《数字校园基础开放平台建设方案.docx》由会员分享,可在线阅读,更多相关《数字校园基础开放平台建设方案.docx(23页珍藏版)》请在第一文库网上搜索。
1、数字校园基础开放平台建设方案1.1. 校园身份认证及授权管理系统1.1.1. 系统概述随着应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统存在不同的身份认证方式,用户必须记忆不同的密码和身份。因此,要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功
2、能模块和工具。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。1. 1.2.系统功能结构图现邑畲名、统一存健1.1. 3.功能详细描述1.1.3. 1.统一用户管理学校现存的或将来新建立的单个应用系统都拥有独立的用户信息管理功能,认证方式也多种多样,用户信息的格式、命名和存储方式也存在多种多样的问题。当用户需要使用多个应用系统时,要么使用多套用户,要么从后台同步用户信息,但用户信息同步会大大增加系统的复杂性,增加管理的成本,并且健壮性差,不易于维护。解决用户同步问题的根本办法是建立统一用户管理
3、中心(以下简称:用户中心)。该系统统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过用户中心完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。用户中心应具备以下基本功能: 用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如个人身份证,区分和标识了不同的个体。当然,在安全性要求非常高的环境中,还可以绑定个人数字证书。 用户中心向各应用系统提供用户属性列表,如姓名、电话、地址、邮件、人员编号等属性,各应用系统可以选择本系统所需要的部分或全部属性。 应用系统对用户基本信息的增加、修改、删除和查询等请求由用户中心处理。 应用系统保留用户管理功能,如用户分组、用户授权等功
4、能。 用户中心应具有完善的日志功能,详细记录各应用系统对用户中心的操作。 用户中心必须提供明确的WEB服务接口,供第三方系统调用。 用户中心必须为校园身份认证及授权管理平台提供权威基础数据。用户管理 权限管理 角色管理 部门管理 国计管理,积分统计全序用户教师用户学生用户家长用户侦定用户查询料噌制除用户列求姓名用户名1马雯领1102口可ZX3的家长JZ3456783djzxs34567B4电教站djzzc5电致站djzoa6电费站飒w7电教站dianjiaoznan8槐荫区电改站hyqdjz9深圳锐取szrq10演示数据勿州勿动mawenying11刘苗010840172120106712王晓
5、雨010840172120107713张子盈010840169821499915杜明月2020010307修改用户信息基本信息拥有角色修改窗码用户舞石的角色校憎决策分析文件收集试通库开故应用校园办公社区菅理身份认证中心统一数据中心校本资源平台网站与圻闻设备报修管理资产管理(人管理成长档案管理i教师多维度投票人事今台行注招塾系统人事嘉校流程教务菅理协同评课用户业务规则设定权限备课主包】包含的业务规则:主命电鼠生物,劳技.生物更诗回右电窈口测试回生物回劳技回生物回英语回计肾机设计基础回物理口数学回会计全选港空关闭iBB71.1. 3. 2.统一身份认证管理平台身份认证是在两个主体间相互表明身份,通
6、常的情况是,在单机系统中进入系统的用户通常需要提供用户名和密码来验证访问的用户身份;更一般的情况是,身份认证被用于主机与主机之间或进程与进程之间的双向验证。身份认证是安全管理中最基本的部分,它是访问控制策略实施的基础。校园身份认证及授权管理平台是以统一用户管理中心为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。统一用户认证应支持以下几种认证方式: 用户名/密码认证:这是最基本的认证方式。 PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。 IP地址认证:用户只能从指定的IP地址或者IP地址段访问系统。 时间段认证:用户只能在某个指定的时间段访问系统。以上认
7、证方式采用模块化设计,管理员可灵活地进行装载和卸载,同时还可按照用户的要求方便地扩展新的认证模块。认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员可以根据认证策略对认证方式进行增、删或组合,以满足各种认证的要求。数字证书认证通常应用在安全级别要求较高的环境中。PKI ( Public KeyInfrastructure)即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。在公钥体制中,密钥成对生成,每对密钥由一个公钥和一个私钥组成,公钥公布于众,私钥为所用者私有。发送者利用接收者的公钥发送信息,称为数字加密,接收者利用自己的私钥解密;发送者利用自己的私钥发送
8、信息,称为数字签名,接收者利用发送者的公钥解密。PKI通过使用数字加密和数字签名技术,保证了数据在传输过程中的机密性(不被非法授权者偷看)、完整性(不能被非法篡改)和有效性(数据不能被签发者否认)。数字证书有时被称为数字身份证,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。I .1. 3. 3.授权访问控制校园身份认证及授权管理平台的另外一个最主要的机制就是授权访问控制,该功能对学校全局资源做访问控制。学校目前运行着多种应用系统,而这些应用系统也可能具有访问控制的能力,但是不同的系统肯定有着不同的访问控制策略和方法。
9、在一个校园网中实施一致的访问控制策略,是管理校园网资源的有效手段。校园身份认证及授权管理平台的访问控制机制实现这一目的,校园身份认证及授权管理平台为不同应用提供统一的访问控制策略。为了加强身份认证和访问控制,适应对大规模用户和海量数据资源的管理,校园身份认证及授权管理平台必须要采用基于角色的访问控制(RBAC)策略。传统的访问控制管理是基于用户和组的概念模型,这是自Unix系统开始就一直使用至今的基本技术。用户组和角色在实现访问控制策略时的最大区别在于:用户组仅是用户的集合;而角色则还是权限的集合,角色是用户和权限两个集合之间联系的媒介。基于角色的访问控制将权限同角色联系起来,而对用户赋予相应
10、的角色,用户所能访问的资源权限就是该用户所拥有的角色的权限集合的并集。根据机构中不同工作的职能创建不同的角色,每个角色代表一个独立的访问权限实体,它们之间可以有继承、限制等关系,然后在建立了这些角色的基础上根据用户的职能分配相应的角色。这样对于用户机构变动时就可以很容易的将该用户从一个角色移到另一个角色去实现变更,而操作对用户完全透明。另外,还可以根据应用系统的需要对角色进行重新授权或取消某些权限,这使得基于角色访问控制策略的管理具有无可比拟的灵活性和方便性。用户角色授权角色权限设置上图说明了 RBAC访问控制模型,访问控制策略体现在RBAC模型里是用户/角色、角色/权限和角色/角色之间的关系
11、。采用RBAC的最大的好处在于将用户和它具有的权限分离开来,管理员可以将用户的授权和权限的划分进行分别处理,给用户授予角色来实现用户的授权操作。在集中式管理中,这些授权信息通常是由一个指定的管理员来管理;而在分布式环境中,它们可以由多个具有不同管理权限域的管理员来管理。在校园身份认证及授权管理平台中,还需要对RBAC理论模型进行组件化实现,使访问控制管理包含几个组件:可以控制细化到单个文件级别访问的权限配置模块、用于角色定义的管理员模块、定义角色之间关系的模块以及配置用户权限的模块。II . 3. 4.资源权限管理资源权限管理的任务是对数字校园系统中的应用系统所提供的服务进行管理。其它的应用系
12、统要使用本系统的身份认证和服务权限管理功能,首先必须将其提供的服务在本系统中注册。服务的注册应包含功能的注册以及细粒度控制规则的注册,通过制定细粒度的控制规则,应用系统可以方便地实现灵活的范围控制。给系统的分散、分层权限控制管理提供了强有力的支持。资源权限管理包括以下两个内容:服务注册数据管理当一个新的应用系统加入到系统中的时候,其提供的各种需要由校园身份认证及授权管理平台进行权限确认的服务,必须在本系统进行注册。这些数据主要包括服务名称,服务ID号,服务提供者等。服务所需权限数据的管理应用系统的某些服务只向特定用户群提供,其他用户不能得到这些服务。在本系统中,这样的用户群通过用户担任的角色来
13、刻画。只有用户担任了相应的角色(职务),并且通过了相应等级的身份认证后,才可以得到服务。本模块负责确定一个已注册的服务向哪些组织的哪些角色提供。功能包括:增加服务的角色对象,删除服务的角色对象等。系统菜单资源管理1 0校惜决策分析甲Q文件收第? u试题生由O开放应用点3校园办公:由场馆预约i卜0首页j卜0例同任务管理F二谟接管理:由民主推荐i前二教室预约通用工作流:3 M资金审批由口校内新闻:由C新闻管理:亩车辆的约苣理;窈值班申倩i用信件中心i由我的应用j 5) 0公式流转。佶息发布国c场馆预狗管理a 办公管理由O社区管理力一身份认证中心田统一数据中心由L校本资源平台米网站马新闻省,一设备报
14、修管理备口资产管理司人事苣理宙成长档案管理司U.教师多维度投票由U人生综合考评O您可以通过拖拽来改变节点的顺序.您在树节点上点击右键来进行更多操作。标记为桌面应用”的菜单可以添加到桌面上,用户可以删除标记为系统应用”的菜单直接显示在卓面上.用户不可以删除资源名称菜单名称:通用工作流nrl品丕旦治葡杏看菜单信息修改菜单信息如:r木中湘招木中作wnmH.保存取消1.1. 3. 5.角色管理角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限。一个用户可拥有多个角色,一个角色可授权给多个用户;一个角色可包含多个权限,一个权限可被多个角色包含。用户通过角色享有权限,它不直接与权限相关联,权限对存取对象的操作许可是通过活跃角色实现的。在RBAC模型系统中,每个用户进入系统时得到一个会话,一个用户会话可能激活的角色是该用户的全部角色的子集。对此用户而言,在一个会话内可获得全部被激活的角色所包含的访问权限。角色之间也可存在继承关系,即上级角色可继承下级角色的部分或全部权限,从而形成了角色层次结构。在一个组织中,针对各种工作职能定义不同的角色,同时,根据用户