身份認證系統(tǒng)需求分析：分布式用戶認證為單點登錄護航 上篇

身份認證系統(tǒng)總體設(shè)計—四大設(shè)計原則

為了使身份認證系統(tǒng)能夠更好地與其他系統(tǒng)協(xié)同工作，我們在設(shè)計該系統(tǒng)時制訂了幾條原則：

1. 面向服務(wù)的原則

系統(tǒng)的定位是為其他信息系統(tǒng)提供認證服務(wù)和身份管理服務(wù)，這就要求系統(tǒng)能夠從用戶的角度提供一套服務(wù)規(guī)范和接口標準。

2. 可動態(tài)擴展的原則

系統(tǒng)在運營的過程中需要擴展的內(nèi)容包括：認證方式、認證策略、資源和管理流程、管理策略。系統(tǒng)的設(shè)計必須能夠有效識別這些變化，隔離這些變化，以策略或參數(shù)化的形式支持這些變化。

3. 現(xiàn)有應(yīng)用系統(tǒng)最小改動的原則

系統(tǒng)設(shè)計時應(yīng)充分考慮對現(xiàn)有應(yīng)用系統(tǒng)的影響，保證現(xiàn)有應(yīng)用系統(tǒng)改動最小，并在業(yè)務(wù)流程上保持現(xiàn)有應(yīng)用模式。

4.方便管理的原則

由于Web Service技術(shù)的松散耦合特點，它沒有復(fù)雜的消息傳遞、對象引用和垃圾回收機制，因此非常適合于分布式處理。我們設(shè)計系統(tǒng)時需要考慮到校園網(wǎng)中用戶身份和資源信息應(yīng)具有簡單方便的管理方式。

身份認證系統(tǒng)總體設(shè)計—系統(tǒng)構(gòu)成

身份認證系統(tǒng)由身份認證服務(wù)器、用戶信息/安全策略數(shù)據(jù)庫、客戶端控件、Web服務(wù)代理、管理終端等構(gòu)成。身份認證服務(wù)器由身份認證服務(wù)和安全策略配置服務(wù)兩個模塊組成。

身份認證系統(tǒng)采用B/S架構(gòu)實現(xiàn)用戶信息的管理和安全策略的配置，配置的信息通過安全策略配置服務(wù)程序?qū)懭氲接脩粜畔?安全策略數(shù)據(jù)庫中，以供身份認證服務(wù)和管理終端查詢使用。身份認證服務(wù)模塊提供在線服務(wù)，實時接收來自Web安全代理的身份認證請求，并根據(jù)設(shè)定的策略對用戶身份進行驗證，為用戶登錄業(yè)務(wù)系統(tǒng)提供集中認證服務(wù)。

身份認證系統(tǒng)部署在用戶層和資源層之間，對用戶訪問資源的登錄行為進行實時的控制：

1. 用戶層

這一層包括校內(nèi)所有教職工和學生。按照用戶上網(wǎng)地點的不同，可以劃分為校內(nèi)用戶和校外用戶；按用戶接入方式的不同，可以劃分為上網(wǎng)認證用戶和不認證用戶。

2. 資源層

這一層包括校內(nèi)辦公系統(tǒng)、精品課程、網(wǎng)絡(luò)教學平臺、內(nèi)網(wǎng)個人信息查詢、資源中心、學生選課及成績查詢、BBS等B/S架構(gòu)的應(yīng)用系統(tǒng)，而將來可以通過平滑升級的系統(tǒng)包括郵件系統(tǒng)和其它C/S架構(gòu)的業(yè)務(wù)系統(tǒng)。

身份認證系統(tǒng)總體設(shè)計—系統(tǒng)架構(gòu)

Tomcat是JSP和Servlet的運行環(huán)境，AXIS框架來自Apache開放源代碼組織，它是使用Java語言編寫的基于最新的SOAP 規(guī)范（SOAP 1.2）和SOAP with Attachments 規(guī)范的開放源代碼框架。使用AXIS實現(xiàn)Web Service非常簡單，只需編寫認證相關(guān)的Java類，然后將文件擴展名改為jws，無需編譯，將文件拷貝到應(yīng)用程序發(fā)布目錄下即可。

身份認證系統(tǒng)網(wǎng)絡(luò)構(gòu)架與實現(xiàn)

綜合考慮到性能和保護現(xiàn)有投資的要求，校園網(wǎng)采用了網(wǎng)關(guān)認證和802.1x認證相結(jié)合的方式：學生宿舍全部部署支持802.1x的交換機，采用802.1x認證，辦公區(qū)采用網(wǎng)關(guān)Web認證。兩套認證系統(tǒng)使用統(tǒng)一的用戶資料，用戶資料存儲在LDAP服務(wù)器中，通過Web Service實現(xiàn)用戶身份的認證， Web Service通過Java技術(shù)實現(xiàn)，運行環(huán)境為Tomcat和AXIS框架。

在校園網(wǎng)內(nèi)部署兩臺身份認證服務(wù)器，操作系統(tǒng)為Redhat Linux 9.0；安裝Apache、登錄認證服務(wù)器軟件、資源訪問審計服務(wù)器軟件和安全策略配置服務(wù)器軟件。其中，一臺是數(shù)據(jù)庫服務(wù)器，其操作系統(tǒng)為Redhat Linux 9.0，安裝的是Oracle數(shù)據(jù)庫軟件；另一臺是管理終端，在應(yīng)用系統(tǒng)服務(wù)器主機上安裝Web服務(wù)代理。為了保證身份認證系統(tǒng)穩(wěn)定可靠地運行，避免單點故障，使用兩臺身份認證服務(wù)器互相熱備，以保證提供穩(wěn)定可靠的服務(wù)。

校內(nèi)用戶訪問校內(nèi)應(yīng)用系統(tǒng)時不需要通過該系統(tǒng)作驗證，而是直接訪問原有業(yè)務(wù)；校外用戶訪問校內(nèi)應(yīng)用系統(tǒng)時必須通過身份認證系統(tǒng)進行身份驗證，認證方式為用戶名/口令，身份驗證通過后才能訪問原有業(yè)務(wù)；用戶通過身份驗證時，只需輸入一次口令，就可以訪問校內(nèi)應(yīng)用系統(tǒng)。

目前，學校人事、教務(wù)、研究生、財務(wù)、校內(nèi)信息服務(wù)等網(wǎng)絡(luò)應(yīng)用系統(tǒng)已實現(xiàn)基于Web Service的統(tǒng)一身份認證。根據(jù)校園網(wǎng)建設(shè)的需求，身份認證服務(wù)器采用雙機備份，盡可能提高系統(tǒng)運行的可靠性，用戶使用該系統(tǒng)訪問業(yè)務(wù)系統(tǒng)時只需要輸入一次口令，就可以連接多個應(yīng)用系統(tǒng)，而其他應(yīng)用系統(tǒng)不用作任何修改，就可以平滑升級支持單點登錄、集中授權(quán)和集中審計。

【編輯推薦】

1. 簡化VPN身份認證
2. 中國用戶對強身份認證最積極
3. 2009數(shù)據(jù)中心變化之IT身份認證
4. 確保網(wǎng)上銀行安全的多重身份認證方案
5. 網(wǎng)絡(luò)購物安全需警惕 身份認證誰說了算