項目應用背景
近年來����,涉及校園的各種安全事件屢屢發生��,使得主管部門和學校對校園的安全重視程度空前提高�。對于中國的家長們來說��,子女的教育�、安全���、健康等問題�����,總有操不完的心�����。如何確保學校���、學生的人身財產安全�����,方便學校統一管理�,既讓家長們放心��,又可以降低管理成本提高教學效率�,是擺在教育主管單位和學校面前的新課題��。
項目需求解析
隨著信息化的迅猛發展�����,學校不斷增加基于 Internet/Intranet 的業務系統��,如資源系統��, 教務系統等��。系統的業務性質���,一般都要求實現用戶管理�、身份認證����、授權等必不可少的安全措施�;而新系統的涌現�,在與已有系統的集成或融合上���,特別是針對相同的用戶群�����,則提出了新的更高要求���。
學校希望為用戶提供統一的信息資源認證訪問入口�����,建立統一的���、基于角色的和個性化的信息訪問����、集成平臺的統一身份認證和單點登錄系統��。該系統具備如下特點:
統一身份認證
對于有多個業務系統應用需求的學校�����,需要配置一套統一的身份認證系統���,以實現集中統一的身份認證����, 并減少整個系統的成本���。
單點登錄
用戶只需登錄一次����,即可通過統一身份單點登錄平臺訪問后臺的多個應用系統���,無需重新登錄后臺的各個應用系統����。
用戶數據交換
校園一卡通除了確?��;竟δ苷J褂猛?����,還需要配合系統集成方完成用戶數據交換功能��。
角色訪問控制
根據用戶的角色來控制應用的訪問權限���。
Web界面管理
系統所有管理功能都通過Web方式實現�。網絡管理人員和系統管理員可以通過瀏覽器在任何地方進行遠程訪問管理�����。此外����,可以使 用HTTPS安全地進行管理�。
方案實施
1)身份認證和單點登錄系統
通過實施統一身份認證和單點登錄系統�����,使用戶只需一次登錄就可以根據相關的規則去訪問不同的應用系統�����,提高信息系統的易用性���、安全性�、穩定性�。
統一身份認證和單點登錄系統同時可以采用基于數字證書的加密和數字簽名技術�,對用戶實行集中統一的管理和身份認證���,并作為各應用系統的統一登錄入口�。統一身份認證和單點登錄系統在增加系統安全性���、降低管理成本方面有突出作用����,不僅規避密碼安全風險�����,還簡化用戶認證的相關應用操作����。
系統結構圖
說明:CA安全基礎設施可以采用自建方式���,也可以選擇第三方CA���。
具體包含以下主要功能模塊:
? 身份認證中心�;
? 存儲企業用戶目錄���,完成對用戶身份����、組織機構等信息的統一管理����;
? 授權和訪問管理系統�����;
? 用戶的授權����、角色分配���;
? 用戶授權信息的自動同步�����;
? 身份認證服務����;
? 身份認證前置為應用系統提供安全認證服務接口��,中轉認證和訪問請求�;
? 身份認證服務完成對用戶身份的認證和角色的轉換���;
? 用戶單點登錄過程中��,生成訪問業務系統的請求�����,對敏感信息加密簽名��;
? 用戶身份認證和單點登錄過程中所需證書的簽發�;
我們基于統一身份認證和單點登錄業務的需求���,設計了兩種認證方式��,一種是基于CAS單點登錄認證方式��,此種方式是基于https協議的����,是目前國際上較為安全的認證方式(信息傳遞加密)����;但是由于目前校園中基于https協議的應用系統相對比較少�,因此單一的使用CAS單點登錄方案�����,不能滿足校園單點登錄的需求�����。為此我們設計了HCA(自定義名稱)單點登錄認證方式�����,此方式是基于http+明碼+簽名的方式認證����,能實現所有基于http協議應用系統的單點登錄功能利用系統提供的安全保障和信息服務�,共享安全優勢�。
2)基礎數據管理
基于統一身份認證和單點登錄,我們首先需要統一用戶及組織機構的相關信息��。
A 用戶信息
以學校的權威信息為標準(如:數字化校園系統中用戶信息)��,作為原始數據將其導入到統一身份認證平臺����,然后由平臺將相應的信息推送到已集成的其他應用系統(通過接口實現)�����。這里我們把數字化校園系統的用戶管理功能作為統一的用戶管理功能�����,當用戶信息發生變更時�����,統一身份認證平臺可以自動獲取變更的信息并將其推送到相應的其他應用系統中(通過接口實現)��,從而實現用戶信息的統一管理����。
B 組織機構信息
以學校的權威信息為標準���,作為原始數據將其導入到統一身份認證平臺����,然后由平臺將相應的信息推送到已集成的其他應用系統(通過接口實現)����。這里我們把統一身份認證平臺的組織機構管理功能為統一的組織機構管理功能�����,當組織機構發生變更時�,統一身份認證平臺會自動將變更的信息推送到相應的其他的應用系統中(通過接口實現)��。從而實現組織機構信息的統一管理����。
3)角色和權限管理
角色和權限管理����,統一身份認證平臺中管理員可以按用戶的身份���、職能等進行角色的劃分���,并能夠為不同的角色授予相應的權限�����。同時還可以通過為注冊應用系統授予來完成權限設置��。
4)應用管理
待集成的應用系統����,需要在統一身份認證平臺中做應用注冊����,以便于應用系統的身份的驗證和用戶權限的設置���。
注冊信息需要第三方公司提供�,如:應用系統的名稱�、編碼�、基地址���、RAS公鑰(基于http協議的應用系統)
5)安全通道
提供的安全通道是利用數字簽名進行身份認證��,采用數字信封進行信息加密的基于SSL協議的安全通道產品��,實現了服務器端和客戶端嵌入式的數據安全隔離機制�。
在線客服 
