253统一身份认证平台

1、2.5.3 统一身份认证平台信息化建设是一个动态的、发展的过程，随着各类信息系统不断增加完善，对信息安全、权限管理、系统间交互的需求也将越来越强烈。原有各独立的应用服务系统各自为政的身份认证方式已经难以适应发展的应用环境。学校需要有一个独立、安全、高效和可靠的身份认证及权限管理系统，由此系统来完成对整个信息系统统一身份认证与权限管理。身份认证系统将是数字校园建设的重要组成部分，该系统为数字校园的所有用户提供统一的身份确认与权限交付。用户通过一次认证后，即可获得相应权限，并使用数字校园中所有应用服务系统提供的服务。另一方面，必须要有一个比较稳定的动态口令和统一身份认证系统很好地结合，这样每个用户

2、都具有一个静态口令和一个不断变化的动态口令，管理员可以设置用户静态口令和动态口令不同的可使用范围，这样从另一个角度提高了整个信息化的安全性；这样的一个动态口令系统必须能够和各应用系统的动态口令系统有很好的接口，使得在纵向可以做到动态口令的一致性。通过指定相应的集中认证技术规范，提供统一的应用系统用户管理接口，最终实现所有新建系统用户认证的统一集中化管理，做到真正意义的集中认证。实现各应用系统的“集中认证”，可以彻底改变各自为政、管理松散的用户管理模式，充分发挥学校内部网络管理维护部门的管理职责，规范用户操作行为，强化用户合理使用网络资源的意识。本系统重点包括三个方面：用户资料的集中存储和管理、

3、用户身份集中的验证、访问权限的集中控制和管理。建设目标随着应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统存在不同的身份认证方式，用户必须记忆不同的密码和身份。因此，要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。

4、在学校工作人员进行了调动、调级、调职等变更后，或者学校体制改革、组织机构变动后，使用户的身份和权限在各系统之间协调同步，减少应用系统的开发和维护成本。建设内容及功能要求统一身份认证平台应能实现身份数据的统一存储、统一管理，实现全校各类应用的单点登陆，以及各类访问与操作安全审计。同时，还提供便利的工具，便于系统的维护和管理。平台建设内容主要包括以下方面：? 目录服务目录服务是统一身份认证平台的基础。目录服务要以面向对象的数据库和LDAP的方式集中管理用户信息，保证数据的一致性和完整性，为数字校园各类应用提供用户信息的共享。LDAP(Lightweight Directory Acc

5、ess Protocol)是目录访问协议的一种，它基于X.500标准，但是简化了实现方法，所以称为轻量级的目录服务，相对于通常用于认证的关系数据库而言，LDAP目录服务倾向于包含描述的基于属性的信息，并支持复杂的过滤器操作。它的数据组织树型结构，在目录服务中称之为目录信息树(Directory Information Tree ,DIT),DIT的基本组成单元是条目(Entry)，条目由多个属性构成，且可扩展协议规定了DN的命名方法、存取控制方法、搜索格式、复制方法等，并提供了存取这些信息的服务。数据组织的树型结构可以限定在目录信息树的任一分枝上进行目录查找，这一特性使目录服务相对于专门的关系

6、型数据库的数据处理速度快一个数量级的分布式目录服务通过分区(Partition)和复制(Replication)功能将目录信息树上的数据分布到多个物理服务器上实现，为应用系统和服务中的信息存储和管理提供了一个可扩展的结构支持广泛的应用编程语言，如C、 Java 、 PHP、Perl等都有自己的LDAP API，用户可以轻松选择适合自己的编程语言进行相关应用的开发最新的协议版本是V3，其后续的开发已经纳入全球互联网最具权威的技术标准化组织IETF 。目前， LDAP 协议已经成为一个被广泛支持的用于统一身份认证跨平台和标准的协议，它的易于集成不同应用系统的特点，成为支持网络系统的重要底层基础技术

7、之一，是进行统一身份认证的一个优选方案。统一身份管理统一身份管理要充分考虑学校业务中的需求，包含组织机构及用户管理、数据维护等功能。提供职位变更的身份转换，组织机构的拆分和合并，支持组织机构的实体和虚体，支持多级管理等，为SSO提供一个方便的身份管理平台。组织机构及用户管理? 要求支持管理创建多级组织机构、部门信息；? 完成管理系统用户信息、机构管理员、机构负责人等配置；? 投标方必须提供成熟的组织机构及用户管理模块，并提供相应的功能图片说明。数据维护?要求提供数据维护工具来支持门户内组织机构、用户等数据的批量维护、导入、 导出等；? 要求支持对导入的数据进行校验和审核；? 要求提供相应的综合

8、查询功能，能够完成批量用户密码初始化；? 要求导入 / 导出工具提供给学校相应的模板，支持学校自主定制开发，并将免费提供相应开发平台。? 投标方必须提供成熟的数据维护管理模块，并提供相应的功能图片说明。? 统一认证管理统一认证系统主要是为其它系统提供认证服务，用户只需要登录一次， 即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。身份认证服务? 要求基于 LDAP和 CAS认证方式设计，提供跨服务器及业务应用的身份认证服务及 Agent ，确保跨业务系统身份认证识别；?支持多种认证方式：支持基于认证接口、认证代理和LDAP认证的多种认证集成模式，支持用户 /

9、密码、 CA证书认证、动态口令认证、智能卡认证等认证方式；? 要求支持 LDAPv3标准。单点登录服务? 要求提供 WEB-SSO（Single Sign On ）服务，用户只需要登录一次就可以访问所有相互信任的 WEB应用系统，投标方需详细描述单点登录机制。个人自助服务? 要求提供给所有用户修改密码、 密码找回、 修改昵称等个人自助服务， 给用户提供更方便快捷的服务。群集服务? 要求在内存中存储登录用户权限、 角色信息、 组织机构信息登录信息， 并通过集群广播向集群内服务器发送，以实现认证服务器集群扩展。身份审核? 对于组织机构的变动、角色的变动以及权限变动要求提供身份审核功能；?在设计中，

10、要考虑到大部分业务系统的身份管理都是用 WEB和数据库方式，因此，在这些系统中的用户认证方式应在身份认证服务器中完成；? 对于支持 LDAP认证的系统，并通过缓存技术和同步技术保证身份信息的唯一性和一致性。日志管理? 要求详细记录对用户的信息的操作情况。? 要求用户登录应用系统后对系统资源的所有访问都记入日志， 以便事后对用户操作进行审计，建立完善的事后追溯机制。? 要求提供对所有的审核信息进行查询检索功能。技术要求（ 1）平台基于J2EE 体系结构，所有功能模块定义服务提供者接口（Service ProviderInterface ），可以支持第三方的服务提供者；（ 2）在身份

11、认证系统设计中，为了适应当前以及今后系统的建设发展需要，建议采用的技术实现手段主要包括 LDAP 、 PKI 、 SSO、 SSL 等等；（ 3）单点登录从实现技术上基于 session、 cookie 、 rewrite 技术和采用 portal 等几种方法，根据用户的情况可以选用其中的任何一种。（ 4）平台的管理与维护采取分级模型支持多级的管理；（ 5）采取分级授权，可以根据业务的需要灵活制定安全策略控制授权；（ 6）采用灵活的基于角色的权限管理模型，集中的权限控制的授权管理面向全局的用户和数据资源，覆盖了各种应用；（ 7）支持用户 /密码、校园卡 /密码和数字证书等认证方式；（ 8）灵活

12、定义角色之间的继承、相容和互斥关系，授权简单、便捷；在访问控制策略上，用户可以定制不同粗细粒度的安全规则；产品选型现有的单点登录解决方案非常多，而且各个J2EE 容器厂商都有各自专有的SSO 产品。但是J2EE 标准未包含SSO 方面的内容。尽管如此，大量的商业和开源团体都对SSO 投入了巨大的资源，并取得了非常好的成绩。CAS(Central Authentication Service，中央认证服务)是建立在开放协议上的企业级SSO 解决方案，它具有开源、安全、轻量、可扩展性强、容易部署的特点，并在高校和企业中得到广泛的应用。（ 1）CAS 的组成与工作原理从体系结构上看，C

13、AS 包括 CAS 服务器端和CAS 客户端代理两部分。由于CAS2 0 协议借助于XML数据结构与客户进行交互，因此开发者可以使用各种语言编写的CAS3 客户与服务器进行通信，比如PHP、 C+ 、 Java(JSP)、 Per 等。 CAS3 服务器采用Java 开发而成，它要求目标运行环境实现Servlet 2.4规范提供J2SE 1.4的支持。CAS Server负责完成对用户的认证工作，CAS Server需要独立部署，它是一个简单的WEB应用，可以将其war文件直接部署的WEB容器中。CAS Server会处理用户名密码等凭证(Credentials) ，它可能会到数据库检索一条用

14、户帐号信息，也可能在XML文件中检索用户密码，对这种方式，CAS提供统一灵活接口实现分离的方式。CAS Client负责部署在客户端(指 WEB应用 )， CAS Client的部署意味着当有对本地WEB应用的受保护资源的访问请求，需要对请求方进行身份认证，WEB应用不再接受任何的用户名密码等类似的Credentials ，而是重定向到CAS Server进行认证。TGT(Tickect-Granting Ticket) 是用于建立 SSO 登录用户身份的重要证据。一旦 SSO 用户成功登录到 CAS 服务器后， CAS 服务器便会生成一个 TGT ，并保存在 CAS 服务器中， CAS 服务

15、器维护所有的TGT 。通常，除了浏览器和CAS服务器外，客户端不会接触到TGT 。TGC(Ticket-Granting Cookie)是存储的TGT的 Cookie 。一旦登录到CAS服务器后，会在浏览器中存储它。这是同CAS服务器交互的Cookie ，只有HTTPS借助于传输通道，TGC才会被传入到服务器。一旦浏览器关闭，便会被销毁掉。可以看的出一个会同时出现在服务器和浏览器中，对于浏览器而言，TGT 是以 TGC 的形式存在的。ST(Service Ticket) 是 CAS 服务器借助于各种浏览器发送给服务的票根。当浏览器的用户登录到 CAS 服务器后，必须获得一个ST 后，他们才能访

16、问服务。每个ST 只能使用一次，而且它往往同特定的服务绑定在一起，否则持有这一的用户也不能访问到想要的服务，从而确保了服务的安全性。图 4 描述了应用 CAS 实现 SSO 的一个基本流程。当用户请求WEB 应用时， CAS Client 以Filter 方式保护 WEB 应用的受保护资源，过滤从客户端过来的每一个WEB请求，通过 Cookie检查当浏览器中是否存在TGC ，由于第一请求当前实例中还未存在TGC ， CAS Client 的 Filter就会把用户重定向到CASServer ， CAS Server 会要求浏览器用户提供WEB 登录凭证。用户提供相应的凭证后，CAS Serve

17、r 会再次检查当前的请求中是否包含了有效的TGC ，如果包含了，则会从中抽取相应的TGT 。如果这一 TGT 有效，则 CAS 会基于这一TGT 创建新的 ST，并将与需要访问的服务的URL 绑定在一起。 CAS 会采取重定向机制让浏览器请求服务URL ，由于此URL 是 CAS Client的 Filter 的过滤范围，因此Filter 会从上述 URL中取出 ST 参数，并对 ST 进行校验，当确保了这一ST 与当前用户访问的目标服务吻合时，用户便可以访问到目标服务，完成了 SSO 的整个流程。基于以上优点，单点登录SSO 产品要求采用CAS 。2.5.4 信息门户平台信息门户平台将分散异

18、构的信息资源集成，提供一个支持信息访问、传递、以及协作化的集成化环境。通过提供校园、办公室及班级、个人桌面等基于虚拟IT 场景的个人工作区服务，有效盘活校园应用系统中的信息资产，对师生以及学校管理者提供面向个人、个性化的自助式服务支持。同时，用户可以享受到登陆后校园工作区、所在院系、部处工作区所提供的私有、个性化信息服务。建设目标提供符合通用国际标准的、可持续升级的门户框架；提供丰富的集成手段用于完成对现有不同应用系统的界面集成；提供二次开发的导入、导出开发工具，实现客户自定义应用的改造；提供统一的信息发布模式，规范信息服务、提高发布效益；提供全校性信息发布流程，为全校通知、公告

19、、大事提供标准的信息发布体制；建构基于校园网异构应用系统的综合信息门户；对校园网内的信息资源、应用系统进行管理和整合；为校园网内的用户提供集成的、无缝的、安全的、个性化的资源访问；为校园网内的用户提供访问校园网资源的统一入口；建设内容及功能要求信息门户平台对校园网内的信息和应用系统进行整合，统一控制用户对信息和应用系统的访问，为用户提供单一的访问入口。用户界面可按照资讯、搜索、协作、业务服务和公共服务几个部分进行内容整合，对信息门户提供的内容进行梳理和归纳，根据用户身份提供满足其需求的特定信息和应用的整合，为用户提供个性化的信息服务。信息门户平台与数字化校园身份认证平台有效结合后

20、，用户只需从信息门户中登录一次，即可漫游访问门户中集成的各种信息资源和应用系统。平台建设内容主要包括以下方面：1、信息发布、应用portlet能将学校现有信息发布功能、各应用系统集成到门户上。2、应用集成工具与接口提供 RSS、 URL 等多种集成方案，可与校内、校外网站进行集成。3、内容集成开发框架提供面对开发级别的开发框架和功能组件，满足平台功能扩展和应用开发的需要。4、门户管理信息门户服务应该是一个个性化的，基于角色的应用系统，应提供图形化工具，让用户根据其身份的不同，通过浏览器对自己的门户菜单进行个性化的设置，定制其权限范围内的各种信息，包括自主选择页面风格、自由选择组合portlet

21、 、页面窗口拖拽、调整菜单的顺序、定义自己的内容页等。同一个角色也可以根据不同的身份定制不同的个性化的页面和功能。全校的学生、教师、管理人员、领导、职工等不同用户将方便地在网上实现不同的功能。具体功能要求如下：1 门户支撑框架提供符合通用国际标准的、可持续升级的运行和开发门户框架。门户必须支持标准的J2EE 技术，门户产品应全面支持业界的技术标准和技术规范：WSRP 、 JSR-168 、 JSR-17、JSR-127 (JSF) 、Struts、 Ant 、 WSDL 、 SOAP 、 UDDI ；提供标准技术（JSP/Servlet/XML ）的模板 Portlet 以方便开发。2 应用系

22、统集成用于满足对校内和校外各类系统应用的界面集成需求，支持WebService 、 URL 资源管理插件、 WEB 剪辑集成服务、 Iframe 集成服务、 RSS 集成服务、 API 集成服务、Portlets 集成服务等应用集成。3 个性化定制功能提供基于个人访问权限的个性化界面和服务，展示各级用户自定义显示的内容和主题外观，需要提供图形化工具，让用户根据其身份的不同，通过浏览器对自己的门户菜单进行个性化的设置，定制其权限范围内的各种信息，包括布局、标签、栏目、信息内容等各种定制，支持换肤功能技术要求（ 1）技术先进性信息门户须采用先进的技术架构和设计理念，满足校园信息化建设不断发展的需要

23、。支持 JSR-168 Portlet 规范，提供标准的Portlet 容器，可以兼容任何标准的Portlet ；（ 2）可集成性面对高速发展的校园信息化建设，不断有新的应用系统和信息资源加入到数据校园中，要求综合校园信息门户提供具有高扩展性的服务架构和访问接口，让各种资源可以方便的集成到门户系统中，迅速的为用户提供服务。对不同的业务需求可提供多种集成方式，保证良好的集成效果；支持 Unix 、 Linux 、 Windows 多种平台，完全支持跨平台的部署；（ 3）容错性作为数字化校园的访问入口，信息门户的稳定行决定了校园网内的信息资源和应用系统能否被访问。这要求综合校园信息门户具备一定的容

24、错性，在运行环境出现故障的时仍能提供稳定、持续的服务。（ 4）安全性信息门户集成了校园网内所有的信息资源和应用系统，这要求综合校园信息门户系统要能够为用户提供安全的信息资源和业务数据的获取，保障信息传输的安全可靠、保障信息不被非法用户窃取、保障用户的合法身份不被盗用。（ 5）高性能信息门户是整个数字化校园的访问入口，校园网内的用户访问校园内的信息资源和应用系统都需要通过门户，因此信息门户是校园内用户访问量最大的信息系统，必须保证信息门户要能够在大规模用户的访问的情况下仍然能够提供高速的服务。（ 6）可管理性提供良好的应用注册界面，可建立对用户访问行为的统计分析，以便后续对信息门户的优化提升。产

25、品选型要求Portal 是基于 Web 应用的一种表现层框架，Portal 全面支持业内标准的门户平台框架PortalFramework ，可与不同应用系统或资料源连接和整合，再把整合好的结果个性化地展现给终端用户，可以动态地将后续的服务应用部署到应用服务平台上，并具有对组件的读、写、更新及控制等的可操作性。同时Portal 为这些来源不同的内容提供一个统一的入口，用户通过Portal 这个门户网站便可以访问集成在Portal 中的所有信息。由于Portal 提供统一的框架，所有集成在Portal 中的内容都可以有统一的外观。用户也可以根据个人喜好定制不同的内容。Liferay Portal 是由美国Liferay 公司开发的构建信息系统门户的开源软件，在许多大型组织和机构得到了广泛的应用。它在网络环境下为各种机构和组织的系统资源、数据资源、信息资源的绞一集成以及为用户形成个性化应用提供了可靠的解决方案。Liferay Portal 是一套相当成熟的基于Java/J2EE portal 系统开源产品，Liferay Portal 提供对多个独立系统的内容集成，帮助多个组织实现更有效的合作。与其他商业的Portal 产品相比，Liferay Portal有着一系列的优良特性且不需要付费。Liferay Portal代表了完整的J2EE