1、校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)摘要隨著高校信息化建設(shè)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，很多高校在不同階段開發(fā)出了許多應(yīng)用系統(tǒng)，這些系統(tǒng)可能是跨平臺(tái)跨域的，都有其獨(dú)立的安全驗(yàn)證機(jī)制。用戶使用的應(yīng)用系統(tǒng)越多，所她須記彳i的用戶ID和用戶密碼就越多；客戶出錯(cuò)、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，對網(wǎng)絡(luò)用戶實(shí)行統(tǒng)一的管理、認(rèn)證和授權(quán)是校園網(wǎng)建設(shè)中的一個(gè)重要步驟。從LDAP協(xié)議出發(fā)，描述了典型的校園網(wǎng)絡(luò)中如何實(shí)現(xiàn)多系統(tǒng)之間的統(tǒng)一身份認(rèn)證。關(guān)鍵詞：LDAP;目錄服務(wù)；單點(diǎn)登錄機(jī)制；統(tǒng)一身份認(rèn)證前言隨著信息技術(shù)的不斷發(fā)展，學(xué)校信息化建設(shè)的不斷推廣和深入，數(shù)字化校園已成為建

2、設(shè)現(xiàn)代化高校的建設(shè)目標(biāo)之一，基于校園網(wǎng)的應(yīng)用系統(tǒng)也會(huì)越來越多，如網(wǎng)絡(luò)課堂、數(shù)字化圖書館、網(wǎng)絡(luò)視頻會(huì)議、一卡通系統(tǒng)等。另外，網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)帶寬需求、聯(lián)網(wǎng)主機(jī)數(shù)量的急劇增大，都對數(shù)字化校園的管理提出了挑戰(zhàn)。而不管哪種應(yīng)用系統(tǒng)，都需要對用戶的身份進(jìn)行識(shí)別認(rèn)證，同時(shí)對不同的身份所擁有的操作權(quán)限進(jìn)行授權(quán)。用戶使用的應(yīng)用系統(tǒng)越多，所必須記住的用戶ID和用戶密碼就越多，客戶出錯(cuò)、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，對網(wǎng)絡(luò)用戶實(shí)行統(tǒng)一的管理、認(rèn)證和授權(quán)是校園網(wǎng)建設(shè)中的一個(gè)重要內(nèi)容。第1章LDAP目錄服務(wù)和統(tǒng)一身份認(rèn)證系統(tǒng)目前主流的統(tǒng)一身份認(rèn)證方案中，都使用了目錄服務(wù)技

3、術(shù)。隨著輕量級目錄訪問協(xié)議(LightDirectoryAccessProtocol,LDAP)技術(shù)的興起和應(yīng)用領(lǐng)域的不斷擴(kuò)展，目錄服務(wù)技術(shù)成為許多新型技術(shù)實(shí)現(xiàn)信息存儲(chǔ)、管理和查詢的首選方案，特別是在網(wǎng)絡(luò)資源查找、用戶訪問控制與認(rèn)證信息的查詢、新型網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全、商務(wù)網(wǎng)的通用數(shù)據(jù)庫服務(wù)和安全服務(wù)等方面，都需要應(yīng)用目錄服務(wù)技術(shù)來實(shí)現(xiàn)一個(gè)通用、完善、應(yīng)用簡單和可以擴(kuò)展的系統(tǒng)。根據(jù)美國著名的網(wǎng)絡(luò)顧問公司BurtonGroup的說法：”目錄服務(wù)是由系統(tǒng)安全架構(gòu)、應(yīng)用程序與其他網(wǎng)絡(luò)服務(wù)所構(gòu)成的分布式計(jì)算環(huán)境的中心點(diǎn)，也是大型分布式運(yùn)算環(huán)境中的最重要的元件，而它的實(shí)現(xiàn)會(huì)為我們所熟知的網(wǎng)絡(luò)運(yùn)算模式帶來根

4、本的改變”。LDAP最大的優(yōu)勢是：它是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為LDAP目錄放在什么樣的服務(wù)器上操心了。它可以應(yīng)用在任何計(jì)算機(jī)平臺(tái)上，很容易獲得,而且它也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。其次，它有優(yōu)秀的檢索性能，LDAP在處理大量用戶并發(fā)檢索訪問問題上優(yōu)勢明顯，具有比關(guān)系數(shù)據(jù)庫系統(tǒng)更快的響應(yīng)速度。第三，它有完善的安全機(jī)制，LDAP通過訪問控制列表ACL設(shè)置對目錄數(shù)據(jù)的讀和寫的權(quán)限，通過支持基于SSL(SecureSocketLayer)的安全機(jī)制完成對明文加密，能提供更安全的保障。第四，同步復(fù)制功能，分布在不同地域的兩臺(tái)目錄服務(wù)器通過使用“推”、“拉”技術(shù)，使服務(wù)器保

5、持?jǐn)?shù)據(jù)的同步和一致啦。由于LDAP卓越的檢索性能和跨平臺(tái)支持的特性正符合統(tǒng)一認(rèn)證系統(tǒng)中大量用戶口令的存儲(chǔ)和管理的要求，因此，在統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)中，目錄服務(wù)數(shù)據(jù)庫是整個(gè)統(tǒng)一認(rèn)證系統(tǒng)的基礎(chǔ)。采用標(biāo)準(zhǔn)的LDAP目錄服務(wù)數(shù)據(jù)庫，通過LDAP目錄服務(wù)將用戶和應(yīng)用系統(tǒng)的信息以層次結(jié)構(gòu)、面向?qū)ο蟮臄?shù)據(jù)庫的方式加以集中和管理，保證了數(shù)據(jù)的一致性和完整性，為各類應(yīng)用系統(tǒng)提供用戶信息的共享和使用。第2章校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)在建立基于LDAP統(tǒng)一身份認(rèn)證系統(tǒng)的過程中，既要方便新建立的系統(tǒng)使用統(tǒng)一身份認(rèn)證子系統(tǒng)，又要照顧原來建立的老系統(tǒng)，使原有系統(tǒng)做盡可能小的變動(dòng)就可以使用統(tǒng)一身份認(rèn)證子系統(tǒng)，最大限度實(shí)現(xiàn)數(shù)

6、據(jù)整合。統(tǒng)一認(rèn)證系統(tǒng)設(shè)計(jì)的核心思想是用目錄服務(wù)數(shù)據(jù)庫集中存儲(chǔ)用戶的信息和各個(gè)應(yīng)用系統(tǒng)的信息，實(shí)現(xiàn)對用戶的集中管理、統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)，以及實(shí)現(xiàn)對應(yīng)用系統(tǒng)的訪問控制。統(tǒng)一身份認(rèn)證系統(tǒng)的體系結(jié)構(gòu)如圖l所示。統(tǒng)一認(rèn)證系統(tǒng)首先從根本上不再使用簡單的基于用戶名和密碼的身份認(rèn)證機(jī)制，而是采用結(jié)合了密碼學(xué)技術(shù)的新的身份認(rèn)證機(jī)制。新的身份認(rèn)證機(jī)制可以大大提高系統(tǒng)的安全性，同時(shí)也可以保證用戶的電子身份標(biāo)識(shí)能安全、高效地在網(wǎng)絡(luò)中傳輸。其次，統(tǒng)一認(rèn)證系統(tǒng)把原來分散的用戶管理集中了起來，各個(gè)系統(tǒng)之間依靠相互信賴的關(guān)系來進(jìn)行用戶身份的自動(dòng)認(rèn)證。用戶的帳號(hào)信息是集中保存和管理的，管理員只需要在統(tǒng)一的用戶信息數(shù)據(jù)庫中添加或

7、刪除用戶帳號(hào)，不必在多個(gè)系統(tǒng)中分別設(shè)置用戶信息數(shù)據(jù)庫。通過分析系統(tǒng)的體系結(jié)構(gòu)，該系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)了用戶的集中管理、獨(dú)立應(yīng)用系統(tǒng)的集成、統(tǒng)一授權(quán)和單點(diǎn)登錄。下面對該系統(tǒng)所具有的一些特點(diǎn)進(jìn)行分析：1）支持Web方式認(rèn)證，提供單點(diǎn)登錄服務(wù)功能。本系統(tǒng)提供了一個(gè)與其他系統(tǒng)相融合的框架，將各自獨(dú)立開發(fā)的應(yīng)用系統(tǒng)通過應(yīng)用系統(tǒng)注冊通用接口集成起來，方便獨(dú)立系統(tǒng)用戶與認(rèn)證系統(tǒng)用戶映射。2）提供基于LDAP開放標(biāo)準(zhǔn)的統(tǒng)一用戶管理功能，并具有將多種異構(gòu)數(shù)據(jù)源整合到目錄的功能，易于系統(tǒng)維護(hù)和降低管理成本。這種方案結(jié)合基于角色的訪問控制，實(shí)現(xiàn)了用戶與系統(tǒng)的分離，保證了服務(wù)器的安全。3）支持基于改進(jìn)Kerberos認(rèn)證機(jī)

8、制。加強(qiáng)應(yīng)用安全。放棄Kerberos協(xié)議采用的加密算法AES,采用基于橢圓曲線上離散對數(shù)計(jì)算問題的ECC算法，改進(jìn)了原Kerberos協(xié)議p。1存在的部分缺陷，使系統(tǒng)運(yùn)行更加安全。改進(jìn)的Kerberos協(xié)議保密強(qiáng)度更高，密鑰產(chǎn)生、分配和管理更加方便，能夠防止口令猜測攻擊和重放攻擊，驗(yàn)證過程更安全、真實(shí)和更可靠。由于新的驗(yàn)證協(xié)議不再需要用戶輸入登錄應(yīng)用系統(tǒng)的口令，可實(shí)現(xiàn)多業(yè)務(wù)模式下的單點(diǎn)登錄。第3章LDAP協(xié)議與數(shù)據(jù)模型分析3.1目錄數(shù)據(jù)選擇設(shè)計(jì)目錄中存儲(chǔ)的數(shù)據(jù)是目錄信息庫設(shè)計(jì)中最重要的一步，也是最耗費(fèi)時(shí)間的一項(xiàng)工作。目錄數(shù)據(jù)的選擇耍遵循以下的一些原則：1）要根據(jù)目錄服務(wù)種類收集所需的數(shù)據(jù)確定

9、有哪些基于目錄的應(yīng)用程序及它們所需要的數(shù)據(jù)。例如，本系統(tǒng)要提供查詢服務(wù)，就需要查詢服務(wù)確定學(xué)生、老師、部門組織等的具體信息。2）選擇合適的數(shù)據(jù)目錄的特性決定了其中的數(shù)據(jù)類型一一結(jié)構(gòu)化、被掰讀”的頻率高、具有訪問的普遍性，即不止一個(gè)應(yīng)用程序需要訪問的數(shù)據(jù)。3）調(diào)查數(shù)據(jù)的來源、所有者，對已存在的數(shù)據(jù)確定將其導(dǎo)入目錄的策略。3.2目錄模式分析模式設(shè)計(jì)是將我們所選擇的數(shù)據(jù)結(jié)構(gòu)化的一個(gè)步驟。模式定義了各種屬性類型和對象類型。當(dāng)客戶端程序訪問目錄時(shí)，服務(wù)器以此決定目錄中的條目是否滿足某查詢條件或添加的條目是否符合類型定義。目錄服務(wù)器的缺省模式中定義了豐富的類型，如RFC2798定義了一個(gè)名為InetOrg

10、Person的LDAP對象類以及一組該對象類可用的屬性。這些屬性都是目錄服務(wù)中經(jīng)常要用到的一個(gè)人的常用信息，如：Users,Password。針對辦公自動(dòng)化系統(tǒng)的實(shí)際應(yīng)用，InetOrgPerson對象類中已有的屬性所能表示的信息是不夠的，很多屬性以及各種服務(wù)之間的關(guān)系（如用戶拖欠上網(wǎng)費(fèi)用，可以暫停向其提供閱覽圖書館電子圖書的服務(wù)，但是又不能影響該用戶瀏覽校內(nèi)公文）很難直接用標(biāo)準(zhǔn)模式中定義的屬性來表示。為此我們也可根據(jù)實(shí)際的需要自己定義一些類型，自定義模式不僅能夠恰當(dāng)?shù)拿枋鱿到y(tǒng)的需求，而具有很好的可擴(kuò)展性，當(dāng)需要一個(gè)新的屬性或?qū)ο髸r(shí)，只要在模式文件中定義相應(yīng)的屬性類型和對象類就行了。但要確保模

11、式在目錄中的一致性，不能同樣類型的數(shù)據(jù)有多種類型定義。3.3目錄信息樹分析目錄信息樹的根（RoOT）是一個(gè)虛根，并沒有實(shí)際意義。樹中的任意一個(gè)節(jié)點(diǎn)都是目錄信息樹的一個(gè)入口，每一個(gè)節(jié)點(diǎn)旁的標(biāo)注指明了該入口的一個(gè)或多個(gè)屬性值，構(gòu)成了該入口的相關(guān)辨識(shí)名（簡稱RDN）,把該入口與其它同級入口區(qū)別開來，從特定入口到根的直接下級入口的相關(guān)辨識(shí)名序列形成了該特定入口的辨識(shí)名（簡稱DN）,可以在整個(gè)樹中標(biāo)識(shí)該入口。如圖2所示。目錄信息樹的結(jié)構(gòu)是根據(jù)一定的結(jié)構(gòu)確定的。可以按地理位置來進(jìn)行分支設(shè)計(jì)，也可以按邏輯組織來劃分。在設(shè)計(jì)目錄信息樹結(jié)構(gòu)時(shí)最重要的一條原則就是保持“平”結(jié)構(gòu)，即目錄樹的層次盡量少。因?yàn)槲覀冊O(shè)計(jì)

12、目錄信息樹的宗旨之一就是當(dāng)改變信息樹中的某個(gè)信息時(shí)，盡量減少對其他部分的影響。目錄信息樹的層次越少，對應(yīng)的各條目的DN越短，受其它信息變化的影響就越小。而且用戶的管理員在使用時(shí)更為方便。同時(shí)，對于物理位置獨(dú)立或具有單獨(dú)的管理權(quán)限的部分在結(jié)構(gòu)設(shè)計(jì)時(shí)盡量為獨(dú)立的一部分。例如，Uid-tansl,OU=person,Oufdgut,O-edu,Cmcn。LDAP目錄樹的“根”或頂部是基本DN。基本DN通常有兩種形式：從組織的屬性派生的（例如，C=cn,o=edu）,或者從組織的DNS域組件派生的DN（例如，DC-cn,DC-edu）。樹根下有三類信息；1）People:存儲(chǔ)用戶和帳號(hào)信息，分為三類角

13、色：Teachers,Students和Others,每一類角色可以根據(jù)需要進(jìn)一步細(xì)化。2)Application:應(yīng)用系統(tǒng)的信息，如Mail、人事、教務(wù)、OA系統(tǒng)等3)Services:需要發(fā)布為Web服務(wù)的應(yīng)用。第4章統(tǒng)一身份認(rèn)證在校園網(wǎng)的應(yīng)用為實(shí)現(xiàn)校園網(wǎng)用戶身份的統(tǒng)一認(rèn)證，本系統(tǒng)開發(fā)選用SUNONEDirectoryServer5.2forLinux。它是一個(gè)開放源代碼項(xiàng)目，實(shí)現(xiàn)了對LDAPv3的支持，支持SSL連接，支持密碼認(rèn)證、Kerberos和SASL身份認(rèn)證機(jī)制，支持ACL訪問控制，支持多種后臺(tái)數(shù)據(jù)庫。開發(fā)環(huán)境為SunONESmdio5.2。采用B/S結(jié)構(gòu)，使用JDKl.5的開發(fā)環(huán)境，對用戶管理系統(tǒng)進(jìn)行開發(fā)，SUNONEDirectoryServer5.2作為身份存儲(chǔ)庫，用Syb00e10forSolaris作為輔助數(shù)據(jù)庫，用JOSSO作模型，開發(fā)單點(diǎn)登錄系統(tǒng)。如圖3所示3爸川建一方也認(rèn)狂幕揍M疑地?fù)浣y(tǒng)一的認(rèn)證系統(tǒng)并非意味著只存在單個(gè)的認(rèn)證服務(wù)器，整個(gè)系統(tǒng)可以擁有兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間只要通過標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級別的單點(diǎn)登錄。如圖4所示，當(dāng)用戶在訪問應(yīng)用系統(tǒng)l時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)