数字化校园环境中统一身份认证系统模型研究摘要：数字化校园建设是推动当前高校信息化建设的重要系统工程，整合各个业务系统中的信息孤岛现象是数字化校园建设的重点问题。因此本文将研究一种完整统一、高校稳定、安全可靠的集中身份认证系统模型，该系统能实现身份数据的统一存储、统一管理，实现全校各类应用的单点登录，以及各类访问与操作安全审计。同时，还提供便利的工具，便于系统的维护和管理。关键字：UCenter；单点登录；系统模型中图法分类号:TP302文献标识码:A0引言随着高校数字化校园建设的规模不断扩大，很多高校各个业务部门独立建成了涵盖学校教学、科研、管理、服务在内的多个业务系统，很大程度上改变了以往的教学及办公模式[1]。但是随着各种业务系统和用户数量在不断增加，网络规模也逐日扩大，跨部门协同办公和信息孤岛等问题严重影响了数字化校园建设进程，并且访问控制和信息安全问题愈见突出，原有分散的“独立认证、独立授权、独立帐号管理”的模式已经不能满足高校目前及未来发展的需求，因此建设一种完整统一、高校稳定、安全可靠的集中身份认证系统是数字化校园建设的重要目标。1.统一身份认证关键技术分析1.1UCenter用户认证服务[2]UCenter的中文意思就是“用户中心”，是Comsenz旗下各个产品之间信息直接传递的一个桥梁，拥有机制完善的接口，可以无缝整合Comsenz系列产品和任何平台的第三方的网络应用程序，最终可以通过它轻松通行在各个应用之中，无需重复登录、注册、退出，就可以实现用户的一站式注册、登录、退出。Ucenter通信原理如图1所示。图1：UCenter通信原理1.2以服务器为中心的单点登录模型[3]在以服务器为中心的单点登录模型中，所有的认证信息存储在服务器上的中央数据库中，当需要对用户进行认证时，这个中心服务器需要与每个网络设备、主机系统及应用服务器通信。这种通信需要中心单点登录服务器与应用服务器集成，即在单点登录服务器上开发应用系统的客户代理。这种模型的结构如图2所示。图2：以服务器为中心的单点登录模型这种模型在Portal系统中采用较多，它的优点是提供了单一的登录控制点，用户对网络资源的访问控制可以通过单点登录服务器一点实现，因此权限比较容易和访问时间!访问者所处网段等结合进行控制。1.3DES加密技术[4]DES（DataEncryptionStandard），即数据加密标准，是一种对称加密算法，最初是由IBM开发的一个乘积密码作为无密级信息的官方加密标准。DES是由64位数据块被加密的明文，生成64位密文，其中有56位密钥作为参数，另8位作为奇偶校验位。DES算法共有19个步骤。第一步初始的转置直接作用在64位明文上。最后一步正好是这个转置的逆操作。在最后一步之前的倒数第二步是交换左32位和右32位。剩下的16个步骤在功能上是完全相同的，只是每一次迭代使用的原始密钥的函数来作为参数是不同的。在这16次迭代中的每一次迭代使用了不同的密钥。2.统一身份认证系统模型2.1数据库E-R模型图设计按照模型设计的要求，此统一身份认证的数据库主要为认证服务器上的spauth数据库。设计该数据库的目的主要是为了设计访问控制模型，其中的表既包含用户的基本信息又包含完成访问控制的部分。该数据库包括四个基本信息表，即Application（应用程序表）、Modules（模块表）、Roles（角色表）、User（用户表），它们分别定义了应用程序，访问模块权限，角色及用户各个实体的基本信息；同时有三个关系表，即Role_Module(角色-模块关系表)、User_Role（用户-角色关系表）、User_Module（用户-模块关系表）。数据库中各表的E-R模型图设计如图3所示。图3数据库E-R模型图下面对各表的设计思想进行阐述：User表主要用于存储应用系统中用户的基本信息，作为载体承担着传递访问控制权限的任务；Roles表用于定义角色，一个角色代表享有系统相似权限的一部分人，它和用户通过User_Role（用户-角色表）关联起来，用于存储用户到角色的映射；Application表用于存储系统的功能实体，通过主外键关系和Modules表关联起来；Modules表用于存储系统的模块资源，在此表中关联具体的应用程序。它和角色通过Role_Module(角色-模块关系表)关联起来，用于存储角色可以访问的模块权限。同时User_Module（用户-模块关系表）存储当用户没有分配任何角色时可以访问的模块资源。通过上述各表之间的对应关系，可以设计出用户和权限之间的映射关系，从而实现访问控制的目的。2.2系统模型体系组成数字化校园统一身份认证平台整合了校园网络中的信息和各种应用系统，为用户提供了一个单一的访问入口。该系统模型不仅包括身份数据的统一存储和统一管理、身