数字化校园环境中统一身份认证系统模型研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇数字化校园环境中统一身份认证系统模型研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：数字化校园建设是推动高校信息化建设的重要系统工程。高校中存在多个Web应用系统，访问多个应用系统需要单独登录，难以实现单点登录。提出了一种完整统一、高效稳定、安全可靠的统一身份认证系统模型，该系统能实现身份数据的统一存储、统一管理，实现全校各类应用的单点登录，以及各类访问与操作安全审计，同时还可提供便利工具进行系统维护及管理。

关键词：UCenter；单点登录；系统模型

中图分类号：TP319

文献标识码：A 文章编号：1672-7800（2015）005-0124-03

作者简介：程维刚（1986-），男，河北保定人，硕士，河北金融学院实验教学中心讲师，研究方向为数据库与信息管理系统。

0 引言

随着高校数字化校园建设规模的不断扩大，很多业务部门独立建成了涵盖教学、科研、管理、服务在内的多个业务系统，很大程度上改变了以往的教学及办公模式[1]。但是随着各种业务系统和用户数量的增加，网络规模也不断扩大，产生的跨部门协同办公和信息孤岛问题严重影响了数字化校园建设进程，访问控制和用户信息安全问题也愈显突出，原有分散的“独立认证、独立授权、独立帐号管理”模式已经不能满足发展需求，因此建设一种完整统一、高效稳定、安全可靠的统一身份认证系统是数字化校园建设的重要目标。

1 统一身份认证系统关键技术

1.1 UCenter用户认证

UCenter 的中文意思就是“用户中心”，是Comsenz旗下各产品之间信息直接传递的桥梁[2]，提供同步登录、退出、注册等相关接口，可以实现用户使用一个账号，在一处登录，全站通行。提供短消息相关接口，实现用户在不同应用之间收发短消息。提供 Feed 动态相关接口，实现记录用户在各应用中的行为，并且在 UCenter Home显示。提供好友相关接口，实现各应用好友互通。Ucenter通信原理如图1所示。

1.2 以服务器为中心的单点登录模型

单点登录，就是几个站点共用一个用户中心，实现同步登陆，同步退出。在以服务器为中心的单点登录模型中，所有的认证信息存储在服务器的中央数据库中，当需要对用户进行认证时，这个中心服务器需要与每个网络设备、主机系统及应用服务器通信。这种通信需要中心单点登录服务器与应用服务器集成，即在单点登录服务器上开发应用系统的客户[3]，其模型结构如图2所示。

这种模型在Portal系统中采用较多，其优点是提供了单一的登录控制点，用户对网络资源的访问控制可以通过单点登录服务器一点实现。

1.3 DES加密技术

信息加密技术作为计算机信息保护最实用和最可靠的方法，广泛应用在信息安全的各个领域，本系统解决信息安全的策略就是采用DES加密技术。

DES（Data Encryption Standard），即数据加密标准，是一种对称加密算法，是由IBM开发的一个乘积密码作为无密级信息的官方加密标准。DES是由64位数据块加密的明文，生成64位密文，其中有56位密钥作为参数，另8位作为奇偶校验位[4]。

DES加密算法原理是：如Mode为加密，则用Key对数据Data进行加密， 生成Data的密码形式（64位），作为DES的输出结果；如Mode为解密，则用Key对密码形式的数据Data解密，还原为Data的明码形式（64位），作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点。数据到达目的地后，用同样的Key对密码数据进行解密，再现明码形式的核心数据，以此保证核心数据（如PIN、MAC等）在公共通信网中传输的安全性和可靠性。

2 统一身份认证系统模型

2.1 数据库E-R模型设计

按照模型设计要求，此统一身份认证的数据库主要为认证服务器上的Spauth数据库。设计该数据库的目的主要是为了设计权限管理和访问控制模型，其中的表既包含用户的基本信息和角色授权，又包含完成访问控制的部分。该数据库包括4个基本信息表，即Application（应用程序表）、Modules（模块表）、Roles（角色表）、User（用户表），它们分别定义了应用程序、访问模块权限、角色及用户的基本信息；同时有3个关系表，即Role_Module（角色-模块关系表）、User_Role（用户-角色关系表）、User_Module（用户-模块关系表）。数据库中各表的E-R模型设计如图3所示。

下面对各表的设计思想进行阐述：User表主要用于存储应用系统中用户的基本信息，作为载体承担着传递访问控制权限的任务；Roles表用于定义角色，一个角色代表享有系统相似权限的一部分人，它和用户通过User_Role（用户-角色表）关联起来，用于存储用户到角色的映射；Application表用于存储系统的功能实体，通过主外键关系和Modules表关联起来；Modules表用于存储系统的模块资源，在此表中关联具体的应用程序，它和角色通过Role_Module（角色-模块关系表）关联起来，用于存储角色可以访问的模块权限。同时User_Module（用户-模块关系表）存储当用户没有分配任何角色时访问的模块资源。通过上述各表之间的对应关系，可以设计出用户和权限之间的映射关系，从而实现访问控制。

2.2 系统模型体系

数字化校园统一身份认证平台整合了校园网中的信息和各种应用系统，为用户提供了一个单一的访问入口。该系统模型不仅包括身份数据的统一存储和统一管理、身份认证管理、角色管理和授权管理，并且还提供了一些便利的工具，例如会话监控、日志管理和数据维护，便于系统的维护和管理。统一身份认证平台是数字化校园信息管理的重要组成部分，其体系组成如图4所示。

2.3 主要功能模块

（1）基本信息管理。提供对用户的基本信息管理，包括帐号、组织、角色等基本用户信息管理以及业务系统映射信息管理。

（2）用户组织管理。维护用户、用户组、组织的基本信息，为用户建立一个完善的管理机制。

（3）授权管理。主要功能包括：权限分类管理、权限列表管理、权限实例管理、配置注册管理、个人权限管理、分级授权管理等。

（4）角色、角色组管理。根据用户的不同身份及不同的管理政策，划分出不同权限的角色、角色组，主要包括角色的创建、角色与权限对应模型、角色与用户对应模型管理，用于功能授权，支持多角色关联。角色包括普通用户、工资管理员、校领导、处长和基础信息维护角色，大多数教职工的权限为普通用户角色。

（5）身份认证管理。主要功能包括：单点登录服务、身份认证服务、应用认证接口包。

（6）会话监控管理。可以实时查看当前登录的所有用户会话状态和停留时间。可显示全部在线用户，也可按访问的服务器查询。

（7）日志管理。可以根据条件查询用户操作行为日志和系统日志。依靠记录用户的访问过程，建立一套全面、有效的回溯和追查机制。

（8）数据维护。数据维护工具支持门户内组织机构、角色、用户及权限等数据的批量导入、导出。提供相应的综合查询功能，完成批量用户密码初始化。

2.4 系统特点

（1）集成Discuz Ucenter用户认证服务。Discuz是国内著名的论坛系统，其Ucenter用户中心更是提供了整合其它系统的强大功能，已成为业界标准。通过简单的配置，可与其它系统进行对接认证，使用方便，即使跨语言、跨平台认证也十分方便。

（2）统一身份管理，包括身份管理、身份信息同步、身份状态改变。系统对学生入校到离校、教师职位变更以及多重身份多重职务等提供支持，同时对组织机构的拆分与合并提供支持，为SSO提供一个方便、集中的身份数据管理平台。

（3）通过系统平台提供的统一认证服务，满足学校业务系统多元化特点。提供跨服务器及业务应用的身份认证服务及，确保跨业务系统身份认证识别。将众多校园应用纳入到信息门户平台中，实现单点登录。

3 结语

本文通过对数字化校园建设中统一身份认证系统模型的研究，很好地解决了大型信息网络中信息孤岛问题，同时解决了数字化校园大环境中身份数据的安全认证、统一存储、统一管理以及权限分配、角色管理和访问控制等问题，充分满足了高校信息化建设需求。

参考文献：

[1] 唐明靖，陈建兵，吴 惠.数字化校园真正意义的统一身份认证的研究与实现[J].云南大学学报：自然科学版，2013，35（S2）：138-142.

[2] 高志军，张 凯，宋慧宁. 基于 LAMP/Ucenter 构建校本Web2.0教育应用系统[J].计算机教育，2010（21）：118-122.

[3] 高焕芝.单点登录技术研究[D].北京：北京邮电大学，2006.

[4] 黄娈.校园网统一身份认证系统的研究与实现[D].天津：天津大学，2013.