數(shù)字化校園的統(tǒng)一管理認(rèn)證平臺(tái)研究

劉易 孫曙輝

摘要：數(shù)字化校園是一個(gè)多種應(yīng)用系統(tǒng)高度集成的復(fù)雜巨系統(tǒng)，不同類(lèi)型的應(yīng)用系統(tǒng)，都需要對(duì)用戶(hù)的身份進(jìn)行識(shí)別認(rèn)證和授權(quán)，因此，建立一個(gè)統(tǒng)一的管理認(rèn)證平臺(tái)對(duì)于數(shù)字化校園建設(shè)與應(yīng)用是十分重要的。該文首先對(duì)基于目錄服務(wù)的統(tǒng)一管理認(rèn)證平臺(tái)總體架構(gòu)進(jìn)行了闡述，其次對(duì)統(tǒng)一用戶(hù)管理服務(wù)、統(tǒng)一身份認(rèn)證服務(wù)和統(tǒng)一授權(quán)管理服務(wù)等進(jìn)行了研究分析，探討了數(shù)字化校園之統(tǒng)一管理認(rèn)證平臺(tái)的建設(shè)思路。

關(guān)鍵詞：數(shù)字化校園；目錄服務(wù)；統(tǒng)一管理認(rèn)證

中圖分類(lèi)號(hào)：TP302.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）25-5837-03

隨著學(xué)校信息化建設(shè)的不斷推廣和深入，數(shù)字化校園中的各類(lèi)應(yīng)用系統(tǒng)越來(lái)越多，校園網(wǎng)絡(luò)用戶(hù)的數(shù)量不斷擴(kuò)展。而不管哪種應(yīng)用系統(tǒng)，都需要對(duì)用戶(hù)的身份進(jìn)行識(shí)別認(rèn)證和授權(quán)。用戶(hù)使用的應(yīng)用系統(tǒng)越多，所必須記住的用戶(hù)登錄名稱(chēng)和密碼就越多，造成客戶(hù)出錯(cuò)、密碼泄露等安全隱患的風(fēng)險(xiǎn)也就越大，影響系統(tǒng)的安全穩(wěn)定。因此，在數(shù)字化校園建設(shè)中亟需建立一個(gè)統(tǒng)一的管理認(rèn)證平臺(tái)，對(duì)學(xué)校用戶(hù)實(shí)行統(tǒng)一的管理、認(rèn)證和授權(quán)。

1 基于目錄服務(wù)的統(tǒng)一管理認(rèn)證平臺(tái)體系架構(gòu)

數(shù)字化校園中有許多種類(lèi)多樣、功能各異的應(yīng)用系統(tǒng)，學(xué)校教師、學(xué)生、管理者等用戶(hù)往往需要使用多個(gè)不同的應(yīng)用系統(tǒng)，如果各系統(tǒng)獨(dú)立使用和存儲(chǔ)管理一份不同的身份信息，分別進(jìn)行身份認(rèn)證，同一個(gè)用戶(hù)就需要記憶多個(gè)不同的密碼和身份，當(dāng)他在使用不同的系統(tǒng)時(shí)就需要進(jìn)行多次的登錄，這對(duì)用戶(hù)和系統(tǒng)管理來(lái)說(shuō)都非常不便。通過(guò)建設(shè)統(tǒng)一的管理認(rèn)證平臺(tái)，就是要將分散的用戶(hù)和權(quán)限進(jìn)行統(tǒng)一、集中的管理，實(shí)現(xiàn)學(xué)校用戶(hù)身份的統(tǒng)一認(rèn)證和單點(diǎn)登錄，用戶(hù)只需通過(guò)一次身份認(rèn)證，就可以進(jìn)入具有相應(yīng)權(quán)限的所有應(yīng)用系統(tǒng)。

在目前比較先進(jìn)的統(tǒng)一管理認(rèn)證平臺(tái)技術(shù)方案中，其后臺(tái)數(shù)據(jù)庫(kù)都采用了高效的LDAP（Lightweight Directory Access Protocol）輕量目錄訪(fǎng)問(wèn)協(xié)議。LDAP是一種跨平臺(tái)和標(biāo)準(zhǔn)的協(xié)議，具有數(shù)據(jù)存取速度快、幾乎可以存儲(chǔ)所有類(lèi)型的數(shù)據(jù)，跨越平臺(tái)和系統(tǒng)，同步復(fù)制和分布式服務(wù)，完善的安全控制等特點(diǎn)，并且因采用Internet的標(biāo)準(zhǔn)而得到業(yè)界的廣泛認(rèn)可。通過(guò)運(yùn)用LDAP技術(shù)，可以構(gòu)建分布式目錄結(jié)構(gòu)，存儲(chǔ)各種類(lèi)型的數(shù)據(jù)，并提供基于這些目錄的高效訪(fǎng)問(wèn)。根據(jù)數(shù)字化校園中用戶(hù)數(shù)據(jù)量大，具有統(tǒng)一管理認(rèn)證系統(tǒng)的應(yīng)用需求，以及LDAP的技術(shù)特點(diǎn)，在構(gòu)建學(xué)校統(tǒng)一管理認(rèn)證系統(tǒng)時(shí)采用LDAP目錄服務(wù)是理想的技術(shù)方案。利用LDAP清晰的目錄結(jié)構(gòu)存放學(xué)校的組織結(jié)構(gòu)、人員信息、資源和權(quán)限信息，以及作為數(shù)字證書(shū)的存放庫(kù)，對(duì)學(xué)校用戶(hù)認(rèn)證信息進(jìn)行有效組織和管理。

利用LDAP技術(shù)建立數(shù)字化校園統(tǒng)一管理認(rèn)證平臺(tái)，要著眼于各類(lèi)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證，如既要方便新建系統(tǒng)使用身份認(rèn)證系統(tǒng)，又要兼顧已有的老系統(tǒng)，使老系統(tǒng)做盡可能小的改動(dòng)就可以使用身份認(rèn)證子系統(tǒng)，最大限度實(shí)現(xiàn)數(shù)據(jù)整合。統(tǒng)一管理認(rèn)證平臺(tái)建設(shè)的核心理念，是利用目錄服務(wù)數(shù)據(jù)庫(kù)來(lái)集中存儲(chǔ)用戶(hù)和各應(yīng)用系統(tǒng)的信息，從而實(shí)現(xiàn)對(duì)用戶(hù)的統(tǒng)一管理、統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)，同時(shí)實(shí)現(xiàn)對(duì)各類(lèi)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制，進(jìn)而提高整個(gè)系統(tǒng)的整體性、可管理性和安全性。基于目錄服務(wù)的統(tǒng)一管理認(rèn)證平臺(tái)總體上由目錄服務(wù)、統(tǒng)一用戶(hù)管理服務(wù)、統(tǒng)一身份認(rèn)證服務(wù)和統(tǒng)一授權(quán)管理服務(wù)四大模塊組成。該管理認(rèn)證平臺(tái)的體系結(jié)構(gòu)如圖1所示。

2 統(tǒng)一用戶(hù)管理服務(wù)

統(tǒng)一用戶(hù)管理服務(wù)主要管理學(xué)校用戶(hù)的電子身份，通過(guò)它可以對(duì)所有信息系統(tǒng)中的人員進(jìn)行統(tǒng)一管理，這是統(tǒng)一身份認(rèn)證和授權(quán)管理的前提。數(shù)字化校園統(tǒng)一用戶(hù)管理服務(wù)的目標(biāo)，是完成學(xué)校各應(yīng)用系統(tǒng)的用戶(hù)信息整合，實(shí)現(xiàn)學(xué)校用戶(hù)身份信息的集中統(tǒng)一管理，建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡(jiǎn)化用戶(hù)及其賬號(hào)的管理復(fù)雜程度，降低系統(tǒng)管理的安全風(fēng)險(xiǎn)。

具體來(lái)說(shuō)，數(shù)字化校園統(tǒng)一用戶(hù)管理服務(wù)主要實(shí)現(xiàn)以下功能：

1） 注冊(cè)管理。用戶(hù)注冊(cè)是指用戶(hù)在統(tǒng)一管理認(rèn)證平臺(tái)中注冊(cè)用戶(hù)帳號(hào)，通過(guò)該帳號(hào)，可以對(duì)所有使用統(tǒng)一管理認(rèn)證平臺(tái)的學(xué)校應(yīng)用系統(tǒng)進(jìn)行登錄。注冊(cè)管理包括新用戶(hù)注冊(cè)和用戶(hù)修改注冊(cè)信息兩部分。注冊(cè)管理模塊的功能主要包括啟動(dòng)、注冊(cè)向?qū)?、登錄、注銷(xiāo)等。

2） 部門(mén)管理。部門(mén)管理即對(duì)部門(mén)信息進(jìn)行統(tǒng)一管理，可以修改部門(mén)信息，增加、刪除子部門(mén)。同時(shí)，將需要維護(hù)的部門(mén)信息，如部門(mén)的順序號(hào)、名稱(chēng)、ID等數(shù)據(jù)同步到其他信息系統(tǒng)中。

3） 人員管理。人員管理即對(duì)人員信息進(jìn)行管理，可以增加、刪除和修改人員的信息，可以重置人員密碼。同時(shí)將需要維護(hù)的人員信息，如人員的順序號(hào)、姓名、ID、職務(wù)級(jí)別、所屬部門(mén)等數(shù)據(jù)同步到其他信息系統(tǒng)中。

4） 人員信息查詢(xún)。人員信息查詢(xún)采用目錄樹(shù)的方式展示部門(mén)與人員的隸屬關(guān)系，可以在相應(yīng)的部門(mén)列表中按多種條件查詢(xún)?nèi)藛T信息。列表中的人員姓名上有鏈接，可以鏈入查詢(xún)用戶(hù)的詳細(xì)信息。

5） 用戶(hù)自助服務(wù)。每個(gè)數(shù)字化校園登錄用戶(hù)都可以修改自己的通用信息，如電話(huà)號(hào)碼、房間號(hào)等，這些信息條目由系統(tǒng)管理員設(shè)置。

6） 系統(tǒng)維護(hù)。系統(tǒng)維護(hù)對(duì)用戶(hù)進(jìn)行分組管理，包括維護(hù)組的信息，增加新組以添加一個(gè)新的用戶(hù)分類(lèi)方式；可以選擇和配置系統(tǒng)同步方式，包括實(shí)時(shí)同步、定時(shí)同步；可以進(jìn)行屬性配置等。

3 統(tǒng)一身份認(rèn)證服務(wù)

統(tǒng)一身份認(rèn)證服務(wù)實(shí)現(xiàn)對(duì)校內(nèi)所有用戶(hù)的數(shù)字化身份認(rèn)證，是數(shù)字化校園的安全門(mén)戶(hù)入口。統(tǒng)一身份認(rèn)證服務(wù)提供平臺(tái)的核心基礎(chǔ)服務(wù)，該服務(wù)建立在基于目錄服務(wù)的統(tǒng)一用戶(hù)管理的基礎(chǔ)之上，用戶(hù)在訪(fǎng)問(wèn)校園門(mén)戶(hù)網(wǎng)站或各類(lèi)應(yīng)用系統(tǒng)時(shí)，將首先被指向統(tǒng)一身份認(rèn)證中心進(jìn)行認(rèn)證。在整個(gè)認(rèn)證系統(tǒng)中，其服務(wù)的對(duì)象包括數(shù)字化校園中接入統(tǒng)一管理認(rèn)證平臺(tái)的所有應(yīng)用系統(tǒng)，統(tǒng)一身份認(rèn)證能夠提供快速、高效和安全的服務(wù)，已有應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。

3.1 統(tǒng)一身份認(rèn)證的特點(diǎn)

1） 提供統(tǒng)一的身份認(rèn)證服務(wù)。統(tǒng)一身份認(rèn)證可以為多個(gè)不同種類(lèi)、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開(kāi)發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為各類(lèi)應(yīng)用提供了統(tǒng)一的接入形式。

2） 支持多種認(rèn)證方式。學(xué)校的不同應(yīng)用系統(tǒng)的安全級(jí)別不同，使用環(huán)境不同，用戶(hù)的習(xí)慣和操作熟練程度不同，統(tǒng)一認(rèn)證服務(wù)具有很強(qiáng)的適應(yīng)性，可以針對(duì)這些不同的應(yīng)用特點(diǎn)，提供相適應(yīng)的認(rèn)證手段。

3） 統(tǒng)一與個(gè)性相結(jié)合的認(rèn)證策略。統(tǒng)一身份認(rèn)證針對(duì)不同的認(rèn)證方式，既提供了統(tǒng)一的策略控制，各個(gè)應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個(gè)性化的策略設(shè)置，根據(jù)應(yīng)用或用戶(hù)類(lèi)型的需求，設(shè)置個(gè)性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級(jí)管理安全。

3.2 身份認(rèn)證服務(wù)方式的選擇

統(tǒng)一管理認(rèn)證平臺(tái)通過(guò)定義符合學(xué)校特點(diǎn)的身份數(shù)據(jù)規(guī)范，并將其應(yīng)用于每個(gè)用戶(hù)身份，以管理這些用戶(hù)對(duì)資源的訪(fǎng)問(wèn)。在此基礎(chǔ)上實(shí)現(xiàn)單點(diǎn)登錄（SSO），保證用戶(hù)一次登錄即可按照授權(quán)訪(fǎng)問(wèn)相應(yīng)權(quán)限的所有資源。統(tǒng)一身份認(rèn)證服務(wù)的設(shè)計(jì)，可采用認(rèn)證方式與登錄方式分層的設(shè)計(jì)，同時(shí)可平滑擴(kuò)展多種登錄方式，支持多級(jí)登錄處理認(rèn)證機(jī)制。目前主要有以下幾種登錄認(rèn)證方式：

1） LDAP認(rèn)證。LDAP認(rèn)證方式是基于目錄服務(wù)的統(tǒng)一管理認(rèn)證系統(tǒng)的主要認(rèn)證方式。使用該認(rèn)證方式，用戶(hù)的身份信息與口令存儲(chǔ)在指定的LDAP目錄中。當(dāng)一個(gè)用戶(hù)登錄時(shí)，通過(guò)其提供的用戶(hù)名稱(chēng)、口令與該LDAP目錄中記錄的該用戶(hù)名稱(chēng)、口令信息進(jìn)行比對(duì)，如一致則認(rèn)證成功，反之則認(rèn)證失敗。

2） 數(shù)字證書(shū)認(rèn)證。數(shù)字證書(shū)（CA）是目前最常用的一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書(shū)技術(shù)是在PKI體系基礎(chǔ)上實(shí)現(xiàn)的，用戶(hù)不但可以通過(guò)數(shù)字證書(shū)完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密、數(shù)字簽名等操作。數(shù)字證書(shū)的存儲(chǔ)方式非常靈活，數(shù)字證書(shū)可被直接存儲(chǔ)在計(jì)算機(jī)中，也可存儲(chǔ)在智能卡或USB Key中。

3） RADIUS認(rèn)證。RADIUS認(rèn)證是利用外部撥號(hào)認(rèn)證系統(tǒng)的一種認(rèn)證機(jī)制，如果學(xué)校用戶(hù)通過(guò)了外部撥號(hào)認(rèn)證系統(tǒng)的認(rèn)證，系統(tǒng)則認(rèn)為此用戶(hù)認(rèn)證通過(guò)。

4） 通行碼認(rèn)證。通行碼是統(tǒng)一身份認(rèn)證支持的一種特有認(rèn)證方式，用戶(hù)遺忘或者丟失其他認(rèn)證信息時(shí)，可以向管理員申請(qǐng)一次性使用的通行碼口令進(jìn)行身份認(rèn)證，主要滿(mǎn)足安全應(yīng)急服務(wù)。通行碼具備時(shí)效性和一次性特點(diǎn)，當(dāng)使用過(guò)或者超出使用時(shí)間范圍，其認(rèn)證效力自動(dòng)失效，有效地保證了系統(tǒng)的安全性和可靠性。

上述各種認(rèn)證方式在安全性、易用性和部署成本上各不相同，在實(shí)踐中可以針對(duì)不同的用戶(hù)群與不同的應(yīng)用需要，對(duì)所采用的認(rèn)證方式進(jìn)行個(gè)性化的設(shè)置。如在單點(diǎn)登錄系統(tǒng)中，可以根據(jù)角色、用戶(hù)、服務(wù)指定不同的認(rèn)證方式，也可以在認(rèn)證時(shí)直接指定認(rèn)證模塊和個(gè)性化的認(rèn)證選項(xiàng)。

3.3 統(tǒng)一身份認(rèn)證服務(wù)的一般流程

在統(tǒng)一身份認(rèn)證服務(wù)中，對(duì)用戶(hù)進(jìn)行統(tǒng)一認(rèn)證服務(wù)的一般流程如下：

1） 學(xué)校用戶(hù)通過(guò)統(tǒng)一信息門(mén)戶(hù)登錄到所要進(jìn)入的應(yīng)用系統(tǒng)；

2） 應(yīng)用系統(tǒng)向統(tǒng)一認(rèn)證服務(wù)系統(tǒng)提交請(qǐng)求進(jìn)行認(rèn)證的用戶(hù)信息；

3） 統(tǒng)一認(rèn)證服務(wù)系統(tǒng)對(duì)所申請(qǐng)的用戶(hù)信息進(jìn)行驗(yàn)證，確認(rèn)所申請(qǐng)的用戶(hù)信息的有效性，或否定用戶(hù)信息的有效性；

4） 統(tǒng)一認(rèn)證服務(wù)系統(tǒng)在用戶(hù)信息申請(qǐng)通過(guò)認(rèn)證后，將該用戶(hù)所屬組信息返回給應(yīng)用系統(tǒng)；

5） 對(duì)通過(guò)認(rèn)證的用戶(hù)信息申請(qǐng)，應(yīng)用系統(tǒng)根據(jù)用戶(hù)所在組的級(jí)別，授予該用戶(hù)相應(yīng)的訪(fǎng)問(wèn)權(quán)限。

4 統(tǒng)一授權(quán)管理服務(wù)

統(tǒng)一授權(quán)管理服務(wù)是在統(tǒng)一用戶(hù)管理實(shí)施的基礎(chǔ)上進(jìn)行的，在實(shí)現(xiàn)了各應(yīng)用系統(tǒng)賬號(hào)的統(tǒng)一管理之后，對(duì)系統(tǒng)用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行集中和統(tǒng)一管理。根據(jù)數(shù)字化校園安全策略，通常采用基于角色的訪(fǎng)問(wèn)控制技術(shù)，提供對(duì)學(xué)校多應(yīng)用系統(tǒng)進(jìn)行有效的訪(fǎng)問(wèn)控制和授權(quán)管理功能，提高系統(tǒng)管理的效率。統(tǒng)一授權(quán)管理服務(wù)主要包括以下功能：

1） 應(yīng)用管理。即對(duì)應(yīng)用系統(tǒng)的管理，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的添加、修改、刪除和停用/啟用操作等。

2） 角色管理。即對(duì)用戶(hù)角色的管理，對(duì)用戶(hù)角色的添加、修改、刪除操作等。對(duì)角色進(jìn)行歸類(lèi)，可以按所屬部門(mén)歸類(lèi)，如教務(wù)處、學(xué)生處、科研處等；可以按用戶(hù)的職務(wù)級(jí)別歸類(lèi)，如校領(lǐng)導(dǎo)、院領(lǐng)導(dǎo)、系領(lǐng)導(dǎo)、室領(lǐng)導(dǎo)等；可以按用戶(hù)的職位歸類(lèi)，如教學(xué)崗、管理崗、服務(wù)崗等；可以按群組歸類(lèi)，如XXX教研組等。

3） 權(quán)限配置管理。即對(duì)用戶(hù)訪(fǎng)問(wèn)資源的授權(quán)進(jìn)行管理，通過(guò)對(duì)用戶(hù)組和角色與應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系進(jìn)行創(chuàng)建和維護(hù)，確定用戶(hù)對(duì)應(yīng)用系統(tǒng)訪(fǎng)問(wèn)的授權(quán)。授權(quán)管理分為兩類(lèi)：一類(lèi)是實(shí)體級(jí)授權(quán)，指主賬號(hào)代表的自然人可以訪(fǎng)問(wèn)哪些資源的授權(quán)，主要通過(guò)統(tǒng)一用戶(hù)管理和統(tǒng)一認(rèn)證、授權(quán)管理的整合完成。另一類(lèi)是實(shí)體內(nèi)授權(quán)，主要指包括基于角色的授權(quán)和細(xì)粒度權(quán)限授權(quán)，一般通過(guò)整合應(yīng)用中的角色模塊實(shí)現(xiàn)。

4） 分級(jí)授權(quán)管理。建立全校的分級(jí)授權(quán)機(jī)制，每一個(gè)部門(mén)、院系辦公室都可以參與授權(quán)管理。學(xué)校管理員負(fù)責(zé)將權(quán)限分配到業(yè)務(wù)部門(mén)、院系，每一個(gè)部門(mén)、院系辦公室需要配有一個(gè)信息員管理本部門(mén)的角色創(chuàng)建、用戶(hù)授權(quán)工作。

5） 用戶(hù)權(quán)限審計(jì)。提供用戶(hù)管理、認(rèn)證管理的審計(jì)信息，查詢(xún)并審計(jì)用戶(hù)的訪(fǎng)問(wèn)權(quán)限。

參考文獻(xiàn)：

[1] 曲彬.南京大學(xué)數(shù)字化校園平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].大連：大連理工大學(xué)，2009.

[2] 燕敏.高校數(shù)字化校園建設(shè)中關(guān)鍵技術(shù)的研究[D].西安：西安石油大學(xué)，2008.

[3] 王蓓蓓.面向高職院校的統(tǒng)一身份認(rèn)證系統(tǒng)研究[J].信息技術(shù)與信息化，2012（4）.