中职校园网络统一身份认证体系的构建

胡春龙

摘 要：随着信息技术网络规模的不断扩大，建立统一身份认证体系，可以实现对不同系统、不同用户以及权限资源的集中化管理，简化各项业务访问与操作，提高系统安全性、可靠性、稳定性。本文通过对分布式SOA架构系统的分析，提出统一身份认证体系的构建方法，供有关中职院校参考。

關键词：中职院校;分布式SOA架构;统一身份认证

中图分类号：G717           文献标识码：A     文章编号：1992-7711（2020）19-008-1

在中职院校各类网络系统管理及应用中，SOA（ServiceOriented Architecture）架构体系，因其松耦合特色，便于对各类系统业务的有效集成。围绕分布式SOA系统架构，从提升用户管理安全性，优化信息资源管理效能方面，建立统一身份认证体系，以实现对不同用户、权限的层次化、对象化部署。对信息数据的集中化管理，不但要梳理各项业务系统，更要从硬件服务器集中、数据库集中来进行科学、高效部署，实现各项业务信息的互通、互联。

一、统一身份认证体系的构建特点

在构建统一身份认证体系中，需要搭建目录服务器，并借助于目录访问协议LDAP（Light weight Directory Access Protocol）实现各项业务系统用户、权限的统一标识、管理和认证。基于分布式SOA架构，其基础为分布式面向服务的架构，可以实现跨平台、跨系统间的异构与集成，且能够提供安全、稳定、可靠的身份认证服务。其特点有三方面，一是安全性。在统一身份认证中，对于来自不同业务系统的用户，都要具备最高安全等级。也就是说，可以是同一业务系统用户，也可以是其他业务系统用户。二是稳定性。在统一身份认证中，要满足用户高可用性。也就是说，在系统中，应该部署数据热备、双机热备等功能，可以确保各项业务系统稳定。三是开放性。基于当下网络系统管理的多元性，在统一身份认证中，要满足不同业务系统的参与集中式管理，可以向不同操作系统、不同程序设计软件满足接入要求，统一管理。

二、分布式SOA架构统一身份认证体系的构建

1.对基础模块进行架构与部署

在实现统一身份认证之前，需要对系统架构进行整体部署，如网络环境、硬件设备、软件系统集群等。其中，基础模块主要包括认证、授权、查询、系统服务等内容。对于认证模块，其核心为LDAP服务器，主要是对用户身份及权限进行统一标识、管理和认证。针对不同业务系统间的访问，在进行用户信息核查时，需要调用LDAP接口，Web Service接口。同时，在进行用户检索时，还要通过数据接口，来查询用户数据库，将反馈信息传送给业务系统。授权模块主要是对用户进行权限配置，包括新建用户权限初始化。分配权限是构成授权模块的核心，对授权模块进行管理，为整个统一身份认证提供安全保障。另外，在授权模块，根据不同业务系统，可以分配不同的权限等级，如超级管理员、监督管理员、应用系统权限管理员等。查询模块主要满足用户对特定信息的查询，了解用户权限，变更权限结构等，如超级管理员可以对统一身份认证系统进行配置，维护日志管理，系统备份等服务。

2.对服务器集群进行部署

统一身份认证体系，在部署架构上，需要对Web服务器、应用服务器、数据库等进行统一部署。其中，数据库服务器采用NFS访问方式，与应用服务器展开对接，并利用SAN交换机实现对磁盘阵列等信息交换。对于用户终端，需要在接入网络前，进行严格监管，并利用防火墙、路由器、交换机等实现链路冗余，确保系统可靠性。对于整个统一认证系统，各用户采用B/S访问模式，将系统功能集成到服务器，以浏览器方式，访问服务器。在防火墙后端，通过建立Web服务器集群来实现负载均衡管理，减少因单点故障引发系统不稳定问题。当前，各类Web服务器软件多，对不同系统软件的接入，要做到两点：一是要尽量选择具有跨平台能力的Web服务器软件，使其具有良好的移植性。二是尽量选择能够与其他服务器兼容的软件，以便于获得更大的服务支持。如选择IHS作为Web服务器软件，引入IBM应用服务器，来提升整个系统的兼容性，确保高安全性。在分布式SOA架构中，对应用服务器的部署，还可以通过业务系统的部署，来对接统一身份认证体系。如利用以太网连接，构成服务器集群，将应用服务器采用主从结构或双机双工模式，来提升系统高可用性。

3.统一身份认证的管理过程

在校园数字化建设中，引入统一身份认证体系，可以实现对多站点、多用户群的统一化管理。借助于CA、数字签名技术，为校园网每个用户提供身份认证与安全服务。对于每个用户，建立统一的基本信息库，确保每个用户唯一。构建并维护应用服务注册信息库，实现细粒度权限管理。利用PKI理论、数字证书认证机制，对访问校园网的用户身份进行合法性、安全性验证，支持轻量级LDAP目录访问协议，来实现对不同用户、不同网络资源、服务权限的分配与管理。如在统一身份认证中，引入动态密钥来确保数据传输的安全性，引入用户管理、认证服务负载均衡机制，可以实现对用户、属性、服务、硬件等扩展需要。另外，在统一身份认证中，可以对多种应用系统进行兼容和整合，极大简化各项业务系统的部署，提高系统开放性、灵活性。

加强对异构系统的集成化管理，利用统一认证体系，来实现校园各信息资源系统的集中管理。其作用是最大限度的减少用户的帐号数，简化登录过程，实现一次登录多点使用，实行统一管理。当然，在建设与部署中，各院校要结合自身实际，优化各模块，提高校园网络数字化管理水平。

[参考文献]

[1]陈君.构建基于分布式SOA架构的统一身份认证体系[J].电子技术与软件工程，2019（10）.

[2]方宇芳.构建基于分布式SOA架构的统一身份认证体系[J].无线互联科技，2019，16（08）.

（作者单位：江阴市商业中等专业学校，江苏 江阴214400）