数字校园统一身份认证的研究与设计
|
摘要
身份认证是网络安全技术的一个重要方面,在各高校的各种应用系统中身份认证技术都得到了很好的应用。但是,随着高校中各种应用系统使用越来越多,随之而来的问题是:在校园应用系统中有太多的密码需要记忆;住在院外的老师因没有合法的身份而无法浏览和使用院内的一些重要应用系统;教职工和学生的与身份相关的详细信息在各个应用系统中不一致;添加新的应用系统时没有一致的认证和授权框架可以使用等等。
建立数字校园系统是解决上述问题也是近年来各高校校园网应用建设的一个新的方向,它涉及Portal、数据集成、单点登录、授权管理等多方面的内容,而统一身份认证方案是首先需要解决的问题,其中包括单点登录和授权管理。
本文介绍了我们在进行我院数字校园信息系统的建设过程中,采用LDAP作用户信息存储,实现了基于WEB服务的统一认证服务,通过对单点登录技术的原理进行分析和总结,利用SESSION、COOKIE关键技术和认证令牌(TOKEN)机制解决了数字首体院中多个应用系统的单点登录问题,并借助SSL技术解决了传输过程中的安全隐患。本文提出了一种基于用户、用户组、角色、权限、资源相结合的权限管理方法,在充分尊重原有应用系统的基础上,克服了原应用系统中访问控制技术中存在的不足,借助于角色主体,用户通过角色访问资源,减少了授权管理的复杂性,能为管理员提供一个比较好的管理环境。在设计的过程中主要还用到了EJB的组件设计技术,保证了系统的可移植性和可扩展性。选择了基于XML标准的Web Service技术,解决了异构系统之间的互操作性问题。
Identity authentication is a very important factor on network security technology, which be used on different application systems by a lot of universities. However, with the more using of application systems, the more problem be appeared. We have to remember lots of passwords. Some teachers living out of campus do not browse and login some useful web page because they have not a legitimate identity. The basic information about teachers and students have a great deal of variance in different application systems. There have not Unified Authentication and Authorized Architecture when you append a new application.
Setting up a Digital Campus is a solution to resolve above problems as while as is a development direction, which including portal, data integration, Single Sign-on, Privilege Management and so on. The Unify Identity Authentication scheme is the chiefly need to realize.
This article introduced the Digital Campus construction of our college. We choose LDAP to save the users information about the Digital Campus System, at the mean time realize the Unify Identity Authentication Service. Having done a lot of research on the Single Sign-on theory, using the Session and Cookie technology and Token mechanism, we realized the Single Sign-on of multi-web -applications. We adopted the SSL encryption technology to meet the requirement on security.
We realize the Privilege Management based on the users, the group, the role, the privilege and resource. We sufficiently take into account the old web-application systems and overcome the shortage on the access control. The user by means of the role access the web-resource, which can reduce the complexity on authorized management and can provide a well management circumstance.
In addition, we take the distributed component technology of EJB (Enterprise Java Bean) to guarantee the well portability and expansibility. We adopt the Web Service technology basing on the XML technique to resolve the mutual operation among the different systems.
建立数字校园系统是解决上述问题也是近年来各高校校园网应用建设的一个新的方向,它涉及Portal、数据集成、单点登录、授权管理等多方面的内容,而统一身份认证方案是首先需要解决的问题,其中包括单点登录和授权管理。
本文介绍了我们在进行我院数字校园信息系统的建设过程中,采用LDAP作用户信息存储,实现了基于WEB服务的统一认证服务,通过对单点登录技术的原理进行分析和总结,利用SESSION、COOKIE关键技术和认证令牌(TOKEN)机制解决了数字首体院中多个应用系统的单点登录问题,并借助SSL技术解决了传输过程中的安全隐患。本文提出了一种基于用户、用户组、角色、权限、资源相结合的权限管理方法,在充分尊重原有应用系统的基础上,克服了原应用系统中访问控制技术中存在的不足,借助于角色主体,用户通过角色访问资源,减少了授权管理的复杂性,能为管理员提供一个比较好的管理环境。在设计的过程中主要还用到了EJB的组件设计技术,保证了系统的可移植性和可扩展性。选择了基于XML标准的Web Service技术,解决了异构系统之间的互操作性问题。
Identity authentication is a very important factor on network security technology, which be used on different application systems by a lot of universities. However, with the more using of application systems, the more problem be appeared. We have to remember lots of passwords. Some teachers living out of campus do not browse and login some useful web page because they have not a legitimate identity. The basic information about teachers and students have a great deal of variance in different application systems. There have not Unified Authentication and Authorized Architecture when you append a new application.
Setting up a Digital Campus is a solution to resolve above problems as while as is a development direction, which including portal, data integration, Single Sign-on, Privilege Management and so on. The Unify Identity Authentication scheme is the chiefly need to realize.
This article introduced the Digital Campus construction of our college. We choose LDAP to save the users information about the Digital Campus System, at the mean time realize the Unify Identity Authentication Service. Having done a lot of research on the Single Sign-on theory, using the Session and Cookie technology and Token mechanism, we realized the Single Sign-on of multi-web -applications. We adopted the SSL encryption technology to meet the requirement on security.
We realize the Privilege Management based on the users, the group, the role, the privilege and resource. We sufficiently take into account the old web-application systems and overcome the shortage on the access control. The user by means of the role access the web-resource, which can reduce the complexity on authorized management and can provide a well management circumstance.
In addition, we take the distributed component technology of EJB (Enterprise Java Bean) to guarantee the well portability and expansibility. We adopt the Web Service technology basing on the XML technique to resolve the mutual operation among the different systems.
引文
[1].李琰,赵政,目录服务和身份标识,微型机与应用,2002(9)
[2].W.Yeong,T.H owes,S.Kille.LightweightDirectory AccessProtocol.RFC1777,2003,(3):43-46
[3].张辉,杨岳湘,汪诗林,数字校园中基于LDAP的统一用户身份管理技术研究,计算机工程与科学,2005,(1)
[4].吴晓斌,张月琳.基于LDAP的校园网统一身份认证系统设计 华中科技大学学报(自然科学版),2003年S1期
[5].岳洋,张杰明,郑雪燕。用JNDI访问LDAP目录服务,计算机时代,2003(3):9-10
[6].宋丽华,王海涛,基于JNDI开发目录使用的Java应用程序,微型机与应用2001
[7].任波,电子商务系统中的会话管理技术,计算机与现代化2004年第1期
[8].Cookies和Session Tokens http://dev2dev.bea.com.cn/bbs/jishudata/hrticleShow.jsp?Id=10#4
[9].http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869
[10].肖剑锋,J2EE架构在系统框架设计中的研究与应用[J],武汉理工大学,2006
[11].NadirGulzar著,陈晓燕,丁炎炎译。实用J2EE应用程序体系结构,北京清华大学出版社,2000
[12].(美)FloydM atinescu(EJB设计模式》机械工业出版社中信出版社2004.1,5-9
[13].(美)Mark O'Neill等著,冉晓文,郭文伟译,Web服务安全技术与原理[M],北京清华大学出版社,2003
[14].(美)Mandy Andress,计算机安全原理,杨涛,杨晓云,王建桥等译,机械工业出版社,2002.1
[15].孙君明、郭红,“基于XML的异构信息的交换研究[J]”,《计算机应用研究》,2003,20(1):70-72
[16].叶华、郭红,“一种异构数据库间的XML接口方案[J]”,《计算机应用》,2002,21(6):15-17
[17].王倩宜,李润娥,李庭晏。统一用户管理和身份认证服务的设计与实现[J],实验技术与管理,2004,21(3):7-12
[18].李鑫晶。关于网络安全身份认证技术的探讨,科技进步与对策,2002(8),158-161
[19].李金库,张德运,张勇。身份认证机制及其安全性分析,计算机应用研究,2001,18(2):126-128
[20].林满山,郭荷清。单点登录技术的现状及发展,计算机应用,2004,24:248-250
[21].Laura Taylor,Understanding Single Sign-on,May 2002
[22].Gary Ellison,JeffHodges,Susan Landau,Risks Presented by Single Sign-On Architectures,2002-10-18
[23].王建平。一种基于角色的访问控制,计算机工程,2004-7
[24].林海宇。基于角色的授权管理基础设施的研究与实现,电子科技大学学位论文2004,12:12-30
[25].(美)H.M.Deitel,B.Du Waldt等著,励志等译,Web服务实用技术教程[M],北京机械工业出版社,2004
[26].Jeff Hodges,Tom Wason,Liberty Architecture Overview version 1.1,January 2003
[27].李安逾,Web Services技术与实现,国防土业出版社,2003.01
[28].LDAPv3,http://www.ietf.org/rfc/rfc2251.txt
[29].http://www.sun.com/
[30].http://java.sun.com/
[31].http://www.javaworld.com/
[2].W.Yeong,T.H owes,S.Kille.LightweightDirectory AccessProtocol.RFC1777,2003,(3):43-46
[3].张辉,杨岳湘,汪诗林,数字校园中基于LDAP的统一用户身份管理技术研究,计算机工程与科学,2005,(1)
[4].吴晓斌,张月琳.基于LDAP的校园网统一身份认证系统设计 华中科技大学学报(自然科学版),2003年S1期
[5].岳洋,张杰明,郑雪燕。用JNDI访问LDAP目录服务,计算机时代,2003(3):9-10
[6].宋丽华,王海涛,基于JNDI开发目录使用的Java应用程序,微型机与应用2001
[7].任波,电子商务系统中的会话管理技术,计算机与现代化2004年第1期
[8].Cookies和Session Tokens http://dev2dev.bea.com.cn/bbs/jishudata/hrticleShow.jsp?Id=10#4
[9].http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869
[10].肖剑锋,J2EE架构在系统框架设计中的研究与应用[J],武汉理工大学,2006
[11].NadirGulzar著,陈晓燕,丁炎炎译。实用J2EE应用程序体系结构,北京清华大学出版社,2000
[12].(美)FloydM atinescu(EJB设计模式》机械工业出版社中信出版社2004.1,5-9
[13].(美)Mark O'Neill等著,冉晓文,郭文伟译,Web服务安全技术与原理[M],北京清华大学出版社,2003
[14].(美)Mandy Andress,计算机安全原理,杨涛,杨晓云,王建桥等译,机械工业出版社,2002.1
[15].孙君明、郭红,“基于XML的异构信息的交换研究[J]”,《计算机应用研究》,2003,20(1):70-72
[16].叶华、郭红,“一种异构数据库间的XML接口方案[J]”,《计算机应用》,2002,21(6):15-17
[17].王倩宜,李润娥,李庭晏。统一用户管理和身份认证服务的设计与实现[J],实验技术与管理,2004,21(3):7-12
[18].李鑫晶。关于网络安全身份认证技术的探讨,科技进步与对策,2002(8),158-161
[19].李金库,张德运,张勇。身份认证机制及其安全性分析,计算机应用研究,2001,18(2):126-128
[20].林满山,郭荷清。单点登录技术的现状及发展,计算机应用,2004,24:248-250
[21].Laura Taylor,Understanding Single Sign-on,May 2002
[22].Gary Ellison,JeffHodges,Susan Landau,Risks Presented by Single Sign-On Architectures,2002-10-18
[23].王建平。一种基于角色的访问控制,计算机工程,2004-7
[24].林海宇。基于角色的授权管理基础设施的研究与实现,电子科技大学学位论文2004,12:12-30
[25].(美)H.M.Deitel,B.Du Waldt等著,励志等译,Web服务实用技术教程[M],北京机械工业出版社,2004
[26].Jeff Hodges,Tom Wason,Liberty Architecture Overview version 1.1,January 2003
[27].李安逾,Web Services技术与实现,国防土业出版社,2003.01
[28].LDAPv3,http://www.ietf.org/rfc/rfc2251.txt
[29].http://www.sun.com/
[30].http://java.sun.com/
[31].http://www.javaworld.com/