【正文】 . 統(tǒng)一信息門戶平臺(tái) 統(tǒng)一信息門戶平臺(tái)（ Portal），就是將各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個(gè)信息管理平臺(tái)之上，它把分立系統(tǒng)的不同功能有效地組織起來(lái)，為各類用戶提供一個(gè)統(tǒng)一的信息服務(wù)入口，并提供高可配置的功能，提供 WEB 網(wǎng)站頁(yè)面風(fēng)格、布局、內(nèi)容等方面的定制工具。例如，某用戶在 學(xué)校 的 UID 為 109886，而在 網(wǎng)絡(luò)招聘 系統(tǒng)中的 UID 為 120821363。 其 目的是產(chǎn)生聯(lián)合身份系統(tǒng)。 代理認(rèn)證是嵌入到目標(biāo)系統(tǒng)中的程序，可以在不改動(dòng)原有應(yīng)用代碼的前提下實(shí)現(xiàn)如下功能： ? 校驗(yàn)當(dāng)前用戶是否是統(tǒng)一身份認(rèn)證平臺(tái)合法用戶，并判斷是否有權(quán)訪問(wèn)請(qǐng)求的應(yīng)用； ? 如果用戶身份不合法則跳轉(zhuǎn)到登錄頁(yè)面； ? 如果無(wú)權(quán)進(jìn)入此應(yīng)用則出現(xiàn)拒絕進(jìn)入的頁(yè)面； ? 如果用戶身份合法則無(wú)需登錄，直接訪問(wèn)集成應(yīng)用； ? 將用戶屬性信息傳遞給集成應(yīng)用。 ICE提供了對(duì)高性能數(shù)據(jù)庫(kù) Berkeley DB 的內(nèi)建支持?？蛻艉头?wù)器代碼都不需要了解底層的傳輸機(jī)制 ， 可以通過(guò)一個(gè)配置參數(shù)選擇所需的傳輸機(jī)制。 語(yǔ)言無(wú)關(guān)性 客戶和服務(wù)器可以分別部署，所 用語(yǔ)言也可以不同。 我們的架構(gòu)為應(yīng)用開發(fā)者提供諸多重要優(yōu)勢(shì)： 面向?qū)ο蟮恼Z(yǔ)義 ICE“在線路上”完全保留了面向?qū)ο蠓缎汀? 為了解決這些問(wèn)題，我們采用 ICE（ Inter Communications Engine）中間件平臺(tái)自主開發(fā)各類認(rèn)證接口。在本地調(diào)用 Java 編程接口直接與 JAAS 認(rèn)證 API 交互，在遠(yuǎn)程調(diào)用 Java 編程接口則實(shí)際通過(guò) XML/HTTP 與認(rèn)證平臺(tái)的認(rèn)證服務(wù)交互。這些文件均可修改，使得不同的組織、子組織、地區(qū)、服務(wù) /應(yīng)用、客戶端類型具有不同的認(rèn)證界面。全局選項(xiàng)在整個(gè)單點(diǎn)登錄系統(tǒng)范圍內(nèi)適用，組織選項(xiàng)在組織級(jí)別進(jìn)行配置，只對(duì)一個(gè)組織有效。 RSA SecureID 認(rèn)證 多因子認(rèn)證 除了上述內(nèi)置的認(rèn)證方式之外，平臺(tái)也提供了服務(wù)提供者接口來(lái)開發(fā)定制的認(rèn)證方式。自注冊(cè)用戶的資料也存放在 LDAP 中，但可以為自注冊(cè)用戶指定不同于用戶的存30 放位置。 . 認(rèn)證方式設(shè)計(jì) 單點(diǎn)登錄系統(tǒng)采用認(rèn)證方式與登錄方式分層的設(shè)計(jì)，可平滑擴(kuò)展多種登錄方式，如用戶名口令、證書、智能卡等，支持多級(jí)登錄認(rèn)證機(jī)制。單點(diǎn)登錄會(huì)話可以因?yàn)橐韵略蚨N毀： 1. 客戶端空閑時(shí)間達(dá)到最大空閑時(shí)間； 2. 會(huì)話時(shí)間達(dá)到最大會(huì)話有效時(shí)間； 3. 由于用戶登出而顯式銷毀會(huì)話； 會(huì)話銷毀之后，客戶端 cookie 中保存的單點(diǎn)登錄會(huì)話令牌身份仍然存在，只是與該令牌相關(guān)的會(huì)話信息已經(jīng)在 AM 中刪除。 在對(duì)用戶進(jìn)行身份驗(yàn)證之前， AM 的會(huì)話服務(wù)先產(chǎn)生令牌，令牌包含一個(gè)隨機(jī)生成的會(huì)話標(biāo)志并且會(huì)作為這次會(huì)話的最終標(biāo)志。 . 系統(tǒng)原理與體系結(jié)構(gòu) 單點(diǎn)登錄系統(tǒng)的根本原理是保持用戶的會(huì)話（ session）狀態(tài)。 ? 支持 SAML（ Security Assertion Markup Language）安全性斷言標(biāo)記語(yǔ)言規(guī)范。 . 認(rèn)證集成 功能描述 滿足學(xué)校業(yè)務(wù)系統(tǒng)多元化特點(diǎn)，提供： ? 支持基于認(rèn)證接口、認(rèn)證代理和 LDAP 認(rèn)證的多種認(rèn)證集成模式 ? 支持密碼認(rèn)證 ? 支持與標(biāo)準(zhǔn)的主流 Radius 服務(wù)器集成 ? 預(yù)留 CA 認(rèn)證擴(kuò)展接口 ? 預(yù)留 SmartCard、 JavaCard 認(rèn)證擴(kuò)展接口 ? 預(yù)留與網(wǎng)絡(luò)接入認(rèn)證設(shè)備用戶認(rèn)證模塊的集成接口， 實(shí)現(xiàn)與網(wǎng)絡(luò)接入認(rèn)證設(shè)備的認(rèn)證集成 應(yīng)用模式 ? 業(yè)務(wù)系統(tǒng)全部采用基于認(rèn)證接口的認(rèn)證集成方式； ? 用戶統(tǒng)一采用基于密碼認(rèn)證的登錄方式。統(tǒng)一用戶管理 數(shù)據(jù)庫(kù) 在物理上與其它應(yīng)用數(shù)據(jù)源獨(dú)立，在數(shù)據(jù)上與其它應(yīng)用數(shù)據(jù)源保持同步。 . 用戶數(shù)據(jù)采集 功能描述 針對(duì) 學(xué)校用戶管理分散 進(jìn)行 的特點(diǎn)，提供從權(quán)威數(shù)據(jù) 源 采集用戶數(shù)據(jù)，并實(shí)時(shí)更新目錄服務(wù)器中的用戶數(shù)據(jù)，提供： ? 數(shù)據(jù)源采集點(diǎn)和采集周期定義 ? 數(shù)據(jù)源變化跟蹤和自動(dòng)采集 應(yīng)用模式 建立從公共數(shù)據(jù)庫(kù)平臺(tái)相關(guān)的共享數(shù)據(jù)集采集，在學(xué)生和教職工用戶數(shù)據(jù)變更 (包括新增、刪除、修改 )后，采集模塊自動(dòng)同步更新統(tǒng)一認(rèn)證用戶數(shù)據(jù)23 庫(kù)。 身份認(rèn)證平臺(tái)提供了組的分級(jí)管理的能力。接收到客戶端 的 LDAP 請(qǐng)求時(shí)，目錄服務(wù)器使用該屬性來(lái)允許或拒絕 訪問(wèn) 。 . 角色與用戶組管理 角色是和用戶組的概念相似的目錄服務(wù)器對(duì)象管理機(jī)制。身份認(rèn)證平臺(tái)將服務(wù)作為一組屬性進(jìn)行管理，而并不關(guān)心這些屬性的具體涵義。配置策略 、 驗(yàn)證策略是通過(guò)指定服務(wù)來(lái)指定策略方案的 。 策略的管理包括創(chuàng)建、刪除和修改策略。 策略決策中包括一組動(dòng)作決策 ， 動(dòng)作決策是關(guān)于某個(gè)具體動(dòng)作的決策，其中包括： （ 1）動(dòng)作的值：與該動(dòng)作相關(guān)的決策的值； （ 2） 有效時(shí)間（ TTL）：決策值在多久時(shí)間內(nèi)有效； （ 3）建議：該動(dòng)作決策的描述信息。為簡(jiǎn)明起見，在此以半形式化的方式描述策略模型如下： 常規(guī)策略 ::= 主體 集 + 條件集 + 規(guī)則集 主體 集 ::= {主體 } 條件集 ::= {條件 } 規(guī)則集 ::= {規(guī)則 } 主體 ::= Access Manager 角色集 | LDAP 組集 | LDAP 角色集 | LDAP 用戶集|LDAP 組織集 條件 ::= 認(rèn)證級(jí)別 |認(rèn)證方式 |客戶 IP |時(shí)間 規(guī)則 ::= 服務(wù) + 資源名稱 + 動(dòng)作類型 值對(duì)集 資源名稱 ::= 字符串 動(dòng)作類型 值對(duì)集 ::= {動(dòng)作類型 值對(duì) } 動(dòng)作類型 值對(duì) ::= 動(dòng)作類型 + 值 備注： 統(tǒng)一授權(quán)管理的策略包括推薦策略與常規(guī)策略。 統(tǒng)一授權(quán)管理支持通過(guò)策略 主體 SPI（ 服務(wù)提供者接口 ） 、策略條件 SPI、策略推薦 SPI與資源名稱 SPI進(jìn)行擴(kuò)展。 為了克服專有方式的缺點(diǎn)，統(tǒng)一用戶管理與認(rèn)證平臺(tái) 在 基礎(chǔ)設(shè)施層提供 了增強(qiáng)的策略服務(wù) ， 提供標(biāo)準(zhǔn)、通用、靈活和可擴(kuò)展的策略模型，支持策略的定義、存貯、配置與判定，并與用戶管理和服務(wù)管理緊密集成。 16 . 與關(guān)系型數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng) 的 集成 如果 應(yīng)用系統(tǒng)的用戶數(shù)據(jù)存儲(chǔ) 在 關(guān)系型數(shù)據(jù)庫(kù)中，應(yīng)用系統(tǒng)和統(tǒng)一身份認(rèn)證系統(tǒng)集成后， 統(tǒng)一身份認(rèn)證平臺(tái)替代了應(yīng)用系統(tǒng)的身份認(rèn)證功能，該 數(shù)據(jù)庫(kù)中的用戶信息 將 主要用于應(yīng)用系統(tǒng) 自身 的授權(quán)和策略管理。 ? 用戶數(shù)據(jù)采集時(shí)，自動(dòng)根據(jù)用戶的屬性和來(lái)源為 其 設(shè)置相應(yīng)的身份。 3. 帳號(hào)注銷功能：在 一定 條件下，實(shí)現(xiàn)用戶帳號(hào)的注銷 。 身份認(rèn)證平臺(tái)有虛擬用戶的概念，主要作用是映射用戶到多個(gè)資源， 可以將一個(gè)用戶在多個(gè)應(yīng)用系統(tǒng)中的全部帳戶信息作為一個(gè)實(shí)體來(lái)管理。 身份認(rèn)證平臺(tái)的核心包括用戶信息創(chuàng)建 和 中止的審批流程，該流程由管理員預(yù)先定義，可以修改。身份認(rèn)證平臺(tái) 可以采用 統(tǒng)一的權(quán)限模型，供各應(yīng)用系統(tǒng)使用，相應(yīng)的權(quán)限數(shù)據(jù)既可集中 管理 也可分布式管理。具體數(shù)據(jù)模型框架如下圖所示： 8 4. 基礎(chǔ)支撐平臺(tái) . 統(tǒng)一身份認(rèn)證 系統(tǒng) 應(yīng)用 系統(tǒng) 如果 采用 各自獨(dú)立的身份認(rèn)證 機(jī)制 ， 用戶 就要 記憶 不同 系統(tǒng) 中 的賬號(hào) /密碼 。所有歷史版本可查詢，可比較差異。 ? 規(guī)范性： 充分 參照國(guó)家 相關(guān) 最新標(biāo)準(zhǔn)、教育部《教育管理信息化標(biāo)準(zhǔn) 》 、北京市教委相關(guān)標(biāo)準(zhǔn)和各區(qū)縣教委相關(guān) 標(biāo)準(zhǔn)。面向?qū)ο蟮慕M件技術(shù)在異構(gòu) 、 分布環(huán)境下為不同機(jī)器上的應(yīng)用提供了互操作性，并無(wú)縫地集成了多種對(duì)象系統(tǒng)；另一方面， 組件大大加快了軟件開發(fā)的速度，降低了軟件開發(fā)和再開發(fā)的成本。 應(yīng)用軟件平臺(tái)的開發(fā)及運(yùn)行架構(gòu)采用三層結(jié)構(gòu) ，即 Web 服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，在不影響系統(tǒng)其它部分的情況下，保證了應(yīng)用服務(wù)器與其它應(yīng)用有效和無(wú)縫的整合，同時(shí)支持大規(guī)模 的 并發(fā)用戶訪問(wèn)。在應(yīng)用系統(tǒng)整體化、 模塊 化和規(guī)?；耐瑫r(shí)，保證應(yīng)用系統(tǒng)在技術(shù)上、經(jīng)濟(jì)上的可持續(xù)發(fā)展。相對(duì)于嵌入 HTML、 受限于用戶端顯示 、 編程能力有限的腳本語(yǔ)言， Java 能力 完整， 可 以 開發(fā)具有強(qiáng)大“業(yè)務(wù)邏輯”的 大型 應(yīng) 用 系統(tǒng) 。用戶界面的版 面 和顯示 效果 由預(yù)先制作 的 模版 實(shí)現(xiàn) ，并支持任何標(biāo)準(zhǔn)化的 HTML 工具，嵌入模版的 Java 程序根據(jù)用戶的角色和權(quán)限提取相應(yīng)的內(nèi)容和數(shù)據(jù)，配合模版 自動(dòng) 合成針對(duì)用戶的個(gè)性化 的 動(dòng)態(tài)網(wǎng)頁(yè)。學(xué)校校內(nèi)標(biāo)準(zhǔn) 兼容 教育部及 其它管理部門 的標(biāo)準(zhǔn)，方便數(shù)據(jù)上報(bào)。 “教師”和“學(xué)生”是 智慧校園 系統(tǒng)涉及的兩大數(shù)據(jù)對(duì)象，業(yè)務(wù)數(shù)據(jù)實(shí)體主要由這兩大對(duì)象映射產(chǎn)生 。 集中身份庫(kù)與門戶系統(tǒng)的統(tǒng)一 可以 為整個(gè)平臺(tái)提供集中的管理、安全機(jī)制，實(shí)現(xiàn)整體 的統(tǒng)一。一個(gè)好的身份管理解決方案將復(fù)雜的身份管理問(wèn)題變得簡(jiǎn)單、實(shí)用。 下圖為數(shù)據(jù)模型圖： 12 身份認(rèn)證平臺(tái)： 1. 管理用戶訪問(wèn)一個(gè)或多個(gè)資源的權(quán)限； 2. 管理用戶在這些資源上的帳戶數(shù)據(jù)； 3. 賦予 用戶 一個(gè)或多個(gè)角色，設(shè)置 用戶 訪問(wèn)各種資源的 權(quán)限 ； 4. 管理組織，決定用戶帳戶由誰(shuí)和怎樣被管理。帳號(hào)管理功能包括： 1. 用戶自注冊(cè)功能：用戶使用公共的帳號(hào) /口令登錄系統(tǒng)， 然后 自 行 注冊(cè)一個(gè)賬號(hào) /口令。 個(gè)人密碼遺忘后， 用戶 可以在門戶認(rèn)證界面上 使用 密碼找回功能，問(wèn)題回答正確后，可以重新設(shè)置密碼； 用戶登錄后，可以根據(jù)自己的習(xí)慣設(shè)置登錄別名，系統(tǒng)自動(dòng)檢查別名 是否重復(fù)，別名設(shè)置成功后，用戶可以 使用 別名進(jìn)行登錄。 . 與 LDAP目錄服 務(wù)器的集成 身份認(rèn)證平臺(tái)和 LDAP 目錄服務(wù)器的集成，如 Sun Java System Directory Server 是通過(guò) JNDI 資源適配器完成的，在資源方無(wú)須代理。 . 統(tǒng)一授權(quán)管理 策略與權(quán)限管理模塊 是 多用戶應(yīng)用系統(tǒng) 不可或缺 的。 該 架構(gòu) 中，統(tǒng)一授權(quán)管理提供 PDP 服務(wù)，包括策略的定義、存貯、配置與判定，這些服務(wù)通過(guò)策略判定 API 與策略管理 API 向外部應(yīng)用提供； PEP 是應(yīng)用中根據(jù)策略判定結(jié)果執(zhí)行應(yīng)用邏輯的部分。在這里，“誰(shuí)”是策略的 主體 ；“情況”是策略適用的條件；“服務(wù)”是策略的上下文，“資源”與“操作”都是與該服務(wù)相關(guān)的；“資源”是策略的對(duì)象；“執(zhí)行怎樣的操作”可以表示為 一系列“動(dòng)作”及與之對(duì)應(yīng)的“值”。 遠(yuǎn)程客戶端調(diào)用策略驗(yàn)證接口時(shí)的處理流程如下： (1) 應(yīng)用系統(tǒng)調(diào)用 Java API 請(qǐng)求策略驗(yàn)證； (2) Java API 根據(jù)策略驗(yàn)證請(qǐng)求生成一個(gè) XML 策略驗(yàn)證請(qǐng)求； (3) Java API 將 XML 策略驗(yàn)證 請(qǐng)求 通過(guò) HTTP 協(xié)議發(fā)送給系統(tǒng)的 Policy 服務(wù)： % (4) 系統(tǒng)處理策略驗(yàn)證 XML請(qǐng)求，并創(chuàng)建一個(gè)策略決策 XML文檔作為應(yīng)答返回給客戶端； (5) 客戶端 Java API 接收并解釋策略決策 XML 文檔； (6) 應(yīng)用系統(tǒng)通過(guò) Java API 獲取策略決策信息。沖突的策略決策必須消解之后才能用于權(quán)限控制。 由于服務(wù)是應(yīng)用的組成元素，因此，授權(quán)應(yīng)該是針對(duì)服務(wù)的資源而不是應(yīng)用的資源來(lái)進(jìn)行的。 由于服務(wù)與策略方案之間是一一對(duì)應(yīng)的，因此，定義策略方案是在定義服務(wù)的同時(shí)進(jìn)行的。 類型 作用域 繼承性 用途 全局 整個(gè) 統(tǒng)一授權(quán)系統(tǒng) 不可繼承 服務(wù)的全局配置 組織 應(yīng)用于組織 不可繼承 服務(wù)的組織級(jí)配置 動(dòng) 態(tài) 應(yīng)用于角色、用戶 可繼承 服務(wù)的動(dòng)態(tài)配置，配置給角色的屬性自動(dòng)為所有具有該角色的用戶擁有，配置給組織的屬性自動(dòng)為所有該組織下的用戶擁有。還可以定義對(duì)特定位置（例如 IP 地址或 DNS 名稱）的訪問(wèn)權(quán)。 組代表了具有相同功能、屬性或者興趣愛好的用戶的集合。 . 權(quán)限語(yǔ)義集成 當(dāng)身份認(rèn)證平臺(tái)的策略服務(wù)不能滿足業(yè)務(wù)系統(tǒng)授權(quán)要求時(shí)，我們提供了一種針對(duì)業(yè)務(wù)系統(tǒng)開放的完全自由的權(quán)限語(yǔ)義集成機(jī)制。不同類型的數(shù)據(jù)存儲(chǔ)方式具有不同的數(shù)據(jù)存儲(chǔ)格式，也提供不同的數(shù)據(jù)訪問(wèn)接口。 . 權(quán)限模型 功能描述 為了適應(yīng)中小學(xué)用戶多重身份和組織結(jié)構(gòu)易變的特點(diǎn)，同時(shí)最大限度的保證用戶認(rèn)證效率，平臺(tái)提供扁平的用戶權(quán)限模型。 校園網(wǎng) 通常運(yùn)行 多個(gè) 應(yīng)用 系統(tǒng)，為學(xué)校領(lǐng)導(dǎo)、各部門及教生提供多種服務(wù)，這樣就帶來(lái)了 一個(gè)突出的 問(wèn)題，用戶面對(duì)多個(gè)系統(tǒng) 時(shí) 要 記憶、 輸入帳號(hào) /口令等信息，不僅煩瑣， 而且 容易丟失 口令 ，一旦口令泄漏會(huì)造成不可估量的損失。 ? 通過(guò) TLS（ Transport Layer Security， 傳輸層 安全協(xié)議 ）或 SSL（ Secure Sockets Layer，安全套接層協(xié) 議） 為信息傳輸提供保密性和完整性保護(hù)。如果有效，則應(yīng)用系統(tǒng)可以從 單點(diǎn)登錄令牌獲取用戶身份信息，而不再需要用戶進(jìn)行再次認(rèn)證。無(wú)效的單點(diǎn)登錄會(huì)話也通過(guò)一個(gè)單點(diǎn)登錄會(huì)話 令牌身份，并存儲(chǔ)在用戶瀏覽器的 cookie 中。 最長(zhǎng)高速緩存時(shí)間 （分鐘） 單點(diǎn)登錄會(huì)話信息在客戶端高速緩存中保存的最長(zhǎng)時(shí)間，超過(guò)該時(shí)間，則客戶端必須訪問(wèn)服務(wù)器以刷新緩存中的會(huì)話信息。當(dāng)一個(gè)用戶登錄時(shí)，提供的用戶名與口令若與該LDAP 目錄中指定子樹中某一個(gè)用戶記錄的用戶名與口令相同，則認(rèn)證成功，登錄者具有 LDAP 目錄中該用戶記錄對(duì)應(yīng)的身份。 Microsoft Windows 域認(rèn)證 系統(tǒng) 使用 Windows