基于輕量目錄訪問(wèn)協(xié)議技術(shù)的校園網(wǎng)統(tǒng)一身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)

趙亞輝 夏依旦·阿布拉 阿孜古麗·阿布拉

摘?要：現(xiàn)如今隨著我國(guó)高校校園網(wǎng)基礎(chǔ)設(shè)施的快速建設(shè)和不斷升級(jí)，校園網(wǎng)的應(yīng)用也得到了快速的普及，為了能夠更好的保障每個(gè)應(yīng)用系統(tǒng)之間用戶數(shù)據(jù)具有著一致性和簡(jiǎn)單的操作性，急需要對(duì)校園網(wǎng)對(duì)統(tǒng)一身份認(rèn)證體系的支持，所以在本文中，主要對(duì)根據(jù)輕量目錄訪問(wèn)協(xié)議技術(shù)的校園網(wǎng)統(tǒng)一身份認(rèn)證的設(shè)計(jì)和實(shí)現(xiàn)做出了全面的分析，在此基礎(chǔ)上提出了下文中的一些內(nèi)容，希望能夠給予同行業(yè)工作人員提供相應(yīng)的參考價(jià)值。

關(guān)鍵詞：輕量目錄訪問(wèn)協(xié)議技術(shù);校園網(wǎng);統(tǒng)一身份認(rèn)證;設(shè)計(jì)實(shí)現(xiàn)

現(xiàn)如今伴隨著我國(guó)數(shù)字化校園網(wǎng)絡(luò)建設(shè)的不斷深入，網(wǎng)絡(luò)信息在高校所扮演的角色已經(jīng)越來(lái)越重要，教務(wù)系統(tǒng)以及網(wǎng)絡(luò)課程和郵件系統(tǒng)等在一定程度上方便了我們的工作以及學(xué)習(xí)，為了能夠保證系統(tǒng)的安全性，每一個(gè)系統(tǒng)時(shí)需要使用用戶名和登錄密碼，在人們對(duì)電腦進(jìn)行使用的時(shí)候，最為普遍的就是需要記住幾套不同的用戶名以及口令，這也為用戶訪問(wèn)的每個(gè)系統(tǒng)增加了比較多的麻煩，更加重要的則是隨著業(yè)務(wù)系統(tǒng)的增加，因?yàn)橄到y(tǒng)自身存在著一定的特點(diǎn)，導(dǎo)致其存在著較多的孤島信息，因此必須要具有統(tǒng)一的管理系統(tǒng)，通過(guò)這個(gè)系統(tǒng)用戶可以更加方便以及快速的對(duì)每種授權(quán)資源進(jìn)行訪問(wèn)，使其孤島信息可以相互的聯(lián)系到一起，這便是統(tǒng)一身份的認(rèn)證系統(tǒng)。

1 關(guān)于輕量目錄訪問(wèn)協(xié)議技術(shù)概述分析

對(duì)于輕量目錄訪問(wèn)協(xié)議技術(shù)（Lightweight Directory Access Protocol）主要是根據(jù)X.500標(biāo)準(zhǔn)的，并且也是訪問(wèn)了X.500目錄所需要的某一些協(xié)議，比如目錄的訪問(wèn)協(xié)議，但是DAP則需要一些大量的系統(tǒng)資源和支持的機(jī)制對(duì)這些復(fù)雜的協(xié)議進(jìn)行處理，該協(xié)議技術(shù)僅僅知識(shí)通過(guò)使用原來(lái)的X.500目錄存取協(xié)議的功能子集，便是可以減少所需要的系統(tǒng)消耗資源，同時(shí)也能在一定程度上根據(jù)實(shí)際的需要進(jìn)行科學(xué)有效的定制。

2 分析統(tǒng)一身份認(rèn)證系統(tǒng)的結(jié)構(gòu)

對(duì)于統(tǒng)一的身份認(rèn)證系統(tǒng)而言，在結(jié)構(gòu)上通常情況下可以分為三個(gè)部分：一是身份鑒別的模塊;二是范文控制模塊;三是為身份認(rèn)證元目錄。首先用戶是可以通過(guò)賬號(hào)以及密碼去進(jìn)行相應(yīng)的認(rèn)證和數(shù)字簽名認(rèn)證等方式去登錄到統(tǒng)一的身份認(rèn)證系統(tǒng)中，對(duì)其自身的身份進(jìn)行鑒別，然而身份鑒別模塊則可以有效的訪問(wèn)身份原目錄，將用戶所提交的信息以及用戶目錄中所存儲(chǔ)的信息作出相應(yīng)的檢驗(yàn)，如果是否，那么將會(huì)直接的返回失敗的信息，如果驗(yàn)證成功了，那么是可以直接的進(jìn)入到訪問(wèn)控制模塊中，同時(shí)訪問(wèn)控制模塊也是需要對(duì)身份認(rèn)證和原目錄進(jìn)行驗(yàn)證，根據(jù)其用戶目錄之中所存儲(chǔ)的信息執(zhí)行有關(guān)的措施，同時(shí)對(duì)相關(guān)的權(quán)限作出合理分配，這樣用戶可以更加方便的對(duì)統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行相應(yīng)的訪問(wèn)，同時(shí)也還能在一定程度上應(yīng)用系統(tǒng)以及相關(guān)的網(wǎng)絡(luò)服務(wù)，并不需要再一次的進(jìn)行驗(yàn)證。

在此之外對(duì)于技術(shù)方面而言，主要是可以采用Portal門(mén)戶作為其數(shù)字化校園的入口，合理的應(yīng)用客戶端的瀏覽器便可以需要對(duì)所有的服務(wù)進(jìn)行訪問(wèn)。然而Portal的信息平臺(tái)服務(wù)器主要是負(fù)責(zé)校園之中的服務(wù)信息進(jìn)行掌握，也是集成了院校網(wǎng)中每一個(gè)服務(wù)器向信息平臺(tái)服務(wù)器所提供出來(lái)的入口，同時(shí)也是可以提供出頁(yè)面以及服務(wù)器的定制功能，在輕量目錄訪問(wèn)協(xié)議技術(shù)之中對(duì)用戶的相關(guān)認(rèn)證以及授權(quán)的信息作出讀取，在進(jìn)行認(rèn)證之后可以為用戶分配相應(yīng)的角色令牌，用戶得到操作令牌之后，通過(guò)此協(xié)議技術(shù)根據(jù)其所持有的憑證和需要進(jìn)行訪問(wèn)的模塊作出相互交換，同時(shí)將所用使用到的信息可以展示到頁(yè)面上。

3 關(guān)于統(tǒng)一身份認(rèn)證系統(tǒng)的實(shí)現(xiàn)分析

這點(diǎn)主要是將其公共數(shù)據(jù)庫(kù)系統(tǒng)前的單個(gè)開(kāi)發(fā)主要應(yīng)用系統(tǒng)集成問(wèn)題進(jìn)行解決，并且已經(jīng)是運(yùn)行的幾個(gè)應(yīng)用系統(tǒng)主要是包括圖書(shū)館管理系統(tǒng)以及一卡通管理系統(tǒng)等。在學(xué)校中，應(yīng)用最為廣泛的一個(gè)系統(tǒng)便是為一卡通管理系統(tǒng)，其中主要是包括了就餐系統(tǒng)以及考勤系統(tǒng)和掛失解掛系統(tǒng)等。該系統(tǒng)主要是采用了Microsoft.net的架構(gòu)，前段的服務(wù)程序則是應(yīng)用了IIS6.0+ASP.net的一種方式，然而后段則是采用了Oracle的數(shù)據(jù)庫(kù)對(duì)卡的各種信息進(jìn)行存儲(chǔ)，其中認(rèn)證的方式主要是應(yīng)用教師的工號(hào)以及學(xué)生的學(xué)號(hào)，為了能夠在一定程度上可以和現(xiàn)有的系統(tǒng)作出集成，可以建立起公共數(shù)據(jù)庫(kù)路到一卡通的系統(tǒng)單點(diǎn)進(jìn)行登錄，也是可以讓用戶通過(guò)公共數(shù)據(jù)庫(kù)的訪問(wèn)協(xié)議技術(shù)進(jìn)行認(rèn)證之后，僅僅只需點(diǎn)擊一卡通的系統(tǒng)超鏈接便是可以直接的入到該系統(tǒng)中。為了可以實(shí)現(xiàn)這個(gè)目的，可以在一卡通系統(tǒng)的服務(wù)器上安裝SUN Portal Identity Server的Agent，可以通過(guò)Agent去負(fù)責(zé)一些公共數(shù)據(jù)庫(kù)的Identity Server進(jìn)行交互，使其一卡通的系統(tǒng)信任可以從公共數(shù)據(jù)庫(kù)逐漸 轉(zhuǎn)過(guò)來(lái)查詢需要，這點(diǎn)也是通過(guò)以下方面進(jìn)行實(shí)現(xiàn)的，通過(guò)將工號(hào)或者是學(xué)號(hào)的文明和加密的密文以及時(shí)間戳直接的傳輸?shù)揭豢ㄍǖ南到y(tǒng)中，這個(gè)時(shí)候一卡通號(hào)進(jìn)行對(duì)比，如果匹配是成果了，那么便是認(rèn)為該請(qǐng)求是合法的請(qǐng)求，這個(gè)時(shí)候通過(guò)Web的服務(wù)器通過(guò)調(diào)用有關(guān)接口，返回到一個(gè)合適的界面內(nèi)，同時(shí)將其嵌入到公共數(shù)據(jù)庫(kù)的Portal的頁(yè)面中，在這個(gè)時(shí)候，時(shí)間戳的作用就是能夠避免一些重放攻擊，如果用戶不是從公共數(shù)據(jù)庫(kù)的主要接口進(jìn)入到校一卡通網(wǎng)站，那么需要加入以下方面：需要在一卡通的主頁(yè)上輸入相應(yīng)的工號(hào)或者學(xué)號(hào)及密碼，這樣才可以進(jìn)入到一卡通系統(tǒng)中，為了可以讓一卡通系統(tǒng)的密碼公共數(shù)據(jù)庫(kù)密碼得到統(tǒng)一，必須要到公共認(rèn)證中心進(jìn)行相應(yīng)的認(rèn)證，想要對(duì)這個(gè)想法進(jìn)行實(shí)現(xiàn)，便是開(kāi)發(fā)了組件LdapAuth，同時(shí)一卡通的Web服務(wù)器主要是通過(guò)對(duì)該組件進(jìn)行調(diào)用，直接驗(yàn)證用戶以及密碼是否合理，如果是通過(guò)了驗(yàn)證，那么可以進(jìn)行相關(guān)操作，這時(shí)會(huì)把用戶的密碼采用Md5進(jìn)行散列，同時(shí)也會(huì)在本地的系統(tǒng)中進(jìn)行保存，方便在認(rèn)證中出現(xiàn)問(wèn)題的過(guò)程中，用戶能夠順利進(jìn)行登錄，然而就業(yè)管理系統(tǒng)以及圖書(shū)管理系統(tǒng)的實(shí)施細(xì)節(jié)和一卡通系統(tǒng)是類(lèi)似的。

4 安全性的討論分析

針對(duì)于上述系統(tǒng)到LDAP的認(rèn)證中心進(jìn)行認(rèn)證，基本上都是根據(jù)明文式的方式所進(jìn)行的，如果僅僅需要獲得安全性，在每個(gè)應(yīng)用系統(tǒng)的認(rèn)證接口上采取SSUTLS能夠?qū)崿F(xiàn)加密的認(rèn)證，但是如果發(fā)現(xiàn)認(rèn)證的用戶數(shù)量比較大，那么對(duì)這些信息進(jìn)行加密可能會(huì)占用到系統(tǒng)的一些資源。

5 總結(jié)

通過(guò)對(duì)上述內(nèi)容進(jìn)行分析得出，所建立起來(lái)對(duì)統(tǒng)一身份認(rèn)證體系，網(wǎng)絡(luò)用戶在此基礎(chǔ)上僅僅只需要維護(hù)一套用戶名和密碼便可以使用學(xué)校的每個(gè)系統(tǒng)，對(duì)用戶的使用帶來(lái)了一定的方便。此外，用戶的密碼丟失之后僅僅只需要到網(wǎng)絡(luò)信息中進(jìn)行更換便可以，不需要向原來(lái)一樣進(jìn)行修改，導(dǎo)致密碼修改出現(xiàn)錯(cuò)誤。

參考文獻(xiàn)：

[1]王硯瀚，葉本青.漫談基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)[J].信息記錄材料，2017，18（04）：85-86.

[2]李莉.基于CAS的校園統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].微型電腦應(yīng)用，2016，32（10）：198-199.

[3]夏建兵，廖大強(qiáng).基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)[J].現(xiàn)代計(jì)算機(jī)，2013，99（09）：198-199.

[4]楊洪雪，詹曉東.基于LDAP統(tǒng)一認(rèn)證的校園網(wǎng)盤(pán)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2013，30（01）：105-107+118.

課題：本文為2018年度新疆維吾爾醫(yī)學(xué)專(zhuān)科學(xué)校校級(jí)社科類(lèi)課題結(jié)題成果，《基于CAS部署我校認(rèn)證服務(wù)器技術(shù)實(shí)現(xiàn)研究》（課題編號(hào)：2018XK0022）