中職校園網絡統一身份認證體系的構建

胡春龍

摘 要：隨著信息技術網絡規模的不斷擴大，建立統一身份認證體系，可以實現對不同系統、不同用戶以及權限資源的集中化管理，簡化各項業務訪問與操作，提高系統安全性、可靠性、穩定性。本文通過對分布式SOA架構系統的分析，提出統一身份認證體系的構建方法，供有關中職院校參考。

關鍵詞：中職院校;分布式SOA架構;統一身份認證

中圖分類號：G717?????????? 文獻標識碼：A???? 文章編號：1992-7711（2020）19-008-1

在中職院校各類網絡系統管理及應用中，SOA（ServiceOriented Architecture）架構體系，因其松耦合特色，便于對各類系統業務的有效集成。圍繞分布式SOA系統架構，從提升用戶管理安全性，優化信息資源管理效能方面，建立統一身份認證體系，以實現對不同用戶、權限的層次化、對象化部署。對信息數據的集中化管理，不但要梳理各項業務系統，更要從硬件服務器集中、數據庫集中來進行科學、高效部署，實現各項業務信息的互通、互聯。

一、統一身份認證體系的構建特點

在構建統一身份認證體系中，需要搭建目錄服務器，并借助于目錄訪問協議LDAP（Light weight Directory Access Protocol）實現各項業務系統用戶、權限的統一標識、管理和認證。基于分布式SOA架構，其基礎為分布式面向服務的架構，可以實現跨平臺、跨系統間的異構與集成，且能夠提供安全、穩定、可靠的身份認證服務。其特點有三方面，一是安全性。在統一身份認證中，對于來自不同業務系統的用戶，都要具備最高安全等級。也就是說，可以是同一業務系統用戶，也可以是其他業務系統用戶。二是穩定性。在統一身份認證中，要滿足用戶高可用性。也就是說，在系統中，應該部署數據熱備、雙機熱備等功能，可以確保各項業務系統穩定。三是開放性。基于當下網絡系統管理的多元性，在統一身份認證中，要滿足不同業務系統的參與集中式管理，可以向不同操作系統、不同程序設計軟件滿足接入要求，統一管理。

二、分布式SOA架構統一身份認證體系的構建

1.對基礎模塊進行架構與部署

在實現統一身份認證之前，需要對系統架構進行整體部署，如網絡環境、硬件設備、軟件系統集群等。其中，基礎模塊主要包括認證、授權、查詢、系統服務等內容。對于認證模塊，其核心為LDAP服務器，主要是對用戶身份及權限進行統一標識、管理和認證。針對不同業務系統間的訪問，在進行用戶信息核查時，需要調用LDAP接口，Web Service接口。同時，在進行用戶檢索時，還要通過數據接口，來查詢用戶數據庫，將反饋信息傳送給業務系統。授權模塊主要是對用戶進行權限配置，包括新建用戶權限初始化。分配權限是構成授權模塊的核心，對授權模塊進行管理，為整個統一身份認證提供安全保障。另外，在授權模塊，根據不同業務系統，可以分配不同的權限等級，如超級管理員、監督管理員、應用系統權限管理員等。查詢模塊主要滿足用戶對特定信息的查詢，了解用戶權限，變更權限結構等，如超級管理員可以對統一身份認證系統進行配置，維護日志管理，系統備份等服務。

2.對服務器集群進行部署

統一身份認證體系，在部署架構上，需要對Web服務器、應用服務器、數據庫等進行統一部署。其中，數據庫服務器采用NFS訪問方式，與應用服務器展開對接，并利用SAN交換機實現對磁盤陣列等信息交換。對于用戶終端，需要在接入網絡前，進行嚴格監管，并利用防火墻、路由器、交換機等實現鏈路冗余，確保系統可靠性。對于整個統一認證系統，各用戶采用B/S訪問模式，將系統功能集成到服務器，以瀏覽器方式，訪問服務器。在防火墻后端，通過建立Web服務器集群來實現負載均衡管理，減少因單點故障引發系統不穩定問題。當前，各類Web服務器軟件多，對不同系統軟件的接入，要做到兩點：一是要盡量選擇具有跨平臺能力的Web服務器軟件，使其具有良好的移植性。二是盡量選擇能夠與其他服務器兼容的軟件，以便于獲得更大的服務支持。如選擇IHS作為Web服務器軟件，引入IBM應用服務器，來提升整個系統的兼容性，確保高安全性。在分布式SOA架構中，對應用服務器的部署，還可以通過業務系統的部署，來對接統一身份認證體系。如利用以太網連接，構成服務器集群，將應用服務器采用主從結構或雙機雙工模式，來提升系統高可用性。

3.統一身份認證的管理過程

在校園數字化建設中，引入統一身份認證體系，可以實現對多站點、多用戶群的統一化管理。借助于CA、數字簽名技術，為校園網每個用戶提供身份認證與安全服務。對于每個用戶，建立統一的基本信息庫，確保每個用戶唯一。構建并維護應用服務注冊信息庫，實現細粒度權限管理。利用PKI理論、數字證書認證機制，對訪問校園網的用戶身份進行合法性、安全性驗證，支持輕量級LDAP目錄訪問協議，來實現對不同用戶、不同網絡資源、服務權限的分配與管理。如在統一身份認證中，引入動態密鑰來確保數據傳輸的安全性，引入用戶管理、認證服務負載均衡機制，可以實現對用戶、屬性、服務、硬件等擴展需要。另外，在統一身份認證中，可以對多種應用系統進行兼容和整合，極大簡化各項業務系統的部署，提高系統開放性、靈活性。

加強對異構系統的集成化管理，利用統一認證體系，來實現校園各信息資源系統的集中管理。其作用是最大限度的減少用戶的帳號數，簡化登錄過程，實現一次登錄多點使用，實行統一管理。當然，在建設與部署中，各院校要結合自身實際，優化各模塊，提高校園網絡數字化管理水平。

[參考文獻]

[1]陳君.構建基于分布式SOA架構的統一身份認證體系[J].電子技術與軟件工程，2019（10）.

[2]方宇芳.構建基于分布式SOA架構的統一身份認證體系[J].無線互聯科技，2019，16（08）.

（作者單位：江陰市商業中等專業學校，江蘇 江陰214400）