数字化校园的统一管理认证平台研究

摘要：数字化校园是一个多种应用系统高度集成的复杂巨系统，不同类型的应用系统，都需要对用户的身份进行识别认证和授权，因此，建立一个统一的管理认证平台对于数字化校园建设与应用是十分重要的。该文首先对基于目录服务的统一管理认证平台总体架构进行了阐述，其次对统一用户管理服务、统一身份认证服务和统一授权管理服务等进行了研究分析，探讨了数字化校园之统一管理认证平台的建设思路。

关键词：数字化校园；目录服务；统一管理认证

中图分类号：TP302.1 文献标识码：A 文章编号：1009-3044（2014）25-5837-03

随着学校信息化建设的不断推广和深入，数字化校园中的各类应用系统越来越多，校园网络用户的数量不断扩展。而不管哪种应用系统，都需要对用户的身份进行识别认证和授权。用户使用的应用系统越多，所必须记住的用户登录名称和密码就越多，造成客户出错、密码泄露等安全隐患的风险也就越大，影响系统的安全稳定。因此，在数字化校园建设中亟需建立一个统一的管理认证平台，对学校用户实行统一的管理、认证和授权。

1 基于目录服务的统一管理认证平台体系架构

数字化校园中有许多种类多样、功能各异的应用系统，学校教师、学生、管理者等用户往往需要使用多个不同的应用系统，如果各系统独立使用和存储管理一份不同的身份信息，分别进行身份认证，同一个用户就需要记忆多个不同的密码和身份，当他在使用不同的系统时就需要进行多次的登录，这对用户和系统管理来说都非常不便。通过建设统一的管理认证平台，就是要将分散的用户和权限进行统一、集中的管理，实现学校用户身份的统一认证和单点登录，用户只需通过一次身份认证，就可以进入具有相应权限的所有应用系统。

在目前比较先进的统一管理认证平台技术方案中，其后台数据库都采用了高效的LDAP（Lightweight Directory Access Protocol）轻量目录访问协议。LDAP是一种跨平台和标准的协议，具有数据存取速度快、几乎可以存储所有类型的数据，跨越平台和系统，同步复制和分布式服务，完善的安全控制等特点，并且因采用Internet的标准而得到业界的广泛认可。通过运用LDAP技术，可以构建分布式目录结构，存储各种类型的数据，并提供基于这些目录的高效访问。根据数字化校园中用户数据量大，具有统一管理认证系统的应用需求，以及LDAP的技术特点，在构建学校统一管理认证系统时采用LDAP目录服务是理想的技术方案。利用LDAP清晰的目录结构存放学校的组织结构、人员信息、资源和权限信息，以及作为数字证书的存放库，对学校用户认证信息进行有效组织和管理。

利用LDAP技术建立数字化校园统一管理认证平台，要着眼于各类应用系统的统一身份认证，如既要方便新建系统使用身份认证系统，又要兼顾已有的老系统，使老系统做尽可能小的改动就可以使用身份认证子系统，最大限度实现数据整合。统一管理认证平台建设的核心理念，是利用目录服务数据库来集中存储用户和各应用系统的信息，从而实现对用户的统一管理、统一认证和统一授权，同时实现对各类应用系统的访问控制，进而提高整个系统的整体性、可管理性和安全性。基于目录服务的统一管理认证平台总体上由目录服务、统一用户管理服务、统一身份认证服务和统一授权管理服务四大模块组成。该管理认证平台的体系结构如图1所示。

2 统一用户管理服务

统一用户管理服务主要管理学校用户的电子身份，通过它可以对所有信息系统中的人员进行统一管理，这是统一身份认证和授权管理的前提。数字化校园统一用户管理服务的目标，是完成学校各应用系统的用户信息整合，实现学校用户身份信息的集中统一管理，建立与各应用系统的同步机制，简化用户及其账号的管理复杂程度，降低系统管理的安全风险。

具体来说，数字化校园统一用户管理服务主要实现以下功能：

1） 注册管理。用户注册是指用户在统一管理认证平台中注册用户帐号，通过该帐号，可以对所有使用统一管理认证平台的学校应用系统进行登录。注册管理包括新用户注册和用户修改注册信息两部分。注册管理模块的功能主要包括启动、注册向导、登录、注销等。

2） 部门管理。部门管理即对部门信息进行统一管理，可以修改部门信息，增加、删除子部门。同时，将需要维护的部门信息，如部门的顺序号、名称、ID等数据同步到其他信息系统中。

3） 人员管理。人员管理即对人员信息进行管理，可以增加、删除和修改人员的信息，可以重置人员密码。同时将需要维护的人员信息，如人员的顺序号、姓名、ID、职务级别、所属部门等数据同步到其他信息系统中。

4） 人员信息查询。人员信息查询采用目录树的方式展示部门与人员的隶属关系，可以在相应的部门列表中按多种条件查询人员信息。列表中的人员姓名上有链接，可以链入查询用户的详细信息。

5） 用户自助服务。每个数字化校园登录用户都可以修改自己的通用信息，如电话号码、房间号等，这些信息条目由系统管理员设置。

6） 系统维护。系统维护对用户进行分组管理，包括维护组的信息，增加新组以添加一个新的用户分类方式；可以选择和配置系统同步方式，包括实时同步、定时同步；可以进行属性配置等。

3 统一身份认证服务

统一身份认证服务实现对校内所有用户的数字化身份认证，是数字化校园的安全门户入口。统一身份认证服务提供平台的核心基础服务，该服务建立在基于目录服务的统一用户管理的基础之上，用户在访问校园门户网站或各类应用系统时，将首先被指向统一身份认证中心进行认证。在整个认证系统中，其服务的对象包括数字化校园中接入统一管理认证平台的所有应用系统，统一身份认证能够提供快速、高效和安全的服务，已有应用系统接入改造小，系统具有灵活的扩展性、高可用性。

3.1 统一身份认证的特点

1） 提供统一的身份认证服务。统一身份认证可以为多个不同种类、不同形式的应用提供统一的认证服务，不需要应用系统独立开发、设计认证系统，为各类应用提供了统一的接入形式。

2） 支持多种认证方式。学校的不同应用系统的安全级别不同，使用环境不同，用户的习惯和操作熟练程度不同，统一认证服务具有很强的适应性，可以针对这些不同的应用特点，提供相适应的认证手段。

3） 统一与个性相结合的认证策略。统一身份认证针对不同的认证方式，既提供了统一的策略控制，各个应用系统也可以根据自身的需要进行个性化的策略设置，根据应用或用户类型的需求，设置个性化的认证策略，提高应用系统的分级管理安全。

3.2 身份认证服务方式的选择

统一管理认证平台通过定义符合学校特点的身份数据规范，并将其应用于每个用户身份，以管理这些用户对资源的访问。在此基础上实现单点登录（SSO），保证用户一次登录即可按照授权访问相应权限的所有资源。统一身份认证服务的设计，可采用认证方式与登录方式分层的设计，同时可平滑扩展多种登录方式，支持多级登录处理认证机制。目前主要有以下几种登录认证方式：

1） LDAP认证。LDAP认证方式是基于目录服务的统一管理认证系统的主要认证方式。使用该认证方式，用户的身份信息与口令存储在指定的LDAP目录中。当一个用户登录时，通过其提供的用户名称、口令与该LDAP目录中记录的该用户名称、口令信息进行比对，如一致则认证成功，反之则认证失败。

2） 数字证书认证。数字证书（CA）是目前最常用的一种比较安全的身份认证技术。数字证书技术是在PKI体系基础上实现的，用户不但可以通过数字证书完成身份认证，还可以进一步进行安全加密、数字签名等操作。数字证书的存储方式非常灵活，数字证书可被直接存储在计算机中，也可存储在智能卡或USB Key中。

3） RADIUS认证。RADIUS认证是利用外部拨号认证系统的一种认证机制，如果学校用户通过了外部拨号认证系统的认证，系统则认为此用户认证通过。

4） 通行码认证。通行码是统一身份认证支持的一种特有认证方式，用户遗忘或者丢失其他认证信息时，可以向管理员申请一次性使用的通行码口令进行身份认证，主要满足安全应急服务。通行码具备时效性和一次性特点，当使用过或者超出使用时间范围，其认证效力自动失效，有效地保证了系统的安全性和可靠性。

上述各种认证方式在安全性、易用性和部署成本上各不相同，在实践中可以针对不同的用户群与不同的应用需要，对所采用的认证方式进行个性化的设置。如在单点登录系统中，可以根据角色、用户、服务指定不同的认证方式，也可以在认证时直接指定认证模块和个性化的认证选项。

3.3 统一身份认证服务的一般流程

在统一身份认证服务中，对用户进行统一认证服务的一般流程如下：

1） 学校用户通过统一信息门户登录到所要进入的应用系统；

2） 应用系统向统一认证服务系统提交请求进行认证的用户信息；

3） 统一认证服务系统对所申请的用户信息进行验证，确认所申请的用户信息的有效性，或否定用户信息的有效性；

4） 统一认证服务系统在用户信息申请通过认证后，将该用户所属组信息返回给应用系统；

5） 对通过认证的用户信息申请，应用系统根据用户所在组的级别，授予该用户相应的访问权限。

4 统一授权管理服务

统一授权管理服务是在统一用户管理实施的基础上进行的，在实现了各应用系统账号的统一管理之后，对系统用户的访问权限进行集中和统一管理。根据数字化校园安全策略，通常采用基于角色的访问控制技术，提供对学校多应用系统进行有效的访问控制和授权管理功能，提高系统管理的效率。统一授权管理服务主要包括以下功能：

1） 应用管理。即对应用系统的管理，实现对应用系统的添加、修改、删除和停用/启用操作等。

2） 角色管理。即对用户角色的管理，对用户角色的添加、修改、删除操作等。对角色进行归类，可以按所属部门归类，如教务处、学生处、科研处等；可以按用户的职务级别归类，如校领导、院领导、系领导、室领导等；可以按用户的职位归类，如教学岗、管理岗、服务岗等；可以按群组归类，如XXX教研组等。

3） 权限配置管理。即对用户访问资源的授权进行管理，通过对用户组和角色与应用系统的关联关系进行创建和维护，确定用户对应用系统访问的授权。授权管理分为两类：一类是实体级授权，指主账号代表的自然人可以访问哪些资源的授权，主要通过统一用户管理和统一认证、授权管理的整合完成。另一类是实体内授权，主要指包括基于角色的授权和细粒度权限授权，一般通过整合应用中的角色模块实现。

4） 分级授权管理。建立全校的分级授权机制，每一个部门、院系办公室都可以参与授权管理。学校管理员负责将权限分配到业务部门、院系，每一个部门、院系办公室需要配有一个信息员管理本部门的角色创建、用户授权工作。

5） 用户权限审计。提供用户管理、认证管理的审计信息，查询并审计用户的访问权限。

参考文献：

[1] 曲彬.南京大学数字化校园平台的设计与实现[D].大连：大连理工大学，2009.

[2] 燕敏.高校数字化校园建设中关键技术的研究[D].西安：西安石油大学，2008.

[3] 王蓓蓓.面向高职院校的统一身份认证系统研究[J].信息技术与信息化，2012（4）.