基于数字化校园的一卡通身份验证子系统的设计
文章出处:http://www.ifyousmell.com 作者: 人气: 发表时间:2011年09月10日
【摘要】:本文介绍了校园一卡通中的身份验证子系统,它对校园网中的其他信息服务系统提供安全统一的身份认证和权限管理服务.维护系统中的用户数据并对其他业务系统提供接口。
【关键词】: 身份验证;权限管理;接口
1.引言
校园”一卡通”是指基于校园网.采用成熟先进的非接触式IC卡实现数据采集。集证件管理、档案管理、考勤管理、餐厅管理、公寓管理、机房管理及其他多种管理服务功能于一体的校园个人数据管理应用平台。它通过学校的校园网,逐步将各处的电脑联成一个比较大的数据网.实现全校各类数据的统一性和运行规范性。
一卡通系统中的身份认证及权限管理子系统为校园网中的其他信息服务系统提供安全、统一的身份认证和权限管理服务。担负校园网中绝大部分的信息安全保卫工作。该子系统为校园网的浏览器用户提供统一的登录界面.使用户在完成身份认证后无须再次登录就可以接受校园网中其他信息服务系统提供的服务。对于不同等级的安全要求。它也将提供相应的从简单的密码保护到数字签名等不同的安全措施。
2.体系结构
图1身份验证子系统的体系结构
身份验证子系统以用户信息、系统权限为核心。集成各业务系统的认证信息.为客户提供一个高度集成且统一的认证平台。如.其结构具有如下特点:
. 系统健壮:通过复制与备份机制。确保系统数据安全可靠
. 结构灵活:易于扩展
. 移动办公:远程联机.支持远程集中式业务处理
. 安全可靠:身份认证和权限控制确保数据安全。
在身份认证系统中。采用的技术实现手段主要包括LDAP、PKI、SS0、SSL。
3 功能介绍
3.1用户身份数据维护
用户身份数据是用户登录系统时的身份证明.是身份认证的基础数据 用户身份数据的维护直接关系到用户是否可以登录系统。其中包括:
. 用户组管理:根据用户的不同身份及管理政策。划分不同的用户组别。进行基于政策的用户分类管理。当用户被加入个用户组时.即该用户隶属于该用户组。该用户组所具有的权限理所应当地赋予该用户。
. 用户管理:采用面向对象的技术和概念。将用户信息分为用户属性、Unix帐号、Email帐号、Proxy账号和拨号帐号五类对象信息。可自动统计不同组别的用户数目,同时系统根据用户身份认证提供相应的网络服务.包括基本服务和扩展服务。
. 用户账号管理:根据用户需求。还可以提供其他扩展的网络服务。如自动通知用户的联网时间、用户的月费用;用户账号的自动增加和关闭等。
3.2组织数据的维护
组织数据是身份认证的基础,指学校内部的处室、团体。组织的结构以及组织内部的角色等相应信息都需在身份验证和权限管理系统中注册。使用系统时.不同的人员对应不同组织中的角色.他将拥有与此角色相对应的系统操作权限。
3.3服务权限数据管理
服务权限数据管理的任务是对数字化校园系统中的其他信息服务系统所提供的服务进行管理。其它的信息服务系统要使用本系统的身份认证和服务权限管理功能.首先必须将其提供的服务在本系统中注册。服务权限数据管理包括以下两个内容:
. 服务注册数据管理:当一个新的信息服务系统加入到系统中的时候.其提供的各种需要由身份认证和权限管理系统进行权限确认的服务.必须在本系统进行注册。这些数据主要包括服务名称。服务ID号。服务提供者等。
. 服务所需权限数据的管理:信息服务系统的某些服务只向特定用户群提供。其他用户不能得到这些服务。在本系统中.这样的用户群通过用户担任的角色来刻画。只有用户担任了相应的角色。并通过相应等级的身份认证后,才可以得到服务。本模块负责确定一个已注册的服务向哪些组织的哪些角色提供。功能包括:增加服务的角色对象。删除服务的角色对象等。
3,4身份认证
身份认证模块是身份认证系统中的核心模块之一.在接人系统的各信息服务系统前对用户进行统一的身份确认。根据不同的安全级别的要求。身份认证提供多种不同等级的认证方法。
3.5权限确认
权限确认的任务是对用户接人系统的某个特定信息服务系统时,进行统一的权限确认。在用户的身份得到确认后。权限确认通过用户的角色和认证的等级以及他所申请的服务.来确定该用户是否能够得到使用这些服务的权限。
3.6加密通讯
加密通讯负责信息服务系统的服务器和身份认证及权限控制系统之间的数据通讯。主要用来传递关于用户身份的信息。加密通讯是传递用户身份信息的重要手段.主要采用SSL(Securesoeket Layer1安全套接层协议。使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性.它不能保证信息的不可抵赖性.主要适用于点对点之间的信息传输。
4.统一身份认证与其他业务系统整合
4.1WEB应用的接口
① 为多种WEB服务器提供相应的代理接口。当用户利用浏览器访问受保护的网络资源时.由代理首先解释该请求。首先检查用户所访问的URLs是否属于不受保护的范围.如果是.用户马上获得这些资源。如果不是,进行进一步检查,首先看用户是否具有合法的数字身份.身份不存在.请求被传递给认证服务器进行身份验证,认证通过后,由该代理将登录用户的身份及相关属性传递给相应的应用。
②对于尚未提供代理接口的开发平台.新建的应用系统可以利用统一身份认证的SDK接口标准进行身份验证和权限管理。
4.2非WEB应用的接口
对于非WEB应用。提供两种统一认证的方式:
①非WEB应用可以利用统一身份认证系统提供的SDK接口标准进行身份验证和权限控制
②用户数据同步的机制。如果原先某应用系统已经采用了自身一套认证体制在运行.那么可以把该系统的用户身份和用户的数字化校园身份进行对应.这样既不需要大面积修改原先系统.也可以进行认证的统一。
5.小结
本系统实现对用户身份数据、组织数据、服务权限数据的维护,并对用户身份和权限进行确认,数据传输实现加密通讯。系统界面友好、操作方便。子系统中的权限管理功能实现用户使用
应用系统资源和功能的合理分配,这是数字校园的安全特性,同时也是用户的个性化需求。
参考文献:
1.张鹏.校园网与一卡通对接势在监行.中国现代教育装备.2006年第2期.
2.龠葵,方永胜.基于教字化校园的校园一卡通平台设计o1.运筹与管理。2006,15(3):155—159.
3.王春雁,朱文英.2004—2005年校园卡建设与应用现状分析(上o1.教育信息化.2005(4):6—7.
4.刘虎.校园一卡通系统方案设计Ⅱ.淮阴工学院学报。2006,15(3):39—42.
5.苏文胜。马千军.基于教字化校园的校园一卡通构建.武汉理工大学学报,2005。27(1):99—101.
【稿件声明】:如需转载,必须注明来源和作者,保留文中图片和内容的完整性,违者将依法追究。