大学数字化校园身份认证平台设计方案.doc

《大学数字化校园身份认证平台设计方案.doc》由会员分享，可在线阅读，更多相关《大学数字化校园身份认证平台设计方案.doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、大学数字化校园身份认证平台设计方案抄投标文件招标文件：1.1.1.1. 总体架构随着学校数字化校园应用建设的逐步深入，已经建成的和将要建成的各种应用系统存在不同的身份认证方式，安全信息各自管理，广大师生用户必须记忆不同的密码和身份。为了解决多账户问题，方便老师和学生使用数字化校园的各个应用管理系统，迫切要求建立一套统一的身份管理平台，用户只需要在平台上登录一次就可以使用所有的数字化校园内的应用软件系统。在本次设计中，企业公司考虑到学校的应用环境的复杂性，也为了更好的保护学校的投资，建议学校建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织机构信息、用户身份信息统一管理

2、，进行分级授权和集中身份认证，规范应用系统的用户认证方式。这种设计，提高了应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后，或者学校体制改革、组织机构变动后，使用户的身份和权限在各系统之间协调同步，减少应用系统的开发和维护成本。在针对本项目设计中，企业公司引入身份信息的生命周期管理，通过身份访问管理系统展现出身份和可访问的系统资源的对应关系，在底层使用身份同

3、步适配器，及时将各业务系统的身份、用户信息同步到LDAP服务器和身份信息数据库中。学校所有的数字化校园访问用户的信息，都来自于相关的业务系统，如，教师信息来源于人事管理系统，学生信息来自于学籍管理库中。这样，将用户的基本信息的管理放入各自业务系统中，使身份认证平台关注于机构、角色和权限模型的建立及管理上，进而提高了系统的安全可靠性。1.1.1.2. 认证数据存储目录服务是统一身份认证平台的基础。学校所有的用户信息分别存放在LDAP目录服务和数据库中，通过可靠的机制完成两者的同步；用户身份信息在目录服务中以层次结构，面向对象的数据库的方式集中存储管理，从而保证身份数据的一致性和完整性，为校园各类

4、应用提供基础的一致的用户信息访问。在LDAP服务器产品中，我们使用基于标准的LDAP目录服务器进行身份信息同步存储，并利用LDAP的标准协议接口实现和其他应用系统的身份认证管理。图 LDAP用户信息管理图 LDAP身份信息管理用户在身份管理中可以进行各种角色的分类：教师、学生、校友、临时人员；校领导、处长、部门信息员；本科生、研究生等等。在原有的数字化平台中，对于教职工和学生，平台还不支持按照一定查询条件批量导出，新的人员还不能智能的、批量的生成平台账号。在新的平台中将实现这些功能。对于平台的账号，在公共数据库中有相关数据与其对应，利用数据交换平台中的导入导出工具即可以实现这些功能。下图是新进

5、教职工批量生成平台账号的示例。图 批量生成账号示意图 对于新进教工，数据来源于人事处的人事管理系统，通过数据交换平台的机制对数据进行加载、处理、转换等一系列操作，解析出新进人员数据，再由系统job自动触发在LDAP中生成账号，并且将这些人员数据回写到个业务系统中去，完成一个自动的、完整的数据流程，批量的生成这些人员的账号和密码。1.1.1.3. 认证流程1.1.1.3.1. 门户平台认证流程数字化校园门户系统的统一身份认证可以通过统一资源目录服务中存储的用户ID、口令以及系统登录信息来认证用户身份并登录门户系统。其认证过程如下：Web BrowserLDAPServerPortalPolicy

6、Portal12347LDAPServerReferral56Web BrowserLDAPServerPortalPolicyPortal12347LDAPServerReferral56图 统一身份认证及门户关系1、用户通过UID+PASSWORD进行系统登录；2、PORTAL SERVER通过IDS API从LDAP SERVER 进行用户身份认证；3、如本地LDAP SERVER没有整个用户信息，则根据LDAP SERVER的REFERRAL所设定的LDAP SERVER去进行身份认证；4、远端LDAP SERVER将身份认证信息返回给PORTAL POLICY；5、经过验证的用户返回

7、到PORTAL POLICY，POLICY的授权模块根据用户角色提供相应的功能及个性化定制；6、POLICY提供相应的功能及个性化定制内容返回给PORTAL；7、内容通过PORTAL展现给用户BROWSER。1.1.1.3.2. 应用系统认证流程现有应用系统和待建系统包括业务、管理等系统。统一用户管理与授权系统中可存放这些系统的配置信息，对新建应用系统使用统一资源管理进行人员身份认证，也可进行访问权限控制和进行单点登录等，对原有系统人员基本信息可与目录服务中的人员基本信息进行统一和同步。登录数字化校园门户系统的用户可以访问门户连接的应用系统，可以通过访问鉴权来实现，这是通过统一资源系统中存储的

8、用户系统登录和授权信息来完成单点登录各应用系统。其登录流程如下：Web BrowserLDAPServerPortalPolicyPortalServerPortalServlet(SSO)OtherAPP1234567Web BrowserLDAPServerPortalPolicyPortalServerPortalServlet(SSO)OtherAPP1234567图 统一身份认证及管理系统关系1、用户通过UID+POSSWORD进行系统登录；2、PORTAL SERVER通过IDS API从LDAP SERVER 进行用户身份认证；3、LDAP SERVER将身份认证信息及用户角色返

9、回给PORTAL POLICY；4、POLICY根据角色所对应的应用系统访问控制信息提供给PORTAL Servlet；5、PORTAL Servlet作为应用的客户端请求应用系统；6、应用系统返回请求结果；7、PORTAL Servlet返回应用系统的请求结果到用户BROWSER。1.1.1.4. 认证方式统一认证系统主要是为其它系统提供认证服务，用户只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。统一认证管理特点:u 支持LDAP或数据库的认证方式。u 灵活的认证策略管理，如：匿名认证方式、用户名/密码认证、PKI/CA数字证书认证、IP

10、地址认证、时间段认证、验证码等。u 支持密码找回功能，发送新密码到邮件里。u 认证的客户端支持多种开发语言，包括Java、.Net、 ISAPI、PHP、Perl、Acegi、Ruby、VBScript等客户端。u 提供第三方系统认证的web services接口。1.1.1.4.1. 身份认证服务基于LDAP和CAS认证方式设计，提供跨服务器及业务应用的身份认证服务及Agent，确保跨业务系统身份认证识别。支持多种认证方式：支持基于认证接口、认证代理和LDAP认证的多种认证集成模式，支持用户/密码、校园卡/密码、CA证书认证、动态口令认证、智能卡认证等认证方式；大学数字化校园建设统一用户管理

11、与授权的LDAP目录服务系统，并且此LDAP服务器支持标准的LDAPv3；在LDAP结构设计（schema design）时，充分考虑用于VPN认证、拨号认证、门户认证、应用认证的相应用户属性数据，就可以保证各个系统公用此LDAP。大学数字化校园所建设的统一LDAP拥有所有的校园用户信息，可以保证单点管理、全局生效。数字化校园门户系统的统一身份认证可以通过统一资源库中存储的用户ID、口令以及系统登录信息来认证用户身份并登录门户和应用系统。访问学校数字化校园门户系统的用户资源管理目录服务系统进行身份认证。 1.1.1.4.2. 单点登录服务提供WEB-SSO（Single Sign On）服务，

12、用户只需要登录一次就可以访问所有相互信任的WEB应用系统。包括可以将这次主要的登录映射到其他应用中，用于同一个用户的登录的机制；图 单点登录访问示意用户登录portal的过程：首先用户如果发出了请求，那么系统的Identity Server会自动把用户定向到登录页面，用户登录后，会在Identity Server中自动产生一个SSO Token，这个SSO Token用来把用户的信息进行保存，并且对于以后发过来的验证请求，都会对应到这个SSO Token上面。用户经门户登录数字化校园应用平台。从一个功能进入到另一个功能应用时系统平台已根据用户的角色与权限完成对用户的一次性身份认证(Single

13、 Sign On)。用户无须一次次输入用户名和密码登录门户平台外接的（集成的）应用子系统，而是单一的登录。系统平台并依据用户的角色与权限，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。用户管理创建与管理和用户相关的对象（用户、角色、组、组织、下级组织和可以组织的单元对象）。这些对象都可以使用Directory Server Management Edition管理控制台或命令行工具实现定义、修改与删除。用户授权对于用户的授权是采用Plug-in方式实现的。在Portal Server中每一个组织都可以配置用户授权方式。在获得Portal Server的Session前，用

14、户必须通过授权的验证。Single Sign-On一旦用户已经通过授权认证，CAS Client API 就开始工作。每一次已授权试图访问一个受保护的页面时，SSO API 就检测用户是否有权利访问该资源。如果用户有权限访问该资源就不会有其他的认证过程发生，否则用户会被提示重新认证。校园网络上的应用系统主要都是基于口令认证，为了提高这些口令认证系统的安全性，并实现不同的应用系统间的口令的统一，功能和特性有：1基于简单认证机制中的口令认证机制，以用户名和密码为确认用户身份的标志；2有完善的认证接口，让多种应用系统可以方便地通过接口使用本认证系统统一认证用户的身份；3用户密码在系统中加密存放，且不

15、可逆；在认证过程中，明文密码绝不能在网络上传输，防止窃听导致泄密，保证用户密码的安全；4能够抵抗重放攻击，即防止攻击者使用窃听到的过时的认证数据包再次获得认证而冒充合法用户的身份；统一口令认证系统主要包含三大部分：统一口令认证服务器、网络应用口令认证模块（包括Web口令认证模块、各应用系统口令认证模块等）和用户信息数据库。用户信息数据库存放系统的相关用户信息，包括：用户名、单向加密后的用户密码、用户的权限信息、用户有效期以及用户附加信息等。统一口令认证服务器通过本系统中定义的安全认证通道接收认证客户的认证请求，并根据数据库中的用户相关信息确认用户的身份，再次通过安全认证通道返回认证成功或认证失

16、败的信息。应用服务器（例如：Web服务器、主机服务器、各系统服务器等）既作为相对用户而言的服务器，又作为统一口令认证系统的客户。它们首先通过安全传输通道（如：SSL通道）获取用户提交的用户名和密码，然后通过口令认证系统提供的统一口令认证模块经由安全认证通道向口令认证服务器提交认证请求，并获得认证结果（成功或失败），最终确定是否给该用户提供服务。1.1.1.4.3. 个人自助服务提供给所有用户修改密码、密码找回、修改昵称等个人自助服务，这样可以减轻平台管理员的工作压力，同时给用户提供更方便快捷的服务。修改密码：在用户登录后，进入修改密码界面，首先输入原密码，然后进行新密码设置，校验成功后生效。密

17、码找回：当用户的密码忘记时，可以在门户的登录页面上选择密码找回功能，输入用户名并按照提示可以通过邮件、短信等方式找回密码。修改昵称：在用户登录后，可以进行修改本用户的昵称，在平台的留言簿、讨论区等栏目可以使用昵称留言，同时在登录时也可通过昵称登录。1.1.1.4.4. 群集服务在内存中存储登录用户权限、角色信息、组织机构信息登录信息，并通过集群广播向集群内服务器发送，以实现认证服务器集群扩展。1.1.1.4.5. 身份审核为了应对学校日常管理的变化，防止系统管理人员的误操作和非法操作，对于组织机构的变动、角色的变动以及权限变动进行审核，只有经过审核同意的变动才真正被系统接受，从而实现真正的实体

18、组织授权，避免管理员权限最大化，支持实体化真实授权模型。在设计中，考虑到大部分业务系统的身份管理都是用WEB和数据库方式，因此，在这些系统中的用户认证方式使用CAS完成，对于支持LDAP认证的系统，并通过缓存技术和同步技术保证身份信息的唯一性和一致性。1.1.1.4.6. 单点登录用户经门户登录数字化校园应用平台。从一个功能进入到另一个功能应用时系统平台已根据用户的角色与权限完成对用户的一次性身份认证(Single Sign On)。用户无须一次次输入用户名和密码登录门户平台外接的（集成的）应用子系统，而是单一的登录。系统平台并依据用户的角色与权限，提供该用户相应的活动“场所”、信息资源和基于

19、其权限的功能模块和工具。用户管理创建与管理和用户相关的对象（用户、角色、组、组织、下级组织和可以组织的单元对象）。这些对象都可以使用Directory Server Management Edition管理控制台或命令行工具实现定义、修改与删除。用户授权对于用户的授权是采用Plug-in方式实现的。在Portal Server中每一个组织都可以配置用户授权方式。在获得Portal Server的Session前，用户必须通过授权的验证。Single Sign-On一旦用户已经通过授权认证，Directory Server Access Management Edition SSO API 就开

20、始工作。每一次已授权试图访问一个受保护的页面时，SSO API 就检测用户是否有权利访问该资源。如果用户有权限访问该资源就不会有其他的认证过程发生，否则用户会被提示重新认证。校园网络上的应用系统主要都是基于口令认证，为了提高这些口令认证系统的安全性，并实现不同的应用系统间的口令的统一，功能和特性有：1基于简单认证机制中的口令认证机制，以用户名和密码为确认用户身份的标志；2有完善的认证接口，让多种应用系统可以方便地通过接口使用本认证系统统一认证用户的身份；3用户密码在系统中加密存放，且不可逆；在认证过程中，明文密码绝不能在网络上传输，防止窃听导致泄密，保证用户密码的安全；4可以实现认证客户端和认

21、证服务器的双向认证，确保认证双方的身份；5能够抵抗重放攻击，即防止攻击者使用窃听到的过时的认证数据包再次获得认证而冒充合法用户的身份；6支持分布式认证的方式，认证中心独立部署，支持应用集群的认证。统一口令认证系统主要包含三大部分：统一口令认证服务器、网络应用口令认证模块（包括Web口令认证模块、主机口令认证模块、各应用系统口令认证模块等）和用户信息数据库。用户信息数据库存放系统的相关用户信息，包括：用户名、单向加密后的用户密码、用户的权限信息、用户有效期以及用户附加信息等。统一口令认证服务器通过本系统中定义的安全认证通道接收认证客户的认证请求，并根据数据库中的用户相关信息确认用户的身份，再次通

22、过安全认证通道返回认证成功或认证失败的信息。应用服务器（例如：Web服务器、主机服务器、各系统服务器等）既作为相对用户而言的服务器，又作为统一口令认证系统的客户。它们首先通过安全传输通道（如：SSL通道）获取用户提交的用户名和密码，然后通过口令认证系统提供的统一口令认证模块经由安全认证通道向口令认证服务器提交认证请求，并获得认证结果（成功或失败），最终确定是否给该用户提供服务。1.1.1.5. 统一用户及权限管理1.1.1.5.1. 用户统一注册模块一般来说，每个应用系统都拥有独立的用户信息管理和权限管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信

23、息同步问题。用户信息同步会增加系统的复杂性，在权限管理方面各系统有着不同的权限模型，授权的方式也不太一样，这样会大大增加各系统的管理成本。用户统一管理，统一存储，权限分布或集中管理是我们统一身份管理系统建设的主要目标。统一身份管理特点: 用户支持LDAP和数据库的同时存储，在系统初始化时，可以选择用户存储的位置LDAP或DB，也可以同时选择这两种，这样即解决了LDAP在认证时的压力，也解决了用户在数据交换时的数据库压力。 支持批量处理，能够处理在新生入学，学生毕业等大数据量的业务操作。 身份变更支持策略管理，由于不同学校在不同时期身份管理方面的处理流程都会不一样，如：学生异动，教师异动等，我们

24、提供了策略管理模块，针对不同的情况，可以随时改变身份变更时的业务处理流程。 组织机构管理支持多级管理，大到院系，小到部门。支持组织机构的拆分与合并。 支持管理角色和业务角色分离，管理的角色只能负责权限的管理，不能操作业务模块，有效的解决了权限管理上的漏洞。 权限支持审核和委托。接口丰富，在统一身份管理系统里，全部基于接口开发，并封装成web services接口，可以与第三方系统进行集成。1.1.1.5.1.1. 组织机构及用户注册管理管理创建多级组织机构、部门信息；管理系统用户信息、限制用户登录权限；机构管理员、机构负责人、办公室主任配置。图 组织机构管理图 统一用户管理1.1.1.5.1.

25、2. 角色管理根据用户的不同身份及不同的管理政策，划分出不同权限的角色、角色组，进行基于策略的用户分类管理；角色的创建、角色与权限对应模型、角色与用户对应模型管理，用于功能授权，支持多角色、角色冲突检测。每个机构管理员都可以创建属于本机构的角色，并将该角色与权限和用户对应，同时，由于本身角色就含有数据范围，因此各个机构赋予的角色之间不会产生冲突。权限模型从业务系统特点出发，根据系统特点对系统内提供的服务进行统筹规划将具有共同特点的功能进行分类整理，并内置了部分角色（学生、教师、领导、其他），这样在系统实施过程中只需设定角色的用户或用户组即完成权限控制，有效加快实施速度。图 角色管理1.1.1.

26、5.2. 统一用户及授权管理系统1.1.1.5.2.1. 权限管理图 权限管理示意图系统设计提供了灵活的权限设置，按照角色、角色+组织、用户、组织 授权，能够按照学校特点和应用现状提出用户、组、行政组织模型的设计方案。个人信息高度保密，只有个人能够查询，按照固定方式进行设置。后台管理由管理员严格进行权限控制，按照固定的方式进行设置。系统信息按照本组织（本院、本系、本专业、本班）严格进行了权限控制。用户经门户登录应用基础平台，从一个功能进入到另一个功能应用时系统平台已根据用户的角色与权限完成对用户的一次性身份认证(Single Sign On)。用户无须一次次输入用户名和密码登录门户平台外接的（

27、集成的）应用子系统，而是单一的登录。系统平台并依据用户的角色与权限，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。通过使用门户服务器的安全远程访问包，授权用户（包括移动员工、远程工作人员、业务合作伙伴和用户）只需一个WEB浏览器和一个可以随时随地登录的因特网连接即可查看其个性化的桌面内容。一旦登录并通过认证，用户即可通过安全远程访问包对任意内部文件服务器上的数据文件进行加密的私人访问。权限数据管理（epsa）包括对权限系统本身内部资源的授权管理，另外平台3.0的全部应用的权限控制都是使用epsa的集中控制管理，epsa设计本身提供WS方式接口，通过WS第三方应用系统（可以

28、是.net或dephi等其它语言开发的业务系统）可以使用epsa的权限模型完成权限控制。权限控制包括二层：访问控制和访问范围（已经通过权限验证后能访问功能点内的资源范围），为了降低权限整体的复杂度，epsa把访问控制和访问范围分开实现。访问范围实现了组织机构和数据库字段级的访问控制，通过这种细粒度的控制完善单一权限控制的不足，并且访问范围同样提供的WS接口，可以与其它第三方系统集成访问范围的控制。主要功能包括：资源管理，权限项管理，业务权限管理，管理权限管理，业务角色管理，管理角色管理，用户组管理和全局用户组管理。图 权限管理1.1.1.5.2.2. 分级授权管理分级授权管理：建立全校的分级授

29、权机制，每一个部门、机关处室、院系办公室都可以参与授权管理，但只能管理本机构及所属机构的用户。由于学校很多的业务数据全部集中在一起，因此必须要经过分级授权来管理；学校管理员只能负责将业务工具分发到所辖业务部门，并规定各部门业务管理工具所管辖的范围；每一个部门、机关处室、院系办公室需要配有一个信息员，按照部门负责人意见管理本部门的角色创建、用户授权工作。各部门、机关院办只能管理本机构的角色和权限。图 分级授权管理1.1.1.5.2.3. 个人权限管理上级管理员能够查看个人用户的权限和权限范围，以及权限的获得途径。用户能够委托自己具有的权限和回收委托的权限，回收可以实现自动回收，但是被委托人不能再

30、次委托。1.1.1.5.2.4. 系统控制台管理系统控制台完成统一用户管理与授权系统的启动、停止、备份、恢复、重新启动、注销登录用户、数据导入、导出等功能。1.1.1.5.2.5. 系统配置管理系统配置管理完成统一用户管理与授权系统的数据库管理、复制管理、Schema管理等功能。还包括会话管理和平台参数配置功能。1.1.1.5.2.6. 资源树结构管理资源树结构管理完成统一用户管理与授权系统资源树的维护管理功能，具体包括：人员增加、注销、授权、修改、查询；组织增加、修改、查询；角色的增加、修改、授权、查询；工作组的增加、修改、授权、查询；应用系统信息的增加、修改、查询等功能。图 权限资源树管理

31、1.1.1.5.3. 管理与服务接口统一用户管理与授权系统不仅可以完成上面提到的资源管理、身份认证、单点登录、数据整合等功能，统一资源管理系统对外还提供了强大的应用开发接口API，支持web service在有授权的情况下用户可以在新的系统中应用统一资源系统中已存在的信息进行应用开发，更大范围的实现统一用户管理与授权。1.1.1.5.3.1. 外部系统接口序号接口名称功能模块用途1获得用户ID平台认证服务提供当前登录人员的id2获得用户角色平台认证服务提供当前登录用户的角色3单点注销服务平台认证服务实现单点注销4获得用户的组平台认证服务提供当前人员所在ldap中的组5获得用户名称平台认证服务提

32、供当前人员在ldap中的用户名称1.1.1.5.3.2. 平台接口序号接口名称功能模块用途1获得用户ID平台认证服务提供当前登录人员的id2获得用户角色平台认证服务提供当前登录用户的角色3单点注销服务平台认证服务实现单点注销4获得用户的组平台认证服务提供当前人员所在ldap中的组5获得用户名称平台认证服务提供当前人员在ldap中的用户名称6获得用户在数据库中的用户名平台认证服务获得用户在数据库中的用户名7获得用户的类别平台认证服务获得用户类别（本科生，教师，研究生，其他）8获得用户的所属组织机构平台认证服务获得用户目前所在的组织机构。9获得用户有权限的模块id平台认证服务获得在平台上的权限控制

33、中的分配给用户的权限id。1.1.1.5.3.3. WebService接口因为对于外部系统，SSO提供的用户资料局限于LDAP中的资料，所以我们另外提供WebService接口。序号接口名称功能模块用途1获得用户在数据库中的用户名平台认证服务获得用户在数据库中的用户名2获得用户的类别平台认证服务获得用户类别（本科生，教师，研究生，其他）3获得用户的所属组织机构平台认证服务获得用户目前所在的组织机构。4获得用户有权限的模块id平台认证服务获得在平台上的权限控制中的分配给用户的权限id。1.1.1.5.3.4. 日志管理能详细记录对用户的信息的操作情况。用户登录应用系统后对系统资源的所有访问都记

34、入日志，以便事后对用户操作进行审计，建立完善的事后追溯机制。在统一身份认证平台中，企业公司考虑到所有的修改操作都必须经过确认，因此增加了学校管理员对所有的审核信息进行查询检索功能，可以通过审核日期和审核人方便的查询到对身份、机构和权限角色的修改审批情况，并及时做出调整。1）用户身份数据维护，即用户登录系统时身份证明的基础数据维护，包括用户组管理、用户管理、用户账号管理等，平台还可以根据需求提供其他扩展的网络服务，如自动通知用户的联网时间、用户账号的自动增加和关闭等。对于用户身份数据中的部分数据，在相关信息系统如人事、招生系统未整合集成前，需要通过手工进行增加、修改、删除操作；而在这些系统完成整

35、合和集成后，这些用户数据与相关系统关联，自动更新；2）组织数据的维护，即学校内部的处室、团体，包括永久性团体（如：党组织，工会）和临时性团体等组织的结构以及组织内部的角色（职务）等相应信息在平台中的注册和维护；3）服务注册数据管理，即当一个新的信息服务系统加入到系统中的时候，其提供的各种需要由该平台进行权限确认的服务，必须在该平台进行注册。这些数据主要包括服务名称，服务ID号，服务提供者等；4）服务所需权限数据的管理，信息服务系统的某些服务只向特定用户群提供，其他用户不能得到这些服务。在该平台中，这样的用户群应该通过用户担任的角色来规划。只有用户担任了相应的角色（职务），并且通过了相应等级的身

36、份认证后，才可以得到服务。该模块负责确定一个已注册的服务向哪些组织的哪些角色提供。功能应包括：增加服务的角色对象，删除服务的角色对象等；5）身份认证模块是该平台的核心模块之一。主要完成对用户接入系统的各信息服务系统前，进行统一的身份确认。根据不同的安全级别的要求，身份认证提供多种不同等级的认证方法；6）权限确认应对用户接入系统的某个特定信息服务系统时，进行统一的权限确认。在用户的身份得到确认后，权限确认通过用户所担任的职务，通过认证的等级以及他所申请的服务，来确定该用户是否能够得到这个使用这些服务的权限；7）加密通讯应负责系统中的信息服务系统的服务器和身份认证及权限控制系统之间的数据通讯，主要

37、用来传递关于用户身份的信息。1.1.1.5.3.5. 安全管理1、提供基于用户UID和密码的身份认证。2、提供用户密码加密功能，支持SSHA、CRYPT、SHA等密码加密。3、通过身份认证和安全层(SASL)提供增强的身份认证服务。4、通过TLS (或SSL)为信息的存储和传输提供保密性和完整性保护。5、提供丰富而强大的访问控制功能。允许为目录中的信息设置访问权限。6、系统可以根据LDAP身份认证信息为用户或用户组授予相应的访问权限。7、支持X.509V3协议，可以对数字证书、公共密钥、数字签名进行存储和管理。8、RADIUS。系统利用外部的拨号认证系统作为本身的认证机制，如果用户通过了外部拨

38、号认证系统的认证，系统则认为此用户认证通过。9、Javacard technology / Smartcard。新建一套JAVA卡认证系统，系统将其认证功能代理给此系统。1.1.1.5.4. 权限中心数据库权限中心数据库中数据维护工具支持门户内组织机构、角色、用户及权限等数据的批量维护、导入、导出等功能，并支持对导入的数据进行校验和审核。提供相应的综合查询功能，能够完成批量用户密码初始化。导入/导出工具提供给学校相应的模板，支持学校自主定制开发，并将免费提供相应开发平台。1）用户身份数据维护，即用户登录系统时身份证明的基础数据维护，包括用户组管理、用户管理、用户账号管理等，平台还可以根据需求提

39、供其他扩展的网络服务，如自动通知用户的联网时间、用户账号的自动增加和关闭等。对于用户身份数据中的部分数据，在相关信息系统如人事、招生系统未整合集成前，需要通过手工进行增加、修改、删除操作；而在这些系统完成整合和集成后，这些用户数据与相关系统关联，自动更新；2）组织数据的维护，即学校内部的处室、团体，包括永久性团体（如：党组织，工会）和临时性团体等组织的结构以及组织内部的角色（职务）等相应信息在平台中的注册和维护；3）服务注册数据管理，即当一个新的信息服务系统加入到系统中的时候，其提供的各种需要由该平台进行权限确认的服务，必须在该平台进行注册。这些数据主要包括服务名称，服务ID号，服务提供者等；4）服务所需权限数据的管理，信息服务系统的某些服务只向特定用户群提供，其他用户不能得到这些服务。在该平台中，这样的用户群应该通过用户担任的角色来规划。只有用户担任了相应的角色（职务），并且通过了相应等级的身份认证后，才可以得到服务。该模块负责确定一个已注册的服务向哪些组织的哪些角色提供。功能应包括：增加服务的角色对象，删除服务的角色对象等。