基于數(shù)字化校園的一卡通身份驗(yàn)證子系統(tǒng)的設(shè)計(jì)
文章出處:http://www.dipdnbxp.cn 作者: 人氣: 發(fā)表時(shí)間:2011年09月10日
【摘要】:本文介紹了校園一卡通中的身份驗(yàn)證子系統(tǒng),它對(duì)校園網(wǎng)中的其他信息服務(wù)系統(tǒng)提供安全統(tǒng)一的身份認(rèn)證和權(quán)限管理服務(wù).維護(hù)系統(tǒng)中的用戶(hù)數(shù)據(jù)并對(duì)其他業(yè)務(wù)系統(tǒng)提供接口。
【關(guān)鍵詞】: 身份驗(yàn)證;權(quán)限管理;接口
1.引言
校園”一卡通”是指基于校園網(wǎng).采用成熟先進(jìn)的非接觸式IC卡實(shí)現(xiàn)數(shù)據(jù)采集。集證件管理、檔案管理、考勤管理、餐廳管理、公寓管理、機(jī)房管理及其他多種管理服務(wù)功能于一體的校園個(gè)人數(shù)據(jù)管理應(yīng)用平臺(tái)。它通過(guò)學(xué)校的校園網(wǎng),逐步將各處的電腦聯(lián)成一個(gè)比較大的數(shù)據(jù)網(wǎng).實(shí)現(xiàn)全校各類(lèi)數(shù)據(jù)的統(tǒng)一性和運(yùn)行規(guī)范性。
一卡通系統(tǒng)中的身份認(rèn)證及權(quán)限管理子系統(tǒng)為校園網(wǎng)中的其他信息服務(wù)系統(tǒng)提供安全、統(tǒng)一的身份認(rèn)證和權(quán)限管理服務(wù)。擔(dān)負(fù)校園網(wǎng)中絕大部分的信息安全保衛(wèi)工作。該子系統(tǒng)為校園網(wǎng)的瀏覽器用戶(hù)提供統(tǒng)一的登錄界面.使用戶(hù)在完成身份認(rèn)證后無(wú)須再次登錄就可以接受校園網(wǎng)中其他信息服務(wù)系統(tǒng)提供的服務(wù)。對(duì)于不同等級(jí)的安全要求。它也將提供相應(yīng)的從簡(jiǎn)單的密碼保護(hù)到數(shù)字簽名等不同的安全措施。
2.體系結(jié)構(gòu)
圖1身份驗(yàn)證子系統(tǒng)的體系結(jié)構(gòu)
身份驗(yàn)證子系統(tǒng)以用戶(hù)信息、系統(tǒng)權(quán)限為核心。集成各業(yè)務(wù)系統(tǒng)的認(rèn)證信息.為客戶(hù)提供一個(gè)高度集成且統(tǒng)一的認(rèn)證平臺(tái)。如.其結(jié)構(gòu)具有如下特點(diǎn):
. 系統(tǒng)健壯:通過(guò)復(fù)制與備份機(jī)制。確保系統(tǒng)數(shù)據(jù)安全可靠
. 結(jié)構(gòu)靈活:易于擴(kuò)展
. 移動(dòng)辦公:遠(yuǎn)程聯(lián)機(jī).支持遠(yuǎn)程集中式業(yè)務(wù)處理
. 安全可靠:身份認(rèn)證和權(quán)限控制確保數(shù)據(jù)安全。
在身份認(rèn)證系統(tǒng)中。采用的技術(shù)實(shí)現(xiàn)手段主要包括LDAP、PKI、SS0、SSL。
3 功能介紹
3.1用戶(hù)身份數(shù)據(jù)維護(hù)
用戶(hù)身份數(shù)據(jù)是用戶(hù)登錄系統(tǒng)時(shí)的身份證明.是身份認(rèn)證的基礎(chǔ)數(shù)據(jù) 用戶(hù)身份數(shù)據(jù)的維護(hù)直接關(guān)系到用戶(hù)是否可以登錄系統(tǒng)。其中包括:
. 用戶(hù)組管理:根據(jù)用戶(hù)的不同身份及管理政策。劃分不同的用戶(hù)組別。進(jìn)行基于政策的用戶(hù)分類(lèi)管理。當(dāng)用戶(hù)被加入個(gè)用戶(hù)組時(shí).即該用戶(hù)隸屬于該用戶(hù)組。該用戶(hù)組所具有的權(quán)限理所應(yīng)當(dāng)?shù)刭x予該用戶(hù)。
. 用戶(hù)管理:采用面向?qū)ο蟮募夹g(shù)和概念。將用戶(hù)信息分為用戶(hù)屬性、Unix帳號(hào)、Email帳號(hào)、Proxy賬號(hào)和撥號(hào)帳號(hào)五類(lèi)對(duì)象信息。可自動(dòng)統(tǒng)計(jì)不同組別的用戶(hù)數(shù)目,同時(shí)系統(tǒng)根據(jù)用戶(hù)身份認(rèn)證提供相應(yīng)的網(wǎng)絡(luò)服務(wù).包括基本服務(wù)和擴(kuò)展服務(wù)。
. 用戶(hù)賬號(hào)管理:根據(jù)用戶(hù)需求。還可以提供其他擴(kuò)展的網(wǎng)絡(luò)服務(wù)。如自動(dòng)通知用戶(hù)的聯(lián)網(wǎng)時(shí)間、用戶(hù)的月費(fèi)用;用戶(hù)賬號(hào)的自動(dòng)增加和關(guān)閉等。
3.2組織數(shù)據(jù)的維護(hù)
組織數(shù)據(jù)是身份認(rèn)證的基礎(chǔ),指學(xué)校內(nèi)部的處室、團(tuán)體。組織的結(jié)構(gòu)以及組織內(nèi)部的角色等相應(yīng)信息都需在身份驗(yàn)證和權(quán)限管理系統(tǒng)中注冊(cè)。使用系統(tǒng)時(shí).不同的人員對(duì)應(yīng)不同組織中的角色.他將擁有與此角色相對(duì)應(yīng)的系統(tǒng)操作權(quán)限。
3.3服務(wù)權(quán)限數(shù)據(jù)管理
服務(wù)權(quán)限數(shù)據(jù)管理的任務(wù)是對(duì)數(shù)字化校園系統(tǒng)中的其他信息服務(wù)系統(tǒng)所提供的服務(wù)進(jìn)行管理。其它的信息服務(wù)系統(tǒng)要使用本系統(tǒng)的身份認(rèn)證和服務(wù)權(quán)限管理功能.首先必須將其提供的服務(wù)在本系統(tǒng)中注冊(cè)。服務(wù)權(quán)限數(shù)據(jù)管理包括以下兩個(gè)內(nèi)容:
. 服務(wù)注冊(cè)數(shù)據(jù)管理:當(dāng)一個(gè)新的信息服務(wù)系統(tǒng)加入到系統(tǒng)中的時(shí)候.其提供的各種需要由身份認(rèn)證和權(quán)限管理系統(tǒng)進(jìn)行權(quán)限確認(rèn)的服務(wù).必須在本系統(tǒng)進(jìn)行注冊(cè)。這些數(shù)據(jù)主要包括服務(wù)名稱(chēng)。服務(wù)ID號(hào)。服務(wù)提供者等。
. 服務(wù)所需權(quán)限數(shù)據(jù)的管理:信息服務(wù)系統(tǒng)的某些服務(wù)只向特定用戶(hù)群提供。其他用戶(hù)不能得到這些服務(wù)。在本系統(tǒng)中.這樣的用戶(hù)群通過(guò)用戶(hù)擔(dān)任的角色來(lái)刻畫(huà)。只有用戶(hù)擔(dān)任了相應(yīng)的角色。并通過(guò)相應(yīng)等級(jí)的身份認(rèn)證后,才可以得到服務(wù)。本模塊負(fù)責(zé)確定一個(gè)已注冊(cè)的服務(wù)向哪些組織的哪些角色提供。功能包括:增加服務(wù)的角色對(duì)象。刪除服務(wù)的角色對(duì)象等。
3,4身份認(rèn)證
身份認(rèn)證模塊是身份認(rèn)證系統(tǒng)中的核心模塊之一.在接人系統(tǒng)的各信息服務(wù)系統(tǒng)前對(duì)用戶(hù)進(jìn)行統(tǒng)一的身份確認(rèn)。根據(jù)不同的安全級(jí)別的要求。身份認(rèn)證提供多種不同等級(jí)的認(rèn)證方法。
3.5權(quán)限確認(rèn)
權(quán)限確認(rèn)的任務(wù)是對(duì)用戶(hù)接人系統(tǒng)的某個(gè)特定信息服務(wù)系統(tǒng)時(shí),進(jìn)行統(tǒng)一的權(quán)限確認(rèn)。在用戶(hù)的身份得到確認(rèn)后。權(quán)限確認(rèn)通過(guò)用戶(hù)的角色和認(rèn)證的等級(jí)以及他所申請(qǐng)的服務(wù).來(lái)確定該用戶(hù)是否能夠得到使用這些服務(wù)的權(quán)限。
3.6加密通訊
加密通訊負(fù)責(zé)信息服務(wù)系統(tǒng)的服務(wù)器和身份認(rèn)證及權(quán)限控制系統(tǒng)之間的數(shù)據(jù)通訊。主要用來(lái)傳遞關(guān)于用戶(hù)身份的信息。加密通訊是傳遞用戶(hù)身份信息的重要手段.主要采用SSL(Securesoeket Layer1安全套接層協(xié)議。使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性.它不能保證信息的不可抵賴(lài)性.主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。
4.統(tǒng)一身份認(rèn)證與其他業(yè)務(wù)系統(tǒng)整合
4.1WEB應(yīng)用的接口
① 為多種WEB服務(wù)器提供相應(yīng)的代理接口。當(dāng)用戶(hù)利用瀏覽器訪(fǎng)問(wèn)受保護(hù)的網(wǎng)絡(luò)資源時(shí).由代理首先解釋該請(qǐng)求。首先檢查用戶(hù)所訪(fǎng)問(wèn)的URLs是否屬于不受保護(hù)的范圍.如果是.用戶(hù)馬上獲得這些資源。如果不是,進(jìn)行進(jìn)一步檢查,首先看用戶(hù)是否具有合法的數(shù)字身份.身份不存在.請(qǐng)求被傳遞給認(rèn)證服務(wù)器進(jìn)行身份驗(yàn)證,認(rèn)證通過(guò)后,由該代理將登錄用戶(hù)的身份及相關(guān)屬性傳遞給相應(yīng)的應(yīng)用。
②對(duì)于尚未提供代理接口的開(kāi)發(fā)平臺(tái).新建的應(yīng)用系統(tǒng)可以利用統(tǒng)一身份認(rèn)證的SDK接口標(biāo)準(zhǔn)進(jìn)行身份驗(yàn)證和權(quán)限管理。
4.2非WEB應(yīng)用的接口
對(duì)于非WEB應(yīng)用。提供兩種統(tǒng)一認(rèn)證的方式:
①非WEB應(yīng)用可以利用統(tǒng)一身份認(rèn)證系統(tǒng)提供的SDK接口標(biāo)準(zhǔn)進(jìn)行身份驗(yàn)證和權(quán)限控制
②用戶(hù)數(shù)據(jù)同步的機(jī)制。如果原先某應(yīng)用系統(tǒng)已經(jīng)采用了自身一套認(rèn)證體制在運(yùn)行.那么可以把該系統(tǒng)的用戶(hù)身份和用戶(hù)的數(shù)字化校園身份進(jìn)行對(duì)應(yīng).這樣既不需要大面積修改原先系統(tǒng).也可以進(jìn)行認(rèn)證的統(tǒng)一。
5.小結(jié)
本系統(tǒng)實(shí)現(xiàn)對(duì)用戶(hù)身份數(shù)據(jù)、組織數(shù)據(jù)、服務(wù)權(quán)限數(shù)據(jù)的維護(hù),并對(duì)用戶(hù)身份和權(quán)限進(jìn)行確認(rèn),數(shù)據(jù)傳輸實(shí)現(xiàn)加密通訊。系統(tǒng)界面友好、操作方便。子系統(tǒng)中的權(quán)限管理功能實(shí)現(xiàn)用戶(hù)使用
應(yīng)用系統(tǒng)資源和功能的合理分配,這是數(shù)字校園的安全特性,同時(shí)也是用戶(hù)的個(gè)性化需求。
參考文獻(xiàn):
1.張鵬.校園網(wǎng)與一卡通對(duì)接勢(shì)在監(jiān)行.中國(guó)現(xiàn)代教育裝備.2006年第2期.
2.龠葵,方永勝.基于教字化校園的校園一卡通平臺(tái)設(shè)計(jì)o1.運(yùn)籌與管理。2006,15(3):155—159.
3.王春雁,朱文英.2004—2005年校園卡建設(shè)與應(yīng)用現(xiàn)狀分析(上o1.教育信息化.2005(4):6—7.
4.劉虎.校園一卡通系統(tǒng)方案設(shè)計(jì)Ⅱ.淮陰工學(xué)院學(xué)報(bào)。2006,15(3):39—42.
5.蘇文勝。馬千軍.基于教字化校園的校園一卡通構(gòu)建.武漢理工大學(xué)學(xué)報(bào),2005。27(1):99—101.
【稿件聲明】:如需轉(zhuǎn)載,必須注明來(lái)源和作者,保留文中圖片和內(nèi)容的完整性,違者將依法追究。