分布式统一认证

分布式统一认证（精选8篇）

分布式统一认证 第1篇

随着信息技术的迅速发展,钢铁企业拥有越来越多的软件系统,例如日照钢铁集团就有协同办公、e HR、ERP、物流等多种不同的软件系统。这种多软件系统在使用中存在如下问题:(1)各系统存在不同的用户认证登录机制,用户必须记住各个系统的登录凭证,在使用不同系统时,必须逐一登录,给用户带来很大不便;(2)各系统需分别设置密码,容易造成泄漏或丢失,造成极大安全隐患;(3)在大集团用户多、活跃度高的环境下,大量用户的同时登录,将使传统的统一认证系统无法负载,往往造成系统无法访问,影响用户体验。

针对这种情况,实现高可用性的分布式统一认证迫在眉睫。在该分布式统一认证系统中,用户输入一次用户认证信息并通过认证以后,再访问任何其他系统都无需登录;同时,在多用户高并发访问的环境下,分布式统一认证能通过水平扩展节点保持高性能的服务,这将成为提高企业竟争力的关键因素。

为此,本文提出了基于No SQL数据库[1]的分布式统一认证系统架构,分析了它的总体功能架构和技术架构,技术上基于标准的JA-SIG公司的开源认证产品CAS[2]进行了改造,传统CAS只支持单机的统一部署,高并发情况下无法支撑系统的认证。本系统引入分布式数据库Cassandra和分布式缓存Memcached[3]技术,设计和实现了分布式统一认证的存储和缓存,使新型统一认证系统具有高可用性、高可扩展性、可插入式集成、实施快等特点,并于2016年将该系统成功应用于日照钢铁集团。

1 功能架构

分布式统一认证系统作为一个独立的认证中心,统一管理钢铁企业所有软件系统的用户管理功能和登录认证功能,需要提供7×24 h高可用服务,满足高并发性。

整个认证系统分为5个模块:(1)中心认证服务器,实现对各系统的登录认证和认证跳转,也是整个分布式统一认证的核心;(2)管理平台,注册资源系统管理(包括协同办公、ERP、物流系统等资源的管理)、统一用户管理、账号映射管理、密码过期管理、授权管理等;(3)提供用户登录认证的数据源,包括用户名、密码、密码过期时间以及是否激活等信息;(4)服务于各项管理功能的后台数据库;(5)审计日志服务器。日照钢铁软件系统总体关系如图1所示。

对以上模块从功能层次上进行划分,可以分为4层:(1)用户操作层,为每个用户提供基础功能,包括密码修改、密码找回、密保问题设置等;(2)业务管理层,为统一认证业务的管理人员提供管理功能,包括认证管理和账户管理,其中,认证管理包括单点登录、认证服务等;账户管理包括接入系统、主账号、映射账号、密码等的管理,支撑整个认证系统管理层面的运行;(3)基础公共服务层,提供基础的公共服务,包括认证接口、同步接口等,方便其他系统的通信和数据交互;(4)持久化数据层,提供系统数据存储服务,认证数据存放于Cassandra数据库,注册的用户和资源数据存放在Oracle数据库中,日志信息存放于Mongo DB[4]数据库中。功能层次架构见图2。

2 技术架构

新建分布式统一认证平台采用Sun公司的Java EE技术,总体技术架构如图3所示。其中,核心部分是中心认证服务,作者基于开源CAS(JA-SIG旗下的重要子项目)产品进行了改进,引入分布式数据库和分布式缓存,使其支持分布式部署处理。

CAS由两部分内容构成:CAS服务器和CAS客户端。运行时,CAS服务器是一个独立的Web应用,使用者只需要将应用程序包直接加载到目标Java EE容器后,即完成了CAS服务器的部署,CAS服务器主要负责接收、认证从客户端发送的请求;CAS客户端是注入到各接入系统上的拦截器,对受保护的资源进行拦截,管理各接入系统的认证逻辑。

在使用CAS时,选择分布式认证源和分布式对象缓存来实现分布式统一认证系统。为了满足高并发、可水平扩展的需求,选择No SQL分布式数据库Cassandra作为CAS的认证源。相比传统的数据库,No SQL数据库具有高并发、高可用性、灵活的扩展模型;同时Cassandra的最大优点是采用无中心架构,这种架构形式使得添加节点等横向扩展非常方便,任何节点的损坏或宕机都不会影响到服务的稳定性和数据的可靠性,适合对服务稳定性要求较高的在线存储业务。另外,集群下的高并发读写性能表现优秀,完全可以满足高并发下的多用户登录访问。CAS服务端之间需要共享缓存授权令牌TGC对象和服务令牌ST对象。传统的缓存是缓存本地对象而无法在各个服务器之间共享TGC和ST对象,而会话Session复制的集群策略可以在服务器之间共享缓存,但是代价高昂。因此,笔者采用Memcached分布式缓存产品作为中间介质存储TGC和ST对象。Memcached分布式缓存不仅能高性能读取数据、动态扩展缓存节点、自动发现和切换故障节点并自动均衡数据分区,而且还能为使用者提供图形化管理界面,部署和维护都十分方便。将TGC和ST对象存储于Memcached中,极大提高了分布式环境下的访问性能。

传统日志系统采用文件存储,写入慢而且分散存储在各个服务器。针对这种情况,审计日志信息采用分布式数据库Mongo DB存储,它拥有极强的单台写性能,支持的查询语言非常强大,几乎可以实现类似关系数据库中单个表查询的绝大部分功能,还提供强大的聚合工具,完全可以满足大数据分析要求。

针对后台管理程序,前段页面采用标准的HTML/JSP技术,JAVA管理容器采用开源的Spring框架,访问Oracle数据库使用开源的My B-atis技术,访问Cassandra数据库采用开源的HECTOR进行处理,访问Mongo DB采用开源的Mongo DB驱动。

3 技术实现难点分析

新建的统一认证系统,实现了高可用的分布式统一认证中心平台。其中技术实现的难点主要体现在单点登录和多数据中心分布式部署。笔者针对分布式环境,优化了传统的单点登录逻辑,使其支持分布式扩展。为了解决多地部署的网络延迟,笔者设计实现了多认证中心的分布式部署,从而提升系统的响应速度和提供稳定的服务。

3.1 单点登录

CAS服务器端认证流程优化改进如下:用户在未登录的情况下,访问业务系统受保护的资源页面时,CAS客户端通过过滤器Filter进行拦截,重新定向至本系统登录页面。用户输入用户名和密码并远程提交给CAS进行认证,安全认证通过后,CAS服务端生成TGT(认证票据),代表用户已登录认证,存放在终端用户浏览器的Cookie中,再重新定向到相关应用服务器,完成业务系统的用户会话Session初始化操作。在会话生命周期之内如果定向到别的应用时,将出示ST和TGT进行认证,这样用户重新定向到CAS服务端时,不必再输入用户名和密码,只需通过TGT进行验证,即可直接跳回客户端业务系统,从而完成单点登录逻辑。

CAS服务端采用以下4个核心逻辑以实现单点登录:(1)通过HTTP Post方式远程接收用户输入登录凭证(一般是用户名和密码)进行用户登录认证并记录日志;(2)接收客户端受保护资源的URL Service(URL服务地址),并记录该URL Service,用于用户的后续校验;(3)认证成功后,服务端生成TGT,植入用户浏览器中,下次登录时对TGT进行判断,若合法则免登录;(4)验证客户端系统传送过来的ST和Service,如果ST合法,并且匹配URLService,则代表认证通过,返回当前登录的用户信息给客户端。

针对这4个核心逻辑,对CAS服务端程序进行优化:(1)用户凭证校验,主要是密码校验,包括获取用户名和密码,用户访问Cassandra数据库、高速获取数据并进行验证、验证通过或者验证失败等都将记录日志到Mongo DB中,采用NoSQL数据库技术,可以保证日志记录的高速写入;(2)生成登录凭证,为了保证能同时高效访问多服务器,生成登录TGC并存放在CAS服务器的Memcached中,同时存储到客户端的浏览器Cookie中,方便下次访问时获取;(3)验证票据并返回用户名,生成临时验证业务系统与CAS交互的唯一ST并存放在Memcached中,ST使用过一次即失效,以避免中间截取和冒充登录,另外,CAS和各业务系统的用户名之间存在映射关系,验证ST成功后,返回映射后的用户名给业务系统并存放在Cassandra中,以保证高效高可用的访问。

3.2 多数据中心分布式部署

日照钢铁集团为多属地分布环境,各地方网络互通速度慢,为了解决容灾问题和网络条件不佳时的多属地延迟等问题,在中心认证服务器的部署上引入了多数据中心分布式部署方式。

例如,日照钢铁集团的数据中心分别部署在日照市、营口市、济南市,即日照区域(DC-RZ)、营口区域(DC-YK)和济南区域(DC-JN),其中DC-RZ为总部数据中心所在地,称为主数据中心。各中心辐射范围内的接入系统和登录用户,优先访问附近区域访问速度最快的认证服务器。当认证服务器宕机或者机房断电等事故发生时,被动态路由到其他存活的认证中心。多数据中心的分布式部署架构如图4所示。

分布式Cassandra通过生成的动态环状数据链,为整个统一认证平台提供基础稳定的服务。当管理端模块往某个Cassandra节点写入用户信息时,Cassandra的自动同步机制保证所有节点都会有该用户的信息,认证服务器接收到认证请求后,通过动态环状数据链获取账号信息并进行逻辑认证。因此,只要该动态环状数据链中有一个存活节点,就能为整个平台提供访问服务。为了提高登录认证的高可用性和稳定性,可以加入新的Cassandra节点,保证服务的高性能。

4 结束语

在日照钢铁集团分布式统一认证系统开发中,采用本分布式技术构建钢铁行业的统一认证平台,基于Linux操作系统+Java EE+No SQL进行设计开发,对注册的用户统一管理,对接入的各个业务系统包括协同办公、e HR、ERP、物流等系统进行统一的登录认证时,只需要登录一次,即可在集团内的各系统中进行访问,极大方便了用户使用,提高了整个系统的安全性和可控性,打破了之前各个系统之间相互独立的状态,消除了信息孤岛,很好地满足了用户需求。

分布式设计为保持服务的高可用性、高并发性提供了保障,从而大大提高了企业生产效率,可以有效管理不断增加的信息资源,增强了企业的核心竞争力。上线后获得使用方的一致好评。

摘要：随着信息技术的发展和钢铁企业信息化的广泛应用,软件数量不断增多,各个系统都存在着独立的用户,对用户的身份认证变得越来越复杂,所以构建一套独立的分布式统一认证系统,对用户进行集中管理、提供安全方便的身份认证变得非常迫切。分布式统一认证系统采用NoSQL技术中的Cassandra分布式数据库解决高并发、大数据量快速读取的问题,并采用分布式节点实现多中心的分布式部署;同时,采用Memcached分布式缓存解决传统的单机缓存问题,从而提供具有高安全性、高可靠性以及高扩展性的统一认证服务,支持在异构系统间的单点登录,提升用户体验。

关键词：钢铁行业,分布式统一认证,NoSQL数据库,开源CAS软件,分布式缓存

参考文献

[1]王林彬,黎建辉,沈志宏.基于No SQL的RDF数据存储与查询技术综述[J].计算机应用研究,2015,32(5):1281.

[2]李建佳,王晶.基于JA-SIG CAS统一认证平台(SSO)的设计与实现[J].广东海洋大学学报,2013(3):78.

[3]郭栋,王伟,曾国荪.基于Memcached的缓存资源集中管理方法[J].计算机技术与发展,2013(12):62.

分布式统一认证 第2篇

统一身份认证系统数字化校园建设方案

在数字化校园统一综合管理平台普及前，校园网各个应用系统相互独立存在，登录不同的应用系统都要设置登录密码并进行验证，造成应用系统认证资源的浪费，电子身份信息的重复、造假等弊端。多个应用系统重复认证的弊端日益显露，数字化校园建设方案的不断完善，单点登录技术应运而生，建设安全有序的数字化校园统一身份认证系统得到重视。安全有序的数字化校园统一身份认证系统通过集中身份认证，实现用户只需一次登录认证，就可访问所有相互信任的应用系统，实现对所有被授权的应用系统的无缝访问，保证了用户电子身份信息的唯一性、真实性、权威性。

数字化校园建设方案统一身份认证系统的工作机制

用户通过用户名及密码认证等多种认证方式将用户登录信息传递给各应用服务器。应用服务器在接收到用户提交的信息后。向认证前置机发出认证请求。认证前置机首先确认该应用服务器的应用是否是统一身份认证系统所认可的。如果应用服务器的应用是统一身份认证系统所认可的，则认证前置机与后台的认证服务器进行用户认证信息确认。在通过对用户身份认证的同时返回一个认证令牌给用户；否则，将直接返回失败信息，用户通过认证令牌即可访

益教教育科技有限公司——数字化校园建设方案

问应用系统，并可在其他统一身份认证系统所认可的应用系统间自由切换，无需再次认证。

数字化校园建设方案管理身份认证方案功能：

(1)通过对在校已注册用户身份的认证提高了用户信息的安全系数。

(2)通过身份认证可以对已注册用户信息访问、修改、增加和删除。

(3)该方案是实现一卡通的基础．会给高校的管理带来极大的便利。

以安全有序为目的建设的浙江大学统一身份认证系统

数字化校园建设方案统一身份认证系统建设目的在于构建浙江大学统一的数字身份管理与服务中心，保障学校信息资源的有序应用，确保学校信息资源和服务的安全。统一身份认证系统由身份数据库、身份管理与数据服务、资源管理与访问控制、PKI基础设施、电子签章及其应用等组成，能够向全校范围内所有部门、信息系统提供用户身份数据服务，能够为网上审批、网上支付等应用服务提供数字证书认证，能够为学校整合现有的各种应用系统提供支撑，能够满足师生“单点登录、多点漫游”的需求。

目前可用浙江大学数字化校园统一身份认证系统登录的网站和系统有29个，包括校级OA、益教教育科技有限公司——数字化校园建设方案

统一身份认证技术研究 第3篇

随着信息网络技术的发展, 许多企业都建立了大量的应用系统。由于每个应用系统都有各自的登录界面和安全策略, 用户都需要单独进行注册后才能登录。于是, 用户需要记忆与不同系统对应的用户名和密码来进行身份认证, 这无疑增加了出错的可能性及操作的复杂度。

因此, 提出了统一身份认证的概念, 即将不同的认证方式进行整合和统一, 在多个应用系统中, 用户只需要认证身份一次, 认证后就可以访问具有相应权限的其他应用系统, 从而实现单点登录和统一身份认证。

二、单点登录的实现方式

2.1基于cookie的方式

Cookie是Web服务器通过HTTP响应在客户端浏览器中保存的信息, 可以包含任何内容, 但通常包含用户会话状态信息。目前, cookie已广泛应用于Web中, 如Microsoft的Passport单点登录服务就是借助于cookie记录来完成的。例如在同一个应用系统中, 用户在访问页面A时进行了登录, Web服务器会设置一个cookie, 并将这个cookie和页面A一起返回给用户的浏览器, 浏览器接收cookie后, 就会保存起来。

当用户再次访问页面B时, Web服务器接收到请求可以读取出用户的cookie的值, 根据cookie的值内容就可以获得用户的状态信息, 从而判断出用户是否能够访问页面B。

2.2基于票据的方式

美国麻省理工学院于1993年推出了基于票据的单点登录认证协议kerberos, 该协议的特点就是, 有一个管理用户帐号的票据认证服务器, 票据认证服务器扮演着经纪人的角色, 所有的认证都是由它完成, 并在成功认证操作之后生成的票据。

客户端在访问系统资源之前向票据认证服务器进行身份认证, 当用户通过身份认证后, 票据认证服务器为用户产生一张认证票据, 并返回给用户, 用户可以凭借这张认证票据来访问所有授权的应用服务器。

2.3基于代理的方式

基于代理agent的单点登录方法, 通过在统一认证服务器部署一个进行代理认证的“代理”程序, 当客户端向应用服务器发送登录请求时, 自动地为不同的应用程序认证用户身份, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开, 从而, 统一认证服务器充当了服务器的认证系统和客户端认证方法之间的“翻译”。

2.4基于网关的方式

基于安全网关的单点登录, 就是采用一个实现安全控制功能的Web反向代理作为用户访问部署在其后面的不同信息系统, 应用系统的关卡 (即网关) , 只有在安全网关完成身份鉴别的用户才能通过安全网关访问部署在其后面的系统。客户端在通过网关认证后获得访问服务的权限, 在访问内网其它网站时, 将不再需要重新输入用户名和密码, 由网关代替用户填写内部网站的用户名和密码, 向内部网站提交认证信息, 并将认证通过后网站返回的用户登录成功的Web页面转发给远程用户。该项技术也称“二次填表”, 以代理网关为中心, 要求对所有应用系统的身份认证和访问都必须通过代理网关实现单点登录, 容易造成代理网关的效率问题甚至导致整个系统的瘫痪。

2.5基于SAML安全断言标记语言的方式

目前主要有C/S架构系统与B/S架构系统用于实现单点登录, C/S架构系统与B/S架构系统采用不同的平台、不同的信息交互模式、而且业界厂商实现SSO方式多样, 存在各种使用场景的限制, 难以兼容, 因此很难实现统一的单点登录功能。

而在互联网的情境中, 用户期望这样的能力, 即从与一个域上的应用的交互跳转到与另一域上的另一应用的交互, 而极少关心每一特定域间的信息屏障。

在利用SAML进行单点登录的方式中, 统一身份认证服务器采用SAML安全断言标记语言作为会话令牌, 会话令牌中包括的用户凭证通常由统一身份认证服务器进行数字签名, 这样收到此会话令牌的网络站点可以确认会话令牌发行者的身份, 通过会话令牌就可以判断认证断言, 从而认证了用户端的用户身份信息。

此后, 用户再次请求登录其他网站时, 只需向其他网站出示会话令牌即可。

三、结语

根据上述对实现单点登录各种方式的分析, 可以看到各方式的优缺点, 具体如何选择实现方式应结合具体工作的实际情况, 确保统一身份认证系统的安全性、可靠性和高效性。

摘要：随着企业信息化的不断发展, 企业应用系统越来越趋于多样化和复杂化, 用户对服务质量的要求也越来越高, 统一身份认技术已成为各系统必不可少的一部分。本文通过对统一身份认技术中的单点登录的相关技术进行研究, 梳理了实现单点登录的主要方式。

关键词：统一身份认证,单点登录

参考文献

用户统一认证平台设计与实现 第4篇

随着计算机各类应用系统的开发建设越来越多, 形成了不同的用户管理系统, 用户需要记忆众多的应用系统的用户名和口令, 不仅容易忘记, 而且也不利于管理。为了解决这个问题, 在很早以前就设想过建立统一用户管理系统的设计, 在“数字地宫”项目的实现过程中, 有幸承担了“用户统一认证平台”的开发工作, 它能够使众多系统共用一套用户管理方案, 以此为例, 论述如何使用ASP.NET和Oracle实现这一通用的用户统一认证平台。

2 技术特性

该用户管理系统为不同的系统提供了一套通用的用户管理功能和用于用户管理的数据结构, 它能够记载用户信息, 能够按角色即用户类进行授权, 并可将角色赋予不同的用户, 这样极大地增加了用户管理的灵活性。

.NET框架技术是基于Web服务模型的应用程序开发而量身定做的新一代开发工具和基本结构。随着.NET平台的逐步完善, .NET执行效率的大幅提高, 它简单并且易于学习, 具有高效可管理性、自定义性和可扩展性, 安全性也较之过去也改善不少。而Oracle在众多的网络数据库中性能优良, 为多系统共用一套用户管理系统提供了强有力的后台数据库支持, 因此系统选用ASP.NET和Oracle实现。

3 实现方法

以“数字地宫”成果为实例, 下面就“用户统一认证平台”功能分析概述。

3.1 功能描述

“户统一认证平台”主要功能是对全厂的数据使用用户进行统一的管理, 用户注册后, 通过管理员用户的授权后, 用户可以查询权限范围内的数据资源。该平台确保用户一次登录后, 未退出浏览器, 用户权限信息有效, 并逐渐过渡到多系统共用一套用户管理方案, 实现用户的统一认证管理。

3.2 功能结构图

如图1所示。

3.3 模块功能

3.3.1 注册管理

用户进入该平台, 本人注册用户信息, 提交后, 系统Email通知系统管理员, 系统管理员落实用户身份, 为其授权并Email通知用户本人, 用户注册成功 (如图2) 。

3.3.2 权限管理

功能说明

(1) 角色定义

系统角色即通常所指的具有相同权限的用户类或用户组, 系统缺省建立管理员用户, 管理员用户可以为不同的系统增加、修改、删除系统角色。

(2) 分配权限子集

通过访问数据表, 读取各节点信息, 为各角色分配不同的节点读写权限。

(3) 分配角色

通过访问数据表, 能够增加、删除、修改已注册用户信息, 由YHQX表形成功能节点树, 对已注册的用户分配角色;分配角色之后发邮件通知给用户。

数据结构如表1、表2、表3所示。

程序逻辑如图3所示。

3.3.3 用户口令管理

用户能够修改口令或系统, 管理员能够在用户管理模块中管理用户的口令。

3.3.4 用户登录

用户登录的主界面 (如图4) , 登录之后将信息存入Session["p_username"], Session["p_dwdm"], Session["p_yhlb"]中以备系统将来取用。

3.4 重点方法

在上网浏览时有时会看到一些网站在左边采用类似资源管理器的树形结构, 在树形结构中单击, 在右边显示内容, 层次清晰且方便快捷, 这就是TreeView控件。TreeView树型控件也是常用的一个控件, 它包含了称做“节点” (node) 的一些条目的一个列表。每一个节点都可以有自己的节点集合, 从而提供了一种更深层的数据定义。每个节点都可以被折叠起来, 从而允许访问者在一个TreevVew控件中查找, 只看所感兴趣的那一级的数据, 就像Windows的资源管理器一样。在“数字地宫”项目中除了应用TreeView以上的功能外, “用户统一认证平台”中还利用了TreeView形成权限节点树, 实现对角色进行授权等功能。

在“用户统一认证平台”用户权限管理模块中, 需要考虑在点选权限时如何保证点选节点同时对下属节点起关联作用, 在树上进行的授权如何保存, 以及当一类角色的权限已存入数据库中后, 当再次对此类角色进行授权时, 如何取出当前角色的权限, 表示在树上等几类关键的系统实现问题。

3.4.1 对节点关联授权

图5是角色权限管理的界面, 通过读授权或写授权对相应的角色详细设置权限, 以下过程是对于treeNode.Nodes集合中的每个节点设置与treeNode相同的权限。

在选择节点, 对节点进行赋权时, 通过为一个节点赋权或取消权限能够同时对下属节点进行权限赋值或取消。初始考虑树应该有一个联系各节点的线索, 在对树实际的研究中发现这样的联系并不存在。通过对树的存储结构观察, 发现每个节点后都会跟随nodes集合属性, Nodes属性可以包含其他TreeNode对象的集合, 集合中的每个树节点都有一个Nodes属性, 它可以包含其自己的TreeNodeCollection即节点集。通过对节点的递归调用遍历此树枝节点, 对所属节点进行授权或取消节点权限。

3.4.2 权限保存

在树上对节点进行授权之后, 需要将授予的权限进行保存 (如图6) 。首先, 需要删除存于数据库中已有的权限记录。

3.4.3 取出角色已存权限

当权限已经存入数据库中后, 再次对此类角色进行授权时需要取出当前角色的权限。

第一种方法:在形成树每个节点的时候, 同时去查数据库xtjsgn表, 若查到则将当前节点赋值。

第二种方法:在树已形成的基础上, 遍历每个节点, 对每个节点进行授权。第二种较第一种方法减少了数据库性能的消耗, 同时又可以增加系统的可读性。

下面是第二种的实现方法进行说明。

主要使用以上两个过程, 第一个是saveqs (strRejsdm, strRejsqx) , 将有权限的节点取出用“|”分割形成字符串;第二个是getAllCheckedNode (tvMenu.Nodes) , 对于每个节点, 在形成的代表有权限的字符串中检查。

此语句if (strqsbc.IndexOf ("|"+tmpNode.NodeData.ToUpper () +"|") >0) 中strqsbc.IndexOf (String) 报告指定Unicode字符在此实例中的第一个匹配项的索引, 该搜索从指定字符位置开始。如果找到该字符, 则为String的索引位置;如果未找到该字符, 则为-1。如果String为Empty, 则返回值为0, 在字符串前多加一个“|”形成“||”可以有效地避免字符串为空的情况。

采用树形节点为角色对功能节点进行授权, 以及为用户对角色进行授权, 层次清晰且方便快捷, 不仅形象直观地表明了属从关系, 而且易于为不同的部分分配权限, 当其他系统调用权限时只需调用XTJSGN表, 具有较强的通用和借鉴功能。

4 结论

统一身份认证的设计与实现 第5篇

随着网络信息技术的发展, 特别是近年来高校校园网络建设不断完善和性能提高, 校园网内部运行的应用系统也是日益增多。一般说来, 这些各自独立的系统各自拥有一套用户及不同的身份认证方式, 结果造成多套用户存在着用户信息冗余、用户多密码记忆和多点登录等问题。如何既安全又方便地实现用户认证, 是一个需要解决的问题。这就要求我们通过一个公共平台把各自独立的应用系统的身份认证、授权和用户管理统一起来, 并把各自应用系统有效地集成, 实现用户的一次登录, 从根本上提高系统管理效率和安全。

1 统一身份认证的设计与实现

1.1 系统基本设计

本文所探讨的系统采用的结构是浏览器-客户端, 使用Java语言, 其中Web应用程序是采用三层架构的。身份认证过程包括以下内容:首先在登录系统时, 要验证用户名和密码, 成功通过后, 要保存此用户的一些身份信息, 进入统一登录界面, 根据用户权限, 用户可以访问相应的系统, 并进行相关模块操作。整个统一身份认证系统是由服务访问者、服务响应者、网络服务中心、UDDI中心数据和用户管理组成的, 详细如图1所示。

建立一种统一门户和统一身份认证系统及管理平台, 将财务、教学、学生、后勤等应用系统集成到统一门户平台中, 实现统一身份认证和单点登录, 使用户登陆所有应用系统都使用唯一的用户名和口令并且访问多个系统时只需要登陆一次从而提供统一有效的用户管理。同时, 在统一身份认证体系上保持外部应用系统用户数据和平台用户数据的同步, 发挥统一身份认证系统良好的兼容性与易移植性。

中心数据库主要包括UDDI注册和存储过身份认证系统中全部用户信息两个部分, UDDI注册时, 每个应用系统都分配了一个128位UUID, 这个UUID是唯一的, 因此这个UUID可以在用户定义关联账号或者使用统一身份认证服务进行应用系统访问的时候标识相应的应用系统。

存储到系统中的用户信息主要包括以下3种类型:第一, 用户的详细注册信息, 包括用户名、密码、身份证等其他基本信息;第二, 用户角色信息, 包括是否管理员, 哪个系统的管理员, 权限如何等角色信息;第三, 账号的关联信息, 包括此账号是否在多个应用服务中有不同的权限属性等。服务访问者实际上可以理解为浏览器, 因为用户都是通过浏览器服务代理去访问相关的网络服务的。

网络服务中心首先是负责身份认证部分, 然后还要处理服务访问者和服务响应者之间的消息交换同时也负责用户管理服务器和中心数据库之间的消息交换。用户管理模块在完成修改用户注册信息的基础上还应该能够实现用户角色的管理功能, 包括设定修改和删除用户的角色和相应权限。

1.2 系统的实现

本系统主要包括用户注册、用户认证和用户授权。

(1) 用户注册:

用户注册指用户在统一身份认证系统中注册时, 由UDDI分配唯一标识符, 通过该用户名和密码就可以正常访问统一身份认证系统中的各个应用系统。同时, 也可以修改自己相关信息。

(2) 用户认证和认证:

首先用户使用在统一认证服务注册的用户名和密码 (也可能是其他的授权信息, 比如数字签名等) 登陆统一认证服务, 这个时候统一认证服务将会创建一个会话 (session) 同时该服务将会返回给用户一个与该会话关联的访问认证令牌。然后, 用户就可以使用该认证令牌访问其中一个统一身份认证服务的应用系统, 最后被访问的应用系统将令牌发给统一身份认证服务, 确认此认证令牌的有效性。

在这里本系统设计了访问认证令牌的失效的两个策略:一个是由用户主动发起声明的, 主动表明其在应用系统中拥有的访问认证令牌失效, 比如注销的操作;另一个是用户因为各种原因在规定的时间内并没有使用到由统一身份认证服务发送的认证令牌, 这个时候规定了认证令牌自动失效, 比如超时的处理。如图2所示。

2 数据库设计

本系统数据库设计主要包括两大部分, 其一是统一身份认证服务的数据库, 该数据库主要有USERINFO和ROLES两个表, 此表的作用在于关联统一系统数据库中用户和各个应用系统数据库中用户, 表USERINFO存储了在统一身份认证服务中注册的用户, 其中USERINFO。ID表示的是唯一标识符, 能够把所有的用户的信息都集中保存, 而USERINFO PASSWORD则是判断用户是否合法的途径之一, ROLES表中记录了对应用户能访问哪个应用系统的权限, 两个表之间形成了对应关系, 从而不同用户能够根据自己ROLES所定义的权限来访问各自的应用系统。

其二是应用系统的数据库, 该数据库独立于统一身份认证系统, 每次一个新的用户访问其应用系统时, 在访问的同时, 该用户相关信息就保存到该应用系统, 同时, 在统一身份认证系统数据库与应用数据库之间成功建立关联。下次相同用户访问时需要检查ROLES中定义的权限。

3 结束语

本系统主要实现了单点登录、用户管理、统一身份认证管理、授权管理等功能, 从一定程度提高了系统管理效率, 避免了大量重复开发。但是本文对认证服务的安全性和访问控制策略考虑得不够深刻, 然而随着我国信息技术的高速发展, 未来必将会对统一身份认证系统提出更高的要求。

参考文献

[1]谭金府, 宋安军, 彭勤科, 等.一个Web环境下单点登录系统的研究与实现[J].现代电子技术, 2007 (6) .

[2]常潘, 沈富可.基于LDAP的校园网统一身份认证的实现[J].计算机工程, 2007 (3) .

[3]郑东曦.基于Web服务的统一身份认证服务的设计实现[J].计算机工程与设计, 2006 (3) .

[4]李婕.数字校园中的身份认证方案研究[D].重庆:重庆大学, 2008.

[5]牛卫红, 张一帆.统一身份认证方法的研究[J].通信论坛, 2008 (18) .

[6]东一舟.南师大统一身份认证平台[R].南京:2009教育网络与信息安全会议, 2009.

一种统一用户管理和认证授权方案 第6篇

一种经过优化的用户管理和认证系统，通过将用户信息从业务系统分离并整合成统一用户管理系统，做到单一的用户数据源，解决了用户信息同步的问题[1];通过实现单点认证，用户只需登录一次，在同一浏览器环境下，进入其他业务系统均无需登录，使得用户访问多个系统更加简单快捷[2]。这种设计提高了管理效率，优化了用户体验，但是当用户访问量很大时，单点认证系统的压力就会很大。用户数据属于结构化的数据，一般都是持久化到关系型数据库中，进行多表关联，在大量用户并发认证并授权时将会出现大量关联查询，数据库承受的读写压力过大[3]，这会严重影响整个系统的性能。

针对这些问题提出了一套解决方案，该方案使用单一数据源保证了用户数据一致性，所有应用服务实现单点认证，并通过应用服务自身对用户操作进行权限控制，通过分离业务数据与用户数据，并对用户数据统一管理，在用户管理和认证授权部分结合数据库与内存数据库各自的优点实现用户数据读写分离，提升系统的管理和访问应答性能。

1 系统架构设计

为保证数据的一致性，系统采用单一数据源整合维护用户数据，并实现读写分离，应用服务只维护业务数据，多个应用服务之间实现单点认证，即一次登录便可在任何应用间无登录跳转。该系统主要包括统一用户管理系统、用户数据信息、单点认证系统和应用服务4大部分，如图1所示。其中，用户数据信息部分是本方案的设计重点，将结构化用户数据存储在数据库中，由统一用户管理系统进行维护数据关系，同时将用户数据重组成JSON格式的数据，存入内存数据库中，利用内存数据库读取快速的特点提高单点认证的负载能力和响应速度[4]。

1.1 统一用户管理系统

统一用户管理系统，包括系统管理和应用服务管理两部分。系统管理集中维护所有用户的基本信息，并对系统本身的用户角色和权限进行控制管理;应用服务管理并对所有应用服务进行注册管理，并对各应用的用户进行角色划分实现应用的权限管理。角色是应用服务不同模块权限的集合，决定了用户对应用服务不同模块的访问控制权限[5]。系统设计如图2所示。

1.2 用户数据信息

用户数据信息主要包括数据库中用户信息的持久化以及适配用户信息到内存数据库。由于用户数据初始化后改动较少，数据写的压力并不大，所以统一用户管理系统直接对数据库进行操作。系统运行过程中伴随着大量的用户数据读取，用户认证需要获取用户的验证信息，认证通过后还需将用户的基本信息和用户的权限通过认证系统下发给业务系统，整个过程中需要对数据库进行多次关联查询，并发量大时给数据库造成较大压力，系统整体性能将会降低。认证授权过程中数据只有读取，这样就可将数据结构重组成业务系统容易获取，且足够轻量以便在网络中传输，选择内存数据库来存储重组后的用户数据，在系统开始时将所有用户信息重组同步到内存数据中，之后针对个别用户的修改可进行单个数据的同步，这样在系统运行过程中，利用内存数据库读写速度快的特点来提高认证授权速度。充分利用数据库和内存数据库的特点，实现数据的读写分离，并提高数据使用的灵活性。

数据库中数据存储在数据表中，主要数据的表为用户、角色、权限，用户与角色多对多关联，角色与权限多对多关联，这样通过角色将用户与权限信息绑定[6]，在内存数据库中，数据保存为键值对形式，将用户名作为键值代表一个用户，将用户基本信息，角色信息包括权限信息进行数据重组，封装成轻量级的JSON数据作为值保存在内存数据库中，这样只通过用户名就可直接查询到用户的所有信息[7]，有效减少了数据查询的压力。由于内存数据库将数据存储在内存中，数据读取速度很快，系统在用户认证时能够快速读取到数据进行响应，如图3所示。

将用户数据重组并存入内存数据库，通过降低数据查询次数来提高数据查询速度，同时利用内存读取快的特点提高数据读取速度，又因为用户数据重组后更加轻量灵活，也给系统的网络传输和数据处理提供了便利。

1.3 单点认证系统

所有应用服务的认证过程统一由单点认证系统承担，用户只需认证一次，就可实现所有应用服务之间无登录自由跳转[8]。单点认证系统从内存数据库中读取用户信息并分发给用户正在访问的应用服务，应用服务获取到单点认证系统反馈的用户信息，就可通过用户权限实现对用户的访问控制，因网络传输过程中涉及关键信息，故采用Https方式进行数据传输[9]。单点认证授权过程如图4所示。

1.4 应用服务

应用服务是本系统的最终业务实体，它只维护自身系统的业务数据，并不持有或维护用户数据，用户只有在单点认证通过后，用户当前访问的应用服务才会获得用户数据，并通过获取到的用户数据对用户进行权限控制，不同角色的用户因为获得的权限不同，所以在同一个应用服务上可进行的操作是不同的[10]。

2 系统实现与测试结果

2.1 系统实现

(1)统一用户管理系统。基于SSH(Struts2,Spring,Hibernate)组合框架编程实现。

(2)用户数据信息。采用My SQL+REDIS实现，数据修改只操作My SQL数据库，REDIS只作为单点认证系统的数据源，只进行从My SQL数据库的同步工作。

(3)单点认证系统。采用开源中央认证服务(Central Authentication Service,CAS)实现，修改源码用户数据认证以及属性返回模块，使支持读取内存数据库并返回信息。

(4)应用服务权限控制。采用开源Apache shiro集成CAS实现，应用服务认证成功后解析CAS分发的用户角色和权限信息，实现对用户的权限控制。

2.2 测试过程

本方案测试重点为用户数据信息部分，同时测试单点认证系统和应用服务信息的权限控制功能能否正常工作。数据读取测试步骤如下:

步骤1使用MySQL数据库作为统一用户管理系统的数据源，同时作为单点认证系统的认证数据源，从数据库读取100 000条用户数据用时357 s。

步骤2使用MySQL数据库作为统一用户管理系统的数据源，使用REDIS内存数据库作为单点认证系统的认证数据源，从数据库读取100 000条用户数据用时123 s。

单点认证和授权测试使用了两套不同的内容管理系统，均需登录认证后才能进行操作。认证和授权测试步骤如下:

步骤1使用管理员用户登录内容管理系统1，登录后再页面显示用户角色信息。登录页面如图5，登录成功页面如图6所示。

步骤2通过内容管理系统1上的链接进入内容管理系统2，进入页面如图7所示。

步骤3退出登录，使用普通用户登录任意一个内容管理系统，登录成功页面如图8所示。

2.3 测试结论

(1)使用内存数据库进行优化后，查询数据速度提升了约3倍。

(2)多个应用之间可实现单点认证，能通过返回的JSON数据解析到权限信息，并在系统中正确体现。

3 结束语

用户数据实现了统一管理，利用数据库和内存数据库的优点将数据适配存储，实现用户数据的读写分离，既能保证用户数据的关系映射，又能快速响应各应用服务对用户数据的请求。由于应用服务本身不持有和维护用户信息，实现单点认证同时获取到授权信息，提高了整个系统的易用性和安全性，使得整个系统性能得到大幅提升。

参考文献

[1]王茜,史晨昱,李安颖,等.基于统一用户管理的办公业务资源系统集成[J].计算机技术与发展,2014,1(1):200-203.

[2]张涛,王秉坤.使用CAS在Tomcat中实现单点登录[EB/OL].(2008-4-10)[2014-11-18]http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/.

[3]Russell J T Dyer,李红军,李冬梅.My SQL核心技术手册[M].北京:机械工业出版社,2009.

[4]陆嘉恒.大数据挑战与No SQL数据库技术[M].北京:电子工业出版社,2013.

[5]张琪.基于角色的权限管理系统的设计与实现[D].成都:电子科技大学,2013.

[6]徐斌,袁健.基于Web2.0的用户权限管理研究与实现[J].计算机工程,2008,34(13):157-159.

[7]刘国钧.Java Script核心概念及实践[M].北京:人民邮电出版社,2013.

[8]景民昌,唐弟官.开放源码的CAS单点登录系统研究[J].现代情报,2009,29(3):125-127.

[9]赵艳芳.基于CAS的统一认证平台的设计与实现[J].云南大学学报:自然科学版,2013,35(S2):165-168.

中国电信统一认证体系尚待完善 第7篇

运营商推行统一认证的同时需要推动业务应用的发展。

互联网业务呈现多维度发展, 下一代网络架构演进迫在眉睫。从全业务经营角度来讲, 统一3A认证、业务认证和统一的服务质量, 特别是QoS策略管理对提升用户感知格外重要。中国电信近年来大力推进用户的统一认证, 据悉, 其在接入层上将之前的3A认证加入了审计, 变为4A认证, 同时在话音网也将进行统一认证建设。

有业内人士分析认为, 随着4G的到来, 宽带速度将不再是问题, 而手机性能也逐年提高, 使用类似PC端的视频聊天将成为常态。对于具备固网优势、但移动网络相对较弱的中国电信、中国联通而言, 很可能为分流网络大量设置热点, 这就需要电信运营商改变策略, 避免和电力、自来水公司一样成为管道提供者, 电信运营商发力统一认证、物联网, “绝对是机会”。

体系还未建立

目前, 中国电信推行现网中的统一认证系统, 据中国普天下属子公司首信科技何余锋介绍, 中国电信全部采用首信的统一认证产品, 该产品为中国电信1x和EV-DO网络的统一认证以及C+W (CDMA+WLAN) 统一认证等系统和服务, 并配合互联星空系统实现了统一认证, 现在已经上线, 同时在LTE上正在进行测试。

在实际体验中, 用户通过接入中国电信的专网互联星空, 通过调用3A认证系统, 就可获取用户信息, 对用户身份进行自动认证, 总体而言认证顺畅, 提升了用户体验。但在接入cnNET中, 目前还不能实现统一认证。

对此, 电信专家韩少敏介绍, 当前各系统还在分别试点, 属于“用到哪做到哪”, 是为了解决一些当前的问题而做。由于互联星空涉及一些统一认证的业务, 因此较为完善。并且, 目前中国电信也主要是集中在涉及互联网的业务中推动统一认证发展, 在客户接入服务上加入了一些客户属性服务。但涉及的平台太多, “建设需要一个周期”。他认为, 中国电信的统一认证体系还未建立起来, 涉及到结构问题, 在结构不清楚的情况下推进速度就会缓慢。

除了受限于目前系统结构, 同时运营商涉及互联网的应用还较为缺乏等的原因影响统一认证施行之外, 影响用户在接入网上进行统一认证体验的因素还有很多。何余锋认为, 在接入网的统一认证, 给用户的体验应该是无论通过何种方式接入网络, 都可以用同样的身份接入, 将运营商提供的各种服务视为一个整体, 统一在整体的鉴权架构之下。

而具体影响用户体验的主要因素包括多方面, 统一的用户身份或者说惟一的用户标识是首要因素, 如果在不同的场景下需要用户提供不同的身份标识, 用户体验就会下降。其次是单点登录, 在同时使用多个业务的情况下, 统一认证应该能够做到“一次认证, 多次使用”, 即只在第一次需要认证时进行认证。同时可以自动识别, 即通过终端标识自动识别用户, 不需要用户输入用户名/密码的过程。在移动通信网络中, SIM卡和UIM卡等终端部件是可以被网络自动识别的, 以此为基础的统一认证, 用户会有较好的体验。最后是安全性, 统一认证提供了方便, 也带来了安全性的更高要求。其中有多个系统的相互授权问题, 有多个账号的相互绑定问题等。

需打通互联互通障碍

从网络接入到各种应用, 运营商提供的服务非常广泛, 运营商在实施统一认证实际上存在很多障碍。

首先表现为系统改造问题, 由于原有的多个系统不是在统一认证的前提下设计的, 实施统一认证就需要大量的改造, 不同的应用、不同的提供商以及不同层次的系统 (比如接入层和应用层) , 存在各种互通问题, 需要强有力的协调才能推动。

其次是技术标准问题。各个系统采用的认证技术是不同的, 而且往往都有各种技术规范为依据, 例如1x接入用chap算法, EV-DO接入用cave算法或md5算法, 不同的系统原本有各种不同的用户标识。要实施统一认证, 技术方案的设计并不简单。

最后是安全性问题。作为认证系统, 安全性永远都是最核心的问题。也因此, 运营商在推行统一认证中需要格外考虑用户信息安全, 在实施的过程中需要试点的过程。

据韩少敏介绍, 中国电信在IT部门, 从集团层面集中建设了内部的3A系统, 各个省份自前年开始建立了统一认证系统, 这样就解决了系统互联互通的问题, 并且开始推行云服务。

统一认证尚无法支持多种接入方式

下一代网络架构发展在即, 各种新的业务需要在统一认证的前提下开展实行, 针对上述影响用户体验的问题, 何余锋认为, 下一代认证计费产品应该实现多种接入方式的统一认证入口, 并且要满足多个特点, 一方面要针对接入层, 支持各种不同方式的接入技术, 统一用户管理, 把用户在1x、EV-DO、LTE、Femto、固网等等多个网络中的身份统一, 进行整体鉴权管理, 统一输出话单。另一方面, 针对应用层, 可以为应用系统提供认证状态查询, 从而有助于实现应用层和接入层的统一认证。此外, 系统必须经过缜密的安全设计, 认证信息的安全性才有充分的保障。

面向数字化校园的用户统一认证管理 第8篇

数字化校园是以数字化信息和网络为基础,在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用,使数字资源得到充分优化利用的一种虚拟教育环境[1]。通过实现从环境(包括设备,教室等)、资源(如图书、讲义、课件等)到应用(包括教、学、管理、服务、办公等)的全部数字化,在传统校园基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的运行效率,扩展传统校园的业务功能,最终实现教育过程的全面信息化,从而达到提高管理水平和效率的目的。

随着网络应用技术的不断发展以及数字化校园的建设推广,基于数字化校园的各种应用系统越来越多,如数字图书馆、一卡通、高校人力资源管理信息系统、劳资综合管理信息系统、网上教学和视频会议等。这些应用系统数量越来越多,功能也越来越强,但是各个应用系统开发时缺乏统一的规范,应用系统可能属于多个部门,互不从属,造成了用不同平台、技术水平和结构开发的大量应用系统共存的现象,使得整个数字化校园的身份认证和访问控制问题变得越来越复杂。

针对当前数字化校园多个应用系统并存导致的身份认证和访问控制问题,建立一个为所有应用系统服务的统一身份认证和访问控制平台,实现统一的身份认证和用户权限访问控制是非常必要的。用户统一认证管理技术就是为了解决上述问题而提出的。用户统一认证是针对Web集成应用中由于多个系统存在多个用户登录模块而带来的系统安全问题所提供的解决方案。通过提供统一的用户登录模块,从而实现单一用户/密码访问,可方便地对用户权限、登录日志等相关内容进行有效管理和配置。用户统一认证平台能够简化使用流程,不仅可以提高用户的工作效率,降低维护成本,还可以提高网络的安全性。本文拟面向数字化校园进行用户统一认证管理需求分析,并给出系统模块、流程逻辑等详细设计。

2. 需求分析

身份认证和访问控制技术是实现数字化校园安全目标的重要保障。身份认证技术主要用于防止对系统进行的主动攻击,身份认证的目的有两个方面[2]:一是验证信息的发送者是合法的,即实体认证,包括信源、信宿的认证和识别;二是验证消息的完整性以及数据在传输和存储过程中是否会被篡改、重放或延迟等。访问控制则是在身份认证的基础上,根据身份的合法性对提出的资源访问请求加以控制。

随着数字化校园中各应用系统的推广,各种应用将面临数量众多的各类用户、纷繁复杂的业务流程和不断变化的管理要求。各个系统要为不同用户提供不同种类的信息资源服务,使得应用系统对用户的认证和授权管理成为难题。传统的解决方案通常是通过验证用户在登录系统时输入的用户名和口令确定用户的身份。同时,系统通过维护一张访问控制列表ACL来确定每个用户对特定系统对象,这种方法因为简单易行而得到了普遍的应用[3]。但是对数字化校园这种分布式环境下的大型组织机构,应用系统多,用户数量大,采用这种方式需要不同的应用系统分别针对被保护的资源进行权限管理和控制,存在着用户操作不便、管理不便、安全性低、授权管理依赖访问控制策略、系统管理员负担过重等典型问题。

基于以上原因,本文设计的用户统一认证系统需要集身份认证、统一授权、集中审计为一体,能够满足对用户登录进行集中认证、对用户登录行为进行授权审计等功能的需求,从而提供集认证、授权、审计为一体的安全解决方案。具体而言,应达到以下几个方面的目标。

(1)高安全性:要能有效提供双因子认证功能,保证身份认证的高度安全。

(2)高通用性:支持Radius、LDAP等国际标准协议,在系统内部具有高度的通用性。由于服务器涉及到的运行平台多种多样,统一认证系统与各服务系统间的通讯必须是平台无关的,也就是说统一认证系统必须提供平台无关性的接口。

(3)高并发量:系统要采用现今成熟技术设计,并且进行了大量的性能优化,保证系统提供实时认证、高并发量运行。

(4)管理界面简洁易用:采用基于Web的图形化管理界面,极大的方便管理员对系统进行集中的管理、维护、审计工作。

(5)基于角色的权限管理:通过用户与角色的结合、角色与权限的配置,可有针对性的实现用户的职责分担,方便灵活的配置用户对资源设备的访问权限;基于用户所属机构对信息进行分级管理,保证了用户、资源及角色信息的隐秘性。

(6)稳定性:建成后的统一认证系统是整个信息安全体系中的核心部分,该系统的故障将会引起整个支撑体系的瘫痪,系统的稳定是至关重要的。在设计过程中除了要考虑各模块划分的合理性及各流程的可靠性之外,还需要考虑增加系统的冗余。

(7)可扩展性:统一认证系统将用户管理与权限管理进行了剥离,各服务系统可以按照自己系统的特点对权限管理进行设计,保证了各服务系统的独立开发,整个支撑体系的渐进发展。当有新系统加入到统一认证系统时,只需在用户管理模块配置好相应系统的访问权限,在统一登录模块配置好新系统的访问路径即可。

3. 详细设计

用户统一认证管理系统提供面向数字化校园应用系统的认证、权限管理、数据业务的规范化分级管理,它主要包括了用户统一管理、角色管理、权限管理、统一身份认证、单点登录、异构系统接口等模块,另外还包括对系统数据的维护和备份管理。详细的系统模块划分及功能描述如表1所示。

各系统模块之间的层次关系如图1所示。

用户统一管理模块管理所有用户的授权信息和其它属性信息。它向统一身份认证模块提供用户身份认证接口,并向合法用户返回一个授权票据,供其作为登录所有系统的凭证,同时系统存储该票据以备合法性验证。

权限管理模块实现用户的权限管理和组织管理。每个运行支撑系统的权限管理是不尽相同的,因此对应每个支撑系统设置有一个权限管理模块。它与原支撑系统中的权限管理的最大区别在于:用户的管理在用户统一管理模块中实现,权限管理模块中不再包含用户信息和属性,不过它可以根据用户统一管理模块分配的权限对用户信息进行查询和修改。

角色管理模块主要通过增加相应的角色来为系统中的权限进行相应的权限集中,以便进行授权处理,包括角色的增加、修改、删除,以及组织与角色对应关系、操作员与组织对应关系。

单点登录模块给用户提供一个统一的登录界面,并根据用户的登录信息向统一身份认证模块进行身份验证。对于合法用户,登录模块将得到一个有效的用户登录票据。该模块存储该票据并实现对用户会话的管理。单点登录模块根据用户的票据向各支撑系统请求服务。相应的支撑系统则需要验证票据的合法性,并查询票据持有者的服务权限。这部分工作将交由权限管理模块来完成。

当用户需要切换支撑系统时,单点登录模块将根据存储在系统中,该会话对应的用户登录票据来向指定运营支撑系统请求服务,从而实现系统的无缝连接。因此单点登录模块就是放在服务器端的自动登录代理。当用户登出服务系统或者关闭了会话时,单点登录模块将删除对应的票据,并将告知用户管理模块删除存储的相应票据。

在系统模块设计的基础上进行流程逻辑的设计,如图2所示。

4. 小结

用户统一管理与安全认证体系的构建,是为了解决目前数字化校园建设过程中各应用系统各自为政的状态,提高安全系数,深化建设内容,提升信息化建设的质量。

针对当前数字化校园多个应用系统并存导致的身份认证和访问控制问题,建立一个为所有应用系统服务的统一身份认证和访问控制平台,实现统一的身份认证和用户权限访问控制是非常必要的。本文面向数字化校园设计用户统一认证管理系统,通过采取统一的管理和身份认证机制,保证用户数据的唯一性和完整性,进而采取单点登录方式,简化了用户登录过程,提高了数字化校园整体的用户管理、身份认证和访问控制效率,为数字化校园应用的进一步开发推广打下基础。

参考文献

[1]董莉利.高职院校和谐校园建设中的数字化校园建设[J].教育探索,2009,5:73-74.

[2]阳富民,刘军平.统一认证技术研究与实现[J].计算机工程与科学,2007,29(2):124-126.