统一身份认证的设计与实现
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图2 系统 UML
参考文献 :
[ 1] [ 2] [ 3] [ 4] [ 5] [ 6] 谭金府, 宋安军, 彭勤科, 等. 一个 Web 环境下 单点 登录系 统的研 究与实现[ J] . 现代电子技术, 2007( 6) . 常潘, 沈富可. 基于 LDAP 的校园网统一身份认证的实现[ J] . 计算 机工程, 2007( 3) . 郑东曦. 基于 Web 服务的统一身份认证服 务的设计 实现[ J ] . 计算 机工程与设计, 2006( 3) . 李婕. 数字校园中的身份认证方案研究[ D] . 重庆: 重庆大学, 2008. 牛卫 红, 张 一帆. 统一 身份 认 证方 法 的研 究 [ J ] . 通信 论 坛, 2008 ( 18) . 东一舟. 南师大统一身份 认证平台 [ R] . 南 京: 2009 教育网 络与信 息安全会议, 2009. [ 7] Su nJava System Access M an ager Adminis tration Guide[ EB/ OL] , 2009( 12) . http: / / java. sun . com.
ID 表示的是唯一标 识符, 能够把 所有 的用 户的 信息 都集 中保存, 而 U S ERIN FO PA SSW ORD 则是 判 断用 户 是否 合法的途径之一, ROLES 表中记 录了 对应用 户能 访问哪 个应用系统的权限, 两 个表之 间形成 了对应 关系, 从而不 同用户能够 根据 自己 ROLES 所定 义的 权限 来 访问 各自 的应用系统。 其二是应用系统的数据库, 该数据库独立于统一身份 认证系统, 每次一个新 的用户 访问其 应用系 统时, 在访问 的同时, 该用户相关信息就保存到该应用系统, 同时, 在统 一身份认证系统数据库与应用数据库之间成功建立关联。 下次相同用户访问时需要检查 RO LES 中定义的权限。
Design and Realization of Univeral Authentication
Abstract: T h is article in t he analysis of t he advant ages of W eb service, gives a kind of int erface -based unified au thentica tion models, and by use of JAV A t ech nology implementation of a p rot ot ype syst em. In th is system, t he W eb S ervice will be distributed in th e campus Int ernet education, finance, logis tics, stu dent s, and oth er diff erent applicat ion syst em au th ent ication. Ef fect ively avoid data redundancy in t he business logic t o reduce st udent informat ion maint enance work . Key Words: Un iversal Aut henticat ion; J AV A; WEB S ervice
图1 系统总结构
中心数据库主要 包括 U DDI 注册 和存储 过身 份认证 系统 中全部 用户 信息两 个部分, U DDI 注册 时, 每个 应用 系统都分配了 一个 128 位 U U ID, 这 个 U U ID 是唯 一的, 因此这个 U UID 可以在用 户定义关 联账号 或者使 用统一 身份认证服务进行应 用系统访 问的时 候标识 相应 的应用 系统。 存储到系统中的用户信息主要包括以下 3 种类型: 第 一, 用户的详细注册信 息, 包括 用户 名、 密码、 身份 证等其 他基本信息; 第二, 用户 角色信 息, 包 括是否 管理员, 哪个 系统的管理员, 权限如何等角色信息; 第三, 账号的关联信 息, 包括此账号是否在多个应用服务中有不同的权限属性 等。服务访问者实际上可以理解为浏览器, 因为用户都是 通过浏览器服务代理去访问相关的网络服务的。 网络服务中心首先是负责身份认证部分, 然后还要处 理服务访问者和服务 响应者之 间的消 息交换 同时 也负责 用户管理服务器和中 心数据 库之间 的消 息交换。 用户管 理模块在完成修改用 户注册信 息的基 础上还 应该 能够实 现用户角色的管理功能, 包括设定修改和删除用户的角色 和相应权限。
3
结束语
本系统主要实现了 单点登 录、 用 户管理、 统一 身份认 证管理、 授权管理等功 能, 从一定 程度 提高了 系统 管理效 率, 避免了大量重复开发。但是本文对认证服务的安全性 和访问控制策略考虑得不够深刻, 然而随着我国信息技术 的高速发展, 未来必将会对统一身份认证系统提出更高的 要求。
统一身份认证的设计与实现
李晓林, 杨浜泽, 张文婷
( 武汉工程大学 计算机科学与工程学院 , 湖北 武汉 430073)
摘 要: 在分析 W eb serv ice 优势的基础上, 提出了一种基于接口的统一身份认证的模型, 并采用 Jav a 技术 实现了原 型系统 。 在该系统中 , 使 Web Service 将分布于校园网上教学 , 财务 、 后勤 , 学生等不同 应用系统 的身份认证 集成在一
0
引言
随着网络信息技术的发展, 特别是近年来高校校园网
一身份认证体系上保 持外部应 用系统 用户数 据和 平台用 户数据的同步, 发挥统一身份认证系统良好的兼容性与易 移植性。
络建设不断完善和性能提高, 校园网内部运行的应用系统 也是日益增多。一般说来, 这些各自独立的系统各自拥有 一套用户及不同的身份认证方式, 结果造成多套用户存在 着用户信息冗余、 用户多密码记忆和多点登录等问题。如 何既安全又方 便地 实 现用 户认 证, 是一 个需 要解 决 的问 题。这就要求我们通过一 个公共 平台 把各自 独立的 应用 系统的身份认证、 授权和 用户管 理统 一起来, 并把各 自应 用系统有效地集成, 实现 用户的 一次 登录, 从 根本上 提高 系统管理效率和安全。
( 责任编辑 : 王 钊)
在这里本系统设计了 访问认 证令 牌的失 效的两 个策 略: 一个是由用户主动发 起声明 的, 主 动表明 其在应 用系 统中拥有的访问认证 令牌失效, 比如 注销的 操作; 另 一个 是用户因为各种原因在 规定的 时间内 并没有 使用到 由统 一身份认证服务发送的认证令牌, 这个时候规定了认证令 牌自动失效, 比如超时的处理。如图 2 所示。
作者简介 : 李晓林 ( 1962- ) , 男 , 湖北 安陆人 , 武汉工程大学计算机科学与工程学院副教授 , 研究方向为网络数据库 ; 杨浜泽 ( 1986- ) , 男 , 湖北武汉人 , 武汉工程大学计算机科学与工程学院硕士研究生 , 研究方向为网络数据库 ; 张文婷 ( 1985- ) , 女 , 湖北 武穴 人 , 武汉工程大学计算机科学与工程学院 硕士研究生 , 研究方向为网络数据库 。
第6期
李晓林 , 杨浜泽 , 张文婷 : 统一身份认证的设计与实现
91
1. 2 系统的实现
本系统主要包括用户注册、 用户认证和用户授权。 ( 1) 用户注册: 用户注册指用户 在统一身份 认证系统 中注册时, 由 UDDI 分配 唯一标 识符, 通过该 用户名 和密 码就可以正常访问统一身份认证系统中的各个应用系统。 同时, 也可以修改自己相关信息。 ( 2) 用户认证和认证: 首先用户 使用在统一 认证服务 注册的用户名和密码 ( 也可能 是其他 的授权 信息, 比 如数 字签名等) 登陆统一认 证服务, 这 个时 候统一 认证服 务将 会创建一个会话( sess ion) 同时该 服务 将会返 回给用 户一 个与该会话关联的访问认证令牌。然后, 用户就可以使用 该认证令牌访问其中一个统一身份认证服务的应用系统, 最后被访问的应用系统将令牌发给统一身份认证服务, 确 认此认证令牌的有效性。
起 , 有效地避免数据在业务逻辑的冗余 , 减少学生信息 的维护工作 。
关键词: 统一身份认证; Jav a 技术; W eb 服务 中图分类号: T P311. 52 文献标识码: A 文章编号: 1672 - 7800( 2011) 06 - 0090 - 02 需要登陆一次从而提供统一有效的用户管理。同时, 在统
2
数据库设计
本系统数据库设计主要包括两大部分, 其一是统一身 份认证 服 务 的 数据 库, 该 数 据库 主 要 有 U SERINFO 和 ROLES 两个表, 此表 的作 用在于 关联 统一系 统数据 库中 用户和各个应用系 统数据 库中 用户, 表 U SERIN FO 存储 了在统一身份认证服务中注册的用户, 其中 U S ERIN FO 。
wenku.baidu.com
1
统一身份认证的设计与实现
1. 1 系统基本设计
本文所探讨的系统采用的结构是浏览器- 客户端, 使 用 Java 语言, 其中 W eb 应用程序 是采用 三层架 构的。身 份认证过程包括以下 内容: 首先 在登 录系统 时, 要验 证用 户名和密码, 成功通过后, 要保存此用户的一些身份信息, 进入统一登录界面, 根据 用户权 限, 用 户可以 访问相 应的 系统, 并进行相关模块操作。整个统一身份认证系统是由 服务访问者、 服务响应者、 网络 服务中心、 U DDI 中 心数据 和用户管理组成的, 详细如图 1 所示。 建立一种统一门户和统一身份认证系统及管理平台, 将财务、 教学、 学生、 后勤等应用系统集成到统一门户平台 中, 实现统一身份认证和 单点登 录, 使 用户登 陆所有 应用 系统都使用唯一的用户 名和口 令并且 访问多 个系统 时只
参考文献 :
[ 1] [ 2] [ 3] [ 4] [ 5] [ 6] 谭金府, 宋安军, 彭勤科, 等. 一个 Web 环境下 单点 登录系 统的研 究与实现[ J] . 现代电子技术, 2007( 6) . 常潘, 沈富可. 基于 LDAP 的校园网统一身份认证的实现[ J] . 计算 机工程, 2007( 3) . 郑东曦. 基于 Web 服务的统一身份认证服 务的设计 实现[ J ] . 计算 机工程与设计, 2006( 3) . 李婕. 数字校园中的身份认证方案研究[ D] . 重庆: 重庆大学, 2008. 牛卫 红, 张 一帆. 统一 身份 认 证方 法 的研 究 [ J ] . 通信 论 坛, 2008 ( 18) . 东一舟. 南师大统一身份 认证平台 [ R] . 南 京: 2009 教育网 络与信 息安全会议, 2009. [ 7] Su nJava System Access M an ager Adminis tration Guide[ EB/ OL] , 2009( 12) . http: / / java. sun . com.
ID 表示的是唯一标 识符, 能够把 所有 的用 户的 信息 都集 中保存, 而 U S ERIN FO PA SSW ORD 则是 判 断用 户 是否 合法的途径之一, ROLES 表中记 录了 对应用 户能 访问哪 个应用系统的权限, 两 个表之 间形成 了对应 关系, 从而不 同用户能够 根据 自己 ROLES 所定 义的 权限 来 访问 各自 的应用系统。 其二是应用系统的数据库, 该数据库独立于统一身份 认证系统, 每次一个新 的用户 访问其 应用系 统时, 在访问 的同时, 该用户相关信息就保存到该应用系统, 同时, 在统 一身份认证系统数据库与应用数据库之间成功建立关联。 下次相同用户访问时需要检查 RO LES 中定义的权限。
Design and Realization of Univeral Authentication
Abstract: T h is article in t he analysis of t he advant ages of W eb service, gives a kind of int erface -based unified au thentica tion models, and by use of JAV A t ech nology implementation of a p rot ot ype syst em. In th is system, t he W eb S ervice will be distributed in th e campus Int ernet education, finance, logis tics, stu dent s, and oth er diff erent applicat ion syst em au th ent ication. Ef fect ively avoid data redundancy in t he business logic t o reduce st udent informat ion maint enance work . Key Words: Un iversal Aut henticat ion; J AV A; WEB S ervice
图1 系统总结构
中心数据库主要 包括 U DDI 注册 和存储 过身 份认证 系统 中全部 用户 信息两 个部分, U DDI 注册 时, 每个 应用 系统都分配了 一个 128 位 U U ID, 这 个 U U ID 是唯 一的, 因此这个 U UID 可以在用 户定义关 联账号 或者使 用统一 身份认证服务进行应 用系统访 问的时 候标识 相应 的应用 系统。 存储到系统中的用户信息主要包括以下 3 种类型: 第 一, 用户的详细注册信 息, 包括 用户 名、 密码、 身份 证等其 他基本信息; 第二, 用户 角色信 息, 包 括是否 管理员, 哪个 系统的管理员, 权限如何等角色信息; 第三, 账号的关联信 息, 包括此账号是否在多个应用服务中有不同的权限属性 等。服务访问者实际上可以理解为浏览器, 因为用户都是 通过浏览器服务代理去访问相关的网络服务的。 网络服务中心首先是负责身份认证部分, 然后还要处 理服务访问者和服务 响应者之 间的消 息交换 同时 也负责 用户管理服务器和中 心数据 库之间 的消 息交换。 用户管 理模块在完成修改用 户注册信 息的基 础上还 应该 能够实 现用户角色的管理功能, 包括设定修改和删除用户的角色 和相应权限。
3
结束语
本系统主要实现了 单点登 录、 用 户管理、 统一 身份认 证管理、 授权管理等功 能, 从一定 程度 提高了 系统 管理效 率, 避免了大量重复开发。但是本文对认证服务的安全性 和访问控制策略考虑得不够深刻, 然而随着我国信息技术 的高速发展, 未来必将会对统一身份认证系统提出更高的 要求。
统一身份认证的设计与实现
李晓林, 杨浜泽, 张文婷
( 武汉工程大学 计算机科学与工程学院 , 湖北 武汉 430073)
摘 要: 在分析 W eb serv ice 优势的基础上, 提出了一种基于接口的统一身份认证的模型, 并采用 Jav a 技术 实现了原 型系统 。 在该系统中 , 使 Web Service 将分布于校园网上教学 , 财务 、 后勤 , 学生等不同 应用系统 的身份认证 集成在一
0
引言
随着网络信息技术的发展, 特别是近年来高校校园网
一身份认证体系上保 持外部应 用系统 用户数 据和 平台用 户数据的同步, 发挥统一身份认证系统良好的兼容性与易 移植性。
络建设不断完善和性能提高, 校园网内部运行的应用系统 也是日益增多。一般说来, 这些各自独立的系统各自拥有 一套用户及不同的身份认证方式, 结果造成多套用户存在 着用户信息冗余、 用户多密码记忆和多点登录等问题。如 何既安全又方 便地 实 现用 户认 证, 是一 个需 要解 决 的问 题。这就要求我们通过一 个公共 平台 把各自 独立的 应用 系统的身份认证、 授权和 用户管 理统 一起来, 并把各 自应 用系统有效地集成, 实现 用户的 一次 登录, 从 根本上 提高 系统管理效率和安全。
( 责任编辑 : 王 钊)
在这里本系统设计了 访问认 证令 牌的失 效的两 个策 略: 一个是由用户主动发 起声明 的, 主 动表明 其在应 用系 统中拥有的访问认证 令牌失效, 比如 注销的 操作; 另 一个 是用户因为各种原因在 规定的 时间内 并没有 使用到 由统 一身份认证服务发送的认证令牌, 这个时候规定了认证令 牌自动失效, 比如超时的处理。如图 2 所示。
作者简介 : 李晓林 ( 1962- ) , 男 , 湖北 安陆人 , 武汉工程大学计算机科学与工程学院副教授 , 研究方向为网络数据库 ; 杨浜泽 ( 1986- ) , 男 , 湖北武汉人 , 武汉工程大学计算机科学与工程学院硕士研究生 , 研究方向为网络数据库 ; 张文婷 ( 1985- ) , 女 , 湖北 武穴 人 , 武汉工程大学计算机科学与工程学院 硕士研究生 , 研究方向为网络数据库 。
第6期
李晓林 , 杨浜泽 , 张文婷 : 统一身份认证的设计与实现
91
1. 2 系统的实现
本系统主要包括用户注册、 用户认证和用户授权。 ( 1) 用户注册: 用户注册指用户 在统一身份 认证系统 中注册时, 由 UDDI 分配 唯一标 识符, 通过该 用户名 和密 码就可以正常访问统一身份认证系统中的各个应用系统。 同时, 也可以修改自己相关信息。 ( 2) 用户认证和认证: 首先用户 使用在统一 认证服务 注册的用户名和密码 ( 也可能 是其他 的授权 信息, 比 如数 字签名等) 登陆统一认 证服务, 这 个时 候统一 认证服 务将 会创建一个会话( sess ion) 同时该 服务 将会返 回给用 户一 个与该会话关联的访问认证令牌。然后, 用户就可以使用 该认证令牌访问其中一个统一身份认证服务的应用系统, 最后被访问的应用系统将令牌发给统一身份认证服务, 确 认此认证令牌的有效性。
起 , 有效地避免数据在业务逻辑的冗余 , 减少学生信息 的维护工作 。
关键词: 统一身份认证; Jav a 技术; W eb 服务 中图分类号: T P311. 52 文献标识码: A 文章编号: 1672 - 7800( 2011) 06 - 0090 - 02 需要登陆一次从而提供统一有效的用户管理。同时, 在统
2
数据库设计
本系统数据库设计主要包括两大部分, 其一是统一身 份认证 服 务 的 数据 库, 该 数 据库 主 要 有 U SERINFO 和 ROLES 两个表, 此表 的作 用在于 关联 统一系 统数据 库中 用户和各个应用系 统数据 库中 用户, 表 U SERIN FO 存储 了在统一身份认证服务中注册的用户, 其中 U S ERIN FO 。
wenku.baidu.com
1
统一身份认证的设计与实现
1. 1 系统基本设计
本文所探讨的系统采用的结构是浏览器- 客户端, 使 用 Java 语言, 其中 W eb 应用程序 是采用 三层架 构的。身 份认证过程包括以下 内容: 首先 在登 录系统 时, 要验 证用 户名和密码, 成功通过后, 要保存此用户的一些身份信息, 进入统一登录界面, 根据 用户权 限, 用 户可以 访问相 应的 系统, 并进行相关模块操作。整个统一身份认证系统是由 服务访问者、 服务响应者、 网络 服务中心、 U DDI 中 心数据 和用户管理组成的, 详细如图 1 所示。 建立一种统一门户和统一身份认证系统及管理平台, 将财务、 教学、 学生、 后勤等应用系统集成到统一门户平台 中, 实现统一身份认证和 单点登 录, 使 用户登 陆所有 应用 系统都使用唯一的用户 名和口 令并且 访问多 个系统 时只