高校统一身份认证的探讨与研究
时间:2022-04-04 06:39:13
摘 要:现如今高校校园网的基础设施都已经建立,各主要业务部门基于Web的应用也相继完成,高校亟需数据资源的整合和统一管理。统一身份认证平台的出现为数据中心、公共数据库及全局业务的建立提供了较好的基础。主要探讨统一身份认证平台的后台数据库、安全认证、Kerbero协议的概念及如何进行管理服务。结合自己学校的情况,给出了信息化建设的总体规划。
关键词:统一身份认证; LDAP协议; 认证; 数字签名; Kerbero协议
中图分类号:TP393.08 文献标识码:A
文章编号:1004-373X(2010)09-0104-03
Discussion and Research of Unified Identity Authentication in Universities
YANG Shen-shen, SONG Xiao-guang
(Network Center, Shanghai Business School, Shanghai 201400, China)
Abstract: Based on the development of campus network and the Web applications in universities, it is urgent to develop the system integration and the uniformed management. The appearance of unified identity authentication platform offers a foundation to data center, public database and global information service construction. The platform of backgsound database, identity authentication, concept of Kerbero protocol and service management are discussed. The overall planning of the information construction is presented.
Keywords: unified identity service; lightweight directory access protocol(LDAP); identification; digital sign; Kerbero protocol
0 引 言
计算机网络技术的迅猛发展极大推动着高校信息化建设前进的脚步。学生、教职工对于信息获取高质高效的要求,以及彻底实现“无纸化”办公的发展前景,无不在说明数字化校园建设的重要性与紧迫性。各种针对高校信息化建设的信息管理系统不断应用于各高等院校,建设缺乏标准,各个部门形成一个个信息“孤岛”,各应用系统都需要进行身份的认证并且对不同身份所拥有的角色进行授权,彼此之间很难进行数据共享。“独立认证、独立授权、独立帐号管理”的模式已经不能适应未来高校信息化建设的发展。统一身份认证平台就是集中身份认证和管理的平台,它实现单点登陆,用统一的身份认证模式,即一人一个帐号和密码就能浏览整个学校的应用系统。在学校工作人员进行了调动、调级、调职等变更,或者学校体制改革、组织机构变动后,使用户的身份在各系统之间协调同步而且用户只需要记住一个帐号和密码,减少应用系统的开发和维护成本。
上海交通大学自主开发了jaccount认证体系;复旦大学在2003年也正式投入使用了统一身份认证平台;华东师范大学2003开发了基于SUN ONE的公共数据库。近两年来,上海海事大学、工程技术大学、电力学院、对外贸易学院、体育学院等二本院校也都相继开通了统一身份认证平台,并达到了良好的运行状态,如┩1所示。统一身份认证平台的建立为学校公共数据库及公共交换平台等的建立做好了准备,为最终实现数据之间的共享、传递、挖掘和统一管理奠定了基础。
图1 统一身份认证平台总体构架
1 LDAP协议简介
目录服务是一个储存、组织和提供信息访问服务的软件系统,遵循LDAP和X.500协议,最常用的例子是DNS,Netmeeting服务。
LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)用来存储和管理用户身份和访问控制权限。它针对常见的目录操作,例如对存储在目录服务器中的信息执行的读取、编辑、搜索和删除操作。LDAP目录服务器是用来处理查询和更新LDAP目录的,它是统一身份认证平台的基础,将存储校园网信息服务上的所有账号、密码、邮箱、职称、联系方式、工资信息等字段。大多数的LDAP服务器都为读密集型的操作进行专门的优化,因此从LDAP服务器中读取数据的速度要比从专门为OLTP优化的关系型数据库中读取快一个数量级;也正是因为专门为读的性能进行优化,所以大多数的LDAP目录服务器并不适合存储需要经常改变的数据。
LDAP有4种基本模型:信息模型、命名模型、功能模型和安全模型。其中的安全模型提供了一个框架以防止目录数据受到未授权的访问,它主要通过身份认证、安全通道和访问控制来实现。
(1) 身份认证:在LDAP中提供3种认证机制,即匿名、基本认证和SASL认证。
(2) 安全通道:在LDAP中提供了基于SSI/IIS的通信安全保障。LDAP通过StartTLS方式启动TLS服务,可以提供通信中的数据保密性、完整性保护。
(3) 访问控制:虽然LDAP目前并无访问控制的标准,在LDAP中是基于访问控制策略语句来实现访问控制的。
目前主流的统一身份认证平台都采用LDAP标准的目录服务器存储用户的身份数据和各个应用系统的信息。当然LDAP目录中还可以存储例如电子邮件地址、邮件路由信息、人力资源数据、公用密钥、联系人列表等的数据类型。
2 认证
身份认证顾名思义就是判断一个用户是否为合法用户。最常见、最简单的方式是通过输入用户名和密码来判定其是否与数据库中存储的该用户的用户名和密码一致,以此来判定其身份是否合法。
2.1 认证的安全性
信息安全中经常使用密钥,对于普通的对称密钥,加密和解密运算都使用同样的密钥,例如DES算法,此加密算法简便高效、破译十分困难。但是在公开的计算机网络上安全地传送和保管密钥是┮桓鲅暇的问题。正是由于对称密码学中双方都使用相同的密钥,因此无法实现数据签名和不可否认性等功能。20世纪70年代,公开密钥体制也即非对称密钥出现,它采用一个公钥和一个私钥进行加密、解密。它们具有这种性质:每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。
公钥加密算法提供了“数字签名”的基础,如果一个用户用自己的私人密钥对数据进行处理,他可以用其提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名――一种别人无法产生的文件。 数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。数字签名的过程如图2所示。
图2 数字签名的过程
数字证书可以说是网络用户的身份证明,就像生活中每个人都拥有一张证明个人身份的证件,在互联网的交往互动中,就可以使用数字证书来证明自己的身份和标识对方的身份。为了达到这样的目的,数字证书必须有权威性、惟一性、真实性和可靠性,因此必须确保该数字证书是由具有权威性的国际(Certification Authority,CA)中心签发的。
复杂一些的身份认证方式采用一些较为复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,例如:Kerbero协议、Liberty协议、Passport系统等。这里详细介绍Kerbero协议[1-2],其算法过程如图3所示。
图3 Kerbero协议的算法过程
① Client将请求的服务名等发送给密钥分配中心KDC,KDC中的TGS9(授予票据服务)将为Client和Service之间生成一个Session Key(对话密钥)也即密钥c。
② KDC将“密钥c+用户名*+用户IP*+服务名*+有效期*+时间戳”一起包装为“Ticket”发送给Service,不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service。
由于这个Ticket是要给Service的,不能让Client看到,因此KDC将Ticket用密钥b加密。同时为了让Client和Service之间共享密钥c,KDC用密钥a将密钥c加密随加密的Ticket一起返回给Client。
③ 由于Client不知道KDC与Service之间的密钥,所以它无法篡改Ticket中的信息。同时Client用密钥a将收到的密钥c解密出来,然后将自己的“用户名+用户IP”包装为“Authenticator”用密钥c加密也发送给Service。
④ Service 收到Ticket后用密钥b将“Ticket”中的信息解密出来,从而获得密钥c,用户名*,用户IP*,服务名*,有效期*。然后再用密钥c将“Authenticator”解密,从而获得用户名、用户IP。将其与之前“Ticket”中解密出来的用户名*,用户IP*做比较从而验证Client的身份。如果Service有返回结果,将其返回给Client。
2.2 认证方式
基本的认证方式是基于用户名和密码的。第一种方式是使用浏览器,用户访问登录界面,系统会提示用户输入ID和密码,校验通过后系统在用户的浏览器环境中设置一个会话信息。以后在统一浏览环境中,用户的身份以这个会话信息确定;第二种方式是使用Java和C程序,通过API进行认证,该API要求用户输入用户ID和密码,成功后返回一个会话令牌,该令牌可以传递到其他应用如浏览器中,继续有效[3]。
(1) 用户使用在统一认证服务注册的用户名和密码登陆统一认证服务;
(2) 统一认证服务创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户;
(3) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;
(4) 该应用系统将访问认证令牌传入统一身份认证服务,认证访问认证令牌的有效性;
(5) 统一身份认证服务确认认证令牌的有效性;
(6) 应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌,使得用户以后可以使用这个私有令牌持续访问。认证方式的流程图如图4所示。
图4 认证方式的流程图
2.3 认证接口
作为设计者,需要系统具有良好的扩展性和可集成性,不仅能支持现有的应用系统及用户系统,当有新的应用被部署或开发的时候,这个统一身份认证服务还可以将其集成到系统当中,实现用户身份认证和单点登陆功能。这就要求系统必须具有帐号关联的功能,能够记录已有应用系统的用户帐号与用户中心的用户帐号的对应关系,用户在进行统一身份认证服务之后,自动使用相应的应用系统帐号来访问应用系统。
各个业务系统与统一身份认证平台的集成通过认证接口服务实现,常用ICE接口来完成。就我们学校的情况来讲,目前主要接入OA、教务、财务、邮件4个应用系统;LDAP接口主要用于非WEB应用,主要包括FTP、无线、有线网络认证、VPN、Proxy等,完成与统一身份认证的通信。LDAP接口主要特点是速度快,可用于短时间高并发的访问[4]。
3 管理服务
管理控制台承担整个统一身份认证平台的身份数据管理、系统服务管理、平台运行管理工作,是整个平台的集中管理控制中心。管理控制台通过安装在各个服务器上的管理控制实现对各个组件的实时监视、远程控制、远程配置,并提供用户数据、口令、权限等管理功能。网络中心管理员通过这样一个界面的管理,可以实时了解软、硬件的运行问题,并针对问题及时准确地进行维护,提高了管理效率。
4 结 语
我校数字化校园一期暨统一身份认证平台项目从前期调研学习、沟通交流到正式启动,经历了大半年的时间。统一身份认证平台在正式运行稳定以后,一套用户名和密码必将方便网络中心的管理和学生教师的使用。但是其最根本的意义是为学校数字化校园的后期建设奠定了基础,门户、应用系统集成、统一数据库、数据交换平台将会在其之后陆续上线,数据标准的建立以及前期的使用效果,必将大大提高各职能部门和院系的积极性并保证了后续各应用系统的规范化建立。
参考文献
[1]CLIFFORD N B. Theodore Ts′o. Kerberos: An authentication service for computer networks[J]. Institute of Electrical and Electronics Engineers, 1994(32): 33-38.
[2]高运良,汪勇.基于改进Kerberos的电子商务认证协议的设计[EB/OL].[2006-09-14].. 2006.
[3]陈翼,吴庆杰.清除统一身份认证的安全“蚁穴”[J].中国教育网络,2009(9):61-62.
[4]东一舟.南师大统一身份认证平台[R].南京:2009教育网络与信息安全会议,2009.
[5]张燕.数字化校园建设中统一身份认证的实现方案[J].中国科技信息,2008(17):127-128.
[6]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认
证的实现[J].现代计算机,2008(12):25-28.
[7]钱银中.数字校园中统一身份认证系统的设计与实现[J].常州工学院学报,2005(18):30-34.
[8]牛卫红,张一帆.统一身份认证方法的研究[J].通信论坛,2008(18):44-46.
[9]沈斌,史鸣杰.统一身份认证平台的设计[J].南京师范大学学报:工程技术版,2007(4):73-75.
[10]马荣飞.统一身份认证系统的研究与实现[J].计算机工程与科学,2009(12):145-149.
[11]张冲,武超,杨要科.校园网统一身份认证系统的设计与实现[J].中原工学院学报,2008,19(4):68-71.
[12]罗东俊.一种面向服务的统一身份认证协议[J].上海应用技术学院学报,2005(5):283-286.
[13]王颐帅.用LDAP建立统一身份认证平台和ASP接口实现[J].实验科学与技术,2006,4(1):57-59
[14]常潘,沈富可.基于LDAP的校园网统一身份认证的实现[J].计算机工程,2007,33(5):281-283.
[15]刘海龙,苗斌,王妍.建立高校数字化校园统一身份认证平台的构想[J].光盘技术,2009(1):23.