中小学智慧校园软件解决方案技术白皮书 - 图文

代理认证

对于中小学中不易改造的应用系统，可以引入代理集成机制，被集成的应用系统无需更改即可实现单点登陆功能。

代理认证是嵌入到目标系统中的程序，可以在不改动原有应用代码的前提下实现如下功能：

? 校验当前用户是否是统一身份认证平台合法用户，并判断是否有权访

问请求的应用；

? 如果用户身份不合法则跳转到登录页面； ? 如果无权进入此应用则出现拒绝进入的页面； ? 如果用户身份合法则无需登录，直接访问集成应用； ? 将用户属性信息传递给集成应用。 LDAP认证

对于中小学中高并发认证型应用的集成需求，比如选课系统，我们针对这种类型系统的特点开发了LDAP的接口，支持标准的LDAP V3协议，能够满足短时间内上万人次的认证，并具有高稳定性。目前LDAP接口支持JAVA/C/PHP/.Net等开发环境。实现如下功能：

? 校验用户名/密码； ? 获取用户属性信息。

4.1.4.5. 跨域单点登录和联合互信

采用联合互信(Liberty Alliance)的Federation SSO标准实现跨域的SSO。 我们前面所描述的单次登录解决方案，都是建立在同一个厂商提供的解决方案的基础上，例如AM实现跨系统的单次登录。但是，在现有的学校中，有可能会有来自于不同厂商的网络身份管理方案；另外，学校也不可避免地需要和学校外的应用系统交互，此时，跨不同厂商的应用系统间的单次登录就会成为一个问题。

许多身份与策略服务，包括身份认证、单点登录和用户自定义，都是联合互信项目正在举行的标准化行动的主题。其目的是产生联合身份系统。联合身份系统确保合适的方面而不是一个中心机构来对重要个人信息的使用进行管理

37

和分配。联合互信项目是一个商业联盟，其组建目的是提供和支持一个因特网身份解决方案，以一种开放、联合的方式，实现单点登录。联合互信有三大目标：

? 允许个人用户和机构保证个人信息的安全。

? 使用多家提供者的分散认证和开放授权，提供通用、开放的单点登录

标准。

? 为横跨所有网络设备的网络身份提供一个开放标准。

联合身份实现了联合商务的开发，这还可以让企业为学校或最终用户带来更多的方便、选择，并让他们更好地控制自己的身份。另外，联合身份模型允许学校或用户管理自己的数据。例如，某用户在学校的UID为109886，而在网络招聘系统中的UID为120821363。学校的网络身份管理系统采用我们的单点登录系统，网络招聘系统采用的是另外厂商的方案，当在这两个系统中实现SSO时，如果对方同AM一样，符合联合互信的SAML规范，跨系统的SSO就可以实现。

单点登录系统遵循Liberty Alliance Phase 2 和SAML1.1 规范。它对这些标准的支持帮助创建了一个既简便易用又与现有系统兼容的联合框架及验证共享机制。

4.1.5. 系统部署说明

身份认证平台支持双机或多机运行模式，一方面能够保证系统的可靠性，另一方面也能够保持良好的扩展能力，支持如下图的部署架构：

38

根据实际测试情况，身份认证平台的处理能力主要取决于处理器数量和内存数量，系统完全可以满足20万用户的数据存储要求(20万*0.5M/用户=100G存储容量)，并可以保持较高的处理性能，平均延时小于1秒，完全能够保证同时有超过5000(5000*1M/用户=5G内存容量)的用户同时在线使用。

建议采用以下系统安全措施提高系统安全性：

安全分类 主机安全 传输安全 安全措施 支持身份认证平台管理员账号和操作系统分离 支持Unix、Linux等安全性高的操作系统 支持HTTPS的加密传输机制 身份认证平台为各接入系统开设不同的访问用户 可以设置数据同步服务对权威数据源的访问账号的读写权限 建立对用户的登录和注销行为的系统日志，可以跟踪非法用户的入侵和合法用户的非法攻击 系统只使用以下端口：系统管理端口58080，LDAP访问端口389，认证服务器端口20000 所有用户口令采用高安全不可逆加密存储 所有涉及到对其他数据库访问的账号配置采用加密存储 支持用户数据在线备份，和系统快速恢复 支持用户口令强制定期变更 访问安全 存储安全 安全管理

39

4.1.6. 平台可靠性和扩展性

为确保系统7*24小时运行，可采用双机运行模式，一台服务器停止运行后，另外一台服务器能够不间断自动切换，不影响业务系统的正常运行。

同时在硬件层通过RAID1保证所存储用户身份数据的可靠性，并在系统管理上支持用户身份数据的在线备份和备份数据的定期远程上传，保证在硬件层故障时，管理员可以快速进行系统整体恢复。平台的数据存储可以根据实际数据量通过扩充主机磁盘容量的方式进行扩展。

4.2. 统一信息门户平台

统一信息门户平台（Portal），就是将各种应用系统、数据资源和互联网资源集成到一个信息管理平台之上，它把分立系统的不同功能有效地组织起来，为各类用户提供一个统一的信息服务入口，并提供高可配置的功能，提供WEB网站页面风格、布局、内容等方面的定制工具。

4.2.1. 设计要点

智慧校园涉及教务、人事等多个业务系统，每个业务系统都会提供用户不同的信息服务，而且在各系统中也存在多个应用子系统，每个子系统也都会提供不同的服务界面。为提高易用性和一致性，需要在校内建立统一的信息服务门户平台，通过该平台重点解决以下几方面的问题：

统一信息门户平台重点解决以下几方面的问题： （1）提供符合师生使用习惯的高效、可靠的平台； （2）提供符合通用标准的、可持续升级的框架；

（3）提供各种WEB应用系统与门户系统集成的手段，完成不同应用系统的界面集成；

（4）提供安全的凭证登录手段，用于实现对外部系统和内部无法改造系统访问时的单点登录；

（5）提供满足用户个性化使用需求的界面自定义功能；

（6）提供门户应用开发框架、工具的支持，解决学校一些非系统级应用的

40