校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)方案

1、 校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)摘要隨著高校信息化建設(shè)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，很多高校在不同階段開(kāi)發(fā)出了許多應(yīng)用系統(tǒng)，這些系統(tǒng)可能是跨平臺(tái)跨域的，都有其獨(dú)立的安全驗(yàn)證機(jī)制。用戶(hù)使用的應(yīng)用系統(tǒng)越多，所妯須記住的用戶(hù)ID和用戶(hù)密碼就越多；客戶(hù)出錯(cuò)、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，對(duì)網(wǎng)絡(luò)用戶(hù)實(shí)行統(tǒng)一的管理、認(rèn)證和授權(quán)是校園網(wǎng)建設(shè)中的一個(gè)重要步驟。從LDAP協(xié)議出發(fā)，描述了典型的校園網(wǎng)絡(luò)中如何實(shí)現(xiàn)多系統(tǒng)之間的統(tǒng)一身份認(rèn)證。關(guān)鍵詞：LDAP；目錄服務(wù)；單點(diǎn)登錄機(jī)制；統(tǒng)一身份認(rèn)證前言隨著信息技術(shù)的不斷發(fā)展，學(xué)校信息化建設(shè)的不斷推廣和深入，數(shù)字化校園已成為建

2、設(shè)現(xiàn)代化高校的建設(shè)目標(biāo)之一，基于校園網(wǎng)的應(yīng)用系統(tǒng)也會(huì)越來(lái)越多，如網(wǎng)絡(luò)課堂、數(shù)字化圖書(shū)館、網(wǎng)絡(luò)視頻會(huì)議、一卡通系統(tǒng)等。另外，網(wǎng)絡(luò)用戶(hù)、網(wǎng)絡(luò)帶寬需求、聯(lián)網(wǎng)主機(jī)數(shù)量的急劇增大，都對(duì)數(shù)字化校園的管理提出了挑戰(zhàn)。而不管哪種應(yīng)用系統(tǒng)，都需要對(duì)用戶(hù)的身份進(jìn)行識(shí)別認(rèn)證，同時(shí)對(duì)不同的身份所擁有的操作權(quán)限進(jìn)行授權(quán)。用戶(hù)使用的應(yīng)用系統(tǒng)越多，所必須記住的用戶(hù)ID和用戶(hù)密碼就越多，客戶(hù)出錯(cuò)、泄露密碼等直接威脅到系統(tǒng)安全的可能性也就越大。因此，建立一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，對(duì)網(wǎng)絡(luò)用戶(hù)實(shí)行統(tǒng)一的管理、認(rèn)證和授權(quán)是校園網(wǎng)建設(shè)中的一個(gè)重要容。第1章 LDAP目錄服務(wù)和統(tǒng)一身份認(rèn)證系統(tǒng)目前主流的統(tǒng)一身份認(rèn)證方案中，都使用了目錄服務(wù)技

3、術(shù)。隨著輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議(LightDirectory Access Protocol，LDAP)技術(shù)的興起和應(yīng)用領(lǐng)域的不斷擴(kuò)展，目錄服務(wù)技術(shù)成為許多新型技術(shù)實(shí)現(xiàn)信息存儲(chǔ)、管理和查詢(xún)的首選方案，特別是在網(wǎng)絡(luò)資源查找、用戶(hù)訪(fǎng)問(wèn)控制與認(rèn)證信息的查詢(xún)、新型網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全、商務(wù)網(wǎng)的通用數(shù)據(jù)庫(kù)服務(wù)和安全服務(wù)等方面，都需要應(yīng)用目錄服務(wù)技術(shù)來(lái)實(shí)現(xiàn)一個(gè)通用、完善、應(yīng)用簡(jiǎn)單和可以擴(kuò)展的系統(tǒng)。根據(jù)美國(guó)著名的網(wǎng)絡(luò)顧問(wèn)公司Burton Group的說(shuō)法：“目錄服務(wù)是由系統(tǒng)安全架構(gòu)、應(yīng)用程序與其他網(wǎng)絡(luò)服務(wù)所構(gòu)成的分布式計(jì)算環(huán)境的中心點(diǎn)，也是大型分布式運(yùn)算環(huán)境中的最重要的元件，而它的實(shí)現(xiàn)會(huì)為我們所熟知的網(wǎng)絡(luò)運(yùn)算模式

4、帶來(lái)根本的改變。LDAP最大的優(yōu)勢(shì)是：它是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為L(zhǎng)DAP目錄放在什么樣的服務(wù)器上操心了。它可以應(yīng)用在任何計(jì)算機(jī)平臺(tái)上，很容易獲得，而且它也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。其次，它有優(yōu)秀的檢索性能，LDAP在處理大量用戶(hù)并發(fā)檢索訪(fǎng)問(wèn)問(wèn)題上優(yōu)勢(shì)明顯，具有比關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)更快的響應(yīng)速度。第三，它有完善的安全機(jī)制，LDAP通過(guò)訪(fǎng)問(wèn)控制列表ACL設(shè)置對(duì)目錄數(shù)據(jù)的讀和寫(xiě)的權(quán)限，通過(guò)支持基于SSL(Secure Socket Layer)的安全機(jī)制完成對(duì)明文加密，能提供更安全的保障。第四，同步復(fù)制功能，分布在不同地域的兩臺(tái)目錄服務(wù)器通過(guò)使用“推”、“拉”技術(shù)，使

5、服務(wù)器保持?jǐn)?shù)據(jù)的同步和一致啦。由于LDAP卓越的檢索性能和跨平臺(tái)支持的特性正符合統(tǒng)一認(rèn)證系統(tǒng)量用戶(hù)口令的存儲(chǔ)和管理的要求，因此，在統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)中，目錄服務(wù)數(shù)據(jù)庫(kù)是整個(gè)統(tǒng)一認(rèn)證系統(tǒng)的基礎(chǔ)。采用標(biāo)準(zhǔn)的LDAP目錄服務(wù)數(shù)據(jù)庫(kù)，通過(guò)LDAP目錄服務(wù)將用戶(hù)和應(yīng)用系統(tǒng)的信息以層次結(jié)構(gòu)、面向?qū)ο蟮臄?shù)據(jù)庫(kù)的方式加以集中和管理，保證了數(shù)據(jù)的一致性和完整性，為各類(lèi)應(yīng)用系統(tǒng)提供用戶(hù)信息的共享和使用。第2章 校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)在建立基于LDAP統(tǒng)一身份認(rèn)證系統(tǒng)的過(guò)程中，既要方便新建立的系統(tǒng)使用統(tǒng)一身份認(rèn)證子系統(tǒng)，又要照顧原來(lái)建立的老系統(tǒng)，使原有系統(tǒng)做盡可能小的變動(dòng)就可以使用統(tǒng)一身份認(rèn)證子系統(tǒng)，最大限度

6、實(shí)現(xiàn)數(shù)據(jù)整合。統(tǒng)一認(rèn)證系統(tǒng)設(shè)計(jì)的核心思想是用目錄服務(wù)數(shù)據(jù)庫(kù)集中存儲(chǔ)用戶(hù)的信息和各個(gè)應(yīng)用系統(tǒng)的信息，實(shí)現(xiàn)對(duì)用戶(hù)的集中管理、統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)，以與實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制。統(tǒng)一身份認(rèn)證系統(tǒng)的體系結(jié)構(gòu)如圖l所示。統(tǒng)一認(rèn)證系統(tǒng)首先從根本上不再使用簡(jiǎn)單的基于用戶(hù)名和密碼的身份認(rèn)證機(jī)制，而是采用結(jié)合了密碼學(xué)技術(shù)的新的身份認(rèn)證機(jī)制。新的身份認(rèn)證機(jī)制可以大大提高系統(tǒng)的安全性，同時(shí)也可以保證用戶(hù)的電子身份標(biāo)識(shí)能安全、高效地在網(wǎng)絡(luò)中傳輸。其次，統(tǒng)一認(rèn)證系統(tǒng)把原來(lái)分散的用戶(hù)管理集中了起來(lái)，各個(gè)系統(tǒng)之間依靠相互信賴(lài)的關(guān)系來(lái)進(jìn)行用戶(hù)身份的自動(dòng)認(rèn)證。用戶(hù)的信息是集中保存和管理的，管理員只需要在統(tǒng)一的用戶(hù)信息數(shù)據(jù)庫(kù)中添加

7、或刪除用戶(hù)，不必在多個(gè)系統(tǒng)中分別設(shè)置用戶(hù)信息數(shù)據(jù)庫(kù)。通過(guò)分析系統(tǒng)的體系結(jié)構(gòu)，該系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)了用戶(hù)的集中管理、獨(dú)立應(yīng)用系統(tǒng)的集成、統(tǒng)一授權(quán)和單點(diǎn)登錄。下面對(duì)該系統(tǒng)所具有的一些特點(diǎn)進(jìn)行分析：1)支持Web方式認(rèn)證，提供單點(diǎn)登錄服務(wù)功能。本系統(tǒng)提供了一個(gè)與其他系統(tǒng)相融合的框架，將各自獨(dú)立開(kāi)發(fā)的應(yīng)用系統(tǒng)通過(guò)應(yīng)用系統(tǒng)注冊(cè)通用接口集成起來(lái)，方便獨(dú)立系統(tǒng)用戶(hù)與認(rèn)證系統(tǒng)用戶(hù)映射。2)提供基于LDAP開(kāi)放標(biāo)準(zhǔn)的統(tǒng)一用戶(hù)管理功能，并具有將多種異構(gòu)數(shù)據(jù)源整合到目錄的功能，易于系統(tǒng)維護(hù)和降低管理成本。這種方案結(jié)合基于角色的訪(fǎng)問(wèn)控制，實(shí)現(xiàn)了用戶(hù)與系統(tǒng)的分離，保證了服務(wù)器的安全。3)支持基于改進(jìn)Kerberos認(rèn)證機(jī)制

8、。加強(qiáng)應(yīng)用安全。放棄Kerberos協(xié)議采用的加密算法AES，采用基于橢圓曲線(xiàn)上離散對(duì)數(shù)計(jì)算問(wèn)題的ECC算法，改進(jìn)了原Kerberos協(xié)議p。1存在的部分缺陷，使系統(tǒng)運(yùn)行更加安全。改進(jìn)的Kerberos協(xié)議強(qiáng)度更高，密鑰產(chǎn)生、分配和管理更加方便，能夠防止口令猜測(cè)攻擊和重放攻擊，驗(yàn)證過(guò)程更安全、真實(shí)和更可靠。由于新的驗(yàn)證協(xié)議不再需要用戶(hù)輸入登錄應(yīng)用系統(tǒng)的口令，可實(shí)現(xiàn)多業(yè)務(wù)模式下的單點(diǎn)登錄。第3章LDAP協(xié)議與數(shù)據(jù)模型分析31 目錄數(shù)據(jù)選擇設(shè)計(jì)目錄中存儲(chǔ)的數(shù)據(jù)是目錄信息庫(kù)設(shè)計(jì)中最重要的一步，也是最耗費(fèi)時(shí)間的一項(xiàng)工作。目錄數(shù)據(jù)的選擇耍遵循以下的一些原則：1)要根據(jù)目錄服務(wù)種類(lèi)收集所需的數(shù)據(jù)確定有哪些

9、基于目錄的應(yīng)用程序與它們所需要的數(shù)據(jù)。例如，本系統(tǒng)要提供查詢(xún)服務(wù)，就需要查詢(xún)服務(wù)確定學(xué)生、老師、部門(mén)組織等的具體信息。2)選擇合適的數(shù)據(jù)目錄的特性決定了其中的數(shù)據(jù)類(lèi)型結(jié)構(gòu)化、被搿讀”的頻率高、具有訪(fǎng)問(wèn)的普遍性，即不止一個(gè)應(yīng)用程序需要訪(fǎng)問(wèn)的數(shù)據(jù)。3)調(diào)查數(shù)據(jù)的來(lái)源、所有者，對(duì)已存在的數(shù)據(jù)確定將其導(dǎo)入目錄的策略。32目錄模式分析模式設(shè)計(jì)是將我們所選擇的數(shù)據(jù)結(jié)構(gòu)化的一個(gè)步驟。模式定義了各種屬性類(lèi)型和對(duì)象類(lèi)型。當(dāng)客戶(hù)端程序訪(fǎng)問(wèn)目錄時(shí)，服務(wù)器以此決定目錄中的條目是否滿(mǎn)足某查詢(xún)條件或添加的條目是否符合類(lèi)型定義。目錄服務(wù)器的缺省模式中定義了豐富的類(lèi)型，如RFC2798定義了一個(gè)名為lnetOrgPerson

10、的LDAP對(duì)象類(lèi)以與一組該對(duì)象類(lèi)可用的屬性。這些屬性都是目錄服務(wù)中經(jīng)常要用到的一個(gè)人的常用信息，如：Users，Password。針對(duì)辦公自動(dòng)化系統(tǒng)的實(shí)際應(yīng)用，InetOrgPerson對(duì)象類(lèi)中已有的屬性所能表示的信息是不夠的，很多屬性以與各種服務(wù)之間的關(guān)系(如用戶(hù)拖欠上網(wǎng)費(fèi)用，可以暫停向其提供閱覽圖書(shū)館電子圖書(shū)的服務(wù)，但是又不能影響該用戶(hù)瀏覽校公文)很難直接用標(biāo)準(zhǔn)模式中定義的屬性來(lái)表示。為此我們也可根據(jù)實(shí)際的需要自己定義一些類(lèi)型，自定義模式不僅能夠恰當(dāng)?shù)拿枋鱿到y(tǒng)的需求，而具有很好的可擴(kuò)展性，當(dāng)需要一個(gè)新的屬性或?qū)ο髸r(shí)，只要在模式文件中定義相應(yīng)的屬性類(lèi)型和對(duì)象類(lèi)就行了。但要確保模式在目錄中的一

11、致性，不能同樣類(lèi)型的數(shù)據(jù)有多種類(lèi)型定義。33 目錄信息樹(shù)分析目錄信息樹(shù)的根(RoOT)是一個(gè)虛根，并沒(méi)有實(shí)際意義。樹(shù)中的任意一個(gè)節(jié)點(diǎn)都是目錄信息樹(shù)的一個(gè)入口，每一個(gè)節(jié)點(diǎn)旁的標(biāo)注指明了該入口的一個(gè)或多個(gè)屬性值，構(gòu)成了該入口的相關(guān)辨識(shí)名(簡(jiǎn)稱(chēng)RDN)，把該入口與其它同級(jí)入口區(qū)別開(kāi)來(lái)，從特定入口到根的直接下級(jí)入口的相關(guān)辨識(shí)名序列形成了該特定入口的辨識(shí)名(簡(jiǎn)稱(chēng)DN)，可以在整個(gè)樹(shù)中標(biāo)識(shí)該入口。如圖2所示。目錄信息樹(shù)的結(jié)構(gòu)是根據(jù)一定的結(jié)構(gòu)確定的?？梢园吹乩砦恢脕?lái)進(jìn)行分支設(shè)計(jì)，也可以按邏輯組織來(lái)劃分。在設(shè)計(jì)目錄信息樹(shù)結(jié)構(gòu)時(shí)最重要的一條原則就是保持“平”結(jié)構(gòu)，即目錄樹(shù)的層次盡量少。因?yàn)槲覀冊(cè)O(shè)計(jì)目錄信息樹(shù)的宗

12、旨之一就是當(dāng)改變信息樹(shù)中的某個(gè)信息時(shí)，盡量減少對(duì)其他部分的影響。目錄信息樹(shù)的層次越少，對(duì)應(yīng)的各條目的DN越短，受其它信息變化的影響就越小。而且用戶(hù)的管理員在使用時(shí)更為方便。同時(shí)，對(duì)于物理位置獨(dú)立或具有單獨(dú)的管理權(quán)限的部分在結(jié)構(gòu)設(shè)計(jì)時(shí)盡量為獨(dú)立的一部分。例如，Uid-tansl，OU=person，Oufdgut，O-edu，Cmcn。LDAP目錄樹(shù)的“根”或頂部是基本DN?；綝N通常有兩種形式：從組織的屬性派生的(例如，C=cn，o=edu)，或者從組織的DNS域組件派生的DN(例如，DC-cn，DC-edu)。樹(shù)根下有三類(lèi)信息；1)People：存儲(chǔ)用戶(hù)和信息，分為三類(lèi)角色：Teacher

13、s，Students和Others，每一類(lèi)角色可以根據(jù)需要進(jìn)一步細(xì)化。2)Application：應(yīng)用系統(tǒng)的信息，如Mail、人事、教務(wù)、OA系統(tǒng)等。3)Services：需要發(fā)布為Web服務(wù)的應(yīng)用。第4章 統(tǒng)一身份認(rèn)證在校園網(wǎng)的應(yīng)用為實(shí)現(xiàn)校園網(wǎng)用戶(hù)身份的統(tǒng)一認(rèn)證，本系統(tǒng)開(kāi)發(fā)選用SUN ONE Directory Server52 for Linux。它是一個(gè)開(kāi)放源代碼項(xiàng)目，實(shí)現(xiàn)了對(duì)LDAP v3的支持，支持SSL連接，支持密碼認(rèn)證、Kerberos和SASL身份認(rèn)證機(jī)制，支持ACL訪(fǎng)問(wèn)控制，支持多種后臺(tái)數(shù)據(jù)庫(kù)。開(kāi)發(fā)環(huán)境為Sun ONE Smdio 52。采用BS結(jié)構(gòu)，使用JDKl5的開(kāi)發(fā)環(huán)境，對(duì)用戶(hù)管理系統(tǒng)進(jìn)行開(kāi)發(fā)，SUN ONE Directory Server52作為身份存儲(chǔ)庫(kù)，用Sybe 10 for Solaris作為輔助數(shù)據(jù)庫(kù)，用JOSSO作模型，開(kāi)發(fā)單點(diǎn)登錄系統(tǒng)。如圖3所示。統(tǒng)一的認(rèn)證系統(tǒng)并非意味著只存在單個(gè)的認(rèn)證服務(wù)器，整個(gè)系統(tǒng)可以擁有兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間只要通過(guò)標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。如圖4所示，當(dāng)用戶(hù)在訪(fǎng)問(wèn)應(yīng)用系統(tǒng)l時(shí)，由第一個(gè)認(rèn)證服務(wù)器進(jìn)行認(rèn)證后，得到由此服務(wù)器產(chǎn)生的ticket。當(dāng)他訪(fǎng)問(wèn)應(yīng)用系統(tǒng)