。s s o 的机制是“单点登录、全网漫游”， 用户访问系统作一次身份认证，随后就可以对所有被授权的网络资源进行 无缝访问，而不需要多次输入认证信息。s s o 登录，减少了在不同系统中 登录所耗费的时间；避免了处理和保存多套系统用户的认证信息；增加了 管理的便利性，可以通过直接禁止和删除用户来取消该用户对所有系统资 源的访问权限，大大提高了系统的安全性。 1 2 国外研究现状 统一身份认证问题长期以来一直受到人们的关注，目前已经有许多统 一身份认证的解决方案。如m i c r o s o f t 在w i n d o w s 2 0 0 0 中集成的s s o 系统耻1 ， i b m 的t i v o l ia c c e s sm a n a g e r l 3 1 ，n e t e g r i t y 的s i t e m i n d e r t 4 1 ，等。其中比较具 有代表性的是m i c r o s o r 的n e tp a s s p o r t 技术5 1 和s 岫在l i b e r t ya l l i a n c ep r o j e c t 中提出的“b e 啊规范【6 1 。下面将对这两种典型的统一身份认证系统的解决方 案展开讨论与分析： ( 1 ) m i c r o s o f t n e tp a s s p o r t n e t 是m i c r o s o f t 推出的x m lw e bs e r v i c e s 平台，w e bs e r v i c e s 允许应 2 l t鱼 弋 i lj 东大学硕士学位论文 用程序通过i n t e m e t 进行通讯和数据共享，不受操作系统、设备或者编程语 言的影响。n e tp a s s p o r ts s i ( s i n g l es i g n - i n ) 是m i c r o s o f t n e t 的重要组成部 分，是基于w e b 的单一登录技术。n e t p a s s p o r t 的模型结构如图1 1 所示， 其主要技术特点是：集中式认证、分布式授权，整个过程对用户透明。用。 户通过单点的一次登录和身份验证，就可以通过所有p a s s p o r t 合作站点的 身份验证，而无需对每个站点进行重复登录。 图1 1 n e tp a s s p o r t 模型结构图 n e tp a s s p o r t 各协作实体间采用标准的w e b 协议承载认证流，p a s s p o r t 充当认证域的中心站点，存储所有用户的认证信息以及合作站点的s i t e m 和 密钥。p a s s p o r t 不直接与合作站点进行数据交换，所有认证信息由客户端存 储和转发。p a s s p o r t 类似于k e r b e r o s 协议中的k d c ( k e yd i s t i l b u t i o nc e n t e r ， 密钥颁发服务器) 的角色，但与k e r b e r o s 不同的是，用户浏览器只是接收 p a s s p o r t 用s e tc o o k i e 指令写入的c o o k i e l q ，并根据重定向指令，将c o o k i e 的 内容作为重定向u r l 的参数发送给合作站点，合作站点上的p a s s p o r t m a n a g e ro b j e c t 相当子认证代理，在确认参数合法后，就将其用合作站点域 名下的c o o k i e 保存起来，如果在有效时间内再次认证，则可被用来验证用 户身份，而无需再次访f 口- j p a s s p o r t 的认证信息数据库。 可见，n e tp a s s p o r t 采用类似于k e r b e r o s 协议的身份认证机制，通过 c o o k i e 和重定向机制达到单一登录的目的。但是，n e tp a s s p o r t 没有使用标 准协议交换和传递认证信息，实现安全信息的互操作。 ( 2 ) s u nl i b e r t ya l l i a n c e 山东大学硕士学位论文 s u n 的自由联盟计划( l i b e r t y a l l i a n c e p r o j e c t ) 于2 0 0 1 年9 月提出， l i b e r t y l 0 规范于2 0 0 2 年7 月推出。l i b e r t y l 0 没有定义处于中心位置的认 证系统，也没有将合作站点用户迁移到中心认证系统，而是将合作站点和 认证系统间建立一对多或者多对多的联盟关系，建立联盟关系的系统账号 间建立映射，通过映射间接的实现账号的全局性。 最新定义的l i b e r t y 规范1 0 版本由w e br e d i r e c t i o n 、w e bs e r v i c e s 、 m e t a d a t a 和s c h e m a s _ _ 三部分构成1 9 。w e br e d i r e c t i o n 部分，定义重定向的实现； w 曲s e r v i c e s 部分，规定合作站点和认证站点都要求支持s a m l ，登录验证 流程使用s o a p 协议交换s a m l 数据，从而具有良好的数据互操作性； m e t a d a t 斫口s c h e m a s 部分，定义认证体系中各个实体所交换的数据的组织方 式和数据类型，采用x m l 技术实现数据的封装和组织，充分发挥了x m l 的 跨平台特点在w e b 应用中的优势。2 0 0 3 年2 月，s u n 提供业界第一个遵循 l i b e r t y 联盟原则的w e b 认证产品s u no n ei d e n t i t ys e r v e r6 0 ，它支持用户单 一登录，实现对应用和服务的简易访问，减少了管理费用。 l i b e r t y 总体架构是由三个相互联系的架构组件组成的【1 0 j 1 1 1 】，如图1 2 所示： w 曲重定向( w 曲r e d i r e c t i o n ) w 曲服务( w 曲s e r v i c e s ) 元数据和大纲( m e t a d a t aa n ds c h e m a s ) w e bs e r v i c e a r c h i t e c t u r a lc o m p o n e n t w e br e d i r e c t i o n a r c h i t e c t u r a lc o m p o n e n t 图1 2l i b e r t y 总体架构 每个架构组件的角色概括如下： w e b 重定向：通过目前己安装的用户代理基础，使支持l i b e r t y 的实体 4 吖l 弋 山东大学硕+ 学位论文 能够提供服务的行动。 w e b 服务：使支持l i b e r t y 的实体能够直接通信的协议轮廓。 元数据和大纲：l i b e r t y 使用一系列公共的元数据和格式，使站点能够 传递多种提供者的规范和其它信息。 l 、w 曲重定向架构组件 w 曲重定向架构组件由两种变体组成：基于h m r e d i r e c t 的重定向和 基于f o r m p o s t 的重定向。两者都在身份提供者和服务提供者之间建立了 通信通道，是以用户代理为根源的。 在l i b e r t y 上下文中，c o o k i e 用于保持本地会话状态和寻址的传递问题。 身份提供者不能通过c o o k i e 任意发送数据给服务提供者的事实，不会阻碍 身份提供者和服务提供者写c o o k i e 来存储本地会话状态和其它的可能是持 久的信息。 虽然w e b 重定向不是一个理想的分布式系统架构并存在弱点和限制， 但是使用这种机制能够对目前部署在i n t e m e t 上的舯基础架构进行分 布、交叉域名交互。 2 、w 曲服务架构组件 多种l i b e r t y 协议交互步骤描述了系统实体之间直接发生的，不包括其 它通过w 曲重定向发生的步骤和通过s o a p 传输的基于类似r p c 协议消 息。 3 、元数据和大纲架构组件 元数据和大纲是一个术语，通常指多种信息的子类在服务提供者和身 份提供者之间的格式的交换，是否通过协议或超出范围。交换信息的子类 是： 审计身份：在l i b e r t y 中，审计身份不但是不透明的用户句柄，而且 拥有多种属性。当通信时，它作为服务提供者和身份提供者的名字用于访 问。 用户认证上下文：l i b e r t y 明显的适应使用任意的认证机制和技术的身 份提供者。不同的身份提供者对于它们如何认证用户，选择了不同的技术， 按照不同的过程，绑定了不同的合法的义务。身份提供者所作的选择大部 i j i 东大学硕士学位论文 分是由与之联合的服务提供者的需求驱动的。那些需求，依次地由服务提 供者提供给用户的服务特性所决定。因此，除了不重要的服务之外，对于 任何服务，如果服务提供者在它从身份提供者接受到的认证声明中是充分 可信的，服务提供者必须知道使用何种技术、协议和过程或者认证声明遵 - 循的最初的认证机制。认证上下文大纲为服务提供者和身份提供者传递这 样的信息提供了一种方法。 j 提供者元数据：身份提供者和服务提供者为了相互通信，必须先要获 得各自的元数据。这些提供者元数据包括了如x 5 0 9 证书和服务端点的内 容。在l i b e r t y 标准中为服务提供者和身份提供者定义了元数据大纲，用于 提供者元数据交换。 可见，l i b e r t y 是灵活的认证体系规范，通过多层账号映射的方法建立 认证链，在理论上可以实现联盟站点几乎无限的扩展。但是这种过于自由 的联盟组织方式也带来了系统结构复杂化和认证链管理困难等问题，随着 联盟站点的不断扩展，规模变大，如何保证认证效率是有待解决的问题。 1 3 国内研究现状 在国内来讲，各个高校都提出了建设数字化校园的目标，数字化校园 就是在“传统校园”的基础上，利用先进的信息化手段和工具，将现实校 园的各项资源信息化而形成的个数字的虚拟空间。统一身份认证服务作 为一项基础服务得到了越来越多的关注，各高校也都开展了相应的研究工 作，取得了一些成果。目前国内的身份认证技术许多都是采用的l d a p + p k i 作为统一身份认证系统的解决方案，下面列举两个比较典型的解决方案。 ( 1 ) 清华大学数字校园系统 清华大学1 9 9 9 年开始设想自己的数字校园，是国内较早从事数字化校 园的建设的高校。他们从纷杂的概念里去粗取精，整理出其中关键的要素， 提出了具有分层结构的数字校园概念。2 0 0 0 年，清华大学提出 u r p ( u n i v e r s i t yr e s o u r c ep l a n n i n g ) 理论，认为数字校园最核心的部分应是 大学资源计划。作为一种管理思想和理念，资源规划是在信息技术高度发 达的时候，来重新认识一个实体( 大学，企业、政府) 的运作，目标是实现 6 利j 一 i ii 东大学硕士学位论文 大学资源的有序管理与高效利用。 清华大学数字化校园的体系是校园网上各种应用系统的集成，包括能 够将这些应用系统集成的基础系统，可简单概括为：( 1 + 1 + n ) ，即一个基础 平台、一个门户和n 个应用系统。 一个基础平台( u r p 公共平台) 通过一个基础平台解决信息服务多元化问题，解决应用系统之间的数 据共享、一致性问题。 一个门户( 个性化门户) 通过一个门户将应用集成起来，为用户提供单一访问点的个性化服务。 n 个应用系统 n 个应用系统解决业务逻辑和信息服务的需求。是校园信息化建设的 支撑。 发展数字化校园，关键在于实施的是e r p ( 企业资源计划) 模式还是 u r p ( 大学资源计划) 模式。一般高校都采用e r p (