田 炯

（浙江科技學(xué)院信息中心，浙江 杭州310023）

0 引言

隨著高等教育事業(yè)與現(xiàn)代信息技術(shù)的不斷融合，高校信息化建設(shè)得到飛速發(fā)展；高校根據(jù)自身實(shí)際與特色出發(fā)，利用信息技術(shù)的優(yōu)勢(shì)來提升學(xué)校的辦事效率，辦學(xué)質(zhì)量和科研能力。信息化建設(shè)涵蓋范圍廣泛，包含教學(xué)管理、科學(xué)研究、學(xué)生培養(yǎng)、教學(xué)資源建設(shè)和利用，信息檢索和校園信息化等方面。高校信息化程度的提高，在一定程度上提升了高校管理水平，工作效率，但局限于當(dāng)時(shí)的思想和當(dāng)時(shí)的技術(shù)，導(dǎo)致信息建設(shè)分散、各自為政、協(xié)調(diào)性差等問題，這個(gè)已經(jīng)成為困擾當(dāng)前高校的一個(gè)難題。

1 統(tǒng)一身份認(rèn)證平臺(tái)的現(xiàn)狀與功能需求分析

高校在國家政策的支持下，發(fā)展非常迅速，各個(gè)部門、學(xué)院都建立了各類信息系統(tǒng)，如教務(wù)系統(tǒng)、一卡通系統(tǒng)、科研系統(tǒng)、財(cái)務(wù)系統(tǒng)等等，各自互相獨(dú)立、采用了不同的標(biāo)準(zhǔn)和開發(fā)模式，造成整合困難，數(shù)據(jù)源單一，最終形成一系列的信息孤島，給高校信息化發(fā)展帶來了嚴(yán)重的阻礙；無法獲得一個(gè)整體的全局?jǐn)?shù)據(jù)視圖并對(duì)其進(jìn)行數(shù)據(jù)挖掘和數(shù)據(jù)分析，無法對(duì)學(xué)校的決策進(jìn)行有力的數(shù)據(jù)支撐。為解決身份統(tǒng)一認(rèn)證的問題，高校引入了相對(duì)教務(wù)簡(jiǎn)單的單點(diǎn)登錄平臺(tái)，最廣泛的是基于LADP的身份認(rèn)證方式，該方式是建立一套教職工、學(xué)生的數(shù)據(jù)映射表，各種信息登錄時(shí)通過比對(duì)LADP中的數(shù)據(jù)信息進(jìn)行判斷人員的存在狀況，這種方式只是驗(yàn)證了人員的存在狀況，其他如系統(tǒng)的角色、數(shù)據(jù)格式、數(shù)據(jù)字典都是獨(dú)立于統(tǒng)一平臺(tái)自行建立，系統(tǒng)間各類標(biāo)準(zhǔn)互不統(tǒng)一，其無法滿足高校數(shù)據(jù)標(biāo)準(zhǔn)統(tǒng)一、內(nèi)容共享、身份傳遞、角色分配等一系列的問題，因此需要建立一套功能完善、變更靈活的統(tǒng)一平臺(tái)。

統(tǒng)一身份認(rèn)證作為高校信息化建設(shè)中的一個(gè)應(yīng)用子系統(tǒng)，是根據(jù)高校自身的特色和規(guī)則進(jìn)行角色定義的一種用戶管理機(jī)制，統(tǒng)一各個(gè)應(yīng)用系統(tǒng)的用戶管理，其主要涉及人員角色管理、權(quán)限管理、日志管理、接口管理，其功能圖如圖1所示

圖1 系統(tǒng)功能架構(gòu)圖

人員角色管理主要對(duì)高校各類管理人員、系統(tǒng)操作員、系統(tǒng)管理員進(jìn)行基本信息管理角色的分配主要包括信息維護(hù)、角色維護(hù)、用戶角色映射等功能。

權(quán)限管理主要對(duì)各類人員在各種應(yīng)用系統(tǒng)的中具有的功能進(jìn)行詳細(xì)分類，保證各類人員功能權(quán)限的獨(dú)立、系統(tǒng)數(shù)據(jù)的安全。

日志管理主要對(duì)同步過程、用戶的操作進(jìn)行日志記錄，以及日志操作等功能

接口管理主要進(jìn)行身份數(shù)據(jù)、應(yīng)用系統(tǒng)權(quán)限數(shù)據(jù)同步、權(quán)限查詢接口等功能。

2 統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)與規(guī)劃

統(tǒng)一身份認(rèn)證平臺(tái)，將用戶資源、應(yīng)用系統(tǒng)資源和用戶對(duì)于各個(gè)應(yīng)用系統(tǒng)的權(quán)限、角色等在數(shù)據(jù)庫中進(jìn)行存儲(chǔ)，并在這個(gè)基礎(chǔ)上，建立統(tǒng)一的數(shù)據(jù)字典標(biāo)準(zhǔn)，集成單點(diǎn)登錄、集中權(quán)限以及校園應(yīng)用系統(tǒng)資源的統(tǒng)一管理。此種方式可以提供統(tǒng)一的用戶信息管理界面、統(tǒng)一的認(rèn)證訪問接口，可以使各個(gè)業(yè)務(wù)系統(tǒng)只關(guān)注于系統(tǒng)中的業(yè)務(wù)流程和功能，無需考慮用戶級(jí)別上的管理。統(tǒng)一身份認(rèn)證結(jié)構(gòu)如圖2所示

圖2 統(tǒng)一身份認(rèn)證結(jié)構(gòu)圖

統(tǒng)一身份認(rèn)證主要有4個(gè)部分組成：數(shù)據(jù)存儲(chǔ)，它按照數(shù)據(jù)字典中的數(shù)據(jù)格式定義對(duì)用戶信息等數(shù)據(jù)進(jìn)行存儲(chǔ)；用戶數(shù)據(jù)管理，負(fù)責(zé)用戶身份信息、權(quán)限信息等數(shù)據(jù)的采集，數(shù)據(jù)同步，信息維護(hù)等；身份認(rèn)證，識(shí)別用戶的各種身份信息的認(rèn)證方式和識(shí)別模式，主要集成CA、LADP等，將來會(huì)不斷更新；運(yùn)行管理，主要實(shí)現(xiàn)系統(tǒng)狀態(tài)的監(jiān)控、安全防護(hù)、日志管理等功能，這些功能都依托在統(tǒng)一認(rèn)證服務(wù)器中。

統(tǒng)一身份認(rèn)證系統(tǒng)提供三個(gè)層次的服務(wù)：用戶層，面對(duì)終端用戶，主要進(jìn)行個(gè)人信息維護(hù)，密碼修改等服務(wù)；管理層，面對(duì)信息系統(tǒng)管理員，主要進(jìn)行用戶數(shù)據(jù)維護(hù)、系統(tǒng)監(jiān)控等服務(wù)；系統(tǒng)層，實(shí)現(xiàn)系統(tǒng)的單點(diǎn)登錄、身份認(rèn)證、服務(wù)監(jiān)控和調(diào)度等系統(tǒng)功能。

為了能夠?qū)⒏咝，F(xiàn)有的業(yè)務(wù)系統(tǒng)有效的整合到統(tǒng)一身份認(rèn)證平臺(tái)中，根據(jù)高校的現(xiàn)狀出發(fā)，采用兩種方式進(jìn)行對(duì)接：

1）對(duì)于原有的老系統(tǒng)，其結(jié)構(gòu)變更比較復(fù)雜，只進(jìn)行簡(jiǎn)單的賬號(hào)關(guān)聯(lián)，實(shí)現(xiàn)用戶的單點(diǎn)登錄認(rèn)證，對(duì)其原有現(xiàn)在不作任何改變，用戶通過統(tǒng)一身份認(rèn)證后，由業(yè)務(wù)系統(tǒng)進(jìn)行授權(quán)；2）對(duì)于后期需要建設(shè)的或者已經(jīng)著手在建設(shè)的新系統(tǒng)，必須參照統(tǒng)一身份認(rèn)證平臺(tái)的數(shù)據(jù)字典，修改其業(yè)務(wù)系統(tǒng)代碼與統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行聯(lián)調(diào)，由統(tǒng)一身份認(rèn)證平臺(tái)實(shí)現(xiàn)認(rèn)證并授權(quán)

3 結(jié)束語

本文根據(jù)高校信息化的現(xiàn)狀出發(fā)，得出統(tǒng)一身份認(rèn)證平臺(tái)的重要性，并對(duì)其在高校中的使用情況，功能需求進(jìn)行調(diào)研，根據(jù)系統(tǒng)建立的時(shí)間和類別進(jìn)行分類，老系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄，新建系統(tǒng)參照統(tǒng)一的數(shù)據(jù)字典，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證功能，為后續(xù)的校園信息化建設(shè)提供有力保證。雖然統(tǒng)一身份認(rèn)證能夠叫靈活的集成各類應(yīng)用系統(tǒng)，但其處于不斷的發(fā)展之中，與應(yīng)用系統(tǒng)的集成仍比較薄弱，需要進(jìn)一步找尋更加合適的授權(quán)整合方式，集成原應(yīng)用系統(tǒng)流程。

［1］時(shí)陽.基于數(shù)字證書的企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)[D].山東大學(xué),2012.

［2］馮小玲.高校校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的安全研究——以山西大學(xué)商務(wù)學(xué)院校園網(wǎng)為例[J].中央民族大學(xué)學(xué)報(bào):自然科學(xué)版,2010,02:49-52+57.

［3］王磊,常樂,姜立.數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)研究[J].遼寧高職學(xué)報(bào),2013,05:91-93.

［4］Nareisio Tumushabe,Tan Gualizheng.An overview of an authentication security feature sin ASP.NET[J].Journal of Shenyang University of Technology,2003,25:249-257.

［5］Andreas Polyrakis,Raouf Boutaba.The meta-policy information base[J].Network,IEEE Volume16,Issue 2,March-April 2002:40-48.