胡曉曄

（寶雞文理學(xué)院 教學(xué)設(shè)備與實驗室管理處，寶雞721013）

身份認(rèn)證就是判斷一個網(wǎng)絡(luò)用戶是否是合法用戶的過程．而統(tǒng)一身份認(rèn)證的定義是指在擁有多個應(yīng)用系統(tǒng)的局域網(wǎng)內(nèi)，給合法用戶一個統(tǒng)一標(biāo)準(zhǔn)的電子身份判斷方法，以使用戶可以通過合法的電子身份訪問網(wǎng)絡(luò)．統(tǒng)一身份認(rèn)證最終的目標(biāo)就是實現(xiàn)“一次登陸，全網(wǎng)漫游”．

隨著高校信息化的不斷推進(jìn)，信息系統(tǒng)已經(jīng)滲透到高校的管理運營的各個領(lǐng)域，包括OA，電子郵件，教務(wù)系統(tǒng)，一卡通業(yè)務(wù)等，能實現(xiàn)統(tǒng)一身份認(rèn)證的單點登陸解決方案就顯得尤為重要［1］．校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)的需求就日益強烈．實現(xiàn)統(tǒng)一身份認(rèn)證的好處有：員工簡化操作，提高操作的安全性，提高效率，降低勞動成本．我們迫切需要一個全面的、安全性高的、易于管理的、并具有優(yōu)秀的可移植性和伸縮性的校園網(wǎng)絡(luò)用戶統(tǒng)一身份認(rèn)證管理系統(tǒng)［2］．最早提出的獨立認(rèn)證系統(tǒng)在應(yīng)用系統(tǒng)少的情況下還可以勝任，但是目前應(yīng)用系統(tǒng)越來越多的情況下，它的缺點就越來越明顯：無法統(tǒng)一認(rèn)證和授權(quán)策略；維護(hù)成本高；用戶使用不便；無法統(tǒng)一分析用戶行為．其次是基于目錄服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng)，它雖然也能實現(xiàn)統(tǒng)一身份認(rèn)證，但是傳統(tǒng)的目錄服務(wù)器基本都是C／S架構(gòu)，使用時需要每次輸入用戶名密碼，安全性較差；而且很難與不同平臺的應(yīng)用系統(tǒng)整合，系統(tǒng)的兼容性和耦合性較差．第三是應(yīng)用廣泛的基于Web應(yīng)用的統(tǒng)一認(rèn)證服務(wù)，比如．NET Passport和Liberty等．他們的主要對象是在網(wǎng)上進(jìn)行商務(wù)活動和喜歡上網(wǎng)的個人用戶，對于校園這種特定的環(huán)境并不是很適用．首先高校中的很多應(yīng)用系統(tǒng)都不是Web架構(gòu)的，而是C／S架構(gòu)的，所以這些應(yīng)用系統(tǒng)很難加入到統(tǒng)一的認(rèn)證服務(wù)系統(tǒng)中．

因此，文中提出了一種基于LDAP協(xié)議和Web服務(wù)體系結(jié)構(gòu)相結(jié)合的統(tǒng)一身份認(rèn)證系統(tǒng)，它能夠整合校園網(wǎng)內(nèi)所有的應(yīng)用系統(tǒng)，使他們能很好的和統(tǒng)一身份認(rèn)證系統(tǒng)對接，實現(xiàn)用戶的單點登陸．

1 統(tǒng)一身份認(rèn)證

輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）與 X．500不同的不同之處在于LDAP支持TCP／IP，并且可以根據(jù)需要來定制，類似于電話簿、地址簿和文件系統(tǒng)［3］．LDAP協(xié)議是基于Internet標(biāo)準(zhǔn)建立的，它是一個跨平臺的標(biāo)準(zhǔn)協(xié)議．LDAP協(xié)議采用的是客戶機(jī)／服務(wù)器模型．客戶機(jī)和服務(wù)器之間通過TCP／IP協(xié)議來完成發(fā)送請求和響應(yīng)的過程．

信息模型、命名模型、功能模型和安全模型是LDAP的四種模型．信息模型描述LDAP的信息表達(dá)方式；命名模型描述如何在組織的命名模型數(shù)據(jù)和定位的條目；功能模型：LDAP中對數(shù)據(jù)操作訪問的描述主要有查詢類操作，更新類操作和認(rèn)證類操作；安全模型：描述LDAP中的安全機(jī)制．

LDAP的主要功能有如下幾點：①強制執(zhí)行管理員制定的安全策略，以防入侵者的攻擊，保證系統(tǒng)的安全．②為一個網(wǎng)絡(luò)中存在的所有計算機(jī)分配目錄來提供更高的性能．③復(fù)制目錄的功能可以杜絕發(fā)生訪問失敗的狀況，而且更多的用戶可以使用目錄．④為了存貯海量的對象數(shù)據(jù)，將目錄劃分為多個數(shù)據(jù)源存儲區(qū)．

2 統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計

統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計的主要思路就是通過統(tǒng)一身份認(rèn)證服務(wù)來實現(xiàn)對用戶的集中管理、認(rèn)證和授權(quán)，而用戶和各個應(yīng)用系統(tǒng)的信息都保存在應(yīng)用目錄服務(wù)中．

2．1 目錄信息樹

目前絕大多數(shù)組織結(jié)構(gòu)都可以采用樹形層次結(jié)構(gòu)來表述，部門和人員的樹狀組織結(jié)構(gòu)也不例外．單位的組織結(jié)構(gòu)決定了目錄信息樹的結(jié)構(gòu)．為了提高目錄信息樹中查找信息的速度，在設(shè)計目錄信息樹結(jié)構(gòu)時最重要的一個原則就是盡量減少目錄信息樹的結(jié)構(gòu)層次．而且當(dāng)想要改變信息樹中的某個部門組織時，結(jié)構(gòu)層次越少對其他部門和分支的影響就越小，而且大大簡化了用戶和管理員的操作．同時要注意目錄信息樹的結(jié)構(gòu)要盡可能劃分清晰，對于物理位置獨立或具有單獨的管理權(quán)限的條目，在結(jié)構(gòu)設(shè)計時應(yīng)盡量分為獨立的部分，避免和其他條目混淆．

以寶雞文理學(xué)院為例，主要有兩類信息存放在其中，一類是用戶的賬戶身份信息，第二個是各應(yīng)用系統(tǒng)的信息．目錄樹的域作為樹根，即DN為dc＝bjwlxy，dc＝com，樹根下主要有三類信息：①People：用來存儲用戶信息，這個組還可以細(xì)分為四類 組 織 角 色：Groups，Teachers，Students和Others．Groups可以劃分為系統(tǒng)管理員、域管理員、部門管理員等角色，還可以按照各個部門院系再細(xì)化；Teachers就代表所有的教職工，還可以細(xì)分為教師、行政人員、工人等級別；Students代表學(xué)生，也可以按本科生、?？粕⒀芯可葮?biāo)準(zhǔn)劃分；Others就代表校園的其他人員．②Application：這個條目代表的是應(yīng)用系統(tǒng)，比如學(xué)校的教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、人事系統(tǒng)、郵件系統(tǒng)等．③Services：指需要發(fā)布為WEB服務(wù)的應(yīng)用．每個條目都有其相對應(yīng)的對象類，例如person代表人，application代表應(yīng)用進(jìn)程等都可以通過協(xié)議定義的標(biāo)準(zhǔn)對象類來實現(xiàn)；而有些葉子條目就要使用自定義的對象類才能表達(dá)清楚它的屬性情況，比如應(yīng)用系統(tǒng)可以使用如下定義的對象類：

objectClass（2．5．6．12NAME‘a(chǎn)pplication’SUP top STRUCTURAL

MUST（uuid＄cn）MAY（ou＄description））

其中的uuid（唯一標(biāo)識符）要求是Unicode，用這個32位16進(jìn)制數(shù)組成的字符串來標(biāo)識一個應(yīng)用系統(tǒng)．Cn是Directory string類型，可以有多個值．根據(jù)RFC2252的規(guī)范，uuid可以定義為如下：

Attributetype（1．1．2．1．1NAME ‘uuid’DESC ‘unique name with an application’EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1．3．6．1．4．1466．115．121．1．15 SINGLE-VALUE）

根據(jù)實際情況，目錄信息樹的基本單位就是普通用戶，一個普通用戶（教師／學(xué)生）主要具有以下屬性，可以根據(jù)表1來設(shè)計用戶的信息模式．

表1 用戶基本屬性Table 1 The basic properties of a user

2．2 統(tǒng)一身份認(rèn)證模塊

采用的是基于Kerberos協(xié)議的統(tǒng)一身份認(rèn)證解決方案，其特點是安全、穩(wěn)定、高效以及容易部署．對舊有的應(yīng)用系統(tǒng)來說，只需要改造一下統(tǒng)一的認(rèn)證接口即可，對于新的應(yīng)用系統(tǒng)來說就更加方便，只需要按照統(tǒng)一認(rèn)證系統(tǒng)的接口設(shè)計標(biāo)準(zhǔn)開發(fā)一個統(tǒng)一的認(rèn)證接口，就可以把它集成到統(tǒng)一身份認(rèn)證系統(tǒng)中．統(tǒng)一身份認(rèn)證系統(tǒng)模塊主要包括統(tǒng)一身份認(rèn)證接口、目錄服務(wù)器、認(rèn)證服務(wù)器、票據(jù)服務(wù)器和日志審計服務(wù)器［4］．如圖1所示．

2．3 應(yīng)用系統(tǒng)注冊模塊

應(yīng)用系統(tǒng)注冊模塊的功能是在應(yīng)用系統(tǒng)完成注冊之后與統(tǒng)一身份認(rèn)證系統(tǒng)的對接．應(yīng)用系統(tǒng)注冊時要提供以下信息：應(yīng)用系統(tǒng)的名稱、應(yīng)用系統(tǒng)具有唯一性的標(biāo)識、應(yīng)用系統(tǒng)的描述、應(yīng)用系統(tǒng)用戶組以及應(yīng)用系統(tǒng)管理員信息［5］．

圖1 統(tǒng)一身份認(rèn)證模塊架構(gòu)Fig．1 The module architecture of unified identity authentication

首先應(yīng)用系統(tǒng)將注冊信息發(fā)送給統(tǒng)一身份認(rèn)證系統(tǒng)后，服務(wù)器會在目錄信息樹中先添加應(yīng)用系統(tǒng)相對應(yīng)的節(jié)點，然后把系統(tǒng)管理員信息也增加到目錄信息樹中，之后要設(shè)定該應(yīng)用系統(tǒng)節(jié)點訪問控制信息和權(quán)限信息，全部完成后建立應(yīng)用系統(tǒng)的標(biāo)識并將該標(biāo)識作為目錄樹中該條目的DN．

2．4 用戶管理模塊

用戶管理模塊的主要功能是將所有用戶信息統(tǒng)一保存到目錄數(shù)據(jù)庫中，并確保用戶真實身份信息和用戶電子身份和權(quán)限一一對應(yīng)，實現(xiàn)對用戶信息的集中存儲和管理．可以采用集中或者分布式的工作方式，由系統(tǒng)管理員對中央用戶資料數(shù)據(jù)庫進(jìn)行統(tǒng)一管理操作．

對于學(xué)校的認(rèn)證系統(tǒng)來說，各個部門的應(yīng)用系統(tǒng)都有自己相應(yīng)的數(shù)據(jù)庫，不同的用戶信息，如何把這些數(shù)據(jù)導(dǎo)入統(tǒng)一身份認(rèn)證系統(tǒng)是本模塊解決的主要問題．本文通過SOAP消息來傳遞以XML文件為數(shù)據(jù)傳遞介質(zhì)，實現(xiàn)了異構(gòu)數(shù)據(jù)庫和目錄數(shù)據(jù)庫之間的數(shù)據(jù)交換［6］．

2．5 訪問控制模塊

系統(tǒng)的特點是基于角色劃分用戶授權(quán)，系統(tǒng)管理員可以管理基于角色的用戶權(quán)限，針對不同應(yīng)用系統(tǒng)對用戶進(jìn)行訪問控制．

在每一個應(yīng)用系統(tǒng)中都會增加一個與統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行通信的通用模塊．在這個模塊中，用戶需要完成以下兩方面工作：①輸入用戶名密碼，通過認(rèn)證系統(tǒng)的認(rèn)證，系統(tǒng)會分配給用戶一個角色信息；②用戶獲得角色認(rèn)證信息后，會分配一個對應(yīng)的任務(wù)權(quán)限列表，然后依據(jù)權(quán)限列表中相應(yīng)的權(quán)限生成一個訪問應(yīng)用系統(tǒng)時控制權(quán)限的訪問控制票據(jù)．

2．6 應(yīng)用程序接口

給不同的應(yīng)用系統(tǒng)使用統(tǒng)一的接口模塊的機(jī)制使得各應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證得以實現(xiàn)．將應(yīng)用系統(tǒng)的認(rèn)證模塊修改為使用LDAP接口的程序，并且對接口實現(xiàn)的增減用戶、查詢用戶、修改帳號和密碼等多種功能應(yīng)用，這些功能就是分別對應(yīng)LDAP中的add，delete，search和modify等功能模型［7］．

設(shè)計采用的是面向?qū)ο蟮腏ava語言，設(shè)計過程中根據(jù)不同功能，分解設(shè)計各個構(gòu)件，對功能的模塊化設(shè)計保證了使用過程中可以根據(jù)具體需要調(diào)用相應(yīng)的應(yīng)用程序，易于擴(kuò)展的優(yōu)點非常鮮明．此外還具有以下兩個特點：①應(yīng)用程序接口豐富的功能，能夠滿足各應(yīng)用系統(tǒng)方便快捷的訪問LADP服務(wù)器中的信息．②程序之間耦合度很低，并且各自都能實現(xiàn)各自的功能，就算程序中的某一個功能發(fā)生變化，對其他部分的影響也是微乎其微．

2．7 Web信息服務(wù)

Web服務(wù)是近年來發(fā)展的一個熱點，原因在于Web服務(wù)具有良好的數(shù)據(jù)互操作性、擴(kuò)展性和松散耦合性，為資源共享與協(xié)同工作提供和很好的服務(wù)，保證不同機(jī)器之間可以進(jìn)行操作交互．

系統(tǒng)中對用戶采取分級管理的方式，不同的用戶具有不同的權(quán)限．主要有以下三種用戶：①系統(tǒng)管理員：負(fù)責(zé)維護(hù)和管理整個統(tǒng)一認(rèn)證系統(tǒng)，具有最高權(quán)限．②用戶管理員：負(fù)責(zé)維護(hù)和管理各種用戶信息．③普通用戶：只能修改自己的基本信息．本系統(tǒng)采用統(tǒng)一用戶管理的邏輯結(jié)構(gòu)及分布式實施模式的物理結(jié)構(gòu)．整個信息服務(wù)系統(tǒng)整體分為三個層次為表現(xiàn)層、應(yīng)用層和數(shù)據(jù)層．

2．8 不同架構(gòu)的應(yīng)用系統(tǒng)支持情況分析

目前所有的應(yīng)用系統(tǒng)都是基于B／S或者C／S架構(gòu)來實現(xiàn)的，C／S和B／S各有優(yōu)勢，C／S的強項是在圖形的表現(xiàn)能力上以及運行的速度上比B／S要好，缺點是它不能跨平臺使用而且還需要在計算機(jī)上安裝運行匹配的客戶端．而B／S模式是基于網(wǎng)頁語言的，與操作系統(tǒng)無關(guān)，所以可以跨平臺使用是它最大的優(yōu)勢．而且使用非常方便，只要運行瀏覽器就可以使用．將B／S與C／S的優(yōu)勢完美地結(jié)合起來是未來的發(fā)展趨勢，新技術(shù)下開發(fā)的應(yīng)用系統(tǒng)將會同時兼顧兩種架構(gòu)的所有優(yōu)點，變得更加完美．

3 結(jié) 論

在研究和分析了LDAP技術(shù)及其體系結(jié)構(gòu)，輕量目錄訪問協(xié)議的樹形存儲結(jié)構(gòu)適用于高校的數(shù)字校園的結(jié)構(gòu)，為高校數(shù)字校園中大量的信息提供的存儲基礎(chǔ)．其快速響應(yīng)大容量查詢和分布式復(fù)制信息的特性，解決了目前數(shù)字校園環(huán)境下的主要問題，保證了單點登錄系統(tǒng)的可擴(kuò)展性、可靠性和伸縮性．解決了用戶資源的分散性，將分散在不同平臺，不同架構(gòu)的各種應(yīng)用的用戶資源統(tǒng)一管理．應(yīng)用LDAP協(xié)議設(shè)計的統(tǒng)一身份認(rèn)證系統(tǒng)，完成了認(rèn)證和授權(quán)的過程，具有管理方便、安全可靠、擴(kuò)展性好等特點．

［1］ 姚培福．復(fù)雜異構(gòu)應(yīng)用環(huán)境下的單點登錄設(shè)計與實現(xiàn)［J］．福建電腦，2012（9）：112．YAO Pei-fu．Design and Implementation of Single Sign on in Complex and Heterogeneous Application Environment［J］．Fujian Computer，2012（9）：112．（in Chinese）

［2］ 劉易，孫曙輝．?dāng)?shù)字化校園的統(tǒng)一管理認(rèn)證平臺研究［J］．電腦知識與技術(shù)，2014，10（25）：5837．LIU Yi，SUN Shu-hui．Research on Unified Management Authentication Platform in Digital Campus［J］．Computer Knowledge and Technology，2014，10（25）：5837．（in Chinese）

［3］ 賀玉明，李晉宏，唐輝．LDAP在數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)中的應(yīng)用［J］．計算機(jī)技術(shù)與發(fā)展，2011，21（5）：139．HE Yu-ming，LI Jin-hong，TANG Hui．Application of LDAP in Uniform Identity Authentication System in Digital Campus［J］．Computer Technology and Development，2011，21（5）：139．（in Chinese）

［4］ 李翔，晁愛農(nóng)，劉孟強．LDAP的研究及其在統(tǒng)一身份認(rèn)證 系 統(tǒng) 中 的 應(yīng) 用 ［J］．計 算 機(jī) 應(yīng) 用，2008，28（S1）：98．LI Xiang，CHAO Ai-nong，LIU Meng-qiang．Research on LDAP and Its Application in Unified Identity Au-thentication System［J］．Journal of Computer Applications，2008，28（S1）：98．（in Chinese）

［5］ 沈斌，史鳴杰．統(tǒng)一身份認(rèn)證平臺的設(shè)計［J］．南京師范大學(xué)學(xué)報：工程技術(shù)版，2004，4（2）：73．SHEN Bin，SHI Ming-jie．Design of Unified Identity Authentication Platform［J］．Journal of Nanjing Normal University：Engineering and Technology Edition，2004，4（2）：73．（in Chinese）

［6］ 畢建新，張照余．基于協(xié)同理論的高校電子文件管理模式研究——以東南大學(xué)為例［J］．檔案學(xué)研究，2013（5）：42．BI Jian-xin，ZHANG Zhao-yu．Research on Management Mode of Electronic Documents in Colleges and Universities Based on Synergetic Theory—Taking Southeast University as an example［J］．Archives Science Study，2013（5）：42．（in Chinese）

［7］ 單劍鋒，馬德錦．常用Web服務(wù)技術(shù)研究［J］．計算機(jī)技術(shù)與發(fā)展，2013，23（6）：253．SHAN Jian-feng，MA De-jin．Research on Common Web Service Technology［J］．Computer Technology and Development，2013，23（6）：253．（in Chinese）