數(shù)字校園統(tǒng)一身份認證的研究與設計.pdf

1、身份認證是網(wǎng)絡安全技術(shù)的一個重要方面，在各高校的各種應用系統(tǒng)中身份認證技術(shù)都得到了很好的應用。但是，隨著高校中各種應用系統(tǒng)使用越來越多，隨之而來的問題是：在校園應用系統(tǒng)中有太多的密碼需要記憶；住在院外的老師因沒有合法的身份而無法瀏覽和使用院內(nèi)的一些重要應用系統(tǒng)；教職工和學生的與身份相關(guān)的詳細信息在各個應用系統(tǒng)中不一致：添加新的應用系統(tǒng)時沒有一致的認證和授權(quán)框架可以使用等等。 建立數(shù)字校園系統(tǒng)是解決上述問題也是近年來各高校校園網(wǎng)應

2、用建設的一個新的方向，它涉及Portal、數(shù)據(jù)集成、單點登錄、授權(quán)管理等多方面的內(nèi)容，而統(tǒng)一身份認證方案是首先需要解決的問題，其中包括單點登錄和授權(quán)管理。 本文介紹了我們在進行我院數(shù)字校園信息系統(tǒng)的建設過程中，采用LDAP作用戶信息存儲，實現(xiàn)了基于WEB服務的統(tǒng)一認證服務，通過對單點登錄技術(shù)的原理進行分析和總結(jié)，利用SESSION、COOKIE關(guān)鍵技術(shù)和認證令牌(TOKEN)機制解決了數(shù)字首體院中多個應用系統(tǒng)的單點登錄問題，并借

3、助SSL技術(shù)解決了傳輸過程中的安全隱患。本文提出了一種基于用戶、用戶組、角色、權(quán)限、資源相結(jié)合的權(quán)限管理方法，在充分尊重原有應用系統(tǒng)的基礎上，克服了原應用系統(tǒng)中訪問控制技術(shù)中存在的不足，借助于角色主體，用戶通過角色訪問資源，減少了授權(quán)管理的復雜性，能為管理員提供一個比較好的管理環(huán)境。在設計的過程中主要還用到了EJB的組件設計技術(shù)，保證了系統(tǒng)的可移植性和可擴展性。選擇了基于XML標準的Web Service技術(shù)，解決了異構(gòu)系統(tǒng)之間的互操作