校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設計方案

1、校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設計與實現(xiàn)摘要隨著高校信息化建設和互聯(lián)網(wǎng)技術的不斷發(fā)展，很多高校在不同階段開發(fā)出了許多應用系統(tǒng)，這些系統(tǒng)可能是跨平臺跨域的，都有其獨立的安全驗證機制。用戶使用的應用系統(tǒng)越多，所她須記彳i的用戶ID和用戶密碼就越多；客戶出錯、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個統(tǒng)一身份認證系統(tǒng)，對網(wǎng)絡用戶實行統(tǒng)一的管理、認證和授權是校園網(wǎng)建設中的一個重要步驟。從LDAP協(xié)議出發(fā)，描述了典型的校園網(wǎng)絡中如何實現(xiàn)多系統(tǒng)之間的統(tǒng)一身份認證。關鍵詞：LDAP;目錄服務；單點登錄機制；統(tǒng)一身份認證前言隨著信息技術的不斷發(fā)展，學校信息化建設的不斷推廣和深入，數(shù)字化校園已成為建

2、設現(xiàn)代化高校的建設目標之一，基于校園網(wǎng)的應用系統(tǒng)也會越來越多，如網(wǎng)絡課堂、數(shù)字化圖書館、網(wǎng)絡視頻會議、一卡通系統(tǒng)等。另外，網(wǎng)絡用戶、網(wǎng)絡帶寬需求、聯(lián)網(wǎng)主機數(shù)量的急劇增大，都對數(shù)字化校園的管理提出了挑戰(zhàn)。而不管哪種應用系統(tǒng)，都需要對用戶的身份進行識別認證，同時對不同的身份所擁有的操作權限進行授權。用戶使用的應用系統(tǒng)越多，所必須記住的用戶ID和用戶密碼就越多，客戶出錯、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個統(tǒng)一身份認證系統(tǒng)，對網(wǎng)絡用戶實行統(tǒng)一的管理、認證和授權是校園網(wǎng)建設中的一個重要內容。第1章LDAP目錄服務和統(tǒng)一身份認證系統(tǒng)目前主流的統(tǒng)一身份認證方案中，都使用了目錄服務技

3、術。隨著輕量級目錄訪問協(xié)議(LightDirectoryAccessProtocol,LDAP)技術的興起和應用領域的不斷擴展，目錄服務技術成為許多新型技術實現(xiàn)信息存儲、管理和查詢的首選方案，特別是在網(wǎng)絡資源查找、用戶訪問控制與認證信息的查詢、新型網(wǎng)絡服務、網(wǎng)絡安全、商務網(wǎng)的通用數(shù)據(jù)庫服務和安全服務等方面，都需要應用目錄服務技術來實現(xiàn)一個通用、完善、應用簡單和可以擴展的系統(tǒng)。根據(jù)美國著名的網(wǎng)絡顧問公司BurtonGroup的說法：”目錄服務是由系統(tǒng)安全架構、應用程序與其他網(wǎng)絡服務所構成的分布式計算環(huán)境的中心點，也是大型分布式運算環(huán)境中的最重要的元件，而它的實現(xiàn)會為我們所熟知的網(wǎng)絡運算模式帶來根

4、本的改變”。LDAP最大的優(yōu)勢是：它是跨平臺的和標準的協(xié)議，因此應用程序就不用為LDAP目錄放在什么樣的服務器上操心了。它可以應用在任何計算機平臺上，很容易獲得,而且它也很容易定制應用程序為它加上LDAP的支持。其次，它有優(yōu)秀的檢索性能，LDAP在處理大量用戶并發(fā)檢索訪問問題上優(yōu)勢明顯，具有比關系數(shù)據(jù)庫系統(tǒng)更快的響應速度。第三，它有完善的安全機制，LDAP通過訪問控制列表ACL設置對目錄數(shù)據(jù)的讀和寫的權限，通過支持基于SSL(SecureSocketLayer)的安全機制完成對明文加密，能提供更安全的保障。第四，同步復制功能，分布在不同地域的兩臺目錄服務器通過使用“推”、“拉”技術，使服務器保

5、持數(shù)據(jù)的同步和一致啦。由于LDAP卓越的檢索性能和跨平臺支持的特性正符合統(tǒng)一認證系統(tǒng)中大量用戶口令的存儲和管理的要求，因此，在統(tǒng)一認證系統(tǒng)的設計中，目錄服務數(shù)據(jù)庫是整個統(tǒng)一認證系統(tǒng)的基礎。采用標準的LDAP目錄服務數(shù)據(jù)庫，通過LDAP目錄服務將用戶和應用系統(tǒng)的信息以層次結構、面向對象的數(shù)據(jù)庫的方式加以集中和管理，保證了數(shù)據(jù)的一致性和完整性，為各類應用系統(tǒng)提供用戶信息的共享和使用。第2章校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設計在建立基于LDAP統(tǒng)一身份認證系統(tǒng)的過程中，既要方便新建立的系統(tǒng)使用統(tǒng)一身份認證子系統(tǒng)，又要照顧原來建立的老系統(tǒng)，使原有系統(tǒng)做盡可能小的變動就可以使用統(tǒng)一身份認證子系統(tǒng)，最大限度實現(xiàn)數(shù)

6、據(jù)整合。統(tǒng)一認證系統(tǒng)設計的核心思想是用目錄服務數(shù)據(jù)庫集中存儲用戶的信息和各個應用系統(tǒng)的信息，實現(xiàn)對用戶的集中管理、統(tǒng)一認證和統(tǒng)一授權，以及實現(xiàn)對應用系統(tǒng)的訪問控制。統(tǒng)一身份認證系統(tǒng)的體系結構如圖l所示。統(tǒng)一認證系統(tǒng)首先從根本上不再使用簡單的基于用戶名和密碼的身份認證機制，而是采用結合了密碼學技術的新的身份認證機制。新的身份認證機制可以大大提高系統(tǒng)的安全性，同時也可以保證用戶的電子身份標識能安全、高效地在網(wǎng)絡中傳輸。其次，統(tǒng)一認證系統(tǒng)把原來分散的用戶管理集中了起來，各個系統(tǒng)之間依靠相互信賴的關系來進行用戶身份的自動認證。用戶的帳號信息是集中保存和管理的，管理員只需要在統(tǒng)一的用戶信息數(shù)據(jù)庫中添加或

7、刪除用戶帳號，不必在多個系統(tǒng)中分別設置用戶信息數(shù)據(jù)庫。通過分析系統(tǒng)的體系結構，該系統(tǒng)的設計實現(xiàn)了用戶的集中管理、獨立應用系統(tǒng)的集成、統(tǒng)一授權和單點登錄。下面對該系統(tǒng)所具有的一些特點進行分析：1）支持Web方式認證，提供單點登錄服務功能。本系統(tǒng)提供了一個與其他系統(tǒng)相融合的框架，將各自獨立開發(fā)的應用系統(tǒng)通過應用系統(tǒng)注冊通用接口集成起來，方便獨立系統(tǒng)用戶與認證系統(tǒng)用戶映射。2）提供基于LDAP開放標準的統(tǒng)一用戶管理功能，并具有將多種異構數(shù)據(jù)源整合到目錄的功能，易于系統(tǒng)維護和降低管理成本。這種方案結合基于角色的訪問控制，實現(xiàn)了用戶與系統(tǒng)的分離，保證了服務器的安全。3）支持基于改進Kerberos認證機

8、制。加強應用安全。放棄Kerberos協(xié)議采用的加密算法AES,采用基于橢圓曲線上離散對數(shù)計算問題的ECC算法，改進了原Kerberos協(xié)議p。1存在的部分缺陷，使系統(tǒng)運行更加安全。改進的Kerberos協(xié)議保密強度更高，密鑰產(chǎn)生、分配和管理更加方便，能夠防止口令猜測攻擊和重放攻擊，驗證過程更安全、真實和更可靠。由于新的驗證協(xié)議不再需要用戶輸入登錄應用系統(tǒng)的口令，可實現(xiàn)多業(yè)務模式下的單點登錄。第3章LDAP協(xié)議與數(shù)據(jù)模型分析3.1目錄數(shù)據(jù)選擇設計目錄中存儲的數(shù)據(jù)是目錄信息庫設計中最重要的一步，也是最耗費時間的一項工作。目錄數(shù)據(jù)的選擇耍遵循以下的一些原則：1）要根據(jù)目錄服務種類收集所需的數(shù)據(jù)確定

9、有哪些基于目錄的應用程序及它們所需要的數(shù)據(jù)。例如，本系統(tǒng)要提供查詢服務，就需要查詢服務確定學生、老師、部門組織等的具體信息。2）選擇合適的數(shù)據(jù)目錄的特性決定了其中的數(shù)據(jù)類型一一結構化、被掰讀”的頻率高、具有訪問的普遍性，即不止一個應用程序需要訪問的數(shù)據(jù)。3）調查數(shù)據(jù)的來源、所有者，對已存在的數(shù)據(jù)確定將其導入目錄的策略。3.2目錄模式分析模式設計是將我們所選擇的數(shù)據(jù)結構化的一個步驟。模式定義了各種屬性類型和對象類型。當客戶端程序訪問目錄時，服務器以此決定目錄中的條目是否滿足某查詢條件或添加的條目是否符合類型定義。目錄服務器的缺省模式中定義了豐富的類型，如RFC2798定義了一個名為InetOrg

10、Person的LDAP對象類以及一組該對象類可用的屬性。這些屬性都是目錄服務中經(jīng)常要用到的一個人的常用信息，如：Users,Password。針對辦公自動化系統(tǒng)的實際應用，InetOrgPerson對象類中已有的屬性所能表示的信息是不夠的，很多屬性以及各種服務之間的關系（如用戶拖欠上網(wǎng)費用，可以暫停向其提供閱覽圖書館電子圖書的服務，但是又不能影響該用戶瀏覽校內公文）很難直接用標準模式中定義的屬性來表示。為此我們也可根據(jù)實際的需要自己定義一些類型，自定義模式不僅能夠恰當?shù)拿枋鱿到y(tǒng)的需求，而具有很好的可擴展性，當需要一個新的屬性或對象時，只要在模式文件中定義相應的屬性類型和對象類就行了。但要確保模

11、式在目錄中的一致性，不能同樣類型的數(shù)據(jù)有多種類型定義。3.3目錄信息樹分析目錄信息樹的根（RoOT）是一個虛根，并沒有實際意義。樹中的任意一個節(jié)點都是目錄信息樹的一個入口，每一個節(jié)點旁的標注指明了該入口的一個或多個屬性值，構成了該入口的相關辨識名（簡稱RDN）,把該入口與其它同級入口區(qū)別開來，從特定入口到根的直接下級入口的相關辨識名序列形成了該特定入口的辨識名（簡稱DN）,可以在整個樹中標識該入口。如圖2所示。目錄信息樹的結構是根據(jù)一定的結構確定的?？梢园吹乩砦恢脕磉M行分支設計，也可以按邏輯組織來劃分。在設計目錄信息樹結構時最重要的一條原則就是保持“平”結構，即目錄樹的層次盡量少。因為我們設計

12、目錄信息樹的宗旨之一就是當改變信息樹中的某個信息時，盡量減少對其他部分的影響。目錄信息樹的層次越少，對應的各條目的DN越短，受其它信息變化的影響就越小。而且用戶的管理員在使用時更為方便。同時，對于物理位置獨立或具有單獨的管理權限的部分在結構設計時盡量為獨立的一部分。例如，Uid-tansl,OU=person,Oufdgut,O-edu,Cmcn。LDAP目錄樹的“根”或頂部是基本DN?；綝N通常有兩種形式：從組織的屬性派生的（例如，C=cn,o=edu）,或者從組織的DNS域組件派生的DN（例如，DC-cn,DC-edu）。樹根下有三類信息；1）People:存儲用戶和帳號信息，分為三類角

13、色：Teachers,Students和Others,每一類角色可以根據(jù)需要進一步細化。2)Application:應用系統(tǒng)的信息，如Mail、人事、教務、OA系統(tǒng)等3)Services:需要發(fā)布為Web服務的應用。第4章統(tǒng)一身份認證在校園網(wǎng)的應用為實現(xiàn)校園網(wǎng)用戶身份的統(tǒng)一認證，本系統(tǒng)開發(fā)選用SUNONEDirectoryServer5.2forLinux。它是一個開放源代碼項目，實現(xiàn)了對LDAPv3的支持，支持SSL連接，支持密碼認證、Kerberos和SASL身份認證機制，支持ACL訪問控制，支持多種后臺數(shù)據(jù)庫。開發(fā)環(huán)境為SunONESmdio5.2。采用B/S結構，使用JDKl.5的開發(fā)環(huán)境，對用戶管理系統(tǒng)進行開發(fā)，SUNONEDirectoryServer5.2作為身份存儲庫，用Syb00e10forSolaris作為輔助數(shù)據(jù)庫，用JOSSO作模型，開發(fā)單點登錄系統(tǒng)。如圖3所示3爸川建一方也認狂幕揍M疑地撲統(tǒng)一的認證系統(tǒng)并非意味著只存在單個的認證服務器，整個系統(tǒng)可以擁有兩個以上的認證服務器，這些服務器甚至可以是不同的產(chǎn)品。認證服務器之間只要通過標準的通訊協(xié)議，互相交換認證信息，就能完成更高級別的單點登錄。如圖4所示，當用戶在訪問應用系統(tǒng)l時，由第一個認證服務器進行認證后，得到由此服務器產(chǎn)生的ticket。當