数字化校园中统一身份认证系统的分析.doc

数字化校园中统一身份认证系统的分析 许鑫 苏新宁 姚毅 南京大学信息管理系 南大百合网络科技有限公司 [摘要] 本文首先分析高校数字化校园中统一身份认证系统建设的必要性，对建设目标、体系结构和系统特性做了进一步探讨，然后介绍了系统主要功能和技术要点，特别对现阶段LDAP目录服务市场上的典型产品做了简要介绍。 [关键词] 数字化校园、身份认证、LDAP、SSO [分类号] G43 Analysis on CA System in Digital Campus Xu Xin Su Xinning （Department of Information Management, NanJing University） Yao Yi （Lily Network Technology Co.,Ltd.,NJU.） [Abstract] This paper analyze the necessity of building CA systemin digital campus firstly. Then the aim、the architecture and the property is researched deeper. After this, we introduce the primary function and the technology of this system, specially some typical products about LDAP nowadays. [KeyWords] Digital Campus CA LDAP SSO 0 引言 安全是数字化校园提供高质量服务的前提和保证，安全体现在两个方面：其一是本身系统运行的安全，其二是用户在使用中的安全。这两个安全的很重要的实现手段是使用者身份的认证。由于数字校园是一个包括学校教学、科研、生活、休闲等多方面的综合性系统，也就是说由许多应用系统组成，对于这样一个复杂的大系统，其认证系统必须统一，否则将会存在以下问题：（1）一个用户登录不同系统就需要采用多个账号、密码，使用不便；（2）不同系统都采用自身的一套认证和用户管理机制，不利于学校统一管理；（3）有些用户离开学校以后由于缺乏统一管理，仍然能登录校内一些业务系统。 统一认证系统是一个集中的用户认证管理和集成环境，可管理和分发用户的权限和身份，为不同的应用系统提供用户和权限管理服务。各应用系统只需保留角色和权限控制，用户数据库资源简化了建设 （3）实现所有新建应用系统的单点登录。具体地说，在实现了用户统一登录的基础上，制定出一套规范的用户单点登录机制，提供一个用户管理的统一接口，要求所有新建的应用系统，其用户认证完全由集中认证安全管理系统来实现。 在上述的建设目标中，安全需求目标是特别需要强调的，其包括严格的必威体育官网网址、信息的准确、严格的权限管理、严格的程序和流程、确保责任。 统一身份认证系统将作为整个数字化校园安全保障体系的重要组成部分，以用户信息、系统权限为核心，集成各业务系统的认证信息，为客户提供一个高度集成且统一的认证平台其结构系统健壮通过复制与备份机制，确保系统数据安全可靠结构灵活易于扩展移动办公远程联机，支持远程集中式业务处理安全可靠身份认证和权限控制确保数据安全。 图1：统一身份认证体系结构图 另外，需要说明的还有两点，一是认证方式并不局限于图中所示例的三种，在实际的使用中还包括USB KEY、生物识别认证（指纹识别认证、虹膜识别认证、人脸识别认证）等；再者，所有的认证工作由认证前置机完成，而与认证相关的用户信息将存储在后台的认证服务器上，并通过设立于不同的网段与用户、应用系统和认证前置机相隔离，增强了安全性。 1．3 系统特性 身份认证系统为互联网络的通信建立信任关系，保证身份的真实性，为信息的必威体育官网网址性、完整性以及交易的不可抵赖性提供全面的服务。其宗旨是保证互联网络提供的服务和享受服务的客户实现安全交互，为互联网络的客户提供网上身份认证和信任服务。除了前面描述的单点登录功能以外，其还包括如下系统特性： （1）身份认证系统用户和权限完全由内部自主管理，区别于其他公共身份认证中心，完全享有组织内部信息的必威体育官网网址性和独立性，管理方便，安全可靠，不受第三方控制。 （2）身份认证系统管理应完全基于WEB界面，加密传输，无需专用客户端，随时随地可进行管理，方便安全。 （3）由于身份认证系统用于建设而非公共服务系统，用户信息采取实名制，用户不能自已进行帐号注册，管理员基于用户实际身份和基本信息建立帐号，用户帐号独立且唯一。 （4）身份认证系统具有密码恢复功能，用户不慎遗失密码时，可以通过填写的有