21世纪是信息化的时代，信息技术必将对学校产生全面而深刻的影响。近几年来，各高校兴起建设数字化校园、实施高校的信息化建设的热潮，同时把建设基于校园网的网上应用作为建设数字化校园的核心工作。对于校园内部的各个应用系统，用户使用时必须在每个系统中都注册，登录，比较麻烦，同时也容易造成混乱，更带来数据资源的重复存储。因此，对于数字化校园来说，首要的任务就是要建立一套统一的身份认证系统，学校的每一个成员都有一个与其真实身份相对应的帐号，用户可以使用自己的帐号访问数字化校园中有权访问的任何系统。

　　1、应用背景

　　随着计算机技术和网络技术的迅速发展，高校校园网的规模急剧扩大，校园网用户数量、校园网的技术应用水平得到不断提高。与此同时，近几年来，高校网络环境下各种管理信息系统不断普及，如教务管理系统、科研管理系统、财务管理系统等，这些管理系统已覆盖了学校的大部分管理工作，成为学校的教学、管理和科研等日常工作中的必不可缺少重要环节，为全校教师、学生提供全校性的网络资源信息服务。但是这些管理信息系统绝大多数由不同管理部门负责，建立之初并没有考虑统一的数据共享和用户身份认证管理问题，造成现在绝大多数管理系统数据不能共享，各系统有其自身的用户管理和认证方式，用户要面对不同的登录界面，记忆不同的帐户信息，.系统管理员不得不维护多个系统中的用户信息。因此建立一个合理、开放和基于标准的内部网应用平台，统一用户管理、统一资源管理、统一访问控制的统一身份认证系统是完全必要的，而且是必需的。

　　有了统一身份认证系统，管理员就可以在整个网络内实现单点管理、用户可以实现一次登录、全网通行，各种管理应用系统可以通过统一的接口接入信息平台。对用户的统一管理，一方面用在访问各个成员站点时无需多次注册登录，既给用户的使用带来方便，也为成员站点节约资源，避免各个成员站点分散管理统一用户带来的数据冗余。另一方面也给新的成员站点(新的应用系统)的开发提供方便。

　　2、发展过程和当前问题

　　在统一身份认证证系统的的发展过程中，用户和管理和认证模式经历多个阶段。刚开始时，系统采用的是固定的帐号，同时在系统中帐号可直接连接数据源。这种模式虽然实现简单，但也造成系统管理的不灵活，而且降低了系统运行中的安全性，因为这种管理模式可能会造成多个用户共用一个帐号，同时帐号还可能绕过应用直接连接数据源的情况，给系统的安全性带来隐患。

　　最新的统一用户身份认证模式作了比较有效的改进。它采用数据库表记录每个系统用户的帐号信息、功能权限和数据权限信息，增加了用户管理和权限设置的灵活性，避免多个用户共用一个帐号的情况出现，同时采用使用一个公共帐号建立数据源连接的方法，此帐号加密存储在客户端的配置文件中，避免帐号直接连接数据源带来的安全隐患问题，这时代码或配置文件需要随用户和密码的变化经常进行维护。

　　现阶段比较流行的统一身份认证系统都各有自己的的特点，如北京大学开发的用于北京大学的统一身份认证系统，基本实现了用户在校园网内一次登录、全网通行的设计的基本目标。但是现阶段已开发运行的统一用户管理和身份认证系统都还或多或少地存在着使用不方便、系统管理任务繁重，日常管理不灵活、不同用户权限的一致性难以保证、代码重复开发、维护工作量大、不利于跨系统的集成整合等问题。

　　3、设计目标和设计思想

　　统一身份认证系统从用户角度来说，设计的目标必须达到能够使用唯一的用户名和口令(数字证书)即可登录所有应用系统的目标。当访问多个采用统一用户管理和身份认证系统的多个管理系统时，用户只需要登录一次。而从管理者角度来说，设计的目标必须达到如下目标:

　　(1)支持W ebAR务技术框架，使得在对各个应用系统实施基于WebAVC务的应用集成(EAI/B2Bi)的时候，能够使用这个统一身份认证服务，进行身份认证。
　　(2)方便使用，能够提供统一、集中、有效的用户管理，能够尽可能地利用现有系统的身份认证模块及现有的用户设置和权限设置，尽量保护现有的投资，减少新用户设置和权限设置的费用，同时避免对现有系统进行大规模的修改。
　　(3)具有良好的扩展性和可集成性，不仅能支持现有的应用系统及用户系统，当有新的应用被部署或开发的时候，这个统一身份认证服务还可以作为其身份认证模块的形式工作。这就要求系统必须具有帐号关联的功能，能够记录已有应用系统的用户帐号与用户中心的用户帐号的对应关系，用户在进行统一身份认证服务之后，自动使用相应的应用系统帐号来访问应用系统。
　　(4) 应当备灵活和方便的使用模式，使用者可以通过多种方式自由地使用该统一身份认证服务。
　　同时在进行统一用户管理和身份认证系统的设计时，必须遵循统一用户管理、基于分级角色的权限管理、应用级的安全管理、统一证书管理和统一资源管理的设计思想，以实现数据集中、资源集中和应用集中的建设数字化校园的终极目标。

　　4、统一身份认证服务

　　所谓身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议，需要用户出示更多的信息(如私钥)来证明自己的身份，如Kerberos身份认证系统。

　　身份认一般与授权控制是相互联系的，授权控制是指一旦用户的身份通过认证以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在数字化校园中，应该有一个统一的身份认证系统供各应用系统使用，但授权控制可以由各应用系统自己管理。

　　4.1 统一身份认证的流程

　　统一身份认证服务系统的一个基本应用模式是统一认证模式，它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后，即可使用所有支持统一身份认证服务的管理应用系统。

　　(1) 用户使 用在统一认证服务注册的用户名和密码(也可能是其他的授权信息，比如数字签名等)登陆统一认证服务;
　　(2) 统一认证服务创建了一个会话，同时将与该会话关联的访问认证令牌返回给用户;
　　(3) 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;
　　(4) 该应用系统将访问认证令牌传入统一身份认证服务，认证访问认证令牌的有效性;
　　(5) 统一身份认证服务确认认证令牌的有效性;
　　(6)应用系统接收访问，并返回访问结果，如果需要提高访问效率的话，应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。

　　4.2 系统的组成与结构

　　统一身份认证系统的设计采用层次式结构，主要分为数据层、认证通道层和认证接口层，同时分为多个功能模块，其中最主要的有身份认证模块和权限管理模块。

　　身份认证模块管理用户身份和成员站点身份。该模块向用户提供在线注册功能，用户注册时必须提供相应信息(如用户名、密码)，该信息即为用户身份的唯一凭证，拥有该信息的用户即为统一身份认证系统的合法用户;身份认证模块还向成员站点提供在线注册功能，成员站点注册时需提供一些关于成员站点的基本信息，还包括为用户定义的角色种类(如普通用户、高级用户、管理员用户)。

　　权限管理模块主要有:成员站点对用户的权限控制、用户对成员站点的权限控制、成员站点对成员站点的权限控制。用户向某成员站点申请分配权限时，需向该成员站点提供他的某些信息，这些信息就是用户提供给成员站点的权限，而成员站点通过统一身份认证系统身份认证后就可以查询用户信息，并给该用户分配权限，获得权限的用户通过统一身份认证系统身份认证后就可以以某种身份访问该成员站点。成员站点对成员用户信息/角色、权限信息站点的权限控制主要是成员站点控制向其它成员站点提供的调用接口。统一 身 份 认证系统与用户的接口必须同时支持B/S和C/S的模式，同时还必须支持Notes应用认证接口，不同的认证接口具有不同的优势，具有不同的应用场合，如B/S接口不需要专门安装相应的客户端软件，C/S接口的安全性稍高等。

　　5、结语

　　在高校信息化建设过程中，建设数字化校园是一个重要的目标。积极引入UIA的概念和建设方案，建立网络用户统一管理与认证系统，实现了数字校园中用户电子身份的统一管理;建立了统一的网络门户，实现用户的单点登录对于校园信息化建设的整体化是相当关键的，它为统一网络用户、数据共享与集成、应用集成打下了扎实的基础，统一门户、身份认证对校园网应用系统具有向心力作用。校内统一权限管理模型的建立、用户权限管理体系的建立，它能使不同时期建立的应用系统实现数据的共享与交换，形成了全校统一共享的数据库。