校园信息门户统一身份认证的实现.doc

校园信息门户统一身份认证的实现摘 要:建设校园信息门户，来整合校园应用系统，是校园信息化的建设的一个新方向。统一身份认证是校园信息门户中的首先必须解决的问题。本文提出了采用LDAP来保存用户信息，通过整合，来构建统一的用户中心。然后在此基础，实现的统一认证、统一授权及单点登录。关键词: 校园信息门户；单点登录；统一认证；访问控制The Unified Authentication in University Information PortalAbstract: Building campus information portal and integrating campus application systems is a new direction of Campus information construction. Unified authentication must be solved first in campus information portal. We save users in LDAP and construct user center based integration. At last ,Unified authentication, access control and Single Sign on are solved in campus information portal. .Keywords: Campus Information Portal; Single Sign on ; Unified Authentication; Access Control 1 前言目前我国信息化建设正从信息资源建设阶段迈向信息资源管理阶段。因而信息化建设不再满足于游兵散勇的单个资源的建设，而是转入一个整体架构的考虑。如我国现阶段电子政务、企业ERP、企业信息门户、电信BOSS系统的建设等等。在校园信息化方面，大部分的学校都建立了自己的对外宣传网站以及教务系统、人事系统、招生就业等业务系统等等。但是由于资源建设阶段固有的特点，造成这些信息系统之间没有统一的规划，彼此分隔，无法进行有效的数据共享，无法进行有效的应用集成，用户也缺乏统一的接口。针对这种现状，于是有国内学者借鉴ERP的理念，提出了建设校园资源管理规划（URP）1的思想。将URP的建设定义1个门户，一个平台，N个应用的过程。URP为校园信息化建设规划了一个很好的前景。本文则从校园信息化建设的现状出发，提出建设校园门户建设的基本思想。校园信息门户就是通过统一的入口，将校园所有应用集成起来，给不同层次的使用者提供信息服务，实现一次登录，多点通行。校园信息门户涉及Portal、内容管理、数据集成、统一身份认证等多方面的内容，而同一身份认证则是必须首先需要解决的问题。2 校园信息门户整体框架校园信息门户与一般的网站不一样，尽管其表现形式都是通过WEB的方式展现出来的。其整体框架如下图所示，从层次上包括数据层、数据访问层、通用组件层、业务逻辑层、门户层及接入层。框架中可以看出来，不同的用户通过接入层来访问门户，其在门户能有什么业务系统的权限，都是通过统一身份认证来实现的。图1 校园信息门户整体框架实现统一身份认证，是实现个性化服务的前提和基础，然而在实现统一身份认证的时候，首先要解决的问题是用户信息的来源与标准的问题，其次是用户信息用什么保存的问题。对于用户标准的问题，由于高校目前信息化建设的现状，用户的信息来自于不同的业务系统，而这些系统都在独立的维护自己各自的用户信息。对于这种现状来说，一个比较好的思路是，对于每一种类的用户信息，定义一个来源的标准，如教职工的信息，则以人事信息的信息为准，本科生信息，则以教务管理系统中的信息为准，研究生信息则以研究生管理信息系统中的信息为准。然后定时通过数据刷新的方式，更新到学校统一的用户信息库中去。值得高兴的是，目前许多学校都在开始或者着手建立自己的校园一卡通系统，一般一卡通系统的包括了用户基本信息、用户注册信息，门禁权限、指纹信息等，将来可以有效利用校园一卡通系统中提供的用户信息作为以后校园的统一用户信息的基础。 对于用户信息存储来说，有两种可供选择的方案，一种是用关系型数据来保存用户信息，一种是用LDAP来保存用户信息。LDAP不是关系型数据库，它的信息目录结构类似于UNIX的文件系统，这种树-叶结构的结构使LDAP有很好的扩充性，而且查询速度比关系型数据库要快。大多数的LDAP服务器都为读密集型的操作进行专门的优化,也就是应用中信息读取操作很多，而修改信息很少的话，那么选用LDAP来存储用户信息是一个不错的选择，从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。因而系统采用LDAP来保存用户信息，除了可以有很快的检索效率，同时因为存储采用目录树结构，可以对用户进行分组控制。例如，如果想让人事部人事科的所有用户来访问某项应用，那么可以用”ou=人事科，u=人事部”所指向的用户对象来访问应用A。在具体的应用过程中，系统采用Active Directory作为用户信息保存。采用LDAP作为用户信息的存放，还有一个好处，目前越来越多的设备如网络设备、打印机设备等，越来越多的软件应用，如校园邮件服务、网络访问控制等也都支持LDAP ，所有采用LDAP，来保存用户的身份信息，有利于将来构建数字化校园的互连互通的信息平台。3 统一身份认证的关键问题校园统一身份认证主要涉及到三个方面的问题，即统一认证、权限管理及单点登录。统一认达到的目的是通过统一的登录窗口，就能实现到不同的应用系统的认证。权限管理则解决是不同的用户在系统的权限的问题，单点登录则是实现一点登录，全网通行的前提和基础。3.1 统一认证由于系统各异，每个系统都有自己个性化的登录界面。人体工学研究表明，如果一个人在一天的工作中输入用户名及口令的次数超过25次，那么该工作被认为是无法忍受的。因而对于用户来说，在不同的系统中采用用户名、口令的登录模式，首要解决的便是统一认证的问题，也就是将不同的用户都集中在门户中进行统一登录，只要通过一次的登录，便能自动完成到其他应用系统登录。在此，我们采用可配置的登录方式，也就是用户在自己的个性化页面种，可以设置到相应资源的登录方式，包括URL地址，用户名，口令等。当用户访问某个应用的时候，系统自动提交到该资源的登录。具体实现上，采用WEB服务来提供门户平台的统一认证，这样可以屏蔽系统平台的要求。3.2 统一授权由于校园信息化的现状是每个系统都是由不同的单位来开发，并且将来新系统也只能是从外面采购或者第三方公司定制开发，这种现状造成系统的权限管理只能是一种松耦合的权限管理方式。也就是在门户上只定义用户在整个系统中的粗权限，即访问某个资源的权限，而在子系统中的权限则由二次鉴权来实现。关于权限的定义，我们采用基于角色的用户访问控制模型(RBAC)，并且参考LDAP用户树状模型的特点，并对该模型进行了扩充，引入了用户组，很适合于校园用户的授权与管理定义4。在整个门户中，随着资源越来越多，而每个用户在资源的权限又不一样，因而我们采用了基于角色的统一用户授权思想。其基本思想就是，通过角色的配置，给予每个角色定义资源的访问权限，然后再对这些用户或者用户组授予相应的角色权限。在每个应用系统中，我们采用了二次鉴权，也就是用户统一集中管理，单点登录只解决用户登录和用户能否有进入某个应用的权限问题，而在每个业务系统的权限则由各自的业务系统进行控制。其原因是这些应用系统都有自己的权限和资源管理策略，并且都已经在各自的业务系统内部实现了。如果要采用统一集中的权限控制策略，那么各自的应用系统都修改比较大。这种方式，对于所有系统都是自己开发时比较合适，而对于第三方系统以及以后新的应用系统的加入，都带来非常的不方便，影响业务的正常运行，因而基于以上考虑，在系统中采用基于权限分散的统一认证系统来实现。在本系统提出了一套基于用户、用户组、业务和角色相结合的身份控制系统，具体的实现如下：设系统定义了m个用户分别为U1、U2UjUm设系统定义了n个业务分别为A1、A2AiAn设系统定义了p个用户组分别为G、G2.Gk.Gp。用户组为用户和其他用户组的的组合，表达为：Gk=U1U2.UmG1G2Gk-1Gk+1Gp式中表示可选的意思，该公式表明，一个用户组可以定义为数个用户及其它用户组的组合。设系统定义了q个角色组分别为R1、R2、Rl.Rq。角色为业务与其他角色的组合，表达为：Rl=A1A2AnR1R2Rk-1Rk+1Rq该式表明，一个角色组何以定义为数个角色及其他角色组的组合。那么对于用户Uj（j1,2,.m）来说，其权限可以定义为也就是用户Uj 的业务权限可以用用户所属的用户组权限与单独授予的业务权限以及所授予的角色权限来表达。通过以上设置，我们可以获得灵活多变的权限控制组合，如对一个用户授权，他既可以集成所在用户组的权限，同时也可以单独授予其某一业务的权限，也可以授予某些角色的权限。3.3 单点登陆认证解决了用户的身份的合法性问题，授权解决了用户的权限问题，单点登录则解决了一点登录，多点通行的问题。目前有多种单点登录系统的实现，在这些系统中，其实现方法方向分为两类5,6,7，一种是建立在PKI，Kerbose和用户名/口令存储的基础上,一种是建立在cookie的基础上，如IBM Websphreer , Bea WebLogic和国内金蝶公司Apusic的应服务器都支持的SSO认证都属于这种认证方式。在这两种方式中，各有不足，前者需要安装专门的客户端，因而面向的用户对象是有限的，而后者授权方式只能支持本产品系列的应用，而对第三方的认证和权限系统不能很好的集成。在校园信息门户的应用中，大部分应用都是B/S结构的。由于HTTP协议是一种无状态的信息，对于一个WEB站点来说，它是很难区分不同的访问用户，W3C联盟提出了采用Cookie对客户端信息进行标注。因而我们的校园信息门户平台也采用Cookie来实现单点登录，同时解决Cookie的跨域共享的问题，系统的具体示意如下图所示3。图2 统一身份论证示意图整个系统的中心为认证服务器、Cookie服务器和USER服务器。认证服务器是提供系统的认证服务，其主要支持的业务有提供用户注册服务、向所有应用系统提供认证服务，同时提供用户调用接口。Cookie服务器则保存有当前活跃状态的Cookie信息。USER服务器则保存所有用户相关信息。门户网站和其他的应用网站在门户网站的单点登录系统中地位都是对等的，也就是只要在任何一个应用站点上进行登录，就相当登录了整个信息门户。4 总结以校园门户为平台，构建一个校园信息门户整体框架，来整合校园的应用系统，是未来校园信息化的建设的一个新方向。本文针对校园信息门户的统一身份认证问题，提出了采用LDAP来保存用户信息，通过整合，来构建统一的用户中心。然后在此基础，实现的统一认证、统一授权及单点登录。 参考文献【1】 蒋东兴,史宗恺,陈怀楚,等.大学资源计划的方案J.清华大学学报（自然科学版），2004，44（4）：572-576【2】 孙晋文，肖建国。基于Web Services的现代企业内容管理与知识集成技术J。计算机工程，2003，29（20）：72-74【3】 谭立球,费耀平,李建华.企业信息门户单点登