高校統(tǒng)一身份認證平臺建設研究

田 炯

（浙江科技學院信息中心，浙江 杭州310023）

0 引言

隨著高等教育事業(yè)與現(xiàn)代信息技術的不斷融合，高校信息化建設得到飛速發(fā)展；高校根據(jù)自身實際與特色出發(fā)，利用信息技術的優(yōu)勢來提升學校的辦事效率，辦學質量和科研能力。信息化建設涵蓋范圍廣泛，包含教學管理、科學研究、學生培養(yǎng)、教學資源建設和利用，信息檢索和校園信息化等方面。高校信息化程度的提高，在一定程度上提升了高校管理水平，工作效率，但局限于當時的思想和當時的技術，導致信息建設分散、各自為政、協(xié)調性差等問題，這個已經(jīng)成為困擾當前高校的一個難題。

1 統(tǒng)一身份認證平臺的現(xiàn)狀與功能需求分析

高校在國家政策的支持下，發(fā)展非常迅速，各個部門、學院都建立了各類信息系統(tǒng)，如教務系統(tǒng)、一卡通系統(tǒng)、科研系統(tǒng)、財務系統(tǒng)等等，各自互相獨立、采用了不同的標準和開發(fā)模式，造成整合困難，數(shù)據(jù)源單一，最終形成一系列的信息孤島，給高校信息化發(fā)展帶來了嚴重的阻礙；無法獲得一個整體的全局數(shù)據(jù)視圖并對其進行數(shù)據(jù)挖掘和數(shù)據(jù)分析，無法對學校的決策進行有力的數(shù)據(jù)支撐。為解決身份統(tǒng)一認證的問題，高校引入了相對教務簡單的單點登錄平臺，最廣泛的是基于LADP的身份認證方式，該方式是建立一套教職工、學生的數(shù)據(jù)映射表，各種信息登錄時通過比對LADP中的數(shù)據(jù)信息進行判斷人員的存在狀況，這種方式只是驗證了人員的存在狀況，其他如系統(tǒng)的角色、數(shù)據(jù)格式、數(shù)據(jù)字典都是獨立于統(tǒng)一平臺自行建立，系統(tǒng)間各類標準互不統(tǒng)一，其無法滿足高校數(shù)據(jù)標準統(tǒng)一、內容共享、身份傳遞、角色分配等一系列的問題，因此需要建立一套功能完善、變更靈活的統(tǒng)一平臺。

統(tǒng)一身份認證作為高校信息化建設中的一個應用子系統(tǒng)，是根據(jù)高校自身的特色和規(guī)則進行角色定義的一種用戶管理機制，統(tǒng)一各個應用系統(tǒng)的用戶管理，其主要涉及人員角色管理、權限管理、日志管理、接口管理，其功能圖如圖1所示

圖1 系統(tǒng)功能架構圖

人員角色管理主要對高校各類管理人員、系統(tǒng)操作員、系統(tǒng)管理員進行基本信息管理角色的分配主要包括信息維護、角色維護、用戶角色映射等功能。

權限管理主要對各類人員在各種應用系統(tǒng)的中具有的功能進行詳細分類，保證各類人員功能權限的獨立、系統(tǒng)數(shù)據(jù)的安全。

日志管理主要對同步過程、用戶的操作進行日志記錄，以及日志操作等功能

接口管理主要進行身份數(shù)據(jù)、應用系統(tǒng)權限數(shù)據(jù)同步、權限查詢接口等功能。

2 統(tǒng)一身份認證平臺的建設與規(guī)劃

統(tǒng)一身份認證平臺，將用戶資源、應用系統(tǒng)資源和用戶對于各個應用系統(tǒng)的權限、角色等在數(shù)據(jù)庫中進行存儲，并在這個基礎上，建立統(tǒng)一的數(shù)據(jù)字典標準，集成單點登錄、集中權限以及校園應用系統(tǒng)資源的統(tǒng)一管理。此種方式可以提供統(tǒng)一的用戶信息管理界面、統(tǒng)一的認證訪問接口，可以使各個業(yè)務系統(tǒng)只關注于系統(tǒng)中的業(yè)務流程和功能，無需考慮用戶級別上的管理。統(tǒng)一身份認證結構如圖2所示

圖2 統(tǒng)一身份認證結構圖

統(tǒng)一身份認證主要有4個部分組成：數(shù)據(jù)存儲，它按照數(shù)據(jù)字典中的數(shù)據(jù)格式定義對用戶信息等數(shù)據(jù)進行存儲；用戶數(shù)據(jù)管理，負責用戶身份信息、權限信息等數(shù)據(jù)的采集，數(shù)據(jù)同步，信息維護等；身份認證，識別用戶的各種身份信息的認證方式和識別模式，主要集成CA、LADP等，將來會不斷更新；運行管理，主要實現(xiàn)系統(tǒng)狀態(tài)的監(jiān)控、安全防護、日志管理等功能，這些功能都依托在統(tǒng)一認證服務器中。

統(tǒng)一身份認證系統(tǒng)提供三個層次的服務：用戶層，面對終端用戶，主要進行個人信息維護，密碼修改等服務；管理層，面對信息系統(tǒng)管理員，主要進行用戶數(shù)據(jù)維護、系統(tǒng)監(jiān)控等服務；系統(tǒng)層，實現(xiàn)系統(tǒng)的單點登錄、身份認證、服務監(jiān)控和調度等系統(tǒng)功能。

為了能夠將高?，F(xiàn)有的業(yè)務系統(tǒng)有效的整合到統(tǒng)一身份認證平臺中，根據(jù)高校的現(xiàn)狀出發(fā)，采用兩種方式進行對接：

1）對于原有的老系統(tǒng)，其結構變更比較復雜，只進行簡單的賬號關聯(lián)，實現(xiàn)用戶的單點登錄認證，對其原有現(xiàn)在不作任何改變，用戶通過統(tǒng)一身份認證后，由業(yè)務系統(tǒng)進行授權；2）對于后期需要建設的或者已經(jīng)著手在建設的新系統(tǒng)，必須參照統(tǒng)一身份認證平臺的數(shù)據(jù)字典，修改其業(yè)務系統(tǒng)代碼與統(tǒng)一身份認證平臺進行聯(lián)調，由統(tǒng)一身份認證平臺實現(xiàn)認證并授權

3 結束語

本文根據(jù)高校信息化的現(xiàn)狀出發(fā)，得出統(tǒng)一身份認證平臺的重要性，并對其在高校中的使用情況，功能需求進行調研，根據(jù)系統(tǒng)建立的時間和類別進行分類，老系統(tǒng)實現(xiàn)單點登錄，新建系統(tǒng)參照統(tǒng)一的數(shù)據(jù)字典，實現(xiàn)統(tǒng)一身份認證功能，為后續(xù)的校園信息化建設提供有力保證。雖然統(tǒng)一身份認證能夠叫靈活的集成各類應用系統(tǒng)，但其處于不斷的發(fā)展之中，與應用系統(tǒng)的集成仍比較薄弱，需要進一步找尋更加合適的授權整合方式，集成原應用系統(tǒng)流程。

［1］時陽.基于數(shù)字證書的企業(yè)統(tǒng)一身份認證系統(tǒng)[D].山東大學,2012.

［2］馮小玲.高校校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的安全研究——以山西大學商務學院校園網(wǎng)為例[J].中央民族大學學報:自然科學版,2010,02:49-52+57.

［3］王磊,常樂,姜立.數(shù)字化校園統(tǒng)一身份認證系統(tǒng)設計研究[J].遼寧高職學報,2013,05:91-93.

［4］Nareisio Tumushabe,Tan Gualizheng.An overview of an authentication security feature sin ASP.NET[J].Journal of Shenyang University of Technology,2003,25:249-257.

［5］Andreas Polyrakis,Raouf Boutaba.The meta-policy information base[J].Network,IEEE Volume16,Issue 2,March-April 2002:40-48.