统一认证0011.docx

1、统一认证0011 编号：第 号附件大学生科技创新基金项目申请表项目名称：统一认证构件库的设计与开发项目负责人： 系年级专业： 联系电话： 电子信箱： 指导教师： 指导教师所在系： 指导教师联系电话： 填表日期：2010年9月20日填写说明一、项目申请表要按照大学生科技创新基金项目暂行管理办法和关于开展2010年大学生科技创新基金立项工作的通知，逐项认真填写，填写内容必须实事求是，表达明确严谨。空缺项要填“无”。二、格式要求：表格中的正文字体应为小四号宋体，22磅行距；需签字部分由相关人员以黑色钢笔或水笔签名。均用A4纸双面打印，于左侧装订成册。三、项目申请表由项目负责人填写，经系评审汇总后统一

2、上报大学生科技创新中心，大学生科技创新中心组织大学生科技创新工作专家委员会评审确定。学生申请课题必须自行联系确定指导教师。四、项目申请表填写内容应言简意赅，思路清晰，论证充分，字迹清楚，一律用计算机输入打印。五、以系为单位上交此申报表。六、如填表有不明事宜，请致电大学生科技创新中心。 项目名称统一认证构件库的设计与开发一、申请理由 （内容应包括自身具备的知识条件、自己的特长、兴趣和已有的知识基础）随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网

3、站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，这样就产生了许多的问题：首先，信息的孤立导致信息系统间无法建立起面向用户的统一视图。不同的应用的用户信息由不同的管理员分别手工管理，并且用户的新建、调整或调离也都需要管理员来人工调整各个应用系统的用户数据。这种分散的手工管理一方面带来了管理上的不便，另一方面也极易造成信息的不一致，从而使信息系统相互之间的信息共享越发困难。同时，高昂的维护成本也不容忽视。每次用户信息的变更都需要耗费大量的人工去操作，并且每一次变更用户都往往需要等待很长时间。随着企业级应用系统的规模和复杂程度的增加这些问题更是日益凸显

4、起来。 其次，由于各系统的认证都是相互独立、互不相干的，这就需要同步更新各个信息系统的用户身份信息数据库。随着管理复杂性的提高，企业将会很难或几乎不可能得到全部用户身份信息。并且，在不同信息系统中存在同一用户的信息很容易带来安全上的漏洞。比如，人员离开企业时访问权限不能被及时取消，人员调动时权限被叠加，操作流程中的人为错误等等，都会为信息系统带来安全上的隐患。 最后，从信息系统使用者来看，用户在同一系统内要查看不同系统的信息就不得不反复地注册相同的用户名和密码，再输入相同的用户名和密码来登录系统。这种重复的缺乏人性化的操作，对使用者来说是一种非常糟糕的用户体验。尤其是在当今信息多样化综合化的环

5、境下，用户常常需要在多个系统中轮换查询，因此只快捷简单的操作流程才能满足现代企业信息化建设的要求。统一认证系统，也称单点登录系统，是指用户只需要在网络中主动地进行一次身份认证过程，然后就可以访问其被授权使用的所有处在网络上的资源，而不需要其主动参与其后的身份认证过程这些服务资源可能处在不同的计算机环境中，用户以后的身份认证是由系统自动完成的在此系统中，管理员无需修改或干涉用户登录。就能方便的实施希望得到的安全控制这是一个为了能够在分布式计算机环境中安全和方便地鉴别用户而产生的课题。本项目所开发的基于LDAP的统一身份认证系统能够解决上面提到的传统的开发模式的诸多弊端，首先，系统实现了统一的用户

6、身份认证信息管理，可以实现用户认证信息的统一管理，避免了在各个应用系统的身份信息数据库的数据同步更新，用户只需要在统一身份认证系统中注册或更改自己的认证信息即可，这无疑方便了用户使用，也保证了数据的完整性，减少数据冗余，同时避免了各个应用系统的重复开发。其次，系统实现了基于多个应用系统的单点登录，这将极大的方便用户使用，提高系统的易用性。另外，基于LDAP的统一身份认证系统采用分布式的目录信息树结构，对用户认证信息进行有效组织和管理，可以提供高效安全的目录访问。目录服务是一种特殊的数据库，可以用来保存描述性的，基于属性的信息，并且支持复杂的过滤搜索能力。目录被优化为针对大量的查找或者搜索操作进

7、行快速的响应。它们可以具有大范围复制信息的功能，以便提高可用性和可靠性，同时缩短响应时间。 开发统一认证的技术我们基本上都具备，目前所存在的问题就是设计和创新等方面，不过在我们团队的共同努力下，我们一定可以克服种种问题，同时，我们也相信在我们团队共同的努力下一定会给学校一分满意的答卷。二、立项背景（包括国内外研究现状、趋势、研究意义、参考文献和其他有关背景材料）近十年以来，信息产业在中国得到了蓬勃的发展。随着信息系统在各级政府和广大企事业运行中的全面渗透，各单位建立了各种局域网和IT应用系统，包括客户关系管理系统（CRM）,企业权限管理（ ERP）,办公自动化（ OA）, 人力资源管理系统（H

8、R）,供应链管理系统（ SCM）,生命周期管理（PLM）等，还包括各种IT资源服务如数据库、目录、邮件、网络接入系统、支持系统等。这些应用系统每一个都针对于一个特定的用户群体。而这些应用系统只储存了自身所对应的用户信息，包括用户认证信息(如用户ID及口令)以及用户授权信息和权限管理。在不同的应用系统中，用户信息的存储和管理以及用户权限却往往没有一个统一的标准，某个人可能需要涉及好几个不同的系统，因此就须拥有多个登录身份才能进入不同的系统，尤其是对于领导层，涉及的登录、不同的系统之间信息的交换与传输、数据的综合分析与管理就变得非常繁琐。现代企业用人制度决定了员工的启用和离职是随时都会发生的事情。

9、如果一个员工调离，需要在每个应用程序中删除该条记录，而员工信息的更改也同样在多个应用程序中进行，这不但费时费力，而且将带来严重的安全问题；同时，各个系统各自为政，缺乏集中的授权和审计功能，无法根据用户级别进行分级授权，也无法记录用户访问的详细审计信息，给安全管理留下了很多隐患【1】。下面是一些著名的调查公司显示的统计数据：用户每天平均16分钟花在身份验证任务上IDS频繁的IT用户平均有21个密码每79秒出现一起身份被窃事件【2】除此之外，“信息孤岛”的现象随着企业规模的扩大与系统安装的增多会越来越明显，虽说是信息化，但“孤岛”之间的信息传输与角色权限认证等很多工作也只能靠人工来实现，这就使得信

10、息化并没有发挥应有的作用。同时用户信息认证的方式、权限授权的方式、不同等级信息的采集、获得与发布等存在多种方式各成一体、不成体系的现象，这也增加了系统的复杂度。随着移动互联网的巨大发展，各种基于移动互联网终端的增值业务系统不断被开发，若按照传统的管理方法，用户(管理员)的数量不断增加；同时，一个管理员管理的系统也可能不断增加。这样就带来了安全和效率方面的问题【3】：用户不得不记忆各个系统的帐号和密码；在每进入一个系统前须进行一次认证。系统越多，口令越多，出错的可能性就越大，安全风险越大。面对资源浪费、功能重复、管理复杂、信息不兼容、安全风险大以及使用不便等多方面问题，人们不得不重新审视传统的用

11、户管理方案。人们已经意识到，采用单点管理的方式对系统进行管理己不能适应当前信息化建设的要求，尤其是面对当前信息呈爆炸式的增长的趋势。在企业数据集成与应用整合的必然趋势下，一个统一规范的用户管理平台显得越来越必要，人们迫切需要一种新的管理机制，以实现现用户在各个系统间的单点登录，统一身份认证，统一权限管理【4】。同时由于用户信息的集中存储，降低了数据冗余，方便了管理员的管理，也有助于实施统一的安全策略，增强系统的安全特性。一个统一的管理平台将是一切应用整合的前提条件。于是，寻找一种新的统一用户管理解决方案己经成为企业信息化建设中非常关键的一步。目前，国外比较成熟的统一认证产品主要是Microso

12、ft的Passport01和SUN公司的Liberty。本软件的研究目的就是要解决企业信息化系统中普遍存在的“应用孤岛”问题。软件将通过对单点用户管理缺陷的解剖和对用户管理的深入分析，找到一条解决信息系统之间用户信息孤立的问题的出路。从而改变以往用户管理松散、不兼容不共享的管理方式，并解决其由此而引发来的种种问题，使各应用系统能够彼此互联，其中的用户信息能成为一种有效、可共享的资源。通过对LDAP目录服务技术的研究及应用，软件意旨在找到一种实现用户信息统一管理的有效方法，并搭建起一个流程简化、安全可靠、易于实现的统一用户管理平台。 通过软件对统一用户管理的研究，可以扩展人们的设计思路，对如何开

13、发出通用、完善、应用简单和可以扩展的系统有更新的认识。并且软件中目录服务技术在统一用户管理系统中的应用方法也同样可以被应用于那些需要对资源进行统一管理的系统中。同时随着手机、移动网络设备拥有者的增多，人们对信息的获取方式和对不同类信息的需求将更加的多样化，今后各类移动wap网站必将针对不同的用户提供更加个性化的服务，使用户认证之后就可以方便地管理自己的在线身份、个人信息、个性化配置、消费喜好等属性信息，并能随时随地的上传与获取各种需要的服务，提高工作效率和安全性【5】。而统一用户管理软件经过修改就可由电脑设备移植于手机之上，为个性化定制与发送提供便利。因此，软件的研究成果具有很大的应用价值和可

14、操作性。软件的研究将为信息产业的研究与开发提供更开阔的视野，因而具有重要的意义。 参考文献：1 杨修兰、蒋泽军、王丽芳， 基于LDAP和双因素身份认证的统一认证，计算机工程与科学，2008年第30卷第7期2 孙健伟，基于LDAP的统一认证系统的研究与实现，西北大学硕士学位论文，2007.53 阳富民、刘军平，统一认证技术研究与实现，计算机工程与科学，2007年第29卷第2期4 王钰淞，基于S S H框架的统一认证平台研究与实现，科技资讯，2010 NO.105王欣，移动通信中的统一认证和身份服务构想，网络安全技术与应用，2009.6三、项目的特色与创新之处实现统一认证具有以下优点：1提高系统的

15、易用性和工作效率实现统一认证后，用户只需要进行一次身份认证就可以访问所有集成的应用系统，不再需要记忆众多的账号和密码，提高了用户的工作效率。同时，由于用户的信息是集中保存和管理的，管理员只需在一个统一的用户信息数据库中管理用户，不必在多个系统中分别设置用户信息数据库，减少了数据冗余，也提高了管理的工作效率。2增强系统整体安全性由于用户只需记住一个唯一的登录密码，因此该密码可以设计得非常复杂，此时统一认证系统的用户名和口令在网络上是加密传输的，并且是结合SSL(Secure Socket Layer)安全传输通道进行传输的，从而增加了攻击者进行口令截取和猜测的难度；此外，还可通过强认正(Stro

16、ng Authentication)机制对用户进行基本身份验证，比如，结合X509数字证书进行身份验证，提高认证的安全性。由于统一认证系统取代了单体应用系统的用户管理和认证，因此认证系统的设计上可以充分考虑应用各种安全技术，管理上可以实施统一的安全策略，避免了单体应用系统在安全性上水平参差不齐而导致的安全缺陷，无疑整体上提高了应用的安全性。3更有效的管理用户的账号数据统一保存、集中管理，减少了管理维护出错的机率，增强了用户数据信息的一致性，同时也减轻了网络管理员维护时的负担。随着计算机、网络技术的应用和发展，企业应用系统从以前的单机模式向网络化、分布式发展，从Intranet扩展到Intern

17、et。企业和机构信息化建设的重点也己经从基础平台建设转移到应用系统的建设，并逐步向应用系统的统一、集成、融合发展。各个单体应用系统之间不能再孤立运行，需要数据和信息的共享、交互、统一。作为信息化建设的规划设计人员，也应该围绕应用系统的集成和构建统一数据平台这个总体目标，首先考虑将不同应用系统中通用的、共性的信息和技术抽象出来，形成一个初步统一的平台和标准。用户身份的管理和认证是一个典型的和基础的共性需求。从共享数据的角度来看，用户的身份信息在不同应用系统中是相同或相似的，可以统一使用企业和机构的人事管理(人力资源管理)系统的数据信息：从软件功能的角度来看，不同的应用系统都需要用户身份管理和认证

18、这一功能；从开发技术的角度来看，把用户身份管理和认证模块与应用系统整体相对独立出来是可行的。解决好应用系统统一认证的问题，不仅为解决应用系统的身份认证问题提供了一个统一的模式，也为应用系统在更高层面的集成提供了基础和参考。因此，组织机构的信息化建设中，实施统一认证是必要的，也是可行的。本统一认证平台需要达到的功能和特性主要有： 基于简单认证机制中的口令认证机制，以用户名和密码确认用户身份标志； 有完善的认证接口，让更多应用系统可以方便地通过接口使用本认证系统统一认证用户的身份； 用户密码在系统中加密存放，且不可逆；在认证过程中，明文密码绝不能在网上传输，防止窃取导致泄密，保证用户密码安全； 可

19、以实现认证客户端和认证服务的双向认证，确保认证双方的身份； 能够抵抗大型攻击，即防止攻击者使用窃取到的过时的认证数据包再次获得认证而冒充合法用户的身份； 支持分布式认证方式； 支持Web Services技术框架，使得在对各个应用系统实施基于Web Services应用集成的时候，能够使用这个统一认证服务进行身份认证； 使用方便，能够尽可能地利用现有系统的身份认证模块以及现有的用户设置和权限设置，尽量保护现有的投资，减少重新的用户设置和权限设置的费用，同时避免对现有系统进行大规模的修改； 具有良好的可扩展性和可集成性，不仅能支持现有的应用系统及现有的用户系统，当有新的应用被部署或开发的时候，这

20、个统一认证服务可以作为它的身份认证模块协同工作，也就是说，新的应用可以不自带用户系统，可以通过集成该服务来实现等价的功能； 应具备灵活和方便的使用模式，使用户可以通过多种方式自由地使用该统一认证服务。四、实施方案（一）数据设计 项目中的数据设计是指系统的身份与权限数据库，由于LDAP得性能和特点，我们选择LDAP作为系统的身份与权限数据库。身份与权限数据库在设计上分为三个大的部分，分别是资源目录，角色目录和用户目录。1.资源目录的设计资源目录是指应用系统的各种资源按照树状结构在LDAP数据库中的定义。图一：资源目录的树状结构从图一可以看出资源节点是由根资源节点和若干分支组成的，并按照树状结构在

21、LDAP中存储。资源节点下面不仅仅可以定义下级资源节点，还可以定义该节点的访问权限。以便于对访问控制的管理。2.角色目录的设计角色目录也是在LDAP中按照树形结构的定义。角色目录的树状结构如下所示：从图中我们可以知晓，其中的原理是和根源目录一样，角色目录一样可以为每个节点建立自己相应的权限。其中SSD是静态职责分离，DSD是动态职责分离。3.用户目录的设计用户目录主要是对用户的身份信息进行存储的，在LDAP中按照部门组成树形结构，其结构如下图所示：用户目录存储的是用户的身份信息，这些信息包括用户名，用户密码，用户的角色信息，用户的属性信息，用户的组信息以及用户所申请的一些其他的信息等。组节点分

22、为全局组和部门组两种，全局组是具有全局属性的用户组，任何用户都可以是全局组的成员，部门的下的用户组是具有局限性的，用户只能属于自己部门或下级部门的用户组，而不能是自己所在部门上级部门的用户组。（二）系统功能设计本系统包含了三个功能模块:系统信息管理模块、用户认证模块及用户权限管理模块。其中系统信息管理模块是整个系统的核心模块，它负责LADP目录的所有操作(包括增加信息、检索信息、更新信息、删除信息等)，除了完成本模块自身的操作外，还为用户认证模块、用户权限管理模块提供LDAP目录操作接口。用户认证模块通过与调用系统信息管理模块提供的方法获得用户信息，并与用户登录系统提供的信息进行验证。当验证成

23、功后通过系统信息管理模块获取LDAP目录中的用户授权信息。权限管理模块通过调用系统信息管理模块提供的方法获取LDAP目录中的用户信息、己授权信息等，在完成用户的授权操作后再通过调用系统信息管理模块提供的方法把信息保存到LDAP目录中。 1.系统信息管理模块: 系统信息管理模块是整个系统的核心模块，除了完成自身的操作外还为其他的模块提供LDAP目录访问接口。在模块内所有的LDAP操作都是基于目录管理组件实现的，它专门负责进行LDAP目录操作，并通过接口调用实现模块本身的业务处理，以及为其他模块提供LDAP目录操作。该模块由两个组件构成，目录管理组件和系统信息维护组件。目录管理组件：提供对LDAP

24、目录存储的所有操作，包括添加，删除，重命名，修改属性，修改内容等系统信息维护组件：提供了系统相关信息的维护操作，包括用户信息维护、角色信息维护和资源信息维护等。系统信息维护组件对以上业务进行了封装，通过调用目录管理组件实现系统信息的LDAP目录存储、读取操作。 2.用户认证模块: 用户认证模块负责对登录系统的用户进行身份认证，并根据认证结果反馈用户。用户认证模块不直接进行LDAP目录操作，通过调用目录管理组件进行LDAP目录操作。用户认证模块根据用户在登录系统时提交用户名和口令，调用目录管理组件，将用户提交的认证信息提交给LDAP目录服务。LDAP目录服务器接受到用户的登录信息后，对用户名和口

25、令进行验证。当信息验证成功后，LDAP目录服务器将用户登录的账号，用户所属组的名字(属性CN的值或其他)放入Subject (JARS规定由Subject封装用户以及用户认证信息，其中包括了用户所属组信息Principals )中。用户则持着获得的Subject来访问各业务系统。各业务系统获得了用户的Subject则不再需要对用户进行认证。如果业务系统没有收到用户的Subject，则发送出统一用户管理系统的登录页面给用户，要求用户进行登录。以下是相关的时序图： 3.用户权限管理模块:对系统认证用户进行业务系统功能权限的授权和管理。包括了两个部分，一是目录访问权限的管理，另一个是资源访问权限的管

26、理。在该系统中，资源的访问权限指的是对业务系统的访问权限。（三）、本系统应用的相关技术简介LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)是一种等到关于人或者资源的集中、静态数据的快速方式。LDAP是实现了指定的数据结构的存储，它可以存储数据，但它并不是真正的数据库。LDAP对查询进行了优化，与数据库相比LDAP的读取性能是特别的优良。正是由于它的快速读取和查询的功能，使得LDAP更适合统一认证的角色。尤其是在整合两个系统时则更能显示出它的优点。比如，在数据库MySQL中进行权限管理时是这样的：需要建立三张表，用户的，角色的，功能的。如下

27、表所示：user表Idname 角色表Id角色功能表角色Faction这样的话在结合两个系统的时候就无法解决数据库的问题，但要是用LDAP来代替数据库的话这样的问题就迎刃而解了。由于LDAP是树形结构的，因此只要在两个系统之上增加一个节点就可以了。为统一认证构件的我们采用了Spring 2.0和Struts2.0的架构，这是标准的MVC模型，管理层由身份与权限服务器和structs2.0的Action构成，身份与权限服务器为系统提供数据层的访问，Action实现业务逻辑；控制层由Struts2.0来实现，它就像一个拦截器，用于拦截所提交的数据；表示层有jsp/servlet+AJAX技术实现。

28、体现的形式如下图所示：五、项目研究预期成果本项目的最终成果是开发出统一认证的构件库，本软件的应用可以从以下两个方面来讲。首先，从技术层面上来说： 统一身份管理系统可以解决企业信息化系统中普遍存在的“应用孤岛”问题，找到一条解决信息系统之间用户信息孤立的问题的出路。从而改变以往用户管理松散、孤立的管理方式，并解决以往管理方式带来的种种问题，使各应用系统中的用户信息成为一种有效、安全、可共享的资源。系统也将为用户提供一种信息统一管理的有效方法，并搭建起一个流程简化、安全可靠、易于实现的统一用户管理平台。对如何开发出通用、完善、应用简单和可以扩展的系统有更新的认识。对于校园内部：较完整的数字校园将包

29、括办公自动化、各个管理信息系统以及诸如电子邮件、视频点播等应用系统。本系统可以克服各个子系统在建立独立的身份认证系统的情况下导致的不利于使用和管理的种种问题，且在安全、高效的校园信息运行机制中起到统筹规划、有效控制的预期目标。对于校园网络之间：随着校园信息化建设不断深入，建设数字校园甚至数字城市自然也就顺理成章了，而数字校园、数字城市的核心之一就是建立高校之间的门户系统。而实现一个使用高效的统一身份认证系统则是建立门户系统必不可少的系统支撑平台。由此本系统又将由点带面式的整合同城校园网络的信息与资源，在实现资源高度安全共享的前提下使区域校园信息化的进程由量的积累改变到质的飞跃！其次，从业务层面

30、来说： 使用集中式的用户管理方式，全局掌控用户信息，有效控制用户对各应用的访问权限。随着国家的信息化建设不断深入，建设数字校园、数字城市变得日益迫切，而数字校园、数字城市的核心之一就是建立高校、政府、企业的门户系统，而实现一个使用、高效的统一身份认证系统则是建立门户系统必不可少的系统支撑平台。基于拓展应用层：集中式的用户管理方式，有效的对用户各应用的访问权限的控制，使本系统可以运用于银行、学校、公安等组织机构健全完整且复杂的单位机构。庞大信息处理量和复杂的组织人员管理结构使本系统可以根植于各个单位的信息管理系统中，并发挥核心协调作用，而且个性化的定制服务使本系统有更强的适应与变化能力。其深层价

31、值在于构建了基础性的身份管理服务组件，实现身份信息的横向关联和纵向管理，为进一步的单位信息应用、整合作了必要铺垫。此外，项目完成之后我们还可以申请软件著作权：1.申请软件著作权的相关规定计算机软件著作权登记办法第一章5-6条规定软件著作权合同登记的申请人，应当是软件著作权专有许可合同或者转让合同的当事人。 第五条 申请人或者申请人之一为外国人、无国籍人的，适用本办法。 第六条 国家版权局主管全国软件著作权登记管理工作。 国家版权局认定中国版权保护中心为软件登记机构。 经国家版权局批准，中国版权保护中心可以在地方设立软件登记办事机构。 2.登记软件著作权可以受到法律重点的保护对象，可以证明我们项目的技术成果等3.软件著作权登记证书的作用：是在软件著作权发生争议时证明软件权利的最有力的证据。；是软件著作权人进行投资和交易的重要资本和财富。；是企业在申请高新技术企业认定时非常重要的砝码，一定程度上能证明企业拥有核心自主知识产权，而这也是高新认定非常重要的部分；是企业申请软件企业必不可少的证明材料；企业获得国家税收减免、人才优惠等国家政策的条件。