张健
上海思创华信信息技术有限公司 上海 200233
摘要:由于在校园网络环境下需要建立多个信息系统,为学校领导、各部门及全校教师、学生提供多种服务,这样就带来了一个突出的问题,众多用户面对多个系统要重复输入帐号、口令等信息,不仅烦琐,更重要的是容易出现口令丢失,一旦口令泄漏不仅会造成不可估量的损失。
关键词:LDAP;数字化校园;身份认证
一 建设目标
数字化校园校内应用环境复杂,将面临不同的网络环境、硬件平台、操作系统、软件结构、开发语言、运行模式,统一身份认证系统必须能够开放的支持应用集成服务,所有安全服务,除了加密、解密服务以外,其它安全服务必须对应用开发人员透明。
建立统一的身份认证中心,集中进行身份认证,提高数字化校园应用系统的安全性。平台设计满足以下要求:
1)支持两种类型客户端的认证,Web浏览器和胖客户端应用程序;
2)支持基于HTTP协议基本认证方式的用户名/密码(来源于多种用户存储方式)验证,为了能够保护使用HTTP协议传送密码,必须能够使用传输层安全技术(比如HTTPS),或者使网络层安全技术(比如IPSEC或者VPN等)来对密码提供保护;
3)支持基于HTTPS协议的用户CA证书验证;
4)支持主流Web服务器,包括系统:Apache、Microsoft IIS等;
5)提供便捷的用户、用户组、角色管理功能模块,支持统一的权限管理。
二LDAP目录服务和统一身份认证系统
LDAP最大的优势是:它是跨平台的和标准的协议,它可以应用在任何计算机平台上,很容易获得,而且它也很容易定制应用程序为它加上LDAP的支持。其次,它有优秀的检索性能,LDAP在处理大量用户并发检索访问问题上优势明显,具有比关系数据库系统更快的响应速度。第三,它有完善的安全机制,LDAP通过访问控制列表ACL设置对目录数据的读和写的权限,通过支持基于SSL(Secure Socket Layer)的安全机制完成对明文加密,能提供更安全的保障。由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统中大量用户口令的存储和管理的要求,因此,在统一认证系统的设计中,目录服务数据库是整个统一认证系统的基础。
三 校园网统一身份认证系统的设计
在建立基于LDAP统一身份认证系统的过程中,既要方便新建立的系统使用统一身份认证子系统,又要照顾原来建立的老系统,使原有系统做尽可能小的变动就可以使用统一身份认证子系统,最大限度实现数据整合。统一认证系统设计的核心思想是用目录服务数据库集中存储用户的信息和各个应用系统的信息,实现对用户的集中管理、统一认证和统一授权,以及实现对应用系统的访问控制。统一身份认证系统的体系结构如图l所示。
统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证机制,而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可以大大提高系统的安全性,同时也可以保证用户的电子身份标识能安全、高效地在网络中传输。通过分析系统的体系结构,该系统的设计实现了用户的集中管理、独立应用系统的集成、统一授权和单点登录。下面对该系统所具有的一些特点进行分析:
1)支持Web方式认证,提供单点登录服务功能。本系统提供了一个与其他系统相融合的框架,将各自独立开发的应用系统通过应用系统注册通用接口集成起来,方便独立系统用户与认证系统用户映射。
2)提供基于LDAP开放标准的统一用户管理功能,并具有将多种异构数据源整合到目录的功
能,易于系统维护和降低管理成本。这种方案结合基于角色的访问控制,实现了用户与系统的分离,保证了服务器的安全。
3)支持基于改进Kerberos认证机制。加强应用安全。放弃Kerberos协议采用的加密算法AES,采用基于椭圆曲线上离散对数计算问题的ECC算法,改进了原Kerberos协议p.1存在的部分缺陷,使系统运行更加安全。改进的Kerberos协议保密强度更高,密钥产生、分配和管理更加方便,能够防止口令猜测攻击和重放攻击,验证过程更安全、真实和更可靠。由于新的验证协议不再需要用户输入登录应用系统的口令,可实现多业务模式下的单点登录。
为实现校园网用户身份的统一认证,本系统开发选用SUN ONE Directory Server5.2 for Linux。它是一个开放源代码项目,实现了对LDAP v3的支持,支持SSL连接,支持密码认证、Kerberos和SASL身份认证机制,支持ACL访问控制,支持多种后台数据库。开发环境为Sun ONE Smdio 5.2。采用B/S结构,使用JDKl.5的开发环境,对用户管理系统进行开发,SUN ONE Directory Server5.2作为身份存储库,用Syb∞e 10 for Solaris作为辅助数据库,用JOSSO作模型,开发单点登录系统。如图2所示。
结语
目前,LDAP已应用在很多校园网络用户管理系统中,将LDAP目录服务的特点引入到校园网统一身份认证中,便于用户登录校园网络系统,帮助管理员维护系统。随着校园网的各种应用不断涌现和进一步发展,基于LDAP的校园网统一身份认证系统会有很好的发展前景,是未来实现数字化校园的基础。
参考文献:
[1]谷松,张月琳.统一身份认证在数字化校园中的应用[J].中山大学学报,2009,(48).
[2]袁先珍,崔益峰.基于校园信息门户的统一身份认证系统[J].微计算机应用,2006,(2).
[3]李翔,晁爱农,刘孟强.LDAP的研究及其在统一身份认证系统中的应用[J].计算机应用,2008,(28).
[4]李新华.基于LDAP的Web统一身份认证的研究与实现[J].科技资讯,2006,(25).
论文作者:张健
论文发表刊物:《基层建设》2015年25期供稿
论文发表时间:2016/3/25
标签:系统论文; 身份认证论文; 用户论文; 单点论文; 校园论文; 口令论文; 协议论文; 《基层建设》2015年25期供稿论文;