高校統一身份認證的探討與研究

摘 要:現如今高校校園網的基礎設施都已經建立，各主要業務部門基于Web的應用也相繼完成，高校亟需數據資源的整合和統一管理。統一身份認證平臺的出現為數據中心、公共數據庫及全局業務的建立提供了較好的基礎。主要探討統一身份認證平臺的后臺數據庫、安全認證、Kerbero協議的概念及如何進行管理服務。結合自己學校的情況，給出了信息化建設的總體規劃。

關鍵詞:統一身份認證; LDAP協議; 認證; 數字簽名; Kerbero協議

中圖分類號:TP393.08 文獻標識碼:A

文章編號:1004-373X(2010)09-0104-03

Discussion and Research of Unified Identity Authentication in Universities

YANG Shen-shen， SONG Xiao-guang

(Network Center， Shanghai Business School， Shanghai 201400， China)

Abstract: Based on the development of campus network and the Web applications in universities， it is urgent to develop the system integration and the uniformed management. The appearance of unified identity authentication platform offers a foundation to data center， public database and global information service construction. The platform of backgsound database， identity authentication， concept of Kerbero protocol and service management are discussed. The overall planning of the information construction is presented.

Keywords: unified identity service; lightweight directory access protocol(LDAP); identification; digital sign; Kerbero protocol

0 引 言

計算機網絡技術的迅猛發展極大推動著高校信息化建設前進的腳步。學生、教職工對于信息獲取高質高效的要求，以及徹底實現“無紙化”辦公的發展前景，無不在說明數字化校園建設的重要性與緊迫性。各種針對高校信息化建設的信息管理系統不斷應用于各高等院校，建設缺乏標準，各個部門形成一個個信息“孤島”，各應用系統都需要進行身份的認證并且對不同身份所擁有的角色進行授權，彼此之間很難進行數據共享。“獨立認證、獨立授權、獨立帳號管理”的模式已經不能適應未來高校信息化建設的發展。統一身份認證平臺就是集中身份認證和管理的平臺，它實現單點登陸，用統一的身份認證模式，即一人一個帳號和密碼就能瀏覽整個學校的應用系統。在學校工作人員進行了調動、調級、調職等變更，或者學校體制改革、組織機構變動后，使用戶的身份在各系統之間協調同步而且用戶只需要記住一個帳號和密碼，減少應用系統的開發和維護成本。

上海交通大學自主開發了jaccount認證體系;復旦大學在2003年也正式投入使用了統一身份認證平臺;華東師范大學2003開發了基于SUN ONE的公共數據庫。近兩年來，上海海事大學、工程技術大學、電力學院、對外貿易學院、體育學院等二本院校也都相繼開通了統一身份認證平臺，并達到了良好的運行狀態，如圖1所示。統一身份認證平臺的建立為學校公共數據庫及公共交換平臺等的建立做好了準備，為最終實現數據之間的共享、傳遞、挖掘和統一管理奠定了基礎。

圖1 統一身份認證平臺總體構架

1 LDAP協議簡介

目錄服務是一個儲存、組織和提供信息訪問服務的軟件系統，遵循LDAP和X.500協議，最常用的例子是DNS，Netmeeting服務。

LDAP(Lightweight Directory Access Protocol，輕量目錄訪問協議)用來存儲和管理用戶身份和訪問控制權限。它針對常見的目錄操作，例如對存儲在目錄服務器中的信息執行的讀取、編輯、搜索和刪除操作。LDAP目錄服務器是用來處理查詢和更新LDAP目錄的，它是統一身份認證平臺的基礎，將存儲校園網信息服務上的所有賬號、密碼、郵箱、職稱、聯系方式、工資信息等字段。大多數的LDAP服務器都為讀密集型的操作進行專門的優化，因此從LDAP服務器中讀取數據的速度要比從專門為OLTP優化的關系型數據庫中讀取快一個數量級;也正是因為專門為讀的性能進行優化，所以大多數的LDAP目錄服務器并不適合存儲需要經常改變的數據。

LDAP有4種基本模型:信息模型、命名模型、功能模型和安全模型。其中的安全模型提供了一個框架以防止目錄數據受到未授權的訪問，它主要通過身份認證、安全通道和訪問控制來實現。

(1) 身份認證:在LDAP中提供3種認證機制，即匿名、基本認證和SASL認證。

(2) 安全通道:在LDAP中提供了基于SSI/IIS的通信安全保障。LDAP通過StartTLS方式啟動TLS服務，可以提供通信中的數據保密性、完整性保護。

(3) 訪問控制:雖然LDAP目前并無訪問控制的標準，在LDAP中是基于訪問控制策略語句來實現訪問控制的。

目前主流的統一身份認證平臺都采用LDAP標準的目錄服務器存儲用戶的身份數據和各個應用系統的信息。當然LDAP目錄中還可以存儲例如電子郵件地址、郵件路由信息、人力資源數據、公用密鑰、聯系人列表等的數據類型。

2 認證

身份認證顧名思義就是判斷一個用戶是否為合法用戶。最常見、最簡單的方式是通過輸入用戶名和密碼來判定其是否與數據庫中存儲的該用戶的用戶名和密碼一致，以此來判定其身份是否合法。

2.1 認證的安全性

信息安全中經常使用密鑰，對于普通的對稱密鑰，加密和解密運算都使用同樣的密鑰，例如DES算法，此加密算法簡便高效、破譯十分困難。但是在公開的計算機網絡上安全地傳送和保管密鑰是一個嚴峻的問題。正是由于對稱密碼學中雙方都使用相同的密鑰，因此無法實現數據簽名和不可否認性等功能。20世紀70年代，公開密鑰體制也即非對稱密鑰出現，它采用一個公鑰和一個私鑰進行加密、解密。它們具有這種性質:每把密鑰執行一種對數據的單向處理，每把的功能恰恰與另一把相反，一把用于加密時，則另一把就用于解密。用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。

公鑰加密算法提供了“數字簽名”的基礎，如果一個用戶用自己的私人密鑰對數據進行處理，他可以用其提供的公共密鑰對數據加以處理。由于僅僅擁有者本人知道私人密鑰，這種被處理過的報文就形成了一種電子簽名——一種別人無法產生的文件。 數字證書中包含了公共密鑰信息，從而確認了擁有密鑰對的用戶的身份。數字簽名的過程如圖2所示。

圖2 數字簽名的過程

數字證書可以說是網絡用戶的身份證明，就像生活中每個人都擁有一張證明個人身份的證件，在互聯網的交往互動中，就可以使用數字證書來證明自己的身份和標識對方的身份。為了達到這樣的目的，數字證書必須有權威性、惟一性、真實性和可靠性，因此必須確保該數字證書是由具有權威性的國際(Certification Authority，CA)中心簽發的。

復雜一些的身份認證方式采用一些較為復雜的加密算法與協議，需要用戶出示更多的信息(如私鑰)來證明自己的身份，例如:Kerbero協議、Liberty協議、Passport系統等。這里詳細介紹Kerbero協議[1-2]，其算法過程如圖3所示。

圖3 Kerbero協議的算法過程

① Client將請求的服務名等發送給密鑰分配中心KDC，KDC中的TGS9(授予票據服務)將為Client和Service之間生成一個Session Key(對話密鑰)也即密鑰c。

② KDC將“密鑰c+用戶名*+用戶IP*+服務名*+有效期*+時間戳”一起包裝為“Ticket”發送給Service，不過Kerberos協議并沒有直接將Ticket發送給Service，而是通過Client轉發給Service。

由于這個Ticket是要給Service的，不能讓Client看到，因此KDC將Ticket用密鑰b加密。同時為了讓Client和Service之間共享密鑰c，KDC用密鑰a將密鑰c加密隨加密的Ticket一起返回給Client。

③ 由于Client不知道KDC與Service之間的密鑰，所以它無法篡改Ticket中的信息。同時Client用密鑰a將收到的密鑰c解密出來，然后將自己的“用戶名+用戶IP”包裝為“Authenticator”用密鑰c加密也發送給Service。

④ Service 收到Ticket后用密鑰b將“Ticket”中的信息解密出來，從而獲得密鑰c，用戶名*，用戶IP*，服務名*，有效期*。然后再用密鑰c將“Authenticator”解密，從而獲得用戶名、用戶IP。將其與之前“Ticket”中解密出來的用戶名*，用戶IP*做比較從而驗證Client的身份。如果Service有返回結果，將其返回給Client。

2.2 認證方式

基本的認證方式是基于用戶名和密碼的。第一種方式是使用瀏覽器，用戶訪問登錄界面，系統會提示用戶輸入ID和密碼，校驗通過后系統在用戶的瀏覽器環境中設置一個會話信息。以后在統一瀏覽環境中，用戶的身份以這個會話信息確定;第二種方式是使用Java和C程序，通過API進行認證，該API要求用戶輸入用戶ID和密碼，成功后返回一個會話令牌，該令牌可以傳遞到其他應用如瀏覽器中，繼續有效[3]。

(1) 用戶使用在統一認證服務注冊的用戶名和密碼登陸統一認證服務;

(2) 統一認證服務創建了一個會話，同時將與該會話關聯的訪問認證令牌返回給用戶;

(3) 用戶使用這個訪問認證令牌訪問某個支持統一身份認證服務的應用系統;

(4) 該應用系統將訪問認證令牌傳入統一身份認證服務，認證訪問認證令牌的有效性;

(5) 統一身份認證服務確認認證令牌的有效性;

(6) 應用系統接收訪問，并返回訪問結果，如果需要提高訪問效率的話，應用系統可選擇返回其自身的認證令牌，使得用戶以后可以使用這個私有令牌持續訪問。認證方式的流程圖如圖4所示。

圖4 認證方式的流程圖

2.3 認證接口

作為設計者，需要系統具有良好的擴展性和可集成性，不僅能支持現有的應用系統及用戶系統，當有新的應用被部署或開發的時候，這個統一身份認證服務還可以將其集成到系統當中，實現用戶身份認證和單點登陸功能。這就要求系統必須具有帳號關聯的功能，能夠記錄已有應用系統的用戶帳號與用戶中心的用戶帳號的對應關系，用戶在進行統一身份認證服務之后，自動使用相應的應用系統帳號來訪問應用系統。

各個業務系統與統一身份認證平臺的集成通過認證接口服務實現，常用ICE接口來完成。就我們學校的情況來講，目前主要接入OA、教務、財務、郵件4個應用系統;LDAP接口主要用于非WEB應用，主要包括FTP、無線、有線網絡認證、VPN、Proxy等，完成與統一身份認證的通信。LDAP接口主要特點是速度快，可用于短時間高并發的訪問[4]。

3 管理服務

管理控制臺承擔整個統一身份認證平臺的身份數據管理、系統服務管理、平臺運行管理工作，是整個平臺的集中管理控制中心。管理控制臺通過安裝在各個服務器上的管理控制代理實現對各個組件的實時監視、遠程控制、遠程配置，并提供用戶數據、口令、權限等管理功能。網絡中心管理員通過這樣一個界面的管理，可以實時了解軟、硬件的運行問題，并針對問題及時準確地進行維護，提高了管理效率。

4 結 語

我校數字化校園一期暨統一身份認證平臺項目從前期調研學習、溝通交流到正式啟動，經歷了大半年的時間。統一身份認證平臺在正式運行穩定以后，一套用戶名和密碼必將方便網絡中心的管理和學生教師的使用。但是其最根本的意義是為學校數字化校園的后期建設奠定了基礎，門戶、應用系統集成、統一數據庫、數據交換平臺將會在其之后陸續上線，數據標準的建立以及前期的使用效果，必將大大提高各職能部門和院系的積極性并保證了后續各應用系統的規范化建立。

參考文獻

[1]CLIFFORD N B. Theodore Ts′o. Kerberos: An authentication service for computer networks[J]. Institute of Electrical and Electronics Engineers， 1994(32): 33-38.

[2]高運良，汪勇.基于改進Kerberos的電子商務認證協議的設計[EB/OL].[2006-09-14].http://www.paper.edu.cn. 2006.

[3]陳翼，吳慶杰.清除統一身份認證的安全“蟻穴”[J].中國教育網絡，2009(9):61-62.

[4]東一舟.南師大統一身份認證平臺[R].南京:2009教育網絡與信息安全會議，2009.

[5]張燕.數字化校園建設中統一身份認證的實現方案[J].中國科技信息，2008(17):127-128.

[6]賀超波，陳啟買，歐陽輝.數字化校園門戶平臺統一身份認

證的實現[J].現代計算機，2008(12):25-28.

[7]錢銀中.數字校園中統一身份認證系統的設計與實現[J].常州工學院學報，2005(18):30-34.

[8]牛衛紅，張一帆.統一身份認證方法的研究[J].通信論壇，2008(18):44-46.

[9]沈斌，史鳴杰.統一身份認證平臺的設計[J].南京師范大學學報:工程技術版，2007(4):73-75.

[10]馬榮飛.統一身份認證系統的研究與實現[J].計算機工程與科學，2009(12):145-149.

[11]張沖，武超，楊要科.校園網統一身份認證系統的設計與實現[J].中原工學院學報，2008，19(4):68-71.

[12]羅東俊.一種面向服務的統一身份認證協議[J].上海應用技術學院學報，2005(5):283-286.

[13]王頤帥.用LDAP建立統一身份認證平臺和ASP接口實現[J].實驗科學與技術，2006，4(1):57-59

[14]常潘，沈富可.基于LDAP的校園網統一身份認證的實現[J].計算機工程，2007，33(5):281-283.

[15]劉海龍，苗斌，王妍.建立高校數字化校園統一身份認證平臺的構想[J].光盤技術，2009(1):23.