陆晓梅
摘要:针对目前高校中应用的信息系统数量的增多,需要验证用户信息的模块也随之增加。为了简化手续,提高信息共享使用率,减少后期维护成本,将所有的认证模块集中在一个系统中进行,用户通过后即可以使用校园网中的任何信息系统,而无须多次输入用户名和密码,方便了用户的使用。
关键词:系统;统一身份;认证
中图分类号:TP311文献标识码:A文章编号:1009-3044(2012) 02-0314-02
1使用统一身份认证系统的背景
随着科学技术及信息化量的不断提高,应用在各政府机构、企业单位中的信息系统数量也越来越多,这些应用系统在实现的功能、技术、范围等方面都有不同,但它们都需要有一个鉴别使用者身份的数据和信息。但由于各个应用系统的架构均不同,所以,系统的认证工作都是要通过各系统本身的认证模块得以实现。这种认证方式存在着许多不足之处,如:有多个系统就会有多个用户名及密码,容易造成多个用户密码及口令的混乱;另外,在数据信息共享方面也很难得以统一;还有就是各应用系统的信息安全性从总体的角度考虑存在安全隐患;在系统维护方面,会出现重复开发,代价大等等不足的现象。从以上情况来看,各个应用系统需要有一个集中的统一身份认证来解决这些问题。建立了这样的一个统一身份认证后就可以在各应用系统之间建立数据交换,使得应用系统和统一身份认证系统能较好地共享和使用信息资源,真正为各应用系统架起一架桥梁,这样的一种模型就是统一身份认证应用模型。
2统一身份认证系统的功能实现
2.1用户注册
用户注册是每个用户首先要做的一个事情,就是用户在系统当中写入用户的基本的信息资料,这个资料是用户在使用统一身份认证系统中的唯一的凭证,也是进行相关操作的依据,因此非常重要。用户注册功能实际上包括了用户信息存储和用户信息的修改二个功能,用户信息存储就是说新增加的用户将用户的基本的信息资料写入到系统中去,具体的详细过程如下:
首先,用户通过合适的系统定位器进入到系统用户信息注册的界面;新用户在这个界面当中向系统提出用户注册请求;系统接收到用户请求后对这个请求进行处理,在用户注册服务查询系统中对用户注册数据库的信息进行比对,如果用户不存在就将请求的用户注册信息存储到用户注册库当中,如果存在就拒绝用户的请求,并将处理的结果返回用户。
接着,系统首先判断用户提交的输入信息是否合法,也就是数据类型是否正确,如果输入的用户信息合法,那么系统会将用户的输入信息添加到数据库中。如果数据库操作成功,那么系统会将该用户信息添加到轻量访问协议LDAP(Lightweight Directory Ac? cess Protocol)服务器上。如果数据库操作失败,那么直接跳转到错误画面;如果输入的用户信息不合法,那么直接返回到用户注册画面。
2.2账号关联
账号关联中的账号指的是用户在不同应用系统之间已经存在的用户账号,而且这些账号在不同的系统里面所拥有的权限各不相同,账号关联就可以实现统一身份认证系统与各个应用系统之间的账号的对应以及操作权限的服务。在进行完账号关联之后用户在登录系统通过身份认证之后就可以根据用户所在各自系统的权限进行访问和操作。账号关联在统一身份认证系统中的过程如下:
1)用户登录统一身份认证系统向系统发出账号关联的请求,在这个过程中用户在系统中的标识为A,也包括了用户的用户基本信息例如用户的用户名和密码等;
2)统一身份认证系统在接收到用户的请求后,对这个请求进行处理,将用户的信息发给应用系统A,询问这个用户的信息是否存在,如果这个用户不存在,则中止整个过程。
3)应用系统A收到统一身份认证系统发过来的用户信息,进行验证完后就将合法的用户信息返回统一身份认证系统,这样这个用户就可以在统一身份认证系统中进行应用系统A的信息注册,以后就可以访问相应的应用系统的服务。
4)经过上面的步骤完成后,就完成了用户信息在统一身份认证系统的注册。生成证书。
2.3用户认证
用户认证为应用系统提供用户统一身份认证。包括统一身份认证组件模式和统一认证模式。为了实现统一身份认证,必须兼顾系统原有的应用系统和新建的应用系统。我们采用账号关联的方式使原有应用系统的账号信息与认证系统中的账户信息进行相关联,这样做的好处是,用户在使用原有应用系统的账户登录之后,自动关联至相关的系统进行访问,而无需登录第二次。而对于新建的应用系统,它的用户管理部分由认证中心来完成,自身不需要有用户系统。它的统一身份认证可以采用组件模式。在统一身份认证组件模式中,用户可以很方便的使用一个账户信息登录不同的应用系统,但如果要同时使用不同的应用系统,我们仍然需要经常登录系统,为了解决这个问题,我们将组件模式调整为统一认证模式。统一认证模式的特点在于使用了一个全局login ses? sion,它在每一个已经登录的用户中创建,并且生成相应的权限令牌再返回给用户。如图1所示。
图1
3统一身份认证系统的安全性实现
所谓系统的技术安全性就是用技术手段来防止对系统资源的非法使用和对信息资源的非法存取操作,保证系统运行期间的安全性。考虑到系统的数据的重要性以及操作的安全性,本系统采用用户身份的确认和校验以及存取控制来保证数据的安全性。
用户身份的确认和校验:本系统要能识别使用者口令、使用者名称。本系统采用密码登录,每一位合法使用者都有与其使用权限相对应的密码。使用者进入本系统时,只需输入使用者编号和密码即可。如果是合法使用者,立即登录系统主界面;如果第一次口令输入不正确,可以输入第二次,第二次输入不正确还可输入第三次;如果第三次输入仍然不正确,第四次再输入时则弹出警告窗口显示“输入次数过多”,然后退出登录系统。
存取控制:存取控制的基本方法是对用户授权,即授予特定的用户以一定的操作权限。可以在操作系统级上进行相应的级别设定,来确保存取控制的安全。
网络防火墙:随着网络时代的到来,Internet或者Intranet的安全自然成为系统安全考虑的一部分。防火墙的作用是用来防止来自“外部”未经授权的交互式登录。设计精巧的防火墙应该是既可以防止来自外部的非法数据流入网络内部,但又允许内部的用户自由地与外部通信。
当然,除了以上的方法外,为了防止存储介质的非法拷贝、被窃以及信息传输线路的被窃听而造成特别机密的信息(如部分职工的个人信息等)的泄密,在系统中还可以对机要数据采取加密存储和加密传输等安全保密技术措施。数据加密的基本方法是利用密码学原理,把机密而敏感的明码信息和数据加以转换,使得信息窃取者无法认识或理解其意思。
所谓系统的可靠性是指在满足一定条件的应用环境中系统能够正常工作的能力。提高系统可靠性的主要途径是使系统具有容错能力,能在系统产生错误、发生故障的情况下,仍然具有继续运行的能力。由于对可靠性的需求,本系统采用了系统重新组合技术:RAID-5技术,保证系统硬件的可靠。RAID-5不是把所有的校验块集中保存在一个专门的校验盘中,而是分散到所有的数据盘中。RAID-5使用了一种特殊的算法,可以计算出任何一个带区校验块的存放位置。例如,在一个由4块硬盘构成的RAID-5系统中,3块硬盘将被用来保存数据,第4块硬盘则专门用于校验。这种配置方式可以用3+1的形式表示。同时采用每周按时备份数据文件的方法,以保证系统数据的可靠。在发生数据因各种原因丢失后,可以及时的恢复。用户可以选择在任一台机器上安装此数据库备份工具,以实现对巡检数据的备份操作。本数据备份工具可分为自动备份与手动备份。自动备份会根据用户制定的备份计划与周期定时备份巡检数据到特定的文件目录中。手动备份则会在人为操作下立即备份当时的巡检数据到指定文件中。当然,当巡检数据丢失时,用户可选择指定的文件进行数据恢复。
参考文献:
[1]李金库,张德运.张勇.身份认证机制及其安全性分析[J] .计算机应用研究,2001,18(2):126-128.
[2]叶锡钧,吴国新.一次口令认证技术的分析与改进[J] .计算机工程,2000(9):56-59.
[3]李鑫晶.关于网络安全身份认证技术的探讨[J] .科技进步与对策,2002(8):158-161.