基于數(shù)字化校園的一卡通身份驗證子系統(tǒng)的設(shè)計

文章出處：http://www.xianjuhong.com 作者： 人氣： 發(fā)表時間：2011年09月10日

    【摘要】：本文介紹了校園一卡通中的身份驗證子系統(tǒng)，它對校園網(wǎng)中的其他信息服務(wù)系統(tǒng)提供安全統(tǒng)一的身份認(rèn)證和權(quán)限管理服務(wù)．維護系統(tǒng)中的用戶數(shù)據(jù)并對其他業(yè)務(wù)系統(tǒng)提供接口。
    【關(guān)鍵詞】： 身份驗證；權(quán)限管理；接口

    1．引言

    校園”一卡通”是指基于校園網(wǎng)．采用成熟先進的非接觸式IC卡實現(xiàn)數(shù)據(jù)采集。集證件管理、檔案管理、考勤管理、餐廳管理、公寓管理、機房管理及其他多種管理服務(wù)功能于一體的校園個人數(shù)據(jù)管理應(yīng)用平臺。它通過學(xué)校的校園網(wǎng)，逐步將各處的電腦聯(lián)成一個比較大的數(shù)據(jù)網(wǎng)．實現(xiàn)全校各類數(shù)據(jù)的統(tǒng)一性和運行規(guī)范性。

    一卡通系統(tǒng)中的身份認(rèn)證及權(quán)限管理子系統(tǒng)為校園網(wǎng)中的其他信息服務(wù)系統(tǒng)提供安全、統(tǒng)一的身份認(rèn)證和權(quán)限管理服務(wù)。擔(dān)負(fù)校園網(wǎng)中絕大部分的信息安全保衛(wèi)工作。該子系統(tǒng)為校園網(wǎng)的瀏覽器用戶提供統(tǒng)一的登錄界面．使用戶在完成身份認(rèn)證后無須再次登錄就可以接受校園網(wǎng)中其他信息服務(wù)系統(tǒng)提供的服務(wù)。對于不同等級的安全要求。它也將提供相應(yīng)的從簡單的密碼保護到數(shù)字簽名等不同的安全措施。

    2．體系結(jié)構(gòu)

圖1身份驗證子系統(tǒng)的體系結(jié)構(gòu)

    身份驗證子系統(tǒng)以用戶信息、系統(tǒng)權(quán)限為核心。集成各業(yè)務(wù)系統(tǒng)的認(rèn)證信息．為客戶提供一個高度集成且統(tǒng)一的認(rèn)證平臺。如．其結(jié)構(gòu)具有如下特點：

    ． 系統(tǒng)健壯：通過復(fù)制與備份機制。確保系統(tǒng)數(shù)據(jù)安全可靠
    ． 結(jié)構(gòu)靈活：易于擴展
    ． 移動辦公：遠(yuǎn)程聯(lián)機．支持遠(yuǎn)程集中式業(yè)務(wù)處理
    ． 安全可靠：身份認(rèn)證和權(quán)限控制確保數(shù)據(jù)安全。

    在身份認(rèn)證系統(tǒng)中。采用的技術(shù)實現(xiàn)手段主要包括LDAP、PKI、SS0、SSL。

    3 功能介紹

    3．1用戶身份數(shù)據(jù)維護

    用戶身份數(shù)據(jù)是用戶登錄系統(tǒng)時的身份證明．是身份認(rèn)證的基礎(chǔ)數(shù)據(jù) 用戶身份數(shù)據(jù)的維護直接關(guān)系到用戶是否可以登錄系統(tǒng)。其中包括：

    ． 用戶組管理：根據(jù)用戶的不同身份及管理政策。劃分不同的用戶組別。進行基于政策的用戶分類管理。當(dāng)用戶被加入個用戶組時．即該用戶隸屬于該用戶組。該用戶組所具有的權(quán)限理所應(yīng)當(dāng)?shù)刭x予該用戶。
    ． 用戶管理：采用面向?qū)ο蟮募夹g(shù)和概念。將用戶信息分為用戶屬性、Unix帳號、Email帳號、Proxy賬號和撥號帳號五類對象信息?？勺詣咏y(tǒng)計不同組別的用戶數(shù)目，同時系統(tǒng)根據(jù)用戶身份認(rèn)證提供相應(yīng)的網(wǎng)絡(luò)服務(wù)．包括基本服務(wù)和擴展服務(wù)。
    ． 用戶賬號管理：根據(jù)用戶需求。還可以提供其他擴展的網(wǎng)絡(luò)服務(wù)。如自動通知用戶的聯(lián)網(wǎng)時間、用戶的月費用；用戶賬號的自動增加和關(guān)閉等。

    3．2組織數(shù)據(jù)的維護

    組織數(shù)據(jù)是身份認(rèn)證的基礎(chǔ)，指學(xué)校內(nèi)部的處室、團體。組織的結(jié)構(gòu)以及組織內(nèi)部的角色等相應(yīng)信息都需在身份驗證和權(quán)限管理系統(tǒng)中注冊。使用系統(tǒng)時．不同的人員對應(yīng)不同組織中的角色．他將擁有與此角色相對應(yīng)的系統(tǒng)操作權(quán)限。

    3．3服務(wù)權(quán)限數(shù)據(jù)管理

    服務(wù)權(quán)限數(shù)據(jù)管理的任務(wù)是對數(shù)字化校園系統(tǒng)中的其他信息服務(wù)系統(tǒng)所提供的服務(wù)進行管理。其它的信息服務(wù)系統(tǒng)要使用本系統(tǒng)的身份認(rèn)證和服務(wù)權(quán)限管理功能．首先必須將其提供的服務(wù)在本系統(tǒng)中注冊。服務(wù)權(quán)限數(shù)據(jù)管理包括以下兩個內(nèi)容：

    ． 服務(wù)注冊數(shù)據(jù)管理：當(dāng)一個新的信息服務(wù)系統(tǒng)加入到系統(tǒng)中的時候．其提供的各種需要由身份認(rèn)證和權(quán)限管理系統(tǒng)進行權(quán)限確認(rèn)的服務(wù)．必須在本系統(tǒng)進行注冊。這些數(shù)據(jù)主要包括服務(wù)名稱。服務(wù)ID號。服務(wù)提供者等。
    ． 服務(wù)所需權(quán)限數(shù)據(jù)的管理：信息服務(wù)系統(tǒng)的某些服務(wù)只向特定用戶群提供。其他用戶不能得到這些服務(wù)。在本系統(tǒng)中．這樣的用戶群通過用戶擔(dān)任的角色來刻畫。只有用戶擔(dān)任了相應(yīng)的角色。并通過相應(yīng)等級的身份認(rèn)證后，才可以得到服務(wù)。本模塊負(fù)責(zé)確定一個已注冊的服務(wù)向哪些組織的哪些角色提供。功能包括：增加服務(wù)的角色對象。刪除服務(wù)的角色對象等。

    3,4身份認(rèn)證

    身份認(rèn)證模塊是身份認(rèn)證系統(tǒng)中的核心模塊之一．在接人系統(tǒng)的各信息服務(wù)系統(tǒng)前對用戶進行統(tǒng)一的身份確認(rèn)。根據(jù)不同的安全級別的要求。身份認(rèn)證提供多種不同等級的認(rèn)證方法。

    3．5權(quán)限確認(rèn)

    權(quán)限確認(rèn)的任務(wù)是對用戶接人系統(tǒng)的某個特定信息服務(wù)系統(tǒng)時，進行統(tǒng)一的權(quán)限確認(rèn)。在用戶的身份得到確認(rèn)后。權(quán)限確認(rèn)通過用戶的角色和認(rèn)證的等級以及他所申請的服務(wù)．來確定該用戶是否能夠得到使用這些服務(wù)的權(quán)限。

    3．6加密通訊

    加密通訊負(fù)責(zé)信息服務(wù)系統(tǒng)的服務(wù)器和身份認(rèn)證及權(quán)限控制系統(tǒng)之間的數(shù)據(jù)通訊。主要用來傳遞關(guān)于用戶身份的信息。加密通訊是傳遞用戶身份信息的重要手段．主要采用SSL(Securesoeket Layer1安全套接層協(xié)議。使用公開密鑰體制和X．509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性．它不能保證信息的不可抵賴性．主要適用于點對點之間的信息傳輸。

    4．統(tǒng)一身份認(rèn)證與其他業(yè)務(wù)系統(tǒng)整合

    4．1WEB應(yīng)用的接口

    ① 為多種WEB服務(wù)器提供相應(yīng)的代理接口。當(dāng)用戶利用瀏覽器訪問受保護的網(wǎng)絡(luò)資源時．由代理首先解釋該請求。首先檢查用戶所訪問的URLs是否屬于不受保護的范圍．如果是．用戶馬上獲得這些資源。如果不是，進行進一步檢查，首先看用戶是否具有合法的數(shù)字身份．身份不存在．請求被傳遞給認(rèn)證服務(wù)器進行身份驗證，認(rèn)證通過后，由該代理將登錄用戶的身份及相關(guān)屬性傳遞給相應(yīng)的應(yīng)用。
    ②對于尚未提供代理接口的開發(fā)平臺．新建的應(yīng)用系統(tǒng)可以利用統(tǒng)一身份認(rèn)證的SDK接口標(biāo)準(zhǔn)進行身份驗證和權(quán)限管理。

    4．2非WEB應(yīng)用的接口

    對于非WEB應(yīng)用。提供兩種統(tǒng)一認(rèn)證的方式：
    ①非WEB應(yīng)用可以利用統(tǒng)一身份認(rèn)證系統(tǒng)提供的SDK接口標(biāo)準(zhǔn)進行身份驗證和權(quán)限控制
    ②用戶數(shù)據(jù)同步的機制。如果原先某應(yīng)用系統(tǒng)已經(jīng)采用了自身一套認(rèn)證體制在運行．那么可以把該系統(tǒng)的用戶身份和用戶的數(shù)字化校園身份進行對應(yīng)．這樣既不需要大面積修改原先系統(tǒng)．也可以進行認(rèn)證的統(tǒng)一。

    5．小結(jié)

    本系統(tǒng)實現(xiàn)對用戶身份數(shù)據(jù)、組織數(shù)據(jù)、服務(wù)權(quán)限數(shù)據(jù)的維護，并對用戶身份和權(quán)限進行確認(rèn)，數(shù)據(jù)傳輸實現(xiàn)加密通訊。系統(tǒng)界面友好、操作方便。子系統(tǒng)中的權(quán)限管理功能實現(xiàn)用戶使用
應(yīng)用系統(tǒng)資源和功能的合理分配，這是數(shù)字校園的安全特性，同時也是用戶的個性化需求。

    參考文獻：
    1．張鵬．校園網(wǎng)與一卡通對接勢在監(jiān)行．中國現(xiàn)代教育裝備．2006年第2期．
    2．龠葵，方永勝．基于教字化校園的校園一卡通平臺設(shè)計o1．運籌與管理。2006，15(3)：155—159．
    3．王春雁，朱文英．2004—2005年校園卡建設(shè)與應(yīng)用現(xiàn)狀分析(上o1．教育信息化．2005(4)：6—7．
    4．劉虎．校園一卡通系統(tǒng)方案設(shè)計Ⅱ．淮陰工學(xué)院學(xué)報。2006，15(3)：39—42．
    5．蘇文勝。馬千軍．基于教字化校園的校園一卡通構(gòu)建．武漢理工大學(xué)學(xué)報，2005。27(1)：99—101．

   【稿件聲明】：如需轉(zhuǎn)載，必須注明來源和作者，保留文中圖片和內(nèi)容的完整性，違者將依法追究。