王平

?

統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)設(shè)計(jì)方案探討

王平

（中國(guó)石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，青島 266580）

在學(xué)校信息化建設(shè)過(guò)程中，為解決用戶登錄不同系統(tǒng)記憶不同賬號(hào)和密碼的多賬戶問(wèn)題，通過(guò)建立統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)進(jìn)行解決，該平臺(tái)對(duì)用戶身份進(jìn)行集中存儲(chǔ)、統(tǒng)一管理，通過(guò)身份識(shí)別與訪問(wèn)控制進(jìn)行統(tǒng)一認(rèn)證和授權(quán)，并且實(shí)現(xiàn)用戶單點(diǎn)登錄，改善用戶體驗(yàn)。

身份認(rèn)證；身份識(shí)別；訪問(wèn)控制；

0 引言

隨著校園信息化建設(shè)的不斷深入，學(xué)校逐步建立起多個(gè)信息系統(tǒng)，包括教務(wù)系統(tǒng)、人事系統(tǒng)、一卡通系統(tǒng)等，由于各信息系統(tǒng)歸屬不同的職能部門管理，從而造成系統(tǒng)之間相互獨(dú)立，登錄賬號(hào)和密碼各不相同，在沒有建立統(tǒng)一的身份認(rèn)證和用戶管理的情況下，全校師生作為系統(tǒng)用戶必須記憶不同的登錄賬號(hào)和密碼才能使用各應(yīng)用系統(tǒng)。為了解決這種需要記憶多賬號(hào)密碼才能使用數(shù)字校園信息系統(tǒng)的問(wèn)題，迫切需要建立學(xué)校的用戶身份統(tǒng)一認(rèn)證與權(quán)限管理平臺(tái)，統(tǒng)一管理數(shù)字校園內(nèi)各應(yīng)用系統(tǒng)的用戶及其認(rèn)證方式，形成用戶身份信息的統(tǒng)一管理、集中授權(quán)和安全認(rèn)證的體系，使學(xué)校工作人員即使進(jìn)行了調(diào)動(dòng)、調(diào)級(jí)、調(diào)職等變更，其身份認(rèn)證和使用權(quán)限也能在各系統(tǒng)之間協(xié)調(diào)同步[1,2]，并且，在統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)建立的基礎(chǔ)上實(shí)現(xiàn)單點(diǎn)登錄（Single Sign On，SSO）[3]，即用戶只需要在入口處輸入一次賬號(hào)密碼登錄后，即可使用數(shù)字校園內(nèi)所有授權(quán)使用的應(yīng)用系統(tǒng)，而不用再次輸入各應(yīng)用系統(tǒng)的賬號(hào)和密碼，這樣既方便了用戶使用，又減少了開發(fā)和維護(hù)成本，提升各個(gè)子系統(tǒng)之間的關(guān)聯(lián)度，還提高了安全性，也為未來(lái)數(shù)字化校園其他各類系統(tǒng)的建設(shè)集成奠定了基礎(chǔ)。

1 統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)的設(shè)計(jì)

1.1 設(shè)計(jì)目標(biāo)

統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)的設(shè)計(jì)要從學(xué)校信息化規(guī)劃的頂層設(shè)計(jì)入手，自上向下完成如下5個(gè)方面目標(biāo)：

第一是構(gòu)建面向全校用戶的身份管理中心，實(shí)現(xiàn)對(duì)全校各類用戶的集中管理，并確保該平臺(tái)用戶信息的準(zhǔn)確性和權(quán)威性，既提高了用戶信息的管理效率，又降低了維護(hù)成本；

第二是實(shí)現(xiàn)用戶身份的統(tǒng)一認(rèn)證，提供數(shù)字校園各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，減輕用戶管理賬號(hào)和密碼的負(fù)擔(dān)，避免誤入偽造網(wǎng)址、假冒表單等方式的欺騙式登錄界面；

第三是實(shí)現(xiàn)符合學(xué)校實(shí)際的組織機(jī)構(gòu)、人員、崗位、角色和資源特點(diǎn)的權(quán)限管理、授權(quán)方式及訪問(wèn)控制策略，建立一套符合學(xué)校特點(diǎn)的用戶身份權(quán)限管理機(jī)制，提供便捷的身份異動(dòng)管理，即用戶的權(quán)限隨其身份的變化而自動(dòng)撤銷、變更和增加，為其他業(yè)務(wù)系統(tǒng)提供一個(gè)方便的身份識(shí)別及管理服務(wù)；

第四是一次性建立全局性崗位和角色，可直接應(yīng)用到所有信息系統(tǒng)，與現(xiàn)有系統(tǒng)的無(wú)縫集成，除部分角色與特定信息系統(tǒng)的特殊要求外，所有角色均服從統(tǒng)一權(quán)限管理中心的集中管理；

第五是實(shí)現(xiàn)更加細(xì)粒度的權(quán)限管理：角色、權(quán)限等的管理可實(shí)現(xiàn)各系統(tǒng)管理員或指定管理員分級(jí)進(jìn)行管理，但角色權(quán)限信息必須存放在統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)中，為未來(lái)新建信息系統(tǒng)的開發(fā)提供統(tǒng)一的用戶身份認(rèn)證、授權(quán)及安全標(biāo)準(zhǔn)。

1.2 架構(gòu)設(shè)計(jì)

學(xué)校數(shù)字校園中所有的用戶信息，均來(lái)源于各相關(guān)業(yè)務(wù)系統(tǒng)，例如教職工基本信息來(lái)源于人事管理系統(tǒng)，學(xué)生基本信息來(lái)自于迎新系統(tǒng)，通過(guò)底層技術(shù)手段可及時(shí)將各業(yè)務(wù)系統(tǒng)的用戶身份信息同步到LDAP目錄服務(wù)器和身份信息數(shù)據(jù)庫(kù)中[4]，使其貫穿到數(shù)字校園的方方面面，統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)設(shè)計(jì)架構(gòu)主要包括6個(gè)核心部分，包括用戶身份管理、權(quán)限管理、統(tǒng)一認(rèn)證、認(rèn)證接口服務(wù)、目錄服務(wù)[5]、身份自助服務(wù)，如圖1所示。

圖1 統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)功能結(jié)構(gòu)圖

該設(shè)計(jì)將用戶基本信息的管理放入各自業(yè)務(wù)系統(tǒng)中，而統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)只關(guān)注于機(jī)構(gòu)、角色和權(quán)限模型的建立及管理，進(jìn)而提高了系統(tǒng)的安全性和可靠性。

1.3 技術(shù)路線

為適應(yīng)學(xué)校當(dāng)前及日后系統(tǒng)建設(shè)的發(fā)展和需要，能夠隨著未來(lái)信息技術(shù)的發(fā)展而不斷平滑升級(jí)，在統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)設(shè)計(jì)中，用戶身份數(shù)據(jù)由學(xué)校權(quán)威數(shù)據(jù)源同步取得，認(rèn)證框架采用耶魯CAS開放框架，通過(guò)CAS認(rèn)證中心進(jìn)行認(rèn)證，對(duì)用戶登錄信息進(jìn)行加密傳輸，保證數(shù)據(jù)在傳輸方面的安全性；為了保證系統(tǒng)具有良好的平臺(tái)移植性，應(yīng)用程序的編程語(yǔ)言按J2EE規(guī)范，確?？梢砸浦驳絎indows、Linux等不同操作系統(tǒng)中，支持i18n國(guó)際化，以及支持系統(tǒng)在IPv4/IPv6網(wǎng)絡(luò)環(huán)境上運(yùn)行；后臺(tái)數(shù)據(jù)庫(kù)的架構(gòu)為三層：Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，數(shù)據(jù)庫(kù)采用Oracle 11g，中間件采用Oracle Weblogic 12c，數(shù)據(jù)復(fù)制工具及ETL工具采用Oracle ODI。在訪問(wèn)控制策略上，用戶可以定制不同粗細(xì)粒度的安全規(guī)則，用戶身份、授權(quán)、認(rèn)證功能相對(duì)獨(dú)立，可以靈活的與第三方產(chǎn)品對(duì)接，支持單獨(dú)授權(quán)、按角色授權(quán)等多種權(quán)限管理方式，支持B/S和C/S等多種應(yīng)用。

2 核心元素建設(shè)流程

2.1 用戶身份管理中心

用戶身份管理中心是用于存儲(chǔ)學(xué)校組織機(jī)構(gòu)、用戶身份、可訪問(wèn)系統(tǒng)角色等信息，保證用戶在學(xué)校開戶、變更、銷戶等狀態(tài)的賬戶管理唯一性。用戶身份管理中心按照自動(dòng)化流程創(chuàng)建產(chǎn)生用戶身份的賬號(hào)信息，可以對(duì)賬號(hào)信息進(jìn)行管理維護(hù)，平臺(tái)管理員與業(yè)務(wù)部門可對(duì)用戶狀態(tài)進(jìn)行雙向核對(duì)，對(duì)于關(guān)聯(lián)賬號(hào)無(wú)法同步更新的情況，可采用手工建立的方式進(jìn)行解決；支持平臺(tái)上組織機(jī)構(gòu)的拆分、合并和多級(jí)管理；支持應(yīng)用接入角色編碼管理，可以管理靜態(tài)角色和動(dòng)態(tài)角色，支持賬戶在系統(tǒng)間角色遷移，對(duì)于角色變更，直接讀取各子系統(tǒng)用戶角色變更狀態(tài)，管理用戶賬戶的全生命周期。

2.2 RBAC權(quán)限管理

RBAC權(quán)限管理[6]是對(duì)所有的用戶在訪問(wèn)資源時(shí)根據(jù)其所扮演的角色進(jìn)行權(quán)限控制，它包括配置與定義、授權(quán)管理、審計(jì)管理三個(gè)部分。其中配置與定義主要是提供系統(tǒng)基本數(shù)據(jù)的定義功能，配置權(quán)限資源定義數(shù)據(jù)和角色定義；授權(quán)管理是通過(guò)角色授權(quán)、范圍授權(quán)、權(quán)限轉(zhuǎn)授等方式對(duì)用戶授權(quán)管理；審計(jì)管理是用來(lái)提供權(quán)限授權(quán)日志查詢、訪問(wèn)日志記錄、訪問(wèn)統(tǒng)計(jì)等功能。

2.3 統(tǒng)一認(rèn)證

統(tǒng)一認(rèn)證提供跨服務(wù)器及業(yè)務(wù)應(yīng)用系統(tǒng)的口令認(rèn)證服務(wù)，所有被認(rèn)證系統(tǒng)保護(hù)的Web系統(tǒng)都只有一個(gè)統(tǒng)一的登錄口令和認(rèn)證入口，經(jīng)該系統(tǒng)認(rèn)證通過(guò)后方可進(jìn)入個(gè)人門戶或各個(gè)應(yīng)用系統(tǒng)中，從而實(shí)現(xiàn)漫游校園各應(yīng)用系統(tǒng)的單點(diǎn)登錄，任何采用URL直接訪問(wèn)都將返回到這個(gè)認(rèn)證入口中。通過(guò)該認(rèn)證入口確認(rèn)身份后使用不同的應(yīng)用系統(tǒng)時(shí)，認(rèn)證系統(tǒng)會(huì)根據(jù)使用的應(yīng)用系統(tǒng)中關(guān)于用戶的角色與權(quán)限，為該用戶提供與之相應(yīng)的“活動(dòng)場(chǎng)所”，應(yīng)用系統(tǒng)在認(rèn)證通過(guò)后也允許其使用系統(tǒng)的信息資源，提供其權(quán)限下的功能模塊，使用戶無(wú)須多次輸入口令就能登錄被集成的應(yīng)用子系統(tǒng)，并在這些已經(jīng)集成的子系統(tǒng)之間無(wú)障礙自由進(jìn)出，而無(wú)需記憶和輸入各系統(tǒng)的賬號(hào)密碼[7]。校園網(wǎng)絡(luò)上的主要應(yīng)用系統(tǒng)都基于統(tǒng)一認(rèn)證，通過(guò)CAS認(rèn)證來(lái)確認(rèn)用戶身份。為了系統(tǒng)的安全性，賬號(hào)和密碼以加密形式進(jìn)行存放，防止在認(rèn)證過(guò)程中攻擊者竊聽網(wǎng)絡(luò)上傳輸?shù)拿艽a冒充合法用戶獲得身份認(rèn)證進(jìn)入各個(gè)信息系統(tǒng)[8]，其認(rèn)證過(guò)程，見圖2所示。

圖2 統(tǒng)一口令認(rèn)證過(guò)程圖

2.4 認(rèn)證接口服務(wù)

認(rèn)證接口服務(wù)為各種同構(gòu)或者異構(gòu)的應(yīng)用系統(tǒng)提供多種數(shù)據(jù)訪問(wèn)認(rèn)證接口，如表1所示，這是內(nèi)部系統(tǒng)接口，還有外部系統(tǒng)接口和web service接口多種接口，使各種應(yīng)用系統(tǒng)可以方便地通過(guò)認(rèn)證接口服務(wù)使用本認(rèn)證系統(tǒng)對(duì)用戶身份進(jìn)行統(tǒng)一認(rèn)證。

表1 內(nèi)部系統(tǒng)接口

2.5 LDAP目錄服務(wù)

目錄服務(wù)是統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)的基礎(chǔ)。學(xué)校所有的用戶信息都以層次結(jié)構(gòu)、面向?qū)ο髷?shù)據(jù)庫(kù)的方式集中存儲(chǔ)在LDAP目錄服務(wù)數(shù)據(jù)庫(kù)中，通過(guò)可靠的機(jī)制完成兩者間的同步。在LDAP服務(wù)器中，我們使用基于標(biāo)準(zhǔn)的LDAP目錄服務(wù)器進(jìn)行身份信息同步存儲(chǔ)，并利用LDAP的標(biāo)準(zhǔn)協(xié)議接口為其他應(yīng)用系統(tǒng)的身份認(rèn)證提供服務(wù)。在身份管理系統(tǒng)里，可維護(hù)不同用戶的身份屬性信息，同時(shí)也會(huì)針對(duì)目錄服務(wù)器對(duì)其他系統(tǒng)提供的認(rèn)證信息的不同需求，與目錄服務(wù)的屬性字段進(jìn)行擴(kuò)展和映射，實(shí)現(xiàn)身份信息的實(shí)時(shí)同步與一致，從而保證用戶身份數(shù)據(jù)的一致性和完整性。

2.6 身份自助服務(wù)

身份自助服務(wù)主要面向最終用戶，滿足用戶對(duì)自己賬號(hào)信息和密碼信息的管理和維護(hù)需求。提供密碼變更、密碼有效期設(shè)置、密碼到期提前提醒、密碼找回、個(gè)人基本信息修改等個(gè)人自助服務(wù)功能。

3 關(guān)鍵技術(shù)

3.1 LDAP

LDAP（Lightweight Directory Access Protocol，輕量目錄訪問(wèn)協(xié)議）[9]是基于X.500標(biāo)準(zhǔn)的，但是又與X.500不同，既可以根據(jù)需要定制，又簡(jiǎn)化了實(shí)現(xiàn)方法，而且支持TCP/IP。LDAP目錄以樹狀的層次結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù)，每一個(gè)記錄項(xiàng)包括屬性類型和屬性值，只要對(duì)象可以用屬性來(lái)表示，不論數(shù)據(jù)對(duì)象是什么類型，都可以用LDAP存儲(chǔ)，而且可以根據(jù)需要為任何一個(gè)對(duì)象分配多個(gè)對(duì)象類型，不必為加入一些新的數(shù)據(jù)就重新創(chuàng)建表和索引。這種存儲(chǔ)數(shù)據(jù)的方式使數(shù)據(jù)庫(kù)具有很大的靈活性，可以快速響應(yīng)和大容量查詢，并且提供多目錄服務(wù)器的信息復(fù)制功能。它主要面向數(shù)據(jù)的查詢服務(wù)，不提供事務(wù)的回滾機(jī)制，同樣也不提供大量的函數(shù)，LDAP服務(wù)器可以使用簡(jiǎn)單或基于安全證書的安全驗(yàn)證，復(fù)制一部分或者所有的數(shù)據(jù)[10]。

LDAP最大的優(yōu)勢(shì)[11]是可以在任何計(jì)算機(jī)上用LDAP的客戶端程序訪問(wèn)LDAP目錄，而且LDAP的客戶端程序很容易獲得、也很容易定制應(yīng)用程序，同時(shí)數(shù)目可以不斷增加；其缺點(diǎn)是在幾乎所有的LDAP服務(wù)器中，都要根據(jù)自己的需要擴(kuò)展基本的LDAP目錄的功能，創(chuàng)建新的對(duì)象類型或者擴(kuò)展現(xiàn)存的對(duì)象類型。

3.2 RBAC

RBAC（Role-Based Access Control，基于角色的訪問(wèn)控制）[12]將權(quán)限與角色進(jìn)行關(guān)聯(lián)，在用戶需要某種權(quán)限的時(shí)候給該用戶授予這種權(quán)限相關(guān)聯(lián)的角色，具有角色的用戶就可以得到該角色所具有的權(quán)限，這種方式極大地簡(jiǎn)化了權(quán)限的管理。例如對(duì)高校教職工的工作，對(duì)于學(xué)校不同的工作定義不同的角色，學(xué)校教職工根據(jù)自己的工作職責(zé)被指派相應(yīng)的角色，然后使用角色相關(guān)聯(lián)的權(quán)限進(jìn)行工作，一旦教職工的工作有變化，則可以很容易地對(duì)其從一個(gè)角色指派到另一個(gè)角色，這樣就保證了學(xué)校教職工在工作調(diào)動(dòng)等情況變化時(shí)可以很簡(jiǎn)單輕松的調(diào)整工作內(nèi)容。角色與權(quán)限不是固定死的一一對(duì)應(yīng)關(guān)系，而是可依據(jù)新的需求和變化而隨時(shí)改變，即角色與權(quán)限是多對(duì)多的關(guān)系，并且可以任意且自由的組合，這樣就增加了權(quán)限管理的靈活性與便利性。

4 總結(jié)

校園信息化建設(shè)的推進(jìn)導(dǎo)致諸多應(yīng)用系統(tǒng)產(chǎn)生，進(jìn)而產(chǎn)生諸多賬號(hào)和密碼，用戶需要記憶諸多數(shù)據(jù)核心敏感信息，導(dǎo)致不同系統(tǒng)運(yùn)維成本高昂，維護(hù)流程復(fù)雜，成為高水平信息化建設(shè)的瓶頸，為解決這一問(wèn)題，本文在充分考慮學(xué)?，F(xiàn)有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，提出一套建設(shè)統(tǒng)一身份認(rèn)證與權(quán)限管理平臺(tái)的解決思路，設(shè)計(jì)了架構(gòu)組成，并針對(duì)架構(gòu)中的6個(gè)核心要素分解平臺(tái)設(shè)計(jì)方案和流程，最終通過(guò)基于角色的訪問(wèn)控制，采用統(tǒng)一認(rèn)證技術(shù)，減少用戶系統(tǒng)間登錄次數(shù)，滿足校內(nèi)師生實(shí)際需求，為接入的其他各類系統(tǒng)提供權(quán)限管理服務(wù)，對(duì)學(xué)校全局性角色實(shí)現(xiàn)統(tǒng)一管理，局部角色和與業(yè)務(wù)系統(tǒng)關(guān)系密切的角色由業(yè)務(wù)系統(tǒng)在自身管理，全局角色可以在跨業(yè)務(wù)的綜合性平臺(tái)上使用，也可以供各二級(jí)業(yè)務(wù)系統(tǒng)使用。以用戶為中心，方便易用，給師生以良好的用戶體驗(yàn)，靈活、方便的權(quán)限管理模型，為管理服務(wù)人員減輕管理負(fù)擔(dān)。

本文在平臺(tái)設(shè)計(jì)中，從用戶安全性、數(shù)據(jù)安全性、運(yùn)行安全性三個(gè)方面出發(fā)，充分考慮信息資源保護(hù)和隔離，保證用戶的信息安全性以及數(shù)據(jù)和系統(tǒng)運(yùn)行的安全性。在身份認(rèn)證機(jī)制上支持SSL、U-Key、驗(yàn)證碼等；在數(shù)據(jù)安全保障層面提供數(shù)據(jù)的傳輸加密和存儲(chǔ)加密；同時(shí)，平臺(tái)代碼標(biāo)準(zhǔn)和數(shù)據(jù)標(biāo)準(zhǔn)均采用教育部最新頒布的信息標(biāo)準(zhǔn)，符合國(guó)家信息標(biāo)準(zhǔn)和學(xué)校信息標(biāo)準(zhǔn)，使平臺(tái)具有開放性和標(biāo)準(zhǔn)化原則。

[1] 趙華,王海闊,宋金玉.統(tǒng)一身份認(rèn)證在跨區(qū)域信息化企業(yè)中的設(shè)計(jì)[J].計(jì)算機(jī)與現(xiàn)代化，2011，(6):57-59.

[2] 王秋平,趙蘭庚,王新艷.高等院校數(shù)字化校園建設(shè)初探[J].河北工程技術(shù)高等專科學(xué)校學(xué)報(bào)，2013，(2):66-68.

[3] 沈奇力,李林靜,顧俊杰.基于ASP.NET的SSO的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2013,9(33):7463-7466.

[4] 黃秀芳,王海.基于LDAP的高校數(shù)字化校園統(tǒng)一身份認(rèn)證集成實(shí)施方案[J].江蘇科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2015，29(6):580-584.

[5] 夏建兵,廖大強(qiáng).基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)[J].現(xiàn)代計(jì)算機(jī)，2013，(3):77-80.

[6] 邵景峰,厲謙,暢朝霞.RBAC在高校智能排考系統(tǒng)中的應(yīng)用[J].西安工程大學(xué)學(xué)報(bào)，2013，27(5):660-674.

[7] 顧秉鈺,張新軍.數(shù)字化校園建設(shè)中統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)研究[J].甘肅警察職業(yè)學(xué)院學(xué)報(bào)，2014，12(4):75-78.

[8] 戚湧,徐陽(yáng),李千目.一種物聯(lián)網(wǎng)密鑰管理和認(rèn)證方案[J].計(jì)算機(jī)與現(xiàn)代化，2014，(12):91-112.

[9] 王世軼,基于LDAP協(xié)議的單點(diǎn)登錄系統(tǒng)的研究與設(shè)計(jì)[J].煤炭技術(shù)，2012，31(4):212-214.

[10] 唐明靖,陳建兵,吳惠.數(shù)字化校園真正意義的統(tǒng)一身份認(rèn)證的研究與實(shí)現(xiàn) [J].云南大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，35(S2):138-142.

[11] 林健,武兵.LDAP協(xié)議下多模型融合校園認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[J].太原理工大學(xué)學(xué)報(bào)，2013，44(2):169-175.

[12] 辛剛,李勝,陳玉名,張?jiān)i,游大寧,白魯英.基于角色的訪問(wèn)控制模型在山東電網(wǎng)調(diào)度管理系統(tǒng)中的應(yīng)用[J].電氣應(yīng)用，2015，(S2):619-622.

Discussion on Design Scheme of a Unified Identity Authentication and Privilege Management Platform

Wang Ping

(China University of Petroleum (East China), Qingdao 266580, China)

In the process of information construction in schools, in order to solve the multiple account problem that users have to remember different user names and passwords while logging in different systems, this paper proposes one solution by establishing a unified identity authentication and privilege management platform. This platform makes centralized storage and unified management to the user's identity, realizes unified authentication and authorization through the identification and access control, and implements user single sign-on and improves user experience.

Identity authentication; Identity recognition; Access control

1007-757X(2016)12-0054-03

TP393

A

王 平（1979-），女，山東威海人，中國(guó)石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，工程師，研究方向：網(wǎng)絡(luò)信息化、數(shù)據(jù)挖掘，青島，266580

（2016.07.19）