维普资讯 http://www.cqvip.com 商业研究 基于LDAP的校园网统一・身份认证的设计与实现 ‘[摘张素娟吴涛马军河北理工大学网络中心 要]随着高校校园网基础设施的不断建设与升级,基于校园网的应用也得到了迅速发展,为了保证各个应用系统之间用户 数据的一致性及易操作性,迫切需要校园网对统一身份认证系统的支持。该文从LDAP协议出发,描述了典型的校园网络中如何实现 多系统之间的统一身份认证。 [关键词]统一身份认证LDAP Portal 随着数字化校园建设的不断深入,网络信息在高校扮演着越 来越重要的角色。教务系统,网络课堂.邮件系统和电子图书馆 等业务系统极大的方便了我们的工作和学习.为保证系统的安全 性 各个系统都要使用用户名和密码登录.当人们在使用电脑时, 最普通的也要记住几套不同的用户名和口令 这给用户访问各个 系统增加了很大的麻烦 更重要的是 随着业务系统的增多 由 于系统本身之间的特点.导致了许多信息孤岛 由此我们有必要 有一个统一管理这些业务的应用系统,通过这个系统 用户能够 更方便快捷地访问各种授权资源,使这些信息孤岛联系起来,这 就是统一身份认证系统。 一 LDAP协议简介 LDAP(轻量级目录访问协议.Lightweight Di rectory Access Protoco1)是基于X.500标准的.访问X 500目录需要某种协议,例 如:目录访问协议(DAP)。然而,DAP需要大量的系统资源和支持 机制来处理复杂的协议.LDAP仅通过使用原始X 500目录存取协 议(DAP)的功能子集而减少了所需的系统资源消耗.而且可以根据 需要进行定制。此外,与X 500不同.LDAP一开始就设计运行在 TCP/IP协议上.是目录服务在TCP/IP上的实现。LDAP对Internet 访问支持非常好.并且对浏览和查找目录及读取内容进行了专门 的优化,使得它读取的速度比一般的关系型数据库要快。 LDAP目录中的信息是是按照树型结构组织,具体信息存储在 条目(entry)的数据结构中。条目相当于关系数据库中表的记录; 条目是具有别名DN(Distinguished Name)的属性(Attribute).DN 是用来引用条目的,DN相当于关系数据库表中的关键字( mary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当 于关系数据库中的字段(Field)由字段名和数据类型组成.只是 为了方便检索的需要,LDAP中的Type可以有多个Value,而不是 关系数据库中为降低数据的冗余性要求实现的各个域必须是不相 关的。LDAP中条目的组织一般按照地理位置和组织关系进行组 织.非常的直观。LDAP把数据存放在文件中.为提高效率可以使 用基于索引的文件数据库,而不是关系数据库。 LDAP最大的优势是:它是跨平台的和标准的协议.因此应用 程序就不用为LDAP目录放在什么样的服务器上操心了。它可以 在任何计算机平台上.很容易获得,而且它也很容易定制应用程 序为它加上LDAP的支持。LDAP是一个安全的协议.它使用SASL (简单证明安全层)协议,提供访问控制。 “商场现代化》2007年 0月(下旬刊)总第51 9期 二、统一身份认证系统的体系结构 统一身份认证系统的体系结构如图所示,由图可知它的基本 工作机制。统一身份认证系统从结构上大体可分为三个部分:身 份鉴别模块,访问控制模块和身份认证元目录(存储用户信息)。 首先用户通过账号密码认证,数字签名认证、卡认证等多种认证 方式登录到统一身份认证系统进行身份鉴别 身份鉴别模块访问 身份认证元目录,把用户提交的信息与用户目录里面存储的信息 进行验证,如果否,将直接返回失败信息:如果验证成功.则进 入访问控制模块,访问控制模块同样访问身份认证元目录 根据 用户目录里存储的信息执行相应的策略、分配相应的权限.这样 用户就可以方便的访问统一身份认证系统所认可的应用系统和网 络服务.无需再次认证。 承墁量弹贫 一 曩曩 曩曩 曩III 技术方面,我们采用Portal门户作数字化校园的入口,利用客 户端无处不在的浏览器就可以问各种所需的服务。Portal信息平台 服务器负责校园网中种服务信息的展示.集成了校园网内各个服 务器向信息平服务器所提供的入口.并且提供页面与服务定制的 功能.过在LDAP中读取用户的各种认证和授权信息,认证通过 后为用户分配基于角色的令牌.用户获得的操作令牌后由Portal 根据所持有的凭证同需访问的相关模块进行交互.并将用所需信 息展示在页面上。 三.统一身份认证系统的实现 将公共数据库系统同之前单个开发的几个主要的应用系统集 成进来成为必须解决的问题,已运行的几个应用系统包括教务系 统、图书管理系统、电子邮件系统、一卡通管理系统、就业管理 系统。 一卡通管理系统是学校使用最广泛的一个系统.其中包含了 就餐系统、考勤系统、挂失解挂系统。一卡通系统采用基于 维普资讯 http://www.cqvip.com 商业研究 Microsoft.net的系统架构,前端服务程序采用IIS6.0+ASP net方 maif地址从本地的LDAP数据库中查找用户E-mail地址对应的工 式.后端采用Oracle数据库存储卡的各种信息(包括消费记录、密 号/学号信息,并将用户的工号/学号与密码通过相关接1:3发送 码、权限等).认证方式采用教师的工号和学生的学号.为了与 到认证中心进行认证.认证通过后进入用户的电子邮箱。 现有的系统进行集成,建立公共数据库到一卡通系统的单点登 卡通系统超链接就可以直接进入一卡通系统。为实现此目的. 我校网络认证系统目前采用的是北京城市热点公司的 录.也就是用户通过公共数据库的Portal认证后.只需直接点击 Bras21 33系统.它是一种基于Portal页面的网络管理系统.当用户 ~出校园网访问时.则系统自动弹出网络认证页面让用户进行认 证。为了实现统一身份认证.我们委托城市热点公司进行开发. 在一卡通系统Web ̄jE务器上安装SUN Portal Identity Server的Agent, 由Agent负责同公共数据库的Identity Server进行交互,使一卡通 增加了LDAP认证模块,在对用户进行认证时同样也是将用户的 系统信任从公共数据库转过来的查询请求。这主要通过以下方式 用户名与密码发送的认证中心进行认证,认证通过后.用户才能 来实现:将工号或学号的明文同加密的密文及时间戳传输给一卡 出校园网进行访问。 通系统.一卡通号对比.如果成功匹配.则认为请求合法.由Web 综合教务管理系统是辅助学校教师、学生进行综合业务管理 服务器通过调用相关接13,返回合适的操作界面内嵌在公共数据 的一个平台,是统一身份认证系统要重点集成的对象。我校的教 库的Portal页面中,此处时间戳的作用主要是为了防止重放攻击。 务系统采用的是清元优软URP高校教务管理系统,并结合我校的 但如果用户不是从公共数据库的主入口进入而直接访问校一卡通 实际情况进行了二次开发。后来为了与统一身份认证系统进行集 中心的网站.则需要用到如下的方式:在一卡通的主页上输入用 成.增加了LDAP认证模块,用户在登录综合教务管理系统的时 户的工号或学号及密码就可以进入一卡通系统.为了使一卡通系 候会取得用户的用户名和密码,此时它把用户名和密码通过加密 统的密码同公共数据库的密码统一.需要到公共认证中心进行认 方式提交给统一身份认证系统,统一身份认证系统在得到用户名 证。为了实现这种想法.开发了组件LdapAuth,它包含如下的一 和密码后立即验证其合法性,主要就是反映其是否有访问综合教 些功能: 务系统的权限,统一身份认证系统把得到的结果返回给综合教务 系统的业务集成,综合教务管理系统首先按照逻辑一表示分开的 原则分析自己的结构.表示层的结构通过Portal形式安装在统一 LdapAuth.SetLdaplP(”1 92.1 68.0.1 ) 初始化LDAP服务器的 管理系统。最后还要考虑的是综合教务管理系统和统一身份认证 IP地址 LdapAuth Ldapl nitPort(389) 初始化LDAP服务器的端13 20000001教师 LdapAuth LdapSearch(“o=isp “uid=20000001“) 查找工号 身份认证系统中,综合教务管理系统自身保留对业务逻辑处理的 结构,并提供给接13统一身份认证系统访问,当用户使用统一身 份认证系统中的综合教务Portal时,统一身份认证系统会将用户 Dn=LdapAuth.GetEnt ryDN 得到工号2000000 1教师的DN LdapAuth.AuthUser(UserPassword.Dn) 验证此用户的合法性 对Portal的操作反映给综合教务管理系统的业务处理接13.处理 完毕后.会返回给统一身份认证系统.综合教务Portal把这些结 LdapAuth.LdapFree 释放相关资源 卡通Web服务器通过调用此组件.验证用户名与密码的合 果反映在页面上。 法性.如验证通过,则进行相关操作,同时将用户的密码用Md5 四 安全・l生讨论 以上系统到LDAP认证中心的认证基本上都是明文方式进行, 进行散列.并在本地系统中保存备份.以便到认证中心出现网络 实现细节同一卡通系统类似。 邮件系统同学校的公共数据库系统进行集成.扩展了LDAP目录 服务中的用户的属性域,添加了UsremaiI属性.使之对应用户的电 故障时.用户也可以顺利登录。就业管理系统和图书管理系统的 如果需要获得进一步的安全性.在各应用系统认证接口上采用 SSUTLS即可以实现加密的认证,但倘若并发认证的用户数量较 五、总结 通过以上的实现方式.已经基本上建立了全校的统一身份认 学校的电子邮件系统采用Eyou公司的邮件系统.为了使电子 大.加密这些信息可能会占用一定的系统资源。 子邮件。由于邮件系统内部采用的也是LDAP系统.单点登录的实 证体系.网络用户只需要维护一套用户名与密码就可使用学校的 现同上面的实现方式有些类似.在Portal系统与邮件系统之间维护 各个系统.方便了用户的使用。用户丢失密码后只需要到网络信 了一个共享密钥.此密钥同前面的密钥可相同也可不相同.当用 息中心更改密码即可.而不需像原先一样用户往往说不清楚修改 户通过Portal认证后并点击电子邮件的超链接时.则Portal系统从 什么密码.造成密码修改错误。 本地LDAP中查询用户的电子邮件地址.并将用户的电子邮件明文 与加密的密文以及时间戳传输给邮件系统,邮件系统根据上面的 公司进行了二次开发.主要思路如下:在邮件系统自带的LDAP中 证的操作字段工号或学号,并将工号/学号同其EmaiI地址进行绑 参考文献: [1]吴晓斌张月琳:基于LDAP的校园网统一身份认证系统设 算法检查合法性并为用户提供服务。在实现统一认证时,让Eyou 计[J].华中科技大学学报(自然科学版),2003,51(增刊) [2]刘持莲[5]阳富民许华虎杨振宇:基于LDAP和SOAP的校园统一身 扩展用户的属性,增加uid属性.并由成功登录的用户输入统一认 份认证系统的研究与实现燧J].计算机应用与软件,2006,1 2 刘军平:统一认证技术研究与实现[J].计算机工程 定,当用户通过WebmaiI或Pop3与Smtp登录时.系统则根据其E— 与科学,2007,2 《商场现代化》2007年10月(下旬刊)总第51 9期
