摘 要：基于校園網(wǎng)應(yīng)用系統(tǒng)數(shù)量眾多，用戶認(rèn)證未實(shí)現(xiàn)統(tǒng)一的現(xiàn)狀，考慮到該現(xiàn)狀會(huì)為系統(tǒng)維護(hù)帶來(lái)難度，相應(yīng)的維護(hù)成本加大的問(wèn)題，本文擬采用SQL Server數(shù)據(jù)庫(kù)技術(shù)，.NET的PassPort認(rèn)證機(jī)制使用HTTP協(xié)議通過(guò)IE瀏覽器實(shí)現(xiàn)管理站點(diǎn)和請(qǐng)求站點(diǎn)的通信，向應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)的SOAP服務(wù)，建立校園網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)。

關(guān)鍵詞：校園網(wǎng) 統(tǒng)一身份認(rèn)證 Web

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）01（a）-0028-01

目前，建設(shè)數(shù)字化校園已經(jīng)成為現(xiàn)代化高校建設(shè)的重點(diǎn)項(xiàng)目之一，基于校園網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多，在沒(méi)有統(tǒng)一身份管理的情況下，不同的系統(tǒng)需要各自維護(hù)用戶信息。對(duì)于普通用戶而言，需要對(duì)每個(gè)系統(tǒng)記憶一套登錄名和密碼等信息。隨著系統(tǒng)數(shù)量增加，用戶只能通過(guò)降低密碼復(fù)雜度來(lái)記住不同系統(tǒng)的登錄信息，這樣不僅違背了設(shè)立系統(tǒng)的初衷，而且對(duì)系統(tǒng)維護(hù)的改善也不明顯。統(tǒng)一身份管理能夠讓數(shù)字化校園的管理員集中精力，只要進(jìn)行一套管理系統(tǒng)的維護(hù)，就能提綱挈領(lǐng)統(tǒng)攬全局，這對(duì)于系統(tǒng)維護(hù)乃至整個(gè)數(shù)字化校園的建設(shè)都有莫大的裨益。

1 統(tǒng)一身份認(rèn)證技術(shù)特點(diǎn)

統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)需要在技術(shù)方面的支撐，如以下幾點(diǎn)。

1.1 用戶登錄認(rèn)證

當(dāng)用戶登錄系統(tǒng)時(shí)，用戶輸入用戶名和密碼，應(yīng)用系統(tǒng)不對(duì)用戶的登錄信息進(jìn)行認(rèn)證，而是將取得的登錄信息采用加密方式或明文方式打包送到統(tǒng)一身份認(rèn)證中心，如果統(tǒng)一身份認(rèn)證中心認(rèn)證通過(guò)，認(rèn)證服務(wù)會(huì)給校園網(wǎng)子應(yīng)用系統(tǒng)發(fā)一個(gè)通過(guò)認(rèn)證的提示信息，用戶就可以進(jìn)行隨后所需要的操作，否則系統(tǒng)將拒絕用戶的登錄或提示用戶重新輸入賬戶信息和密碼。

1.2 基于統(tǒng)一身份認(rèn)證的交互

用戶通過(guò)登錄統(tǒng)一身份認(rèn)證中心的頁(yè)面進(jìn)行認(rèn)證，認(rèn)證中心對(duì)用戶提交的信息進(jìn)行核查之后生成一個(gè)認(rèn)證令牌，然后發(fā)往用戶具有相應(yīng)權(quán)限的應(yīng)用系統(tǒng)。當(dāng)用戶在界面里點(diǎn)擊某個(gè)鏈接時(shí)，如果該系統(tǒng)具有認(rèn)證中心發(fā)放的令牌，那么用戶可以直接登錄，否則將提示用戶沒(méi)有權(quán)限進(jìn)入該系統(tǒng)并且提示重新登錄統(tǒng)一身份認(rèn)證中心進(jìn)行賬戶和密碼的輸入。

1.3 基于Web的交互認(rèn)證

基于Web的認(rèn)證是一種異地認(rèn)證。當(dāng)系統(tǒng)得到登錄口傳送的驗(yàn)證信息之后，發(fā)送到服務(wù)器，Web會(huì)對(duì)用戶名、密碼等驗(yàn)證信息進(jìn)行認(rèn)證，然后將信息返回給客戶端，同時(shí)判定用戶是否具備登錄系統(tǒng)的資格。這種認(rèn)證模式需要集成到統(tǒng)一身份認(rèn)證的程序里，放棄分系統(tǒng)的認(rèn)證功能，將認(rèn)證工作移交給某個(gè)Web服務(wù)器。該方法部署簡(jiǎn)便，但安全性不高。

2 統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)

統(tǒng)一身份認(rèn)證平臺(tái)包含三大邏輯組成部分：目錄、用戶身份管理和用戶認(rèn)證，統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)核心是用戶認(rèn)證，用目錄服務(wù)數(shù)據(jù)庫(kù)，集中存儲(chǔ)用戶和子系統(tǒng)的信息，實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和集中管理。

2.1 平臺(tái)設(shè)計(jì)

本系統(tǒng)擬采用.NET進(jìn)行設(shè)計(jì)，系統(tǒng)具有表示層、業(yè)務(wù)層、業(yè)務(wù)訪問(wèn)層、數(shù)據(jù)訪問(wèn)層這四個(gè)邏輯框架層次，每個(gè)層次有不同的功能。管理界面由.NET實(shí)現(xiàn)，管理員遵守HTTP協(xié)議通過(guò)IE瀏覽器訪問(wèn)管理站點(diǎn)，實(shí)現(xiàn)用戶信息、部門(mén)信息和角色的統(tǒng)一管理。接口使用Web和.NET實(shí)現(xiàn)，應(yīng)用系統(tǒng)通過(guò)SOAP協(xié)議與接口組件進(jìn)行交互，Web的集成引擎將通過(guò)各類接口以及功能模塊將各個(gè)子應(yīng)用系統(tǒng)封裝成Web部件之后傳送到UDDI注冊(cè)中心，并通過(guò)接口去調(diào)用相應(yīng)的應(yīng)用服務(wù)模塊，實(shí)現(xiàn)系統(tǒng)的單點(diǎn)登錄以及授權(quán)服務(wù)等相應(yīng)的服務(wù)響應(yīng)。

本文的校園網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)的后臺(tái)數(shù)據(jù)庫(kù)采用的是SQL Server數(shù)據(jù)庫(kù)，通過(guò)SQL Server數(shù)據(jù)庫(kù)存儲(chǔ)校內(nèi)用戶信息和用戶訪問(wèn)權(quán)限信息，Windows活動(dòng)目錄是整個(gè)校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的基礎(chǔ)，采用標(biāo)準(zhǔn)的LDAP目錄服務(wù)數(shù)據(jù)庫(kù)，以層次結(jié)構(gòu)、面向?qū)ο蟮臄?shù)據(jù)庫(kù)方式存儲(chǔ)校內(nèi)用戶的信息和應(yīng)用系統(tǒng)的信息，SQL Server數(shù)據(jù)庫(kù)和活動(dòng)目錄實(shí)現(xiàn)前臺(tái)后臺(tái)數(shù)據(jù)的交互以達(dá)到數(shù)據(jù)同步的目的，這樣既保證了數(shù)據(jù)的完整性又保證了數(shù)據(jù)的一致性，同時(shí)為各類子系統(tǒng)提供用戶信息的使用和共享。

數(shù)據(jù)庫(kù)訪問(wèn)組件通過(guò)ADO.NET與數(shù)據(jù)庫(kù)前后臺(tái)交互。AD組件通過(guò).NET的類庫(kù)使用LDAP協(xié)議與目錄交互，同樣達(dá)到了前臺(tái)和數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交互和同步的目的。

2.2 平臺(tái)實(shí)現(xiàn)

該系統(tǒng)設(shè)計(jì)重點(diǎn)是使用.NET創(chuàng)建一個(gè)XML，提供統(tǒng)一接口，實(shí)現(xiàn)對(duì)訪問(wèn)的控制，子系統(tǒng)只要調(diào)用即可。接口支持?jǐn)?shù)據(jù)結(jié)構(gòu)的動(dòng)態(tài)改變，當(dāng)來(lái)自底層的目錄發(fā)生變化時(shí)，可以通過(guò)修改字段映射庫(kù)來(lái)更改映射信息。

不同的子系統(tǒng)訪問(wèn)目錄，采用調(diào)用Web的方法，既實(shí)現(xiàn)了統(tǒng)一訪問(wèn)，又減少了對(duì)原系統(tǒng)的修改。原系統(tǒng)不需要了解認(rèn)證系統(tǒng)的結(jié)構(gòu)和調(diào)用方法，既可靠，又方便。統(tǒng)一身份認(rèn)證平臺(tái)主要實(shí)現(xiàn)的統(tǒng)一身份認(rèn)證服務(wù)主要具備以下功能：（1）獲取用戶信息；（2）驗(yàn)證用戶信息；（3）根據(jù)驗(yàn)證信息控制訪問(wèn)；（4）對(duì)用戶信息進(jìn)行增刪改查。

3 結(jié)語(yǔ)

本文結(jié)合Windows活動(dòng)目錄和SQL Server數(shù)據(jù)庫(kù)技術(shù)，利用.NET的認(rèn)證機(jī)制，向系統(tǒng)提供SOAP服務(wù)，為認(rèn)證提供通用的接口和頁(yè)面，并通過(guò)調(diào)用后臺(tái)的Web認(rèn)證技術(shù)實(shí)現(xiàn)用戶單點(diǎn)登錄，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于Web的校園網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)。校園網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)，是一個(gè)認(rèn)證管理系統(tǒng)，為不同的子系統(tǒng)提供用戶信息管理服務(wù)。該系統(tǒng)將信息統(tǒng)一保存到服務(wù)器，保證了信息的穩(wěn)定、可靠、安全；完善的接口連接功能，支持任何平臺(tái)的各種子系統(tǒng)的調(diào)用，簡(jiǎn)單易行；子系統(tǒng)只需保留角色和權(quán)限控制，信息統(tǒng)一保存，角色管理由子系統(tǒng)管理，簡(jiǎn)化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)難度和后期維護(hù)。

參考文獻(xiàn)

[1]許竹君.基于校園網(wǎng)的統(tǒng)一身份認(rèn)證平臺(tái)的構(gòu)建[J].信息與電腦，2011（10）：115-116.

[2]孫守強(qiáng).基于Web的校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的實(shí)現(xiàn)[J].新聚焦，2011（3）：8-10.

[3]張沖，武超，楊要科.校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中原工學(xué)院學(xué)報(bào)，2008，8（4）：68-71.