毕业设计校园统身份认证.doc

校园网统一身份认证系统的设计与实现 摘要 随着高校信息化建设和互联网技术的不断发展，很多高校在不同阶段开发出了许多应用系统，这些系统可能是跨平台跨域的，都有其独立的安全验证机制。用户使用的应用系统越多，所妯须记住的用户ID和用户密码就越多；客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要步骤。从LDAP协议出发，描述了典型的校园网络中如何实现多系统之间的统一身份认证。 关键词：LDAP；目录服务；单点登录机制；统一身份认证 前言 随着信息技术的不断发展，学校信息化建设的不断推广和深入，数字化校园已成为建设现代化高校的建设目标之一，基于校园网的应用系统也会越来越多，如网络课堂、数字化图书馆、网络视频会议、一卡通系统等。另外，网络用户、网络带宽需求、联网主机数量的急剧增大，都对数字化校园的管理提出了挑战。而不管哪种应用系统，都需要对用户的身份进行识别认证，同时对不同的身份所拥有的操作权限进行授权。用户使用的应用系统越多，所必须记住的用户ID和用户密码就越多，客户出错、泄露密码等直接威胁到系统安全的可能性也就越大。因此，建立一个统一身份认证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个重要内容。 第1章 LDAP目录服务和统一身份认证系统 目前主流的统一身份认证方案中，都使用了目录服务技术。随着轻量级目录访问协议(LightDirectory Access Protocol，LDAP)技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。根据美国著名的网络顾问公司Burton Group的说法： “目录服务是由系统安全架构、应用程序与其他网络服务所构成的分布式计算环境的中心点，也是大型分布式运算环境中的最重要的元件，而它的实现会为我们所熟知的网络运算模式带来根本的改变。 LDAP最大的优势是：它是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。它可以应用在任何计算机平台上，很容易获得，而且它也很容易定制应用程序为它加上LDAP的支持。其次，它有优秀的检索性能，LDAP在处理大量用户并发检索访问问题上优势明显，具有比关系数据库系统更快的响应速度。第三，它有完善的安全机制，LDAP通过访问控制列表ACL设置对目录数据的读和写的权限，通过支持基于SSL(Secure Socket Layer)的安全机制完成对明文加密，能提供更安全的保障。第四，同步复制功能，分布在不同地域的两台目录服务器通过使用“推”、“拉”技术，使服务器保持数据的同步和一致啦’。由于LDAP卓越的检索性能和跨平台支持的特性正符合统一认证系统中大量用户口令的存储和管理的要求，因此，在统一认证系统的设计中，目录服务数据库是整个统一认证系统的基础。采用标准的LDAP目录服务数据库，通过LDAP目录服务将用户和应用系统的信息以层次结构、面向对象的数据库的方式加以集中和管理，保证了数据的一致性和完整性，为各类应用系统提供用户信息的共享和使用。 第2章 校园网统一身份认证系统的设计 在建立基于LDAP统一身份认证系统的过程中，既要方便新建立的系统使用统一身份认证子系统，又要照顾原来建立的老系统，使原有系统做尽可能小的变动就可以使用统一身份认证子系统，最大限度实现数据整合。统一认证系统设计的核心思想是用目录服务数据库集中存储用户的信息和各个应用系统的信息，实现对用户的集中管理、统一认证和统一授权，以及实现对应用系统的访问控制。统一身份认证系统的体系结构如图l所示。 统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证机制，而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可以大大提高系统的安全性，同时也可以保证用户的电子身份标识能安全、高效地在网络中传输。其次，统一认证系统把原来分散的用户管理集中了起来，各个系统之间依靠相互信赖的关系来进行用户身份的自动认证。用户的帐号信息是集中保存和管理的，管理员只需要在统一的用户信息数据库中添加或删除用户帐号，不必在多个系统中分别设置用户信息数据库。通过分析系统的体系结构，该系统的设计实现了用户的集中管理、独立应用系统的集成、统一授权和单点登录。下面对该系统所具有的一些特点进行分析： 1)支持Web方式认证，提供单点登录服务功能。本系统提供了一个与其他系统相融合的框架，将各自独立开发的