1、校園網統一身份認證系統的設計與實現摘要隨著高校信息化建設和互聯網技術的不斷發展，很多高校在不同階段開發出了許多應用系統，這些系統可能是跨平臺跨域的，都有其獨立的安全驗證機制。用戶使用的應用系統越多，所她須記彳i的用戶ID和用戶密碼就越多；客戶出錯、泄露密碼等直接威脅到系統安全的可能性也就越大。因此，建立一個統一身份認證系統，對網絡用戶實行統一的管理、認證和授權是校園網建設中的一個重要步驟。從LDAP協議出發，描述了典型的校園網絡中如何實現多系統之間的統一身份認證。關鍵詞：LDAP;目錄服務；單點登錄機制；統一身份認證前言隨著信息技術的不斷發展，學校信息化建設的不斷推廣和深入，數字化校園已成為建

2、設現代化高校的建設目標之一，基于校園網的應用系統也會越來越多，如網絡課堂、數字化圖書館、網絡視頻會議、一卡通系統等。另外，網絡用戶、網絡帶寬需求、聯網主機數量的急劇增大，都對數字化校園的管理提出了挑戰。而不管哪種應用系統，都需要對用戶的身份進行識別認證，同時對不同的身份所擁有的操作權限進行授權。用戶使用的應用系統越多，所必須記住的用戶ID和用戶密碼就越多，客戶出錯、泄露密碼等直接威脅到系統安全的可能性也就越大。因此，建立一個統一身份認證系統，對網絡用戶實行統一的管理、認證和授權是校園網建設中的一個重要內容。第1章LDAP目錄服務和統一身份認證系統目前主流的統一身份認證方案中，都使用了目錄服務技

3、術。隨著輕量級目錄訪問協議(LightDirectoryAccessProtocol,LDAP)技術的興起和應用領域的不斷擴展，目錄服務技術成為許多新型技術實現信息存儲、管理和查詢的首選方案，特別是在網絡資源查找、用戶訪問控制與認證信息的查詢、新型網絡服務、網絡安全、商務網的通用數據庫服務和安全服務等方面，都需要應用目錄服務技術來實現一個通用、完善、應用簡單和可以擴展的系統。根據美國著名的網絡顧問公司BurtonGroup的說法：”目錄服務是由系統安全架構、應用程序與其他網絡服務所構成的分布式計算環境的中心點，也是大型分布式運算環境中的最重要的元件，而它的實現會為我們所熟知的網絡運算模式帶來根

4、本的改變”。LDAP最大的優勢是：它是跨平臺的和標準的協議，因此應用程序就不用為LDAP目錄放在什么樣的服務器上操心了。它可以應用在任何計算機平臺上，很容易獲得,而且它也很容易定制應用程序為它加上LDAP的支持。其次，它有優秀的檢索性能，LDAP在處理大量用戶并發檢索訪問問題上優勢明顯，具有比關系數據庫系統更快的響應速度。第三，它有完善的安全機制，LDAP通過訪問控制列表ACL設置對目錄數據的讀和寫的權限，通過支持基于SSL(SecureSocketLayer)的安全機制完成對明文加密，能提供更安全的保障。第四，同步復制功能，分布在不同地域的兩臺目錄服務器通過使用“推”、“拉”技術，使服務器保

5、持數據的同步和一致啦。由于LDAP卓越的檢索性能和跨平臺支持的特性正符合統一認證系統中大量用戶口令的存儲和管理的要求，因此，在統一認證系統的設計中，目錄服務數據庫是整個統一認證系統的基礎。采用標準的LDAP目錄服務數據庫，通過LDAP目錄服務將用戶和應用系統的信息以層次結構、面向對象的數據庫的方式加以集中和管理，保證了數據的一致性和完整性，為各類應用系統提供用戶信息的共享和使用。第2章校園網統一身份認證系統的設計在建立基于LDAP統一身份認證系統的過程中，既要方便新建立的系統使用統一身份認證子系統，又要照顧原來建立的老系統，使原有系統做盡可能小的變動就可以使用統一身份認證子系統，最大限度實現數

6、據整合。統一認證系統設計的核心思想是用目錄服務數據庫集中存儲用戶的信息和各個應用系統的信息，實現對用戶的集中管理、統一認證和統一授權，以及實現對應用系統的訪問控制。統一身份認證系統的體系結構如圖l所示。統一認證系統首先從根本上不再使用簡單的基于用戶名和密碼的身份認證機制，而是采用結合了密碼學技術的新的身份認證機制。新的身份認證機制可以大大提高系統的安全性，同時也可以保證用戶的電子身份標識能安全、高效地在網絡中傳輸。其次，統一認證系統把原來分散的用戶管理集中了起來，各個系統之間依靠相互信賴的關系來進行用戶身份的自動認證。用戶的帳號信息是集中保存和管理的，管理員只需要在統一的用戶信息數據庫中添加或

7、刪除用戶帳號，不必在多個系統中分別設置用戶信息數據庫。通過分析系統的體系結構，該系統的設計實現了用戶的集中管理、獨立應用系統的集成、統一授權和單點登錄。下面對該系統所具有的一些特點進行分析：1）支持Web方式認證，提供單點登錄服務功能。本系統提供了一個與其他系統相融合的框架，將各自獨立開發的應用系統通過應用系統注冊通用接口集成起來，方便獨立系統用戶與認證系統用戶映射。2）提供基于LDAP開放標準的統一用戶管理功能，并具有將多種異構數據源整合到目錄的功能，易于系統維護和降低管理成本。這種方案結合基于角色的訪問控制，實現了用戶與系統的分離，保證了服務器的安全。3）支持基于改進Kerberos認證機

8、制。加強應用安全。放棄Kerberos協議采用的加密算法AES,采用基于橢圓曲線上離散對數計算問題的ECC算法，改進了原Kerberos協議p。1存在的部分缺陷，使系統運行更加安全。改進的Kerberos協議保密強度更高，密鑰產生、分配和管理更加方便，能夠防止口令猜測攻擊和重放攻擊，驗證過程更安全、真實和更可靠。由于新的驗證協議不再需要用戶輸入登錄應用系統的口令，可實現多業務模式下的單點登錄。第3章LDAP協議與數據模型分析3.1目錄數據選擇設計目錄中存儲的數據是目錄信息庫設計中最重要的一步，也是最耗費時間的一項工作。目錄數據的選擇耍遵循以下的一些原則：1）要根據目錄服務種類收集所需的數據確定

9、有哪些基于目錄的應用程序及它們所需要的數據。例如，本系統要提供查詢服務，就需要查詢服務確定學生、老師、部門組織等的具體信息。2）選擇合適的數據目錄的特性決定了其中的數據類型一一結構化、被掰讀”的頻率高、具有訪問的普遍性，即不止一個應用程序需要訪問的數據。3）調查數據的來源、所有者，對已存在的數據確定將其導入目錄的策略。3.2目錄模式分析模式設計是將我們所選擇的數據結構化的一個步驟。模式定義了各種屬性類型和對象類型。當客戶端程序訪問目錄時，服務器以此決定目錄中的條目是否滿足某查詢條件或添加的條目是否符合類型定義。目錄服務器的缺省模式中定義了豐富的類型，如RFC2798定義了一個名為InetOrg

10、Person的LDAP對象類以及一組該對象類可用的屬性。這些屬性都是目錄服務中經常要用到的一個人的常用信息，如：Users,Password。針對辦公自動化系統的實際應用，InetOrgPerson對象類中已有的屬性所能表示的信息是不夠的，很多屬性以及各種服務之間的關系（如用戶拖欠上網費用，可以暫停向其提供閱覽圖書館電子圖書的服務，但是又不能影響該用戶瀏覽校內公文）很難直接用標準模式中定義的屬性來表示。為此我們也可根據實際的需要自己定義一些類型，自定義模式不僅能夠恰當的描述系統的需求，而具有很好的可擴展性，當需要一個新的屬性或對象時，只要在模式文件中定義相應的屬性類型和對象類就行了。但要確保模

11、式在目錄中的一致性，不能同樣類型的數據有多種類型定義。3.3目錄信息樹分析目錄信息樹的根（RoOT）是一個虛根，并沒有實際意義。樹中的任意一個節點都是目錄信息樹的一個入口，每一個節點旁的標注指明了該入口的一個或多個屬性值，構成了該入口的相關辨識名（簡稱RDN）,把該入口與其它同級入口區別開來，從特定入口到根的直接下級入口的相關辨識名序列形成了該特定入口的辨識名（簡稱DN）,可以在整個樹中標識該入口。如圖2所示。目錄信息樹的結構是根據一定的結構確定的。可以按地理位置來進行分支設計，也可以按邏輯組織來劃分。在設計目錄信息樹結構時最重要的一條原則就是保持“平”結構，即目錄樹的層次盡量少。因為我們設計

12、目錄信息樹的宗旨之一就是當改變信息樹中的某個信息時，盡量減少對其他部分的影響。目錄信息樹的層次越少，對應的各條目的DN越短，受其它信息變化的影響就越小。而且用戶的管理員在使用時更為方便。同時，對于物理位置獨立或具有單獨的管理權限的部分在結構設計時盡量為獨立的一部分。例如，Uid-tansl,OU=person,Oufdgut,O-edu,Cmcn。LDAP目錄樹的“根”或頂部是基本DN。基本DN通常有兩種形式：從組織的屬性派生的（例如，C=cn,o=edu）,或者從組織的DNS域組件派生的DN（例如，DC-cn,DC-edu）。樹根下有三類信息；1）People:存儲用戶和帳號信息，分為三類角

13、色：Teachers,Students和Others,每一類角色可以根據需要進一步細化。2)Application:應用系統的信息，如Mail、人事、教務、OA系統等3)Services:需要發布為Web服務的應用。第4章統一身份認證在校園網的應用為實現校園網用戶身份的統一認證，本系統開發選用SUNONEDirectoryServer5.2forLinux。它是一個開放源代碼項目，實現了對LDAPv3的支持，支持SSL連接，支持密碼認證、Kerberos和SASL身份認證機制，支持ACL訪問控制，支持多種后臺數據庫。開發環境為SunONESmdio5.2。采用B/S結構，使用JDKl.5的開發環境，對用戶管理系統進行開發，SUNONEDirectoryServer5.2作為身份存儲庫，用Syb00e10forSolaris作為輔助數據庫，用JOSSO作模型，開發單點登錄系統。如圖3所示3爸川建一方也認狂幕揍M疑地撲統一的認證系統并非意味著只存在單個的認證服務器，整個系統可以擁有兩個以上的認證服務器，這些服務器甚至可以是不同的產品。認證服務器之間只要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。如圖4所示，當用戶在訪問應用系統l時，由第一個認證服務器進行認證后，得到由此服務器產生的ticket。當