劉易 孫曙輝

摘要：數(shù)字化校園是一個多種應(yīng)用系統(tǒng)高度集成的復(fù)雜巨系統(tǒng)，不同類型的應(yīng)用系統(tǒng)，都需要對用戶的身份進(jìn)行識別認(rèn)證和授權(quán)，因此，建立一個統(tǒng)一的管理認(rèn)證平臺對于數(shù)字化校園建設(shè)與應(yīng)用是十分重要的。該文首先對基于目錄服務(wù)的統(tǒng)一管理認(rèn)證平臺總體架構(gòu)進(jìn)行了闡述，其次對統(tǒng)一用戶管理服務(wù)、統(tǒng)一身份認(rèn)證服務(wù)和統(tǒng)一授權(quán)管理服務(wù)等進(jìn)行了研究分析，探討了數(shù)字化校園之統(tǒng)一管理認(rèn)證平臺的建設(shè)思路。

關(guān)鍵詞：數(shù)字化校園；目錄服務(wù)；統(tǒng)一管理認(rèn)證

中圖分類號：TP302.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）25-5837-03

隨著學(xué)校信息化建設(shè)的不斷推廣和深入，數(shù)字化校園中的各類應(yīng)用系統(tǒng)越來越多，校園網(wǎng)絡(luò)用戶的數(shù)量不斷擴展。而不管哪種應(yīng)用系統(tǒng)，都需要對用戶的身份進(jìn)行識別認(rèn)證和授權(quán)。用戶使用的應(yīng)用系統(tǒng)越多，所必須記住的用戶登錄名稱和密碼就越多，造成客戶出錯、密碼泄露等安全隱患的風(fēng)險也就越大，影響系統(tǒng)的安全穩(wěn)定。因此，在數(shù)字化校園建設(shè)中亟需建立一個統(tǒng)一的管理認(rèn)證平臺，對學(xué)校用戶實行統(tǒng)一的管理、認(rèn)證和授權(quán)。

1 基于目錄服務(wù)的統(tǒng)一管理認(rèn)證平臺體系架構(gòu)

數(shù)字化校園中有許多種類多樣、功能各異的應(yīng)用系統(tǒng)，學(xué)校教師、學(xué)生、管理者等用戶往往需要使用多個不同的應(yīng)用系統(tǒng)，如果各系統(tǒng)獨立使用和存儲管理一份不同的身份信息，分別進(jìn)行身份認(rèn)證，同一個用戶就需要記憶多個不同的密碼和身份，當(dāng)他在使用不同的系統(tǒng)時就需要進(jìn)行多次的登錄，這對用戶和系統(tǒng)管理來說都非常不便。通過建設(shè)統(tǒng)一的管理認(rèn)證平臺，就是要將分散的用戶和權(quán)限進(jìn)行統(tǒng)一、集中的管理，實現(xiàn)學(xué)校用戶身份的統(tǒng)一認(rèn)證和單點登錄，用戶只需通過一次身份認(rèn)證，就可以進(jìn)入具有相應(yīng)權(quán)限的所有應(yīng)用系統(tǒng)。

在目前比較先進(jìn)的統(tǒng)一管理認(rèn)證平臺技術(shù)方案中，其后臺數(shù)據(jù)庫都采用了高效的LDAP（Lightweight Directory Access Protocol）輕量目錄訪問協(xié)議。LDAP是一種跨平臺和標(biāo)準(zhǔn)的協(xié)議，具有數(shù)據(jù)存取速度快、幾乎可以存儲所有類型的數(shù)據(jù)，跨越平臺和系統(tǒng)，同步復(fù)制和分布式服務(wù)，完善的安全控制等特點，并且因采用Internet的標(biāo)準(zhǔn)而得到業(yè)界的廣泛認(rèn)可。通過運用LDAP技術(shù)，可以構(gòu)建分布式目錄結(jié)構(gòu)，存儲各種類型的數(shù)據(jù)，并提供基于這些目錄的高效訪問。根據(jù)數(shù)字化校園中用戶數(shù)據(jù)量大，具有統(tǒng)一管理認(rèn)證系統(tǒng)的應(yīng)用需求，以及LDAP的技術(shù)特點，在構(gòu)建學(xué)校統(tǒng)一管理認(rèn)證系統(tǒng)時采用LDAP目錄服務(wù)是理想的技術(shù)方案。利用LDAP清晰的目錄結(jié)構(gòu)存放學(xué)校的組織結(jié)構(gòu)、人員信息、資源和權(quán)限信息，以及作為數(shù)字證書的存放庫，對學(xué)校用戶認(rèn)證信息進(jìn)行有效組織和管理。

利用LDAP技術(shù)建立數(shù)字化校園統(tǒng)一管理認(rèn)證平臺，要著眼于各類應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證，如既要方便新建系統(tǒng)使用身份認(rèn)證系統(tǒng)，又要兼顧已有的老系統(tǒng)，使老系統(tǒng)做盡可能小的改動就可以使用身份認(rèn)證子系統(tǒng)，最大限度實現(xiàn)數(shù)據(jù)整合。統(tǒng)一管理認(rèn)證平臺建設(shè)的核心理念，是利用目錄服務(wù)數(shù)據(jù)庫來集中存儲用戶和各應(yīng)用系統(tǒng)的信息，從而實現(xiàn)對用戶的統(tǒng)一管理、統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)，同時實現(xiàn)對各類應(yīng)用系統(tǒng)的訪問控制，進(jìn)而提高整個系統(tǒng)的整體性、可管理性和安全性?；谀夸浄?wù)的統(tǒng)一管理認(rèn)證平臺總體上由目錄服務(wù)、統(tǒng)一用戶管理服務(wù)、統(tǒng)一身份認(rèn)證服務(wù)和統(tǒng)一授權(quán)管理服務(wù)四大模塊組成。該管理認(rèn)證平臺的體系結(jié)構(gòu)如圖1所示。

2 統(tǒng)一用戶管理服務(wù)

統(tǒng)一用戶管理服務(wù)主要管理學(xué)校用戶的電子身份，通過它可以對所有信息系統(tǒng)中的人員進(jìn)行統(tǒng)一管理，這是統(tǒng)一身份認(rèn)證和授權(quán)管理的前提。數(shù)字化校園統(tǒng)一用戶管理服務(wù)的目標(biāo)，是完成學(xué)校各應(yīng)用系統(tǒng)的用戶信息整合，實現(xiàn)學(xué)校用戶身份信息的集中統(tǒng)一管理，建立與各應(yīng)用系統(tǒng)的同步機制，簡化用戶及其賬號的管理復(fù)雜程度，降低系統(tǒng)管理的安全風(fēng)險。

具體來說，數(shù)字化校園統(tǒng)一用戶管理服務(wù)主要實現(xiàn)以下功能：

1） 注冊管理。用戶注冊是指用戶在統(tǒng)一管理認(rèn)證平臺中注冊用戶帳號，通過該帳號，可以對所有使用統(tǒng)一管理認(rèn)證平臺的學(xué)校應(yīng)用系統(tǒng)進(jìn)行登錄。注冊管理包括新用戶注冊和用戶修改注冊信息兩部分。注冊管理模塊的功能主要包括啟動、注冊向?qū)А⒌卿?、注銷等。

2） 部門管理。部門管理即對部門信息進(jìn)行統(tǒng)一管理，可以修改部門信息，增加、刪除子部門。同時，將需要維護(hù)的部門信息，如部門的順序號、名稱、ID等數(shù)據(jù)同步到其他信息系統(tǒng)中。

3） 人員管理。人員管理即對人員信息進(jìn)行管理，可以增加、刪除和修改人員的信息，可以重置人員密碼。同時將需要維護(hù)的人員信息，如人員的順序號、姓名、ID、職務(wù)級別、所屬部門等數(shù)據(jù)同步到其他信息系統(tǒng)中。

4） 人員信息查詢。人員信息查詢采用目錄樹的方式展示部門與人員的隸屬關(guān)系，可以在相應(yīng)的部門列表中按多種條件查詢?nèi)藛T信息。列表中的人員姓名上有鏈接，可以鏈入查詢用戶的詳細(xì)信息。

5） 用戶自助服務(wù)。每個數(shù)字化校園登錄用戶都可以修改自己的通用信息，如電話號碼、房間號等，這些信息條目由系統(tǒng)管理員設(shè)置。

6） 系統(tǒng)維護(hù)。系統(tǒng)維護(hù)對用戶進(jìn)行分組管理，包括維護(hù)組的信息，增加新組以添加一個新的用戶分類方式；可以選擇和配置系統(tǒng)同步方式，包括實時同步、定時同步；可以進(jìn)行屬性配置等。

3 統(tǒng)一身份認(rèn)證服務(wù)

統(tǒng)一身份認(rèn)證服務(wù)實現(xiàn)對校內(nèi)所有用戶的數(shù)字化身份認(rèn)證，是數(shù)字化校園的安全門戶入口。統(tǒng)一身份認(rèn)證服務(wù)提供平臺的核心基礎(chǔ)服務(wù)，該服務(wù)建立在基于目錄服務(wù)的統(tǒng)一用戶管理的基礎(chǔ)之上，用戶在訪問校園門戶網(wǎng)站或各類應(yīng)用系統(tǒng)時，將首先被指向統(tǒng)一身份認(rèn)證中心進(jìn)行認(rèn)證。在整個認(rèn)證系統(tǒng)中，其服務(wù)的對象包括數(shù)字化校園中接入統(tǒng)一管理認(rèn)證平臺的所有應(yīng)用系統(tǒng)，統(tǒng)一身份認(rèn)證能夠提供快速、高效和安全的服務(wù)，已有應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴展性、高可用性。

3.1 統(tǒng)一身份認(rèn)證的特點

1） 提供統(tǒng)一的身份認(rèn)證服務(wù)。統(tǒng)一身份認(rèn)證可以為多個不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨立開發(fā)、設(shè)計認(rèn)證系統(tǒng)，為各類應(yīng)用提供了統(tǒng)一的接入形式。

2） 支持多種認(rèn)證方式。學(xué)校的不同應(yīng)用系統(tǒng)的安全級別不同，使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同，統(tǒng)一認(rèn)證服務(wù)具有很強的適應(yīng)性，可以針對這些不同的應(yīng)用特點，提供相適應(yīng)的認(rèn)證手段。

3） 統(tǒng)一與個性相結(jié)合的認(rèn)證策略。統(tǒng)一身份認(rèn)證針對不同的認(rèn)證方式，既提供了統(tǒng)一的策略控制，各個應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級管理安全。

3.2 身份認(rèn)證服務(wù)方式的選擇

統(tǒng)一管理認(rèn)證平臺通過定義符合學(xué)校特點的身份數(shù)據(jù)規(guī)范，并將其應(yīng)用于每個用戶身份，以管理這些用戶對資源的訪問。在此基礎(chǔ)上實現(xiàn)單點登錄（SSO），保證用戶一次登錄即可按照授權(quán)訪問相應(yīng)權(quán)限的所有資源。統(tǒng)一身份認(rèn)證服務(wù)的設(shè)計，可采用認(rèn)證方式與登錄方式分層的設(shè)計，同時可平滑擴展多種登錄方式，支持多級登錄處理認(rèn)證機制。目前主要有以下幾種登錄認(rèn)證方式：

1） LDAP認(rèn)證。LDAP認(rèn)證方式是基于目錄服務(wù)的統(tǒng)一管理認(rèn)證系統(tǒng)的主要認(rèn)證方式。使用該認(rèn)證方式，用戶的身份信息與口令存儲在指定的LDAP目錄中。當(dāng)一個用戶登錄時，通過其提供的用戶名稱、口令與該LDAP目錄中記錄的該用戶名稱、口令信息進(jìn)行比對，如一致則認(rèn)證成功，反之則認(rèn)證失敗。

2） 數(shù)字證書認(rèn)證。數(shù)字證書（CA）是目前最常用的一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在PKI體系基礎(chǔ)上實現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)行安全加密、數(shù)字簽名等操作。數(shù)字證書的存儲方式非常靈活，數(shù)字證書可被直接存儲在計算機中，也可存儲在智能卡或USB Key中。

3） RADIUS認(rèn)證。RADIUS認(rèn)證是利用外部撥號認(rèn)證系統(tǒng)的一種認(rèn)證機制，如果學(xué)校用戶通過了外部撥號認(rèn)證系統(tǒng)的認(rèn)證，系統(tǒng)則認(rèn)為此用戶認(rèn)證通過。

4） 通行碼認(rèn)證。通行碼是統(tǒng)一身份認(rèn)證支持的一種特有認(rèn)證方式，用戶遺忘或者丟失其他認(rèn)證信息時，可以向管理員申請一次性使用的通行碼口令進(jìn)行身份認(rèn)證，主要滿足安全應(yīng)急服務(wù)。通行碼具備時效性和一次性特點，當(dāng)使用過或者超出使用時間范圍，其認(rèn)證效力自動失效，有效地保證了系統(tǒng)的安全性和可靠性。

上述各種認(rèn)證方式在安全性、易用性和部署成本上各不相同，在實踐中可以針對不同的用戶群與不同的應(yīng)用需要，對所采用的認(rèn)證方式進(jìn)行個性化的設(shè)置。如在單點登錄系統(tǒng)中，可以根據(jù)角色、用戶、服務(wù)指定不同的認(rèn)證方式，也可以在認(rèn)證時直接指定認(rèn)證模塊和個性化的認(rèn)證選項。

3.3 統(tǒng)一身份認(rèn)證服務(wù)的一般流程

在統(tǒng)一身份認(rèn)證服務(wù)中，對用戶進(jìn)行統(tǒng)一認(rèn)證服務(wù)的一般流程如下：

1） 學(xué)校用戶通過統(tǒng)一信息門戶登錄到所要進(jìn)入的應(yīng)用系統(tǒng)；

2） 應(yīng)用系統(tǒng)向統(tǒng)一認(rèn)證服務(wù)系統(tǒng)提交請求進(jìn)行認(rèn)證的用戶信息；

3） 統(tǒng)一認(rèn)證服務(wù)系統(tǒng)對所申請的用戶信息進(jìn)行驗證，確認(rèn)所申請的用戶信息的有效性，或否定用戶信息的有效性；

4） 統(tǒng)一認(rèn)證服務(wù)系統(tǒng)在用戶信息申請通過認(rèn)證后，將該用戶所屬組信息返回給應(yīng)用系統(tǒng)；

5） 對通過認(rèn)證的用戶信息申請，應(yīng)用系統(tǒng)根據(jù)用戶所在組的級別，授予該用戶相應(yīng)的訪問權(quán)限。

4 統(tǒng)一授權(quán)管理服務(wù)

統(tǒng)一授權(quán)管理服務(wù)是在統(tǒng)一用戶管理實施的基礎(chǔ)上進(jìn)行的，在實現(xiàn)了各應(yīng)用系統(tǒng)賬號的統(tǒng)一管理之后，對系統(tǒng)用戶的訪問權(quán)限進(jìn)行集中和統(tǒng)一管理。根據(jù)數(shù)字化校園安全策略，通常采用基于角色的訪問控制技術(shù)，提供對學(xué)校多應(yīng)用系統(tǒng)進(jìn)行有效的訪問控制和授權(quán)管理功能，提高系統(tǒng)管理的效率。統(tǒng)一授權(quán)管理服務(wù)主要包括以下功能：

1） 應(yīng)用管理。即對應(yīng)用系統(tǒng)的管理，實現(xiàn)對應(yīng)用系統(tǒng)的添加、修改、刪除和停用/啟用操作等。

2） 角色管理。即對用戶角色的管理，對用戶角色的添加、修改、刪除操作等。對角色進(jìn)行歸類，可以按所屬部門歸類，如教務(wù)處、學(xué)生處、科研處等；可以按用戶的職務(wù)級別歸類，如校領(lǐng)導(dǎo)、院領(lǐng)導(dǎo)、系領(lǐng)導(dǎo)、室領(lǐng)導(dǎo)等；可以按用戶的職位歸類，如教學(xué)崗、管理崗、服務(wù)崗等；可以按群組歸類，如XXX教研組等。

3） 權(quán)限配置管理。即對用戶訪問資源的授權(quán)進(jìn)行管理，通過對用戶組和角色與應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系進(jìn)行創(chuàng)建和維護(hù)，確定用戶對應(yīng)用系統(tǒng)訪問的授權(quán)。授權(quán)管理分為兩類：一類是實體級授權(quán)，指主賬號代表的自然人可以訪問哪些資源的授權(quán)，主要通過統(tǒng)一用戶管理和統(tǒng)一認(rèn)證、授權(quán)管理的整合完成。另一類是實體內(nèi)授權(quán)，主要指包括基于角色的授權(quán)和細(xì)粒度權(quán)限授權(quán)，一般通過整合應(yīng)用中的角色模塊實現(xiàn)。

4） 分級授權(quán)管理。建立全校的分級授權(quán)機制，每一個部門、院系辦公室都可以參與授權(quán)管理。學(xué)校管理員負(fù)責(zé)將權(quán)限分配到業(yè)務(wù)部門、院系，每一個部門、院系辦公室需要配有一個信息員管理本部門的角色創(chuàng)建、用戶授權(quán)工作。

5） 用戶權(quán)限審計。提供用戶管理、認(rèn)證管理的審計信息，查詢并審計用戶的訪問權(quán)限。

參考文獻(xiàn)：

[1] 曲彬.南京大學(xué)數(shù)字化校園平臺的設(shè)計與實現(xiàn)[D].大連：大連理工大學(xué)，2009.

[2] 燕敏.高校數(shù)字化校園建設(shè)中關(guān)鍵技術(shù)的研究[D].西安：西安石油大學(xué)，2008.

[3] 王蓓蓓.面向高職院校的統(tǒng)一身份認(rèn)證系統(tǒng)研究[J].信息技術(shù)與信息化，2012（4）.