刘剑锋
摘要:该文从高校信息化建设的需求出发,分析为何要建设统一身份认证平台。然后讨论如何才能建设一个符合数字化校园建设和高校未来需求的统一身份认证平台。
关键词:统一身份认证平台;数字化校园;网络安全
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2012)32-7624-02
随着中国高等教育全面走向信息化,数字化校园的概念已经深入人心。而数字化校园的核心任务之一就是要实现统一身份认证。“统一身份认证是为了解决高等院校在权限管理过程中的共性问题,是集中管理高等院校资源访问权限的认证方案,降低高等院校的权限管理及维护成本,具有良好扩充性和安全性的解决方案.”【1】现在越来越多的学校认识到,统一身份证平台是高校信息化发展的一个基础平台,必须尽早建设。
1统一身份认证平台的作用
1.1建设统一身份认证平台的现实需求
目前高校在不同时期,有不同的部门已经建立功能各异的信息系统,如教务系统、人事管理系统、学生管理系统、财务系统等等。这样产生了很多问题:(1)用户经常需要登陆不同系统,记恨多用户名、密码,耗费时间并且不方便。(2)每套系统都要实现自己认证功能耗费软硬件资源,安全也很难得到保证。(3)缺乏长远的规划和统一的技术标准,不利于新的新系统建设。所以建设一个统一的身份认证平台,即用户只要登陆一次,就可以根据自己的权限访问所有的信息系统就成为信息化发展的一个重要方向。
1.2统一身份认证平台的概念
为了保护前期的投资和不影响现有系统的正常使用,需要利用统一的技术架构和标准,把现有的系统和资源进行有效整合,建立一个安全、可靠、统一的身份认证中心。“统一身份认证平台是一个集中的用户认证管理和集成环境!可管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管理。各应用系统只需保留角色和权限控制!用户数据库资源统一保存在认证服务器中,从而简化了应用系统中用户管理模块的建设,使用户在身份认证后无须在此登录就可以接受校园网中其他信息服务系统提供的服务,实现了单点登录和应用漫游。”【2】
1.3统一身份认证平台的建设方向
身份认证平台的核心思想从方便用户使用和保证系统整体安全性角度,基于校园网络实现应用系统用户的集中统一认证。身份认证平台不仅为各个业务系统提供用户登陆的认证服务,还为各个系统自动的同步用户的权限,用户权限在一处改变后,自动在各个业务系统间同步。据以一个例子,有一名学生办理退学手续,不再需要到各个部门排队办理。只需要到学工处完成手续后,学工处的老师将该学生的身份从“在校学生”改变成“毕业”,该同学一些列权限如在教务处的选课权限,在医务室看病的权限,在体育馆健身的权限,在图书馆的借书权限等,也都一并自动从“在校学生”变为“毕业”,相关权限一并变更。
2统一身份认证平台的设计方案
2.1需要实现的功能
“统一身份认证系统需要实现如下功能:全面扩展能力;单点登录、单点管理;各系统
间用户账号整合;高安全性;安全传输;平台独立性;单一入口。”【3】
2.1.1目录服务
目录服务是指将校内的用户,按照一定的层次结构,以树型目录逻辑的方式加以收集和储存,对用户信息进行统一管理。
2.1.2用户身份认证服务
用户身份认证服务允许管理员方便地对各种规模的用户集授权访问或取消访问授权。提供以下功能:
(1)用户名/口令认证,对于通过计算机使用系统的用户,如果该用户是第一次进入或已超时时,系统将自动弹出用户名和口令对话框,用户正确输入用户名和口令后,就可以根据自己的权限访问各个应用系统的应用和数据;
(2)数字证书认证,系统提供开放接口,可以扩展实现和包括CIA在内的多种数据签名的整合,实现根据用户所提供的数字证书识别用户身份,自动完成登录,或根据安全策略再得到用户密码确认后完成登录。
2.2统一身份认证平台设计的关键技术
统一身份认证平台需要为全校师生用户提供唯一的数字身份,并能够为全校各种应用系统提供统一的身份认证服务实现单点登录(SSO)机制,平台采用的关机技术包括:
(1)LDAP技术,实现海量的基于LDAP目录服务器的用户数据存储和管理功能,根据不同学校的规模能够支持1万到10万的用户,并在此规模下能够提供不长于5秒钟的用户检索效率。
(2)SSO技术,高效的支持SSO(单点登录)的高性能身份认证服务,能够支持包括学校选课、选宿舍等应用的高并发访问需求,配合用户可接受的硬件平台,能够在一分钟内支持1000到10000用户的并发认证要求。
(3)认证接口集成技术,基于认证接口的集成技术实现开放的支持不同开发语言、不同应用服务器平台实现的应用系统的认证集成方式,不仅能够支持Java语言实现的管理信息系统的的认证集成,还能够解决基于PHP,ASP,.Net等其他语言开发的管理信息系统的认证集成。
(4)数字认证技术,提供多种模式的安全认证手段,不仅能够支持常规的基于用户名/密码的认证方式,还提供基于CA技术或SmartCard技术认证方式的扩展接口。
2.3统一身份认证平台的设计原则
(1)该平台的用户和权限完全由学校内部自主管理,不受第三方控制;
(2)平台的管理完全基于WEB界面,加密传输,随时随地可进行管理,方便安全;
(3)平台采用LDAP存储数据,数据结构更适合学校应用,认证速度更快;
(4)登陆路径支持Internet、校园网、无线网接入系统;
(5)登陆方式支持用户名/密码登陆,同时提供CA认证和Smartcard认证的接口;
(6)用户不慎遗失密码时,可以自己通过输入详细的个人信息及密码提示答案恢复密码,从而降低了系统管理员的负担;
(7)一个用户可以在不同的系统中有不同的身份,用户权限应该根据用户在不同子系统中的实际身份建立;
(8)平台应该采用双机热备模式,在一台服务出现器宕机等故障,自动由另一台服务器接管业务,不影响整个系统的正常运行;
3总结
构建统一身份认证平台是建设数字化校园的重要方面,关乎到数字化校园能否实现安全可靠、方便快捷、权限清晰的用户管理模式。没有统一身份认证,就没有真正意义的数字化校园。
参考文献:
[1]俞之杭,许飞.“数字化校园”的基础核心——身份认证平台的设计[J].华东交通大学学报,2004(8):99-102.
[2]许枫.为校园网建立一个统一身份认证的平台[J].福建电脑.2005(10):155-156.
[3]刘海龙,苗斌,王妍.建立高校数字化校园统一身份认证平台的构想[J].光盘技术,2009(1):67.