【正文】 發(fā)人員不直接使用 JAAS，而是使用 單點登錄系統 的認證應用編程接口。 . 認證接口設計 單點登錄系統 提供了公共的認證服務架構 ， 對外提供 多種認證接口 ， 以及認證服務的擴展接口。 認證界面是基于一組 JSP 模板和 XML 文件動態(tài)生成的。 . 用戶認證界面 用戶認證界面是單點登錄系統與最終用戶的接口，它負責向用戶顯示登錄表單，搜集用戶認證信息，并傳回服務器端；服務器端通過調用平臺的認證API 進行認證，并為通過認 證的用戶創(chuàng)建單點登錄系統的單點登錄會話。單點登錄系統為每種內置的認證方式定義了一個服務，并定義了一個核心認證服務，31 用于組織所有認證方式的公有屬性。 認證方式個性化 不同的認證方式具有不同的安全性、易用性和部署成本，因此，針對不同的用戶群與不同的應用范圍需要對認證方式進行個性化。 Microsoft Windows 域認證 系統 使用 Windows 域認證系統作為本身的認證機制，如果用戶通過了它的認證，則認為此用戶認證通過。 數字證書認證方式 使用 X509v3 數字證書，只要客戶端可以提供 X509v3 數字證書，系統允許其登錄。當一個用戶登錄時，提供的用戶名與口令若與該LDAP 目錄中指定子樹中某一個用戶記錄的用戶名與口令相同，則認證成功，登錄者具有 LDAP 目錄中該用戶記錄對應的身份。 為防止暴力破解，提供附加圖像碼的方式增加安全性。 最長高速緩存時間 （分鐘） 單點登錄會話信息在客戶端高速緩存中保存的最長時間，超過該時間，則客戶端必須訪問服務器以刷新緩存中的會話信息。 上述單點登錄會話的生命期由 AM 進行管理，會話的生命期特性可 以通過配置選項進行定制。無效的單點登錄會話也通過一個單點登錄會話 令牌身份，并存儲在用戶瀏覽器的 cookie 中。令牌一旦生成， AM 會將它插入一個 Cookie，并且頒發(fā)給用戶的瀏覽器。如果有效，則應用系統可以從 單點登錄令牌獲取用戶身份信息，而不再需要用戶進行再次認證。用戶經過一次認證就可建立單點登錄會話，每個單點登錄會話對應于一個令牌（ token），用戶訪問應用系統時向應用系統傳遞單點登錄令牌，應用系統能夠根據令牌識別27 用戶的認證狀態(tài)，從而使一次認證能夠被多個應用系統認可，避免了重復認證。 ? 通過 TLS（ Transport Layer Security， 傳輸層 安全協議 ）或 SSL（ Secure Sockets Layer，安全套接層協 議） 為信息傳輸提供保密性和完整性保護。 ? 支持多種多級登錄認證機制，如用戶 /密碼、動態(tài)口令等。 校園網 通常運行 多個 應用 系統，為學校領導、各部門及教生提供多種服務，這樣就帶來了 一個突出的 問題，用戶面對多個系統 時 要 記憶、 輸入帳號 /口令等信息，不僅煩瑣， 而且 容易丟失 口令 ，一旦口令泄漏會造成不可估量的損失。 . 單點登錄服務 單點登錄（ Single Sign On， SSO）通常定義為指用戶只需經過一次認證就可以訪問所有擁有訪問權限的應用系統。 . 權限模型 功能描述 為了適應中小學用戶多重身份和組織結構易變的特點，同時最大限度的保證用戶認證效率，平臺提供扁平的用戶權限模型。 用戶管理數據庫變更后同步 到 LDAP 目錄 數據庫。不同類型的數據存儲方式具有不同的數據存儲格式，也提供不同的數據訪問接口。 用戶數據 通常 分散在不同的應用系統中。 . 權限語義集成 當身份認證平臺的策略服務不能滿足業(yè)務系統授權要求時，我們提供了一種針對業(yè)務系統開放的完全自由的權限語義集成機制。雖然組的成員缺省來自于整個用戶樹，但是對于權限有限的組管理員來說，當他管理一個預 訂組的時候，他只能把他自己能管理的用戶添加到新創(chuàng)建的預訂組中。 組代表了具有相同功能、屬性或者興趣愛好的用戶的集合。如果有特別請求，則在 ldap search 操作中返回 ACI 屬性。還可以定義對特定位置（例如 IP 地址或 DNS 名稱）的訪問權。一個組有其成員；一個角色也有其成員。 類型 作用域 繼承性 用途 全局 整個 統一授權系統 不可繼承 服務的全局配置 組織 應用于組織 不可繼承 服務的組織級配置 動 態(tài) 應用于角色、用戶 可繼承 服務的動態(tài)配置，配置給角色的屬性自動為所有具有該角色的用戶擁有，配置給組織的屬性自動為所有該組織下的用戶擁有。 服務的屬性集合是通過一個 XML文件加以定義的。 由于服務與策略方案之間是一一對應的，因此，定義策略方案是在定義服務的同時進行的。 一條具體策略規(guī)定了一組主體在一組條件 下 的一組訪問控制規(guī)則。 由于服務是應用的組成元素，因此，授權應該是針對服務的資源而不是應用的資源來進行的。用戶可以通過系統的 WEB控制臺界面或命令行界面管理策略。沖突的策略決策必須消解之后才能用于權限控制。 動作的值可以是布爾類型的，表示是與否、允許或禁止等兩值類型的動作決策；動作的值也可以是復雜類型的，如字符串、數值等，可以用來表示動作的程度、范圍等決策概念，諸如郵箱配額、折扣率等。 遠程客戶端調用策略驗證接口時的處理流程如下： (1) 應用系統調用 Java API 請求策略驗證； (2) Java API 根據策略驗證請求生成一個 XML 策略驗證請求； (3) Java API 將 XML 策略驗證 請求 通過 HTTP 協議發(fā)送給系統的 Policy 服務： % (4) 系統處理策略驗證 XML請求，并創(chuàng)建一個策略決策 XML文檔作為應答返回給客戶端； (5) 客戶端 Java API 接收并解釋策略決策 XML 文檔； (6) 應用系統通過 Java API 獲取策略決策信息。由于推薦策略只是將策略推薦給對等組織或子組織進行判定，而不涉及策略的具體判定，因此此處不對推薦策略進行詳細描述。在這里，“誰”是策略的 主體 ；“情況”是策略適用的條件；“服務”是策略的上下文，“資源”與“操作”都是與該服務相關的；“資源”是策略的對象；“執(zhí)行怎樣的操作”可以表示為 一系列“動作”及與之對應的“值”。策略的存貯結構通過 LDAP 中的對象類與屬性類型加以定義；策略存貯在目錄服務器中。 該 架構 中，統一授權管理提供 PDP 服務，包括策略的定義、存貯、配置與判定，這些服務通過策略判定 API 與策略管理 API 向外部應用提供； PEP 是應用中根據策略判定結果執(zhí)行應用邏輯的部分。 17 . 統一授權平臺的架構 統一授權平臺的架構如下圖所示。 . 統一授權管理 策略與權限管理模塊 是 多用戶應用系統 不可或缺 的。 身份認證平臺主要 集成關系型數據庫中的用戶信息表、權限信息表以及用戶 /權限對應關系表等，在身份認證平臺上建立針對應用的數據庫資源，并制定相應的用戶信息映射和同步關系，通過該資源將相 應 用戶信息創(chuàng)建到數據庫中。 . 與 LDAP目錄服 務器的集成 身份認證平臺和 LDAP 目錄服務器的集成，如 Sun Java System Directory Server 是通過 JNDI 資源適配器完成的，在資源方無須代理。 15 . 批量維護工具 滿足管理員日常 數據 維護的需要，提供： ? 批量 導入用戶數據 、 組織數據 ? 批量修改和刪除人員屬性信息 ? 高級查詢功能 ? 系統服務的注冊 和 注銷 ? 在不同的人員容器間移動人員數據 應用模 式： ? 教職工用戶數據 通過 人事系統數據訪問接口或用戶數據表 導入 ； ? 管理員定期使用該工具完成教職工用戶數據 的 導入； ? 學生畢業(yè)轉為校友后，管理員通過該工具將畢業(yè)生批量轉入； ? 系統運行準備階段，管理員通過該工具完成批量用戶密碼初始化。 個人密碼遺忘后， 用戶 可以在門戶認證界面上 使用 密碼找回功能，問題回答正確后，可以重新設置密碼； 用戶登錄后，可以根據自己的習慣設置登錄別名，系統自動檢查別名 是否重復，別名設置成功后，用戶可以 使用 別名進行登錄。 用戶帳號注銷后，所有的用戶權限 失效 。帳號管理功能包括： 1. 用戶自注冊功能：用戶使用公共的帳號 /口令登錄系統， 然后 自 行 注冊一個賬號 /口令。 13 . 用戶數據管理 身份認證系統 需要 提供多樣化的用戶數據管理方案。 下圖為數據模型圖： 12 身份認證平臺： 1. 管理用戶訪問一個或多個資源的權限； 2. 管理用戶在這些資源上的帳戶數據； 3. 賦予 用戶 一個或多個角色，設置 用戶 訪問各種資源的 權限 ； 4. 管理組織，決定用戶帳戶由誰和怎樣被管理。 當用戶帳戶的申請被批準后，用戶帳戶將根據預先定義的規(guī)則在中央主目錄服務器中創(chuàng)建，并通過資源適配器在各個該用戶可以使用的應用系統中產生帳戶信息。一個好的身份管理解決方案將復雜的身份管理問題變得簡單、實用。從 實踐結果 看，集中權限控制的效益并不明顯，建 議不強 求集中控制，由各應用系統設計開發(fā)時按需選擇。 集中身份庫與門戶系統的統一 可以 為整個平臺提供集中的管理、安全機制，實現整體 的統一。 為方便師生使用 ， 解決 多應用帶來的 多賬 號 問題， 需要 建立 統一的身份管理平臺 ， 用戶在平臺上登錄一次就可以 訪問 所有 具有權限 的應用。 “教師”和“學生”是 智慧校園 系統涉及的兩大數據對象，業(yè)務數據實體主要由這兩大對象映射產生 。 管理信息標準的體系結構 包括 以下幾個方面：一組相關數據元的集合，對數據元屬性的規(guī)范描述（又稱之為元數據標準化），屬性包含了數據項名稱、中文簡稱、類型、長度、可選性、取值范圍等。學校校內標準 兼容 教育部及 其它管理部門 的標準，方便數據上報。 ? 適用性：標準的制定充分考慮學校的實際情況，以應用 為 目標。用戶界面的版 面 和顯示 效果 由預先制作 的 模版 實現 ，并支持任何標準化的 HTML 工具，嵌入模版的 Java 程序根據用戶的角色和權限提取相應的內容和數據，配合模版 自動 合成針對用戶的個性化 的 動態(tài)網頁。 . 應用程序的開發(fā)與運行結構 開發(fā)及運行結構基于三層架構，即 Web 服務器、應用服務 器和數據庫服務器。相對于嵌入 HTML、 受限于用戶端顯示 、 編程能力有限的腳本語言， Java 能力 完整， 可 以 開發(fā)具有強大“業(yè)務邏輯”的 大型 應 用 系統 。 采用模版（ Template) 技術生成 動態(tài) 網頁，為用戶提供基于角色和權限的內容和數據服務。在應用系統整體化、 模塊 化和規(guī)?；耐瑫r，保證應用系統在技術上、經濟上的可持續(xù)發(fā)展。 4 2. 技術路線 智慧校園 應用系統 應 采用成熟 先進 的 技術 規(guī)范，設計 上 盡量減少各子系統間的相互依賴性 （ 包括軟件對平臺、軟件對數據、軟件對軟件、平臺對平臺等 ） ，某個子系統的減少、增加和變更，不影響其它子系統和整體，從而最大限度地保護既有投資，減少系統的維護量和再投入。 應用軟件平臺的開發(fā)及運行架構采用三層結構 ，即 Web 服務器、應用服務器和數據庫服務器，在不影響系統其它部分的情況下，保證了應用服務器與其它應用有效和無縫的整合，同時支持大規(guī)模 的 并發(fā)用戶訪問。 Java作為 Web 應用 的 事實 標準，其獨立于操作系統 和 服務器的“跨平臺性”，使其“一次編寫，到處運行”，是 WEB 軟件系統 最適合 的 編程語言。面向對象的組件技術在異構 、 分布環(huán)境下為不同機器上的應用提供了互操作性，并無縫地集成了多種對象系統；另一方面， 組件大大加快了軟件開發(fā)的速度，降低了軟件開發(fā)和再開發(fā)的成本。 . 動態(tài)網頁生成技術 信息發(fā)布采用 基于 模版 的 動態(tài) 網頁生成 技術。 ? 規(guī)范性： 充分 參照國家 相關 最新標準、教育部《教育管理信息化標準 》 、北京市教委相關標準和各區(qū)縣教委相關 標準。同一個版本，維護其不同內容的一致性。所有歷史版本可查詢，可比較差異。 CIF 實現規(guī)范也定義了基于 XML 標準 的 CIF 數據模型 ， 支持 小學數據對象 在應用系統 間 的 共享。具體數據模型框架如下圖所示： 8 4. 基礎支撐平臺 . 統一身份認證 系統 應用 系統 如果 采用 各自獨立的身份認證 機制 ， 用戶 就要 記憶 不同 系統 中 的賬號 /密碼 。 統一身份認證實現的功能如下： —— 統一身份數據中心，對 各應用 系統 的 所有用戶提供集中和統一 的 管理，同時根據各個業(yè)務應用系統的認證方式的不同提供靈活的認證機制； 集中身份庫的基礎上， 在滿足數字校園管理平臺信息系統內部業(yè)務流程規(guī)則 的 前提下 ， 通過身份管理技術實現身份庫與各個業(yè)務應用系統 (門戶、 OA、教學、教務等系統 )用戶身份信息的自動同步處理功能； 的 基礎上，提供單點登 錄 (SSO)功能 ，用戶只需要通過一次身份認證就可以訪問具有權限的所有資源。身份認證平臺 可以采用 統一的權限模型，供各應用系統使用，相應的權限數據既可集中 管理 也可分布式管理。如圖： 10 針對 上述 問題，建立一個統一的，基于業(yè)界標準（如 LDAP， XML， Web Service， J2EE 等）的 ， 靈活、開放、可擴展性的身份管理框架是最終的解決方案。 身份認證平臺的核心包括用戶信息創(chuàng)建 和 中止的審批流程，該流