数字化校园统一身份认证系统的模型研究与实现.ppt

数字化校园统一身份认证系统的模型研究与实现 专 业：软件工程 姓 名：聂坤苗 日 期：2009.5.25 课题研究背景及意义 随着应用系统开发的迅速发展，各应用系统都有了自己的身份认证机制，采用了各种不同的身份认证技术，这给用户的使用和管理都带来了很大的难题。用户在不同应用系统之间切换时，必须重复登录 。 课题研究背景及意义 各院校正向着数字化校园的目标不断探索前进，一个能够集成校园网内所有服务并且具有安全的统一身份认证功能的数字化解决方案就成为了当今校园网应用及时的热点研究领域。 本文的解决思路 三层架构模型的认证接口采用中间件通信： 几种相关技术的比较： COM/DCOM JavaBeans CORBA Web Service ICE * 内容概要 课题研究背景及意义 统一身份认证集成中存在的问题 本文的解决思路 实验及其结果 系统的具体实现 未来的工作 身份认证相关技术 Kerberos：由认证服务器AS 、票据服务器TGS组成，安全性较高 LDAP ：轻量级目录访问协议 ，按照树状信息组织模式，实现信息管理和服务接口的一种方法，不同于关系数据库，具有更高的读取效率 ICE中间件：适合所有的异构网络环境，客户端和服务器端可以用不同的程序语言实现，运行在不同的操作系统和不同体系结构的机器上 1.单一的认证模型存在不足： 网关模型的缺点：存在制约性 统一身份认证集成中存在的问题 客户端 Client 网关 Telnet服务器 WWW服务器 FTP服务器 1.单一的认证模型存在不足： 代理模型的缺点：用户登陆凭证本地存储，容易泄漏 统一身份认证集成中存在的问题 客户端 Client Telnet服务器 WWW服务器 FTP服务器 代理 软件 代理 软件 代理 软件 代理 软件 1.单一的认证模型存在不足： 经纪人模型缺点：工作量较大 统一身份认证集成中存在的问题 提交电子身份标识 获得电子 身份标识 客户端 Client 认证 服务器 Telnet服务器 WWW服务器 FTP服务器 2.认证接口的灵活性问题 3.存在跨平台、跨开发框架的问题 统一身份认证集成中存在的问题 本文的解决思路 基于三层架构的身份认证模型的提出： 应用层：统一身份认证平台的服务对象 服务层：Kerberos认证思想，基于角色的访问 控制 数据层：构建共享数据平台，用户身份数据库 与外部数据源的同步 本文的解决思路 数 据 层 服 务 层 应 用 层 客户端C （Web浏览器） 应用服务器 Service 授权范围内的资源 中间件 认证接口 票据发放服务器 TGS 认证服务 AS 认证服务 管理控制 访问控制 数据同步 服务 平台数据库 外部 权威数据源 LDAP数据库 本文的解决思路 一、应用层 认证接口的客户端与平台的服务接口的服务端进行交互 。 例如 J2EE应用 NET应用 PHP应用 本文的解决思路 二、服务层： (6) (5) (4) (3) (2) 客 户 端 C 认证服务器 AS 票据服务器 TGS 应用服务器 V KDC (1) 验证 数据库 Kerberos认证机制 本文的解决思路 三、数据层 消除差异 add/update操作引起差异 基本信息表 基本信息基本表 差异视图 数据同步工具 LDAP目录服务 通过差异视图实现外部数据源与LDAP用户数据库的同步，底层数据平台具有更好的维护性 本文的解决思路 高效率： 与LDAP目录服务结合 细粒度： RBAC基色进行职责分离 ．．． 权限树 用户 角色 用户1 角色1 角色2 角色ｎ ．．． 角色１ 角色ｎ 操作1 操作n 资源2 资源4 ．．． ．．． 细粒度的RBAC访问控制 实验及其结果 一、对系统建模和分析 服务对象1 服务对象2 服务对象n 服务对象池 ．．．．．． 消息队列 分派 连接对象1 连接对象2 连接对象n 连接池 ．．．．．． 消息 实验及其结果 二、建立了多优先级非抢占M/M/n队列模型，得出了一组衡量中间件性能的指标 队列平均长度 服务窗口数 消息排队等待时间 消息在系统中的逗留时间 实验及其结果 三、系统能够处于平衡状态的条件 消息排队等待时间 实验及其结果 不同窗口数的平均等待时间表 0.0122 -0.0