数字化校园环境中统一身份认证系统模型研究.docx

数字化校园环境中统一身份认证系统模型研究摘 要：数字化校园建设是推动当前高校信息化建设的重要系统工程，整合各个业务系统中的信息孤岛现象是数字化校园建设的重点问题。因此本文将研究一种完整统一、高校稳定、安全可靠的集中身份认证系统模型，该系统能实现身份数据的统一存储、统一管理，实现全校各类应用的单点登录，以及各类访问与操作安全审计。同时，还提供便利的工具，便于系统的维护和管理。关键字：UCenter；单点登录；系统模型中图法分类号:TP302文献标识码: A0 引言随着高校数字化校园建设的规模不断扩大，很多高校各个业务部门独立建成了涵盖学校教学、科研、管理、服务在内的多个业务系统，很大程度上改变了以往的教学及办公模式1。但是随着各种业务系统和用户数量在不断增加，网络规模也逐日扩大，跨部门协同办公和信息孤岛等问题严重影响了数字化校园建设进程，并且访问控制和信息安全问题愈见突出，原有分散的“独立认证、独立授权、独立帐号管理”的模式已经不能满足高校目前及未来发展的需求，因此建设一种完整统一、高校稳定、安全可靠的集中身份认证系统是数字化校园建设的重要目标。1.统一身份认证关键技术分析1.1 UCenter用户认证服务2UCenter 的中文意思就是“用户中心”，是 Comsenz旗下各个产品之间信息直接传递的一个桥梁，拥有机制完善的接口，可以无缝整合 Comsenz 系列产品和任何平台的第三方的网络应用程序，最终可以通过它轻松通行在各个应用之中，无需重复登录、注册、退出，就可以实现用户的一站式注册、登录、退出。Ucenter通信原理如图1所示。图1：UCenter通信原理1.2 以服务器为中心的单点登录模型3在以服务器为中心的单点登录模型中，所有的认证信息存储在服务器上的中央数据库中，当需要对用户进行认证时，这个中心服务器需要与每个网络设备、主机系统及应用服务器通信。这种通信需要中心单点登录服务器与应用服务器集成，即在单点登录服务器上开发应用系统的客户代理。这种模型的结构如图2所示。图2：以服务器为中心的单点登录模型这种模型在Portal系统中采用较多，它的优点是提供了单一的登录控制点，用户对网络资源的访问控制可以通过单点登录服务器一点实现，因此权限比较容易和访问时间!访问者所处网段等结合进行控制。1.3 DES加密技术4DES（Data Encryption Standard），即数据加密标准，是一种对称加密算法，最初是由IBM开发的一个乘积密码作为无密级信息的官方加密标准。DES是由64位数据块被加密的明文，生成64位密文，其中有56位密钥作为参数，另8位作为奇偶校验位。DES算法共有19个步骤。第一步初始的转置直接作用在64位明文上。最后一步正好是这个转置的逆操作。在最后一步之前的倒数第二步是交换左32位和右32位。剩下的16个步骤在功能上是完全相同的，只是每一次迭代使用的原始密钥的函数来作为参数是不同的。在这16次迭代中的每一次迭代使用了不同的密钥。2.统一身份认证系统模型2.1 数据库E-R模型图设计按照模型设计的要求，此统一身份认证的数据库主要为认证服务器上的spauth数据库。设计该数据库的目的主要是为了设计访问控制模型，其中的表既包含用户的基本信息又包含完成访问控制的部分。该数据库包括四个基本信息表，即Application（应用程序表）、Modules（模块表）、Roles（角色表）、User（用户表），它们分别定义了应用程序，访问模块权限，角色及用户各个实体的基本信息；同时有三个关系表，即Role_Module(角色-模块关系表)、User_Role（用户-角色关系表）、User_Module（用户-模块关系表）。数据库中各表的E-R模型图设计如图3所示。图3数据库E-R模型图下面对各表的设计思想进行阐述：User表主要用于存储应用系统中用户的基本信息，作为载体承担着传递访问控制权限的任务；Roles表用于定义角色，一个角色代表享有系统相似权限的一部分人，它和用户通过User_Role（用户-角色表）关联起来，用于存储用户到角色的映射；Application表用于存储系统的功能实体，通过主外键关系和Modules表关联起来；Modules表用于存储系统的模块资源，在此表中关联具体的应用程序。它和角色通过Role_Module(角色-模块关系表)关联起来，用于存储角色可以访问的模块权限。同时User_Module（用户-模块关系表）存储当用户没有分配任何角色时可以访问的模块资源。通过上述各表之间的对应关系，可以设计出用户和权限之间的映射关系，从而实现访问控制的目的。2.2 系统模型体系组成数字化校园统一身份认证平台整合了校园网络中的信息和各种应用系统，为用户提供了一个单一的访问入口。该系统模型不仅包括身份数据的统一存储和统一管理、身份认证管理、角色管理和授权管理，并且还提供了一些便利的工具，例如会话监控、日志管理和数据维护，便于系统的维护和管理。统一身份认证平台是数字化校园信息管理的重要组成部分，其体系组成如图 4 所示。 图4：统一身份认证系统功能组成2.3 主要功能模块介绍（1）基本信息管理提供对用户的基本信息管理，包括帐号、组织、角色等基本用户信息管理以及业务系统映射信息管理。（2）用户组织管理维护用户、用户组、组织的基本信息，为学校用户建立一个完善的管理机制。（3）授权管理主要功能包括：权限分类管理、权限列表管理、权限实例管理、配置注册管理、个人权限管理、分级授权管理等。（4）角色、角色组管理根据用户的不同身份及不同的管理政策，划分出不同权限的角色、角色组，主要包括角色的创建、角色与权限对应模型、角色与用户对应模型管理，用于功能授权，支持多角色关联。角色包括普通用户，工资管理员，校领导，处长和基础信息维护角色。大多数的教职工的权限为普通用户角色。（5）身份认证管理主要功能包括：单点登录服务、身份认证服务、应用认证接口包。（6）会话监控管理可以实时查看当前登录的所有用户会话的状态和停留时间。可显示全部在线用户也可按访问的服务器查询。（7）日志管理可以根据条件查询用户操作行为日志和系统日志。依靠记录最终用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。（8）数据维护数据维护工具支持门户内组织机构、角色、用户及权限等数据的批量导入、导出。提供相应的综合查询功能，完成批量用户密码初始化。2.4 系统特点（1）集成discuz ucenter用户认证服务discuz是国内最为著名的论坛系统，其ucenter用户中心更是提供了更强大的整合其他系统的功能，已成为业界标准。通过简单的配置即可与其他系统进行对接认证，使用方便。即使在跨语言，跨平台认证上也十分方便。（2）统一身份管理，包括身份管理、身份信息同步、身份状态的改变。系统对学生入校到离校、教师职位变更以及多重身份多重职务等应用现状的身份转换的支持；同时对组织机构的拆分和合并提供良好的支持，为SSO提供一个更方便的、集中的身份数据管理平台。（3）通过系统平台提供的统一认证服务，满足学校业务系统多元化特点提供跨服务器及业务应用的身份认证服务及