CN109150909A - 一种校园统一身份认证系统 - Google Patents
一种校园统一身份认证系统 Download PDFInfo
- Publication number
- CN109150909A CN109150909A CN201811175964.4A CN201811175964A CN109150909A CN 109150909 A CN109150909 A CN 109150909A CN 201811175964 A CN201811175964 A CN 201811175964A CN 109150909 A CN109150909 A CN 109150909A
- Authority
- CN
- China
- Prior art keywords
- authentication
- sign
- interface
- database server
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种校园统一身份认证系统,分为应用层、服务层和数据层,所述应用层包括若干可访问服务层的外部应用;所述数据层包括存储所有用户身份数据的至少一台目录数据库服务器;所述服务层从上至下依次设有认证接口、负载均衡组件和认证服务组件,所述认证接口与应用层的各个外部应用一一对应并连接所述负载均衡组件,所述负载均衡组件连接各个认证服务组件,每个认证服务组件连接对应的目录数据库服务器。其技术效果是:安全,可靠,稳定,开放,标准,高性能,可以有效地提高安全管理水平,可以在集成已有的外部应用和新建外部应用的时候确立身份认证的标准。
Description
技术领域
本发明涉及一种校园统一身份认证系统。
背景技术
在校园应用环境中,涉及很多的应用,大多数外部应用都涉及到用户名和口令的管理与认证问题,外部应用安全级别不一样,一旦个别外部应用安全性设计不够好,造成用户信息被窃取,很可能会影响到所有其他系统,因此设计一套安全、可靠、标准的统一身份认证系统是非常必要和迫切的。
校园网应用环境中有很多外部应用,用户往往习惯用一个用户名和口令,于是校园网外部应用的安全体系设计,就会有明显的水桶效应,一旦出现短板,会导致整体安全性出现严重的风险。因此将各个外部应用的用户名和口令校验集成到统一的身份认证平台是有必要和有意义的。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种校园统一身份认证系统,其安全,可靠,稳定,开放,标准,高性能,可以有效地提高外部应用的安全管理水平,可以在集成已有的外部应用和新建外部应用的时候确立身份认证的标准,可以减少系统管理员的工作量,简化系统管理难度。
实现上述目的的一种技术方案是:一种校园统一身份认证系统,分为应用层、服务层和数据层;
所述应用层包括若干可访问服务层的外部应用;
所述数据层包括存储所有用户身份数据的至少一台目录数据库服务器;
所述服务层从上至下依次设有认证接口、负载均衡组件和认证服务组件,所述认证接口与应用层的各个外部应用一一对应并连接所述负载均衡组件,所述负载均衡组件连接各个认证服务组件,每个认证服务组件连接对应的目录数据库服务器。
进一步的,所述认证接口可以为认证头接口或者代理认证接口。
再进一步的,所述认证头接口可以为Java接口、PHP接口或COM接口。
进一步的,所述应用层与所述目录数据库服务器之间通过LDAP认证接口直接连接。
进一步的,所述认证服务组件包括单点登录模块和统一身份管理模块;
所述单点登录模块包括单点登录令牌创建单元与单点登录令牌验证单元。
再进一步的,所述统一身份管理模块包括:身份数据集成单元、帐号和口令管理单元、分级管理单元和批量维护工具箱。
再进一步的,所述单点登录模块为基于Pol icy Agent的单点登录模块。
进一步的,所述数据层还包括平台数据库服务器,所述服务层中设有使所述平台数据库服务器与应用层的各个外部应用,所述服务层中的认证接口、负载均衡组件和认证服务组件,以及所述数据层中的各个目录数据库服务器连接的日志采集接口。
进一步的,所述数据层还包括外部权威数据库服务器,所述外部权威数据库服务器与所述认证服务组件之间设有数据同步服务组件。
进一步的,所述应用层的外部应用可采用J2EE、.Net或者PHP框架。
采用了本发明的一种校园统一身份认证系统的技术方案,分为应用层、服务层和数据层,所述应用层包括若干可访问服务层的外部应用;所述数据层包括存储所有用户身份数据的至少一台目录数据库服务器;所述服务层从上至下依次设有认证接口、负载均衡组件和认证服务组件,所述认证接口与应用层的各个外部应用一一对应并连接所述负载均衡组件,所述负载均衡组件连接各个认证服务组件,每个认证服务组件连接对应的目录数据库服务器。其技术效果是:安全,可靠,稳定,开放,标准,高性能,可以有效地提高外部应用的安全管理水平,可以在集成已有的外部应用和新建外部应用的时候确立身份认证的标准,可以减少系统管理员的工作量,简化系统管理难度。
附图说明
图1为本发明的一种校园统一身份认证系统的结构示意图。
具体实施方式
请参阅图1,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
本发明的一种校园统一身份认证系统分为应用层1、服务层2和数据层4。
应用层1包括若干可访问服务层2的外部应用11,即校园统一身份认证系统的服务对象。外部应用11可以跨多种操作系统,并可采用采用J2EE、.Net、PHP等多种开发框架。
数据层4为校园统一身份认证平台提供数据存储服务,包括存储所有用户身份数据的目录数据库服务器41,存储平台日志和系统配置数据的平台数据库服务器42,以及外部权威数据库服务器43。
目录数据库服务器41数量多于一台,目录数据库服务器41均用于将学生、教师和其他人员的信息集中存储,主要包括以下功能:为所有用户身份提供集中化的存储和目录服务;可以对目录服务进行扩展,以管理用户特定的身份信息以及扩展用户验证;支持目录数据的多主复制,能够将学生、教师和其他人员的信息复制到其它目录数据库服务器41上,实现数据在所有目录数据库服务器41上同步。
目录数据库服务器41中的数据包括:
用户帐号:学生、教职员工、合作伙伴、供应商等帐户信息;
资源:校园统一身份认证系统所管理的身份数据源和外部应用11,如学术创新环境、学生数据中心、教职工数据中心、电子邮件、一卡通、综合网络管理系统以及上网接入认证系统、VPN系统等,以及其它基于用户属性更改的外部应用11;
资源组:按一定顺序组织资源,校园统一身份认证系统将根据规定的顺序在应用层的各个外部应用11中创建和删除用户信息;
组织:管理一组用户、资源和其它对象的逻辑容器;
角色:用户的工作角色,代表其职能性质,据此在资源中设置用户的属性;
管理帐户:对校园统一身份认证系统具有管理员的功能,可以进行分级管理;
能力:每个管理员的职能。
服务层2从上至下依次设有认证接口21、负载均衡组件22和认证服务组件23,认证接口21与应用层1的各个外部应用11一一对应并连接负载均衡组件22,负载均衡组件22连接各个认证服务组件23,每个认证服务组件23连接对应的目录数据库服务器41。应用层1的外部应用11通过对应的认证接口21与由负载均衡组件22分配的认证服务组件23进行交互,从而获取校园统一身份认证系统提供的身份认证、用户身份信息获取,单点登录服务。
认证接口21和认证服务组件23之间设置了均衡负载组件22,均衡负载组件22控制认证服务组件23通过不同的目录数据库服务器41进行认证信息的获取,赋予了校园统一身份认证系统获得认证服务负载均衡的能力。
认证接口21可以为认证头接口或代理认证接口。
认证头接口是针对主流开发语言的认证接口,包括Java接口、PHP接口、COM接口,其可以校验当前用户是否为合法用户,若为非法用户外部应用11直接返回登录页面,若为合法用户,直接访问对应的外部应用11,并将用户属性信息传递给对应的外部应用11。
代理认证接口:嵌入到对应外部应用11中的程序,在不改变对应外部应用11代码的前提下,实现校验当前用户是否为合法用户,并判定是否具有访问对应外部应用11的权限。如果为非法用户,则返回登录页面,若无权限访问对应外部应用11,出现拒绝进入的页面。
LDAP认证接口24:对于高校中高并发认证型应用的集成需求,比如选课系统,针对这种类型系统的特点开发了LDAP认证接口24,支持标准的LDAP V3协议,LDAP认证接口24直接访问目录数据库服务器41,能够满足短时间内上万人次的认证,用于校验用户名密码和获取用户属性信息。
认证服务组件23:采用基于JAAS的框架。提供了平台的核心基础服务,用于学校对学生、教师和其他人员的数字化身份的认证。
认证服务组件23包括单点登录模块231和统一身份管理模块232。
单点登录模块231通常定义为指用户只需经过一次认证就可以访问所有拥有访问权限的外部应用11。单点登录模块231能够提高用户的工作效率,减少身份认证过程中的人为错误,也减轻了用户在密码管理上的负担,从而使系统更安全,更易用,促进信息资源的充分共享。
单点登录模块231包括单点登录令牌创建单元与单点登录令牌验证单元。用户在通过统一身份管理模块232的认证后,单点登录令牌创建单元为该用户创建一个单点登录令牌,并将该令牌的ID通过cookie返回至外部应用11的登录界面;当用户访问其他应用时,单点登录令牌自动通过cookie传递至其他外部应用11,单点登录令牌登录外部应用11可以通过单点登录令牌的ID还原,并向单点登录令牌验证单元验证单点登录令牌是否有效。如果有效,则新等登录的外部应用11可以从单点登录令牌获取用户身份信息,而不再需要用户进行再次认证。本发明的一种校园统一身份认证系统采用基于Pol icy Agent的单点登录模块。
统一身份管理模块232包括:
身份数据集成单元:从学校的各个业务系统自动抽取用户身份数据并加以归纳和整理,以满足充实用户身份信息库的需求。
帐号和口令管理单元:基于WEB的管理界面管理所有用户的帐号和口令。
分级管理单元:缺省建立四大类身份:教职工、学生、领导、校友四个组别,每个组别定义为一个逻辑容器,作为应用层1的各个外部应用11定义权限或属性的基础。
批量维护工具箱:提供导入用户数据和组织数据、批量修改和删除人员属性信息、系统服务的注册/注销、在不同的逻辑容器间移动人员数据。
在认证服务组件23和外部权威数据库服务器43之间还设有数据同步服务组件25。其可以自动发现在外部权威数据库服务器43中的用户信息更新,并根据规则将其更新各个目录数据库服务器41中去。
服务层2中还设有使平台数据库服务器42与应用层的各个外部应用11,服务层2的认证接口21、负载均衡组件22和认证服务组件23、LDPA认证接口24、数据同步服务组件25、目录数据库服务器41连接的日志采集接口。
本发明的一种校园统一身份认证系统是安全,可靠,稳定,开放,标准,高性能的统一身份认证平台,可以有效地提高外部应用11的安全管理水平,可以在集成已有的外部应用11和新建外部应用11的时候确立身份认证的标准,可以减少系统管理员的工作量,简化系统管理难度,可以支持单点登录,让用户只需要维护一套用户名和口令,提升用户的使用体验。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。
Claims (10)
1.一种校园统一身份认证系统,分为应用层、服务层和数据层,其特征在于:
所述应用层包括若干可访问服务层的外部应用;
所述数据层包括存储所有用户身份数据的至少一台目录数据库服务器;
所述服务层从上至下依次设有认证接口、负载均衡组件和认证服务组件,所述认证接口与应用层的各个外部应用一一对应并连接所述负载均衡组件,所述负载均衡组件连接各个认证服务组件,每个认证服务组件连接对应的目录数据库服务器。
2.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述认证接口可以为认证头接口或者代理认证接口。
3.根据权利要求2所述的一种校园统一身份认证系统,其特征在于:所述认证头接口可以为Java接口、PHP接口或COM接口。
4.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述应用层与所述目录数据库服务器之间通过LDAP认证接口直接连接。
5.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述认证服务组件包括单点登录模块和统一身份管理模块;
所述单点登录模块包括单点登录令牌创建单元与单点登录令牌验证单元。
6.根据权利要求5所述的一种校园统一身份认证系统,其特征在于:所述统一身份管理模块包括:身份数据集成单元、帐号和口令管理单元、分级管理单元和批量维护工具箱。
7.根据权利要求5所述的一种校园统一身份认证系统,其特征在于:,所述单点登录模块为基于Pol icy Agent的单点登录模块。
8.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述数据层还包括平台数据库服务器,所述服务层中设有使所述平台数据库服务器与应用层的各个外部应用,所述服务层中的认证接口、负载均衡组件和认证服务组件,以及所述数据层中的各个目录数据库服务器连接的日志采集接口。
9.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述数据层还包括外部权威数据库服务器,所述外部权威数据库服务器与所述认证服务组件之间设有数据同步服务组件。
10.根据权利要求1所述的一种校园统一身份认证系统,其特征在于:所述应用层的外部应用可采用J2EE、.Net或者PHP框架。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811175964.4A CN109150909A (zh) | 2018-10-10 | 2018-10-10 | 一种校园统一身份认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811175964.4A CN109150909A (zh) | 2018-10-10 | 2018-10-10 | 一种校园统一身份认证系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109150909A true CN109150909A (zh) | 2019-01-04 |
Family
ID=64810762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811175964.4A Pending CN109150909A (zh) | 2018-10-10 | 2018-10-10 | 一种校园统一身份认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109150909A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111753264A (zh) * | 2020-07-01 | 2020-10-09 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020162028A1 (en) * | 2001-04-25 | 2002-10-31 | Paul Kennedy | Access authentication for distributed networks |
US20070184819A1 (en) * | 2002-02-28 | 2007-08-09 | Luis Barriga-Caceres | System, method and apparatus for federated single sign-on services |
CN104618486A (zh) * | 2015-02-06 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种统一管理集群存储系统多平台用户的方法 |
CN105430093A (zh) * | 2015-12-21 | 2016-03-23 | 浙江省公众信息产业有限公司 | 用于实现用户接入负载均衡的方法和系统 |
CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
CN106384028A (zh) * | 2016-09-12 | 2017-02-08 | 浪潮软件股份有限公司 | 一种支持多租户的统一身份认证服务实现的方法 |
-
2018
- 2018-10-10 CN CN201811175964.4A patent/CN109150909A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020162028A1 (en) * | 2001-04-25 | 2002-10-31 | Paul Kennedy | Access authentication for distributed networks |
US20070184819A1 (en) * | 2002-02-28 | 2007-08-09 | Luis Barriga-Caceres | System, method and apparatus for federated single sign-on services |
CN104618486A (zh) * | 2015-02-06 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种统一管理集群存储系统多平台用户的方法 |
CN105430093A (zh) * | 2015-12-21 | 2016-03-23 | 浙江省公众信息产业有限公司 | 用于实现用户接入负载均衡的方法和系统 |
CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
CN106384028A (zh) * | 2016-09-12 | 2017-02-08 | 浪潮软件股份有限公司 | 一种支持多租户的统一身份认证服务实现的方法 |
Non-Patent Citations (2)
Title |
---|
李勇: "高职院校统一身份认证系统的设计与实现", 《中国优秀硕士学位论文全文数据库电子期刊(信息科技辑)》 * |
陈鸿: "数字校园统一身份认证系统的研究与实现", 《中国优秀硕士学位论文全文数据库电子期刊(信息科技辑)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111753264A (zh) * | 2020-07-01 | 2020-10-09 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
CN111753264B (zh) * | 2020-07-01 | 2023-11-21 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322472B (zh) | 用于提供基于云的身份和访问管理的方法、系统和介质 | |
EP3544256B1 (en) | Passwordless and decentralized identity verification | |
CN103916454B (zh) | 在整个云架构中扩展组织边界的方法和设备 | |
CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
CN105429999B (zh) | 基于云平台的统一身份认证系统 | |
US8613051B2 (en) | System and method for COPPA compliance for online education | |
CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
US20160285888A1 (en) | Geographical location authentication | |
CN107003886A (zh) | 托管目录服务对目录的应用访问的管理 | |
CN104253810B (zh) | 安全登录方法和系统 | |
CN103282909A (zh) | 认证联合系统及id提供者装置 | |
CN101453357B (zh) | 一种网络管理控制方法与网络管理控制系统 | |
CN109413080B (zh) | 一种跨域动态权限控制方法及系统 | |
CN111898149B (zh) | 一种多组织机构的用户管理系统和方法 | |
US20150141149A1 (en) | Gamification provider abstraction layer | |
CN107743702A (zh) | 托管移动设备的单点登录 | |
CN101707594A (zh) | 基于单点登录的网格认证信任模型 | |
CN108322468A (zh) | 身份认证系统 | |
CN108377200A (zh) | 基于ldap与slurm的云用户管理方法及系统 | |
WO2018226807A1 (en) | Centralized authenticating abstraction layer with adaptive assembly line pathways | |
EP4158518A1 (en) | Secure resource authorization for external identities using remote principal objects | |
CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
CN105516160A (zh) | 一种域管理对象映射装置及统一身份认证系统 | |
CN106657112A (zh) | 一种认证方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190104 |
|
WD01 | Invention patent application deemed withdrawn after publication |