分布式用戶認證為單點登錄護航 下篇

作者：佚名 2011-05-17 14:38:52

安全

數據安全

分布式 近年來，很多高校采用了基于LDAP的用戶認證方式，較好地解決了統(tǒng)一身份認證問題，但是直接將LDAP服務器暴露在其他應用系統(tǒng)和用戶面前具有一定的安全風險。另外，在分布式環(huán)境下LDAP的訪問也有可能受到防火墻的阻擋。而Web Service是目前分布式異構環(huán)境下構建復雜系統(tǒng)的重要技術。因此，我們設計了一種Web Service和LDAP相結合的分布式用戶認證系統(tǒng)，解決校園網用戶統(tǒng)一身份認證問題。

身份認證系統(tǒng)需求分析：分布式用戶認證為單點登錄護航 上篇

身份認證系統(tǒng)總體設計—四大設計原則

為了使身份認證系統(tǒng)能夠更好地與其他系統(tǒng)協(xié)同工作，我們在設計該系統(tǒng)時制訂了幾條原則：

1. 面向服務的原則

系統(tǒng)的定位是為其他信息系統(tǒng)提供認證服務和身份管理服務，這就要求系統(tǒng)能夠從用戶的角度提供一套服務規(guī)范和接口標準。

2. 可動態(tài)擴展的原則

系統(tǒng)在運營的過程中需要擴展的內容包括：認證方式、認證策略、資源和管理流程、管理策略。系統(tǒng)的設計必須能夠有效識別這些變化，隔離這些變化，以策略或參數化的形式支持這些變化。

3. 現有應用系統(tǒng)最小改動的原則

系統(tǒng)設計時應充分考慮對現有應用系統(tǒng)的影響，保證現有應用系統(tǒng)改動最小，并在業(yè)務流程上保持現有應用模式。

4.方便管理的原則

由于Web Service技術的松散耦合特點，它沒有復雜的消息傳遞、對象引用和垃圾回收機制，因此非常適合于分布式處理。我們設計系統(tǒng)時需要考慮到校園網中用戶身份和資源信息應具有簡單方便的管理方式。

身份認證系統(tǒng)總體設計—系統(tǒng)構成

身份認證系統(tǒng)由身份認證服務器、用戶信息/安全策略數據庫、客戶端控件、Web服務代理、管理終端等構成。身份認證服務器由身份認證服務和安全策略配置服務兩個模塊組成。

身份認證系統(tǒng)采用B/S架構實現用戶信息的管理和安全策略的配置，配置的信息通過安全策略配置服務程序寫入到用戶信息/安全策略數據庫中，以供身份認證服務和管理終端查詢使用。身份認證服務模塊提供在線服務，實時接收來自Web安全代理的身份認證請求，并根據設定的策略對用戶身份進行驗證，為用戶登錄業(yè)務系統(tǒng)提供集中認證服務。

身份認證系統(tǒng)部署在用戶層和資源層之間，對用戶訪問資源的登錄行為進行實時的控制：

1. 用戶層

這一層包括校內所有教職工和學生。按照用戶上網地點的不同，可以劃分為校內用戶和校外用戶；按用戶接入方式的不同，可以劃分為上網認證用戶和不認證用戶。

2. 資源層

這一層包括校內辦公系統(tǒng)、精品課程、網絡教學平臺、內網個人信息查詢、資源中心、學生選課及成績查詢、BBS等B/S架構的應用系統(tǒng)，而將來可以通過平滑升級的系統(tǒng)包括郵件系統(tǒng)和其它C/S架構的業(yè)務系統(tǒng)。

身份認證系統(tǒng)總體設計—系統(tǒng)架構

Tomcat是JSP和Servlet的運行環(huán)境，AXIS框架來自Apache開放源代碼組織，它是使用Java語言編寫的基于最新的SOAP 規(guī)范（SOAP 1.2）和SOAP with Attachments 規(guī)范的開放源代碼框架。使用AXIS實現Web Service非常簡單，只需編寫認證相關的Java類，然后將文件擴展名改為jws，無需編譯，將文件拷貝到應用程序發(fā)布目錄下即可。

身份認證系統(tǒng)網絡構架與實現

綜合考慮到性能和保護現有投資的要求，校園網采用了網關認證和802.1x認證相結合的方式：學生宿舍全部部署支持802.1x的交換機，采用802.1x認證，辦公區(qū)采用網關Web認證。兩套認證系統(tǒng)使用統(tǒng)一的用戶資料，用戶資料存儲在LDAP服務器中，通過Web Service實現用戶身份的認證， Web Service通過Java技術實現，運行環(huán)境為Tomcat和AXIS框架。

在校園網內部署兩臺身份認證服務器，操作系統(tǒng)為Redhat Linux 9.0；安裝Apache、登錄認證服務器軟件、資源訪問審計服務器軟件和安全策略配置服務器軟件。其中，一臺是數據庫服務器，其操作系統(tǒng)為Redhat Linux 9.0，安裝的是Oracle數據庫軟件；另一臺是管理終端，在應用系統(tǒng)服務器主機上安裝Web服務代理。為了保證身份認證系統(tǒng)穩(wěn)定可靠地運行，避免單點故障，使用兩臺身份認證服務器互相熱備，以保證提供穩(wěn)定可靠的服務。

校內用戶訪問校內應用系統(tǒng)時不需要通過該系統(tǒng)作驗證，而是直接訪問原有業(yè)務；校外用戶訪問校內應用系統(tǒng)時必須通過身份認證系統(tǒng)進行身份驗證，認證方式為用戶名/口令，身份驗證通過后才能訪問原有業(yè)務；用戶通過身份驗證時，只需輸入一次口令，就可以訪問校內應用系統(tǒng)。

目前，學校人事、教務、研究生、財務、校內信息服務等網絡應用系統(tǒng)已實現基于Web Service的統(tǒng)一身份認證。根據校園網建設的需求，身份認證服務器采用雙機備份，盡可能提高系統(tǒng)運行的可靠性，用戶使用該系統(tǒng)訪問業(yè)務系統(tǒng)時只需要輸入一次口令，就可以連接多個應用系統(tǒng)，而其他應用系統(tǒng)不用作任何修改，就可以平滑升級支持單點登錄、集中授權和集中審計。

文章題目：分布式用戶認證為單點登錄護航下篇
分享鏈接：http://m.fisionsoft.com.cn/article/cdcdjpp.html