基于數字化校園的一卡通身份驗證子系統的設計

文章出處：http://5052h112.com 作者： 人氣： 發表時間：2011年09月10日

    【摘要】：本文介紹了校園一卡通中的身份驗證子系統，它對校園網中的其他信息服務系統提供安全統一的身份認證和權限管理服務．維護系統中的用戶數據并對其他業務系統提供接口。
    【關鍵詞】： 身份驗證；權限管理；接口

    1．引言

    校園”一卡通”是指基于校園網．采用成熟先進的非接觸式IC卡實現數據采集。集證件管理、檔案管理、考勤管理、餐廳管理、公寓管理、機房管理及其他多種管理服務功能于一體的校園個人數據管理應用平臺。它通過學校的校園網，逐步將各處的電腦聯成一個比較大的數據網．實現全校各類數據的統一性和運行規范性。

    一卡通系統中的身份認證及權限管理子系統為校園網中的其他信息服務系統提供安全、統一的身份認證和權限管理服務。擔負校園網中絕大部分的信息安全保衛工作。該子系統為校園網的瀏覽器用戶提供統一的登錄界面．使用戶在完成身份認證后無須再次登錄就可以接受校園網中其他信息服務系統提供的服務。對于不同等級的安全要求。它也將提供相應的從簡單的密碼保護到數字簽名等不同的安全措施。

    2．體系結構

圖1身份驗證子系統的體系結構

    身份驗證子系統以用戶信息、系統權限為核心。集成各業務系統的認證信息．為客戶提供一個高度集成且統一的認證平臺。如．其結構具有如下特點：

    ． 系統健壯：通過復制與備份機制。確保系統數據安全可靠
    ． 結構靈活：易于擴展
    ． 移動辦公：遠程聯機．支持遠程集中式業務處理
    ． 安全可靠：身份認證和權限控制確保數據安全。

    在身份認證系統中。采用的技術實現手段主要包括LDAP、PKI、SS0、SSL。

    3 功能介紹

    3．1用戶身份數據維護

    用戶身份數據是用戶登錄系統時的身份證明．是身份認證的基礎數據 用戶身份數據的維護直接關系到用戶是否可以登錄系統。其中包括：

    ． 用戶組管理：根據用戶的不同身份及管理政策。劃分不同的用戶組別。進行基于政策的用戶分類管理。當用戶被加入個用戶組時．即該用戶隸屬于該用戶組。該用戶組所具有的權限理所應當地賦予該用戶。
    ． 用戶管理：采用面向對象的技術和概念。將用戶信息分為用戶屬性、Unix帳號、Email帳號、Proxy賬號和撥號帳號五類對象信息。可自動統計不同組別的用戶數目，同時系統根據用戶身份認證提供相應的網絡服務．包括基本服務和擴展服務。
    ． 用戶賬號管理：根據用戶需求。還可以提供其他擴展的網絡服務。如自動通知用戶的聯網時間、用戶的月費用；用戶賬號的自動增加和關閉等。

    3．2組織數據的維護

    組織數據是身份認證的基礎，指學校內部的處室、團體。組織的結構以及組織內部的角色等相應信息都需在身份驗證和權限管理系統中注冊。使用系統時．不同的人員對應不同組織中的角色．他將擁有與此角色相對應的系統操作權限。

    3．3服務權限數據管理

    服務權限數據管理的任務是對數字化校園系統中的其他信息服務系統所提供的服務進行管理。其它的信息服務系統要使用本系統的身份認證和服務權限管理功能．首先必須將其提供的服務在本系統中注冊。服務權限數據管理包括以下兩個內容：

    ． 服務注冊數據管理：當一個新的信息服務系統加入到系統中的時候．其提供的各種需要由身份認證和權限管理系統進行權限確認的服務．必須在本系統進行注冊。這些數據主要包括服務名稱。服務ID號。服務提供者等。
    ． 服務所需權限數據的管理：信息服務系統的某些服務只向特定用戶群提供。其他用戶不能得到這些服務。在本系統中．這樣的用戶群通過用戶擔任的角色來刻畫。只有用戶擔任了相應的角色。并通過相應等級的身份認證后，才可以得到服務。本模塊負責確定一個已注冊的服務向哪些組織的哪些角色提供。功能包括：增加服務的角色對象。刪除服務的角色對象等。

    3,4身份認證

    身份認證模塊是身份認證系統中的核心模塊之一．在接人系統的各信息服務系統前對用戶進行統一的身份確認。根據不同的安全級別的要求。身份認證提供多種不同等級的認證方法。

    3．5權限確認

    權限確認的任務是對用戶接人系統的某個特定信息服務系統時，進行統一的權限確認。在用戶的身份得到確認后。權限確認通過用戶的角色和認證的等級以及他所申請的服務．來確定該用戶是否能夠得到使用這些服務的權限。

    3．6加密通訊

    加密通訊負責信息服務系統的服務器和身份認證及權限控制系統之間的數據通訊。主要用來傳遞關于用戶身份的信息。加密通訊是傳遞用戶身份信息的重要手段．主要采用SSL(Securesoeket Layer1安全套接層協議。使用公開密鑰體制和X．509數字證書技術保護信息傳輸的機密性和完整性．它不能保證信息的不可抵賴性．主要適用于點對點之間的信息傳輸。

    4．統一身份認證與其他業務系統整合

    4．1WEB應用的接口

    ① 為多種WEB服務器提供相應的代理接口。當用戶利用瀏覽器訪問受保護的網絡資源時．由代理首先解釋該請求。首先檢查用戶所訪問的URLs是否屬于不受保護的范圍．如果是．用戶馬上獲得這些資源。如果不是，進行進一步檢查，首先看用戶是否具有合法的數字身份．身份不存在．請求被傳遞給認證服務器進行身份驗證，認證通過后，由該代理將登錄用戶的身份及相關屬性傳遞給相應的應用。
    ②對于尚未提供代理接口的開發平臺．新建的應用系統可以利用統一身份認證的SDK接口標準進行身份驗證和權限管理。

    4．2非WEB應用的接口

    對于非WEB應用。提供兩種統一認證的方式：
    ①非WEB應用可以利用統一身份認證系統提供的SDK接口標準進行身份驗證和權限控制
    ②用戶數據同步的機制。如果原先某應用系統已經采用了自身一套認證體制在運行．那么可以把該系統的用戶身份和用戶的數字化校園身份進行對應．這樣既不需要大面積修改原先系統．也可以進行認證的統一。

    5．小結

    本系統實現對用戶身份數據、組織數據、服務權限數據的維護，并對用戶身份和權限進行確認，數據傳輸實現加密通訊。系統界面友好、操作方便。子系統中的權限管理功能實現用戶使用
應用系統資源和功能的合理分配，這是數字校園的安全特性，同時也是用戶的個性化需求。

    參考文獻：
    1．張鵬．校園網與一卡通對接勢在監行．中國現代教育裝備．2006年第2期．
    2．龠葵，方永勝．基于教字化校園的校園一卡通平臺設計o1．運籌與管理。2006，15(3)：155—159．
    3．王春雁，朱文英．2004—2005年校園卡建設與應用現狀分析(上o1．教育信息化．2005(4)：6—7．
    4．劉虎．校園一卡通系統方案設計Ⅱ．淮陰工學院學報。2006，15(3)：39—42．
    5．蘇文勝。馬千軍．基于教字化校園的校園一卡通構建．武漢理工大學學報，2005。27(1)：99—101．

   【稿件聲明】：如需轉載，必須注明來源和作者，保留文中圖片和內容的完整性，違者將依法追究。