高职院校授权认证管理系统研究与设计

摘要：随着高校IT应用的迅速发展，各种业务系统和用户数量不断增加，网络规模日益扩大，访问控制和信息安全问题愈见凸现，原有分散的“独立认证、独立授权、独立帐号管理”模式已经不能满足高校目前及未来发展的要求。因此，构建一个完整统一、高效稳定、安全可靠的集中身份管理和身份认证平台已经成为各大高校数字化校园建设的重要目标。通过系统的需求分析、系统的功能分析、系统的简要设计、授权访问模块设计提出了建立一个尽可能解决现有不足的授权访问控制系统的工作模型。在此模型基础上，针对数字化校园的新形势，分析和（部分）实现一个数字化校园下的授权访问控制系统。

关键词：数字化校园；授权访问控制；工作模型

中图分类号：TP309.7 文献标识码：A 文章编号：16727800（2013）009015304

作者简介：张微微（1982-），女，硕士，江苏开放大学城职院教务处实验师，研究方向为计算机网络、网络安全。

0引言

随着各种网络应用迅速出现，用户和主机数量急剧增加，给校园网网络建设工程提出了新的要求，即应用先进的计算机网络技术把高校现有的教学、管理、科研、生活、服务等有关的资源进行整合和集成。为了实现统一的用户管理和后勤服务过程的优化、协调、创新工作模式，完成传统教育模式难以实现的目标，授权认证管理系统的开发势在必行。

授权认证管理系统是数字化校园建设的软件基础平台之一，是校园的各种网络服务和应用系统提供身份认证服务和统一的用户管理平台。授权认证管理系统是一个集中的用户认证管理和集成环境的系统，可管理和分发用户的权限和身份，为不同的应用系统提供统一的用户管理、身份认证、安全保障服务。各应用系统只需保留角色和权限控制功能，用户数据库资源统一保存在认证服务器中，用户和角色的管理由应用系统自行管理。

1系统需求分析

在校园网内的安全威胁行为有用户身份被盗用、IP地址被盗用、网络攻击、私自架设服务器等，网络管理部门需要强有力的身份认证系统对上述行为进行监管。同时，无线局域网（WLAN）在校园的广泛采用更带来了诸如非法接入、窃听、流量分析等新的安全风险[1]。因此，校园网的身份认证系统必须有很高的安全性和可控制性。

另一方面，许多高校有多个校区，在校园网中形成几个独立的域。如果采用全校集中的身份认证系统，大量的认证数据流会造成校区间网络负载的增加，而且唯一的身份认证服务器易形成单点故障，可靠性得不到保证。更好的解决方法是采用分布式认证方式，即各个校区拥有各自区域用户的身份认证服务器，同时又支持用户漫游，而这需要身份认证系统具有跨域认证的能力[2]。

此外，由于无线设备和新业务的进一步发展带来的大量地址需求和IPV4本身的设计缺陷，IPV6协议的应用已经提上日程，许多高校也在这方面进行了研究，故授权访问管理系统对IPV6的支持特性也成为一个不可缺少的需要[3]。

为了解决应用层面的不安全问题，最大限度地减少应用系统中安全隐患，全方位地保证系统安全，需要建设以PKI 技术为核心的安全基础设施。为进一步提高系统的安全性，需要构建一套基于用户名的访问控制和用户审计系统。它可以根据用户的访问认证信息（多种认证手段）对用户进行访问控制授权，使只有特定的许可用户才可以访问到指定服务器的相关业务，而且可以对该用户的访问行为进行日志记录，实现对用户行为审计[4]。实现这种系统的需求是：

①统一的用户身份管理；

②用户访问有关服务器时需要经过身份认证；

③基于用户身份的访问授权控制策略；

④基于用户身份的访问行为的集中审计。

同时，访问认证系统需要具备以下特点：

①安全性——多种认证机制，包括S/Key、Password、SecureID 等，并且可以使用USBKey，实现双因素认证；

②可审计——所有访问活动都记录日志，不可抵赖；

③扩展性——当数据中心有新的服务器时，可以很方便地对新的服务器部署访问控制策略；

④灵活性——多种访问授权控制方式，基于用户、基于IP 、基于时间；

⑤易用性——访问控制系统对用户最好是透明的，即用户不需到访问控制系统登录，访问控制系统可自动获取用户的登录信息；

⑥开放性——与AD 用户管理兼容或整合。

2系统功能分析

授权认证管理功能是IDStarV4.0的核心功能之一，主要使用者是高校信息中心管理员。该功能旨在给管理员提供一个功能全面且易用的管理平台，确保管理员能够管理全校的身份数据及其权限关系，掌握全校身份数据的管理状态和使用状态、审计全校身份数据管理和使用的问题、监控身份管理平台各系统服务的运作状态。

授权认证管理平台主要包括帐号、认证、授权、审计、监控和系统功能这6个功能模块，如图1所示。

具体内容如下所示：

（1）帐号及帐号同步。

帐号身份管理是平台内的一个关键功能项，旨在帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、锁定/解锁和加入组操作。

帐号列表可查询校内所有的身份帐号数据，并提供了对身份帐号数据的所有管理功能。

身份帐号数据的批量导入和导出。

身份帐号数据字段的完整性和实名。

帐号同步功能基于差异视图，管理员可预先配置好一些帐号同步任务，并让这些任务按照事先设置好的时间循环执行，从而满足对身份帐号数据的自动同步和处理。 帐号统计功能主要展现系统内身份帐号数据的所有操作行为的统计项，包括增加、删除和修改帐号的个数，并以图表的形式展现给管理员。同时，帐号统计功能还可提供帐号历史操作细节的查询功能。

（2）认证。

认证模块主要提供对全校身份认证的管理功能，实际的身份认证服务提供并不在此进行。

认证应用用于管理全校已经集成的应用系统，每个集成的应用系统均需要一个认证应用帐号来进行身份认证集成和SSO集成。全校已经集成的应用系统在此功能模块中一目了然。

认证统计主要展现平台帐号的认证情况，包括认证成功和认证失败的情况，同时系统还提供各个认证细节的查询，包括认证的帐号、认证的时间、认证的IP的查询等。

（3）授权及分级授权。

授权主要提供校内身份类型组的管理功能。身份类型组用于区分用户的身份类型。

组管理员可提供增加、删除和修改组的功能，同时还可以实现加帐号入组和从组中删除帐号。

批量操作可使管理员基于Excel文件来完成帐号入组和帐号出组的操作。

授权统计可通过图表展现帐号入组和帐号出组的操作统计，并且提供操作的细节数据的查询，包括操作时间、操作者、操作IP等。

分级授权管理可对系统的管理员进行管理，包括分派、新增和删除管理员。

配置管理主要指整个系统运行需要的参数设置，包括密码策略定义、兼容管理、预留帐号设置等。

（4）审计。

审计是为管理员及时发现问题之用，可发现帐号、认证和授权中出现的一些问题：

帐号审计中的账号包括休眠帐号、孤儿帐号、密码强度不符合要求的帐号和不规范的帐号。

认证审计中的账号包括恶意认证的帐号、密码暴力猜解的帐号和恶意认证的IP地址。

授权审计中的账号包括空组和无组帐号。

差异审计中的账号包括LDAP丢失帐号和数据库丢失帐号。

（5）监控。

监控功能是为管理员提供掌握系统各项服务运行状态的可能性，管理员可实时掌握系统的运行状态。

总体状态分服务器展现各个服务器的总体状态，包括服务器状态、服务器硬件状态和服务器会话状态。

会话状态展现各个服务器上的会话记录状态，并且可提供各个服务器上会话的详细信息，包括帐号、IP地址、最大会话时间、会话空闲时间等信息。

进程状态展现各个服务器上各个进程的健康状况，并可提供详细的历史记录和历史状态。同时，管理员可以在界面上启停各个进程。

服务器状态展现各个服务器的硬盘、CPU和内存的使用状态，并提供详细的历史状态和历史记录。

监控设置主要对监控过程中用到的参数进行设置。

（6）系统。

系统功能主要指对平台运行起支撑作用的功能设置。

日志操作可对用户在平台内的所有操作记录进行查询。

管理员管理可对系统的管理员进行管理，包括分派、新增和删除管理员。

配置管理主要指对整个系统运行需要的参数进行设置，包括密码策略定义、兼容管理、预留帐号设置等。

3系统简要设计

基于需求分析和设计思路，笔者简要设计了授权访问系统的基本功能，授权认证管理系统主要包括4个功能模块，每个模块又包含了几个到十几个不等的功能组，实现了权限管理所需的常用功能。

统一用户及权限管理系统的逻辑结构如图2所示。

4.2分级管理

大学统一身份信息管理、认证系统的管理模块可以创建和管理认证相关的对象。用户、角色、组、策略、服务、组织、子组织以及各种容器等对象都可以通过统一身份认证系统控制台或者批量修改工具方式对其创建、修改和删除。

统一身份认证系统定义了几种默认的管理员，各自有不同的特权来创建和管理组织、组、容器、用户、服务和策略。这些管理员定义在认证服务器内置的 Directory Server 中，这些管理员如表3所示。

5结语

授权认证管理系统的实现需要认证服务端、用户客户端和应用系统之间的良好协作，设计中虽然提出了一个实现的框架，但是，由于应用系统的多样性和灵活性，在具体实现时还有许多工作要做。相信经过逐步完善，该统一身份认证系统可以在数字化校园的信息安全体系中发挥重要的作用，为广大使用者提供便利。

参考文献：

[1]冯启建，王雷.数字化校园的现状与未来[J].河南职工医学院学报，2005（6）：1516.

[2]王焱，周林.数字化校园规划设计与实现[J].信息技术，2008（6）：3234.

[3]王晓东.基于SOA的数字化校园解决方案研究[J].价值工程，2008（5）：6264.

[4]黎波，邱会中.基于SOA的数字化校园——统一身份认证服务的设计与实现[J].福建电脑，2007（3）：4546.