分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 上篇

作者：佚名 2011-05-17 13:35:01

安全

數(shù)據(jù)安全

分布式 近年來(lái)，很多高校采用了基于LDAP的用戶認(rèn)證方式，較好地解決了統(tǒng)一身份認(rèn)證問(wèn)題，但是直接將LDAP服務(wù)器暴露在其他應(yīng)用系統(tǒng)和用戶面前具有一定的安全風(fēng)險(xiǎn)。另外，在分布式環(huán)境下LDAP的訪問(wèn)也有可能受到防火墻的阻擋。而Web Service是目前分布式異構(gòu)環(huán)境下構(gòu)建復(fù)雜系統(tǒng)的重要技術(shù)。因此，我們?cè)O(shè)計(jì)了一種Web Service和LDAP相結(jié)合的分布式用戶認(rèn)證系統(tǒng)，解決校園網(wǎng)用戶統(tǒng)一身份認(rèn)證問(wèn)題。

創(chuàng)新互聯(lián)是一家專(zhuān)注于做網(wǎng)站、成都網(wǎng)站制作與策劃設(shè)計(jì),金川網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:金川等地區(qū)。金川做網(wǎng)站價(jià)格咨詢:13518219792

校園網(wǎng)統(tǒng)一身份認(rèn)證案例描述

某大學(xué)現(xiàn)有外網(wǎng)和內(nèi)網(wǎng)應(yīng)用系統(tǒng)兩大類(lèi)。內(nèi)網(wǎng)應(yīng)用系統(tǒng)包括各院系、機(jī)構(gòu)的二級(jí)部門(mén)應(yīng)用系統(tǒng)，大多采用B/S模式實(shí)現(xiàn)，B/S模式的WWW服務(wù)器一般采用IIS和Apache實(shí)現(xiàn)Web訪問(wèn)，還有少量Domino。外網(wǎng)系統(tǒng)可以通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)，不需要認(rèn)證用戶身份。而內(nèi)網(wǎng)系統(tǒng)需要身份認(rèn)證才能進(jìn)行訪問(wèn)，內(nèi)網(wǎng)中各個(gè)系統(tǒng)的用戶身份標(biāo)識(shí)和口令又不統(tǒng)一，同一用戶訪問(wèn)多個(gè)應(yīng)用系統(tǒng)時(shí)需要輸入不同的用戶名和口令。為了解決身份認(rèn)證的問(wèn)題，此大學(xué)將身份認(rèn)證系統(tǒng)作為校園網(wǎng)建設(shè)的重要內(nèi)容之一，從而實(shí)現(xiàn)校外用戶訪問(wèn)校園網(wǎng)內(nèi)應(yīng)用系統(tǒng)的身份認(rèn)證功能。

統(tǒng)一認(rèn)證需求分析—認(rèn)證需求

目前校外用戶訪問(wèn)校園網(wǎng)內(nèi)的應(yīng)用系統(tǒng)時(shí)，采用反向代理進(jìn)行訪問(wèn)控制?，F(xiàn)在，我們需要配置一套身份認(rèn)證系統(tǒng)，當(dāng)校外用戶訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)時(shí)，系統(tǒng)可以對(duì)其進(jìn)行身份認(rèn)證，從而取消反向代理服務(wù)器。主要需求如下：

1. 用戶標(biāo)識(shí)采用統(tǒng)一編碼規(guī)則

校園網(wǎng)內(nèi)的用戶（包括教師、學(xué)生）采用統(tǒng)一的編碼規(guī)則，實(shí)現(xiàn)用戶身份的唯一標(biāo)識(shí)(目前校內(nèi)已有相應(yīng)的規(guī)范)。

2. 身份認(rèn)證系統(tǒng)與數(shù)據(jù)中心實(shí)時(shí)聯(lián)動(dòng)

學(xué)校已經(jīng)建設(shè)了數(shù)據(jù)中心，因此身份認(rèn)證系統(tǒng)中的用戶標(biāo)識(shí)可以從數(shù)據(jù)中心獲得，并能與之實(shí)施聯(lián)動(dòng)。

3. 校內(nèi)用戶無(wú)需身份認(rèn)證

校園網(wǎng)內(nèi)的用戶訪問(wèn)校園網(wǎng)應(yīng)用系統(tǒng)時(shí)，因?yàn)橐言诰W(wǎng)絡(luò)連接時(shí)進(jìn)行了端口認(rèn)證，因此，無(wú)需再次進(jìn)行身份認(rèn)證。

4. 校外用戶需要身份認(rèn)證

校外用戶訪問(wèn)校園網(wǎng)業(yè)務(wù)系統(tǒng)時(shí)需要進(jìn)行身份認(rèn)證，用戶通過(guò)認(rèn)證后，再次訪問(wèn)應(yīng)用系統(tǒng)時(shí)，不需要二次認(rèn)證。

統(tǒng)一認(rèn)證需求分析—單點(diǎn)登錄需求

目前用戶在使用校園網(wǎng)內(nèi)的多個(gè)業(yè)務(wù)系統(tǒng)時(shí)，必須輸入多個(gè)用戶名和口令進(jìn)行多次認(rèn)證，這給用戶在使用系統(tǒng)時(shí)帶來(lái)了很多麻煩，同時(shí)也增加了系統(tǒng)的維護(hù)工作量。因此現(xiàn)在需要有一個(gè)系統(tǒng)或機(jī)制實(shí)現(xiàn)“一次登錄，全網(wǎng)可用”，即實(shí)現(xiàn)單點(diǎn)登錄。主要需求如下：

1.整合所有應(yīng)用系統(tǒng)

校園網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng)大多采用B/S模式，也有少量采用C/S模式，單點(diǎn)登錄系統(tǒng)需要整合所有需要登錄驗(yàn)證的應(yīng)用系統(tǒng)。

2.一次認(rèn)證，多次使用

校園網(wǎng)用戶只需在網(wǎng)絡(luò)連接或初始登錄時(shí)輸入用戶名/口令進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，用戶訪問(wèn)其他系統(tǒng)也使用同一用戶身份，無(wú)需再次認(rèn)證。

3.用戶資源訪問(wèn)審計(jì)

用戶登錄后對(duì)校園網(wǎng)內(nèi)資源的所有訪問(wèn)都記入日志，以便事后進(jìn)行審計(jì)。 

身份認(rèn)證系統(tǒng)的總體設(shè)計(jì)和網(wǎng)絡(luò)構(gòu)架與實(shí)現(xiàn)的內(nèi)容我們將會(huì)在下一節(jié)中介紹：分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 下篇

本文標(biāo)題：分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航上篇
標(biāo)題來(lái)源：http://m.5511xx.com/article/djsopcd.html