分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 下篇
身份認(rèn)證系統(tǒng)需求分析:分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 上篇
身份認(rèn)證系統(tǒng)總體設(shè)計(jì)—四大設(shè)計(jì)原則
為了使身份認(rèn)證系統(tǒng)能夠更好地與其他系統(tǒng)協(xié)同工作,我們?cè)谠O(shè)計(jì)該系統(tǒng)時(shí)制訂了幾條原則:
1. 面向服務(wù)的原則
系統(tǒng)的定位是為其他信息系統(tǒng)提供認(rèn)證服務(wù)和身份管理服務(wù),這就要求系統(tǒng)能夠從用戶的角度提供一套服務(wù)規(guī)范和接口標(biāo)準(zhǔn)。
2. 可動(dòng)態(tài)擴(kuò)展的原則
系統(tǒng)在運(yùn)營(yíng)的過(guò)程中需要擴(kuò)展的內(nèi)容包括:認(rèn)證方式、認(rèn)證策略、資源和管理流程、管理策略。系統(tǒng)的設(shè)計(jì)必須能夠有效識(shí)別這些變化,隔離這些變化,以策略或參數(shù)化的形式支持這些變化。
3. 現(xiàn)有應(yīng)用系統(tǒng)最小改動(dòng)的原則
系統(tǒng)設(shè)計(jì)時(shí)應(yīng)充分考慮對(duì)現(xiàn)有應(yīng)用系統(tǒng)的影響,保證現(xiàn)有應(yīng)用系統(tǒng)改動(dòng)最小,并在業(yè)務(wù)流程上保持現(xiàn)有應(yīng)用模式。
4.方便管理的原則
由于Web Service技術(shù)的松散耦合特點(diǎn),它沒(méi)有復(fù)雜的消息傳遞、對(duì)象引用和垃圾回收機(jī)制,因此非常適合于分布式處理。我們?cè)O(shè)計(jì)系統(tǒng)時(shí)需要考慮到校園網(wǎng)中用戶身份和資源信息應(yīng)具有簡(jiǎn)單方便的管理方式。
身份認(rèn)證系統(tǒng)總體設(shè)計(jì)—系統(tǒng)構(gòu)成
身份認(rèn)證系統(tǒng)由身份認(rèn)證服務(wù)器、用戶信息/安全策略數(shù)據(jù)庫(kù)、客戶端控件、Web服務(wù)代理、管理終端等構(gòu)成。身份認(rèn)證服務(wù)器由身份認(rèn)證服務(wù)和安全策略配置服務(wù)兩個(gè)模塊組成。
身份認(rèn)證系統(tǒng)采用B/S架構(gòu)實(shí)現(xiàn)用戶信息的管理和安全策略的配置,配置的信息通過(guò)安全策略配置服務(wù)程序?qū)懭氲接脩粜畔?安全策略數(shù)據(jù)庫(kù)中,以供身份認(rèn)證服務(wù)和管理終端查詢使用。身份認(rèn)證服務(wù)模塊提供在線服務(wù),實(shí)時(shí)接收來(lái)自Web安全代理的身份認(rèn)證請(qǐng)求,并根據(jù)設(shè)定的策略對(duì)用戶身份進(jìn)行驗(yàn)證,為用戶登錄業(yè)務(wù)系統(tǒng)提供集中認(rèn)證服務(wù)。
身份認(rèn)證系統(tǒng)部署在用戶層和資源層之間,對(duì)用戶訪問(wèn)資源的登錄行為進(jìn)行實(shí)時(shí)的控制:
1. 用戶層
這一層包括校內(nèi)所有教職工和學(xué)生。按照用戶上網(wǎng)地點(diǎn)的不同,可以劃分為校內(nèi)用戶和校外用戶;按用戶接入方式的不同,可以劃分為上網(wǎng)認(rèn)證用戶和不認(rèn)證用戶。
2. 資源層
這一層包括校內(nèi)辦公系統(tǒng)、精品課程、網(wǎng)絡(luò)教學(xué)平臺(tái)、內(nèi)網(wǎng)個(gè)人信息查詢、資源中心、學(xué)生選課及成績(jī)查詢、BBS等B/S架構(gòu)的應(yīng)用系統(tǒng),而將來(lái)可以通過(guò)平滑升級(jí)的系統(tǒng)包括郵件系統(tǒng)和其它C/S架構(gòu)的業(yè)務(wù)系統(tǒng)。
身份認(rèn)證系統(tǒng)總體設(shè)計(jì)—系統(tǒng)架構(gòu)
Tomcat是JSP和Servlet的運(yùn)行環(huán)境,AXIS框架來(lái)自Apache開(kāi)放源代碼組織,它是使用Java語(yǔ)言編寫的基于最新的SOAP 規(guī)范(SOAP 1.2)和SOAP with Attachments 規(guī)范的開(kāi)放源代碼框架。使用AXIS實(shí)現(xiàn)Web Service非常簡(jiǎn)單,只需編寫認(rèn)證相關(guān)的Java類,然后將文件擴(kuò)展名改為jws,無(wú)需編譯,將文件拷貝到應(yīng)用程序發(fā)布目錄下即可。
身份認(rèn)證系統(tǒng)網(wǎng)絡(luò)構(gòu)架與實(shí)現(xiàn)
綜合考慮到性能和保護(hù)現(xiàn)有投資的要求,校園網(wǎng)采用了網(wǎng)關(guān)認(rèn)證和802.1x認(rèn)證相結(jié)合的方式:學(xué)生宿舍全部部署支持802.1x的交換機(jī),采用802.1x認(rèn)證,辦公區(qū)采用網(wǎng)關(guān)Web認(rèn)證。兩套認(rèn)證系統(tǒng)使用統(tǒng)一的用戶資料,用戶資料存儲(chǔ)在LDAP服務(wù)器中,通過(guò)Web Service實(shí)現(xiàn)用戶身份的認(rèn)證, Web Service通過(guò)Java技術(shù)實(shí)現(xiàn),運(yùn)行環(huán)境為Tomcat和AXIS框架。
在校園網(wǎng)內(nèi)部署兩臺(tái)身份認(rèn)證服務(wù)器,操作系統(tǒng)為Redhat Linux 9.0;安裝Apache、登錄認(rèn)證服務(wù)器軟件、資源訪問(wèn)審計(jì)服務(wù)器軟件和安全策略配置服務(wù)器軟件。其中,一臺(tái)是數(shù)據(jù)庫(kù)服務(wù)器,其操作系統(tǒng)為Redhat Linux 9.0,安裝的是Oracle數(shù)據(jù)庫(kù)軟件;另一臺(tái)是管理終端,在應(yīng)用系統(tǒng)服務(wù)器主機(jī)上安裝Web服務(wù)代理。為了保證身份認(rèn)證系統(tǒng)穩(wěn)定可靠地運(yùn)行,避免單點(diǎn)故障,使用兩臺(tái)身份認(rèn)證服務(wù)器互相熱備,以保證提供穩(wěn)定可靠的服務(wù)。
校內(nèi)用戶訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)時(shí)不需要通過(guò)該系統(tǒng)作驗(yàn)證,而是直接訪問(wèn)原有業(yè)務(wù);校外用戶訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)時(shí)必須通過(guò)身份認(rèn)證系統(tǒng)進(jìn)行身份驗(yàn)證,認(rèn)證方式為用戶名/口令,身份驗(yàn)證通過(guò)后才能訪問(wèn)原有業(yè)務(wù);用戶通過(guò)身份驗(yàn)證時(shí),只需輸入一次口令,就可以訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)。
目前,學(xué)校人事、教務(wù)、研究生、財(cái)務(wù)、校內(nèi)信息服務(wù)等網(wǎng)絡(luò)應(yīng)用系統(tǒng)已實(shí)現(xiàn)基于Web Service的統(tǒng)一身份認(rèn)證。根據(jù)校園網(wǎng)建設(shè)的需求,身份認(rèn)證服務(wù)器采用雙機(jī)備份,盡可能提高系統(tǒng)運(yùn)行的可靠性,用戶使用該系統(tǒng)訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)只需要輸入一次口令,就可以連接多個(gè)應(yīng)用系統(tǒng),而其他應(yīng)用系統(tǒng)不用作任何修改,就可以平滑升級(jí)支持單點(diǎn)登錄、集中授權(quán)和集中審計(jì)。
【編輯推薦】
