【畢業(yè)學位論文】（Word原稿）基于校園網(wǎng)的統(tǒng)一身份認證平臺的設計與實現(xiàn)-軟件工程

碩士學位論文 （專業(yè)學位） 基于 校園 網(wǎng) 的 統(tǒng)一身份認證平臺的 設計與實現(xiàn) 姓 名： 學 號： 所在院系：軟件學院 職業(yè)類型：工程碩士 專業(yè)領域：軟件工程 指導教師： 副 指 導教師 ： 二 一 三 年 三 月 A in 2013 基于 校園網(wǎng)的統(tǒng)一身份認證平臺的設計與實現(xiàn) 同濟大學 學位論文版權使用授權書 本人完全了解同 濟大學關于收集、保存、使用學位論文的規(guī)定，同意如下各項內(nèi)容：按照學校要求提交學位論文的印刷本和電子版本；學校有權保存學位論文的印刷本和電子版，并采用影印、縮印、掃描、數(shù)字化或其它手段保存論文；學校有權提供目錄檢索以及提供本學位論文全文或者部分的閱覽服務；學校有權按有關規(guī)定向國家有關部門或者機構送交論文的復印件和電子版；在不以贏利為目的的前提下，學?？梢赃m當復制論文的部分或全部內(nèi)容用于學術活動。 學位論文作者簽名： 年 月 日 同濟大學學位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的學位論文 ，是本人在導師指導下，進行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本學位論文的研究成果不包含任何他人創(chuàng)作的、已公開發(fā)表或者沒有公開發(fā)表的作品的內(nèi)容。對本論文所涉及的研究工作做出貢獻的其他個人和集體，均已在文中以明確方式標明。本學位論文原創(chuàng)性聲明的法律責任由本人承擔。 學位論文作者簽名： 年 月 日同濟大學 碩士學位論文 摘要 I 摘要 在全球化和信息化的大背景下 ,建設數(shù)字化校園 ,實現(xiàn)教育信息化 ,強化各項管理 ,提升綜合實力 ,是各高校的一項緊迫任務。通過數(shù)字化校園項目建設，構造能夠滿足數(shù)字化校園應用長期持續(xù)發(fā)展的應 用框架，通過這一穩(wěn)定、可擴展的應用框架為應用系統(tǒng)建設提供良好的支撐和服務。 數(shù)字化校園是指利用計算機技術、網(wǎng)絡技術等對與學校教學、科研、管理和生活服務有關的所有信息資源進行全面的數(shù)字化，并用科學規(guī)范的管理對這些信息資源進行整合和集成，以構成統(tǒng)一的用戶管理、統(tǒng)一的資源管理和統(tǒng)一的權限控制的校園網(wǎng)絡。本文通過對國內(nèi)外數(shù)字化校園建設 的成功經(jīng)驗和技術調(diào)查研究，結合南陽理工學院數(shù)字化校園建設的現(xiàn)狀 ，對南陽理工學院數(shù)字化校園平臺需求進行了分析， 對 高校 數(shù)字化校園 系統(tǒng)的 整體框架 進行設計 ， 并對 南陽理工學院數(shù)學化校園統(tǒng)一身份認 證平臺 設計進行了詳細論述 。 本文致力于 高校 數(shù)字化校園系統(tǒng)的 統(tǒng)一身份認證平臺 進行 設計與實現(xiàn)，探討實現(xiàn)數(shù)字化校園系統(tǒng) 的網(wǎng)絡安全管理 相關理論方法和技術，并以南陽理工學院校園項目為例， 研究 數(shù)字化校園系統(tǒng)建設過程中 單點登錄與 統(tǒng)一身份認證 的 實現(xiàn)方法和實施步驟 。 關鍵詞 ： 數(shù)字化校園 ，單點登錄 ,系統(tǒng)設計 ,系統(tǒng)實現(xiàn)I is an of an be of of to to of to in to a of by of of an of on of in in in in of as an of 濟大學 碩士學位論文 目錄 錄 第 1章 引言 . 1 述 . 1 題來源和研究目標 . 2 究現(xiàn)狀及發(fā)展方向 . 3 文結構和工作內(nèi)容 . 5 第 2章 相關技術 . 6 . 6 . 7 點登錄 . 9 章小結 . 12 第 3章 系統(tǒng)分析與設計 . 13 統(tǒng)簡述 . 13 . 15 . 19 章小結 . 35 第 4章 系統(tǒng)實現(xiàn) . 36 戶平臺實現(xiàn) . 36 證和訪問控制實現(xiàn) . 45 園一卡通實現(xiàn) . 51 章小結 . 55 第 5章 結論與展望 . 56 論 . 56 一步工作的方向 . 56 致謝 . 58 參考文獻 . 59 個人簡歷、在讀期間發(fā)表的學術論文與研究成果 . 61 第 1 章 引言 1 第 1 章 引言 述 21 世紀 將是人類全面進入信息化社會的世紀， 21 世紀的教育必須適應信息化社會對教育的需求。為此，世界發(fā)達國家高度重視信息技術對教育的影響和作用，重新調(diào)整教育目標，制定教育改革方案，加快推進教育信息化建設。在高等教育競爭日趨激烈的大環(huán)境下，建設數(shù)字化校園，實現(xiàn)教育信息化，強化各項管理，提升綜合實力，是各高校的一項緊迫任務。 數(shù)字化校園建設是實現(xiàn)跨越式發(fā)展的研究型基礎性工程，特別是數(shù)字化學習環(huán)境建設實現(xiàn)了學校教育跨越地域和時空，為實現(xiàn)大聯(lián)合提供了無限發(fā)展空間；數(shù)字化校園工程又是建設開放性一流大學的標志性工程，是學校改革與 發(fā)展戰(zhàn)略不可缺少的組成部分；數(shù)字化校園建設不僅僅是實現(xiàn)教學、科研、管理及服務手段的現(xiàn)代化，更重要的是人才培養(yǎng)的觀念和教育理念的異常深刻變革。以高性能校園網(wǎng)為基礎，實現(xiàn)電子教務管理、電子校務管理、科研管理、教學資源管理、后勤與服務管理的全面整合，達到信息化增值服務的目的，是信息經(jīng)濟條件下高等院校發(fā)展的大勢所趨，也是我國高校向世界一流大學邁進的必由之路。 數(shù)字化校園建設是學校一項基礎性、長期性和經(jīng)常性的工作，是學校建設和人才培養(yǎng)的重要組成部分，其建設水平是學校整體辦學水平、學校形象和地位的重要標志。也是實現(xiàn)跨越 式發(fā)展的研究型基礎性工程，特別是數(shù)字化學習環(huán)境建設實現(xiàn)了學校教育跨越地域和時空，為實現(xiàn)大聯(lián)合提供了無限發(fā)展空間；數(shù)字化校園工程又是建設開放性一流大學的標志性工程，是學校改革與發(fā)展戰(zhàn)略不可缺少的組成部分；數(shù)字化校園建設不僅僅是實現(xiàn)教學、科研、管理及服務手段的現(xiàn)代化，更重要的是人才培養(yǎng)的觀念和教育理念的異常深刻變革。以高性能校園網(wǎng)為基礎，實現(xiàn)電子教務管理、電子校務管理、科研管理、教學資源管理、后勤與服務管理的全面整合，達到信息化增值服務的目的，是信息經(jīng)濟條件下高等院校發(fā)展的大勢所趨，也是我國高校向世界一流大學邁 進的必由之路。我校非常重視信息化建設，為數(shù)字化校園的建設打下了良好的基礎。 目前，我國的高等教育已由精英培養(yǎng)轉向了大眾教育， 高等教育 在 招生 數(shù)量 、 基本建設 、校園面積 上的 規(guī)模擴張已 進入緩沖期，在辦學理念、管理水平、教學質量、科研能力和信息技術等的競爭將凸顯激烈。為實現(xiàn)我國由教育大國向教育強國的轉變，建設數(shù)字化校園將是促進高等教育發(fā)展的最優(yōu)選擇，也是第 1 章 引言 2 高?？沙掷m(xù)發(fā)展的最經(jīng)濟方式。利用好數(shù)字化技術，建設數(shù)字化校園，將促使我國高等教育在全球化趨勢下把握先機，搶占優(yōu)勢，同時也是高校自身發(fā)展和提升的必由之路 1。 南陽理 工學院作為一所地方性應用型普通本科高校，加快教育信息化建設進程，全面推廣應用信息技術，實施數(shù)字化校園建設工程，以教育信息化帶動教育現(xiàn)代化，大力推進素質教育，積極實施學校“質量提升，內(nèi)涵帶動”戰(zhàn)略，既是現(xiàn)實需要和長遠需要，也是實現(xiàn)跨越式發(fā)展的機遇和契機；既具有重要的意義和價值，又具有緊迫性；既是客觀的必然，亦是內(nèi)在發(fā)展的要求。 題來源和研究目標 南陽理工學院根據(jù)學校當前發(fā)展狀況和未來發(fā)展目標， 2012 年學校教職工會議和校長辦公會議決定實施南陽理工學院數(shù)字化校園建設，校黨委副書記任組長的項目組成立， 我作為小組成員負責數(shù)字化校園系統(tǒng)的統(tǒng)一認證平臺部分的設計與實現(xiàn)。 南陽理工學院 自 1996年開始大規(guī)模進行信息化建設，建成了應用范圍廣、覆蓋所有辦公、教學樓和家屬區(qū)、學生宿舍聯(lián)接 8000余臺計算機的校園網(wǎng)絡。尤其是近三年來在省教育廳的指導下，在全體師生員工的共同努力下， 南陽理工學院 信息化建設取得長足進步 。 南陽理工學院 數(shù)字化校園建設主要工作將放在現(xiàn)有系統(tǒng)的集成上，努力做到現(xiàn)有系統(tǒng)的信息一致性，完整性，減少冗余。并不斷的加強網(wǎng)絡基礎設施建設，豐富數(shù)字化服務內(nèi)容。通過數(shù)字化校園建設來不斷提高教育教學質量，提升學校競 爭力，營造更好的人才培養(yǎng)環(huán)境。 南陽理工學院 數(shù)字化校園建設 將 統(tǒng)一學校的各類信息標準，形成能夠適應現(xiàn)在需要和未來擴展需要的信息標準體系；全校的信息資源按照標準體系進行轉換，并形成一個整體，加以有效的利用和挖掘；實現(xiàn)全校信息資源的高效流動，構建統(tǒng)一的交換機制，消除信息孤島；形成全校統(tǒng)一的用戶管理，權限管理和認證管理，提高系統(tǒng)的安全性和可管理性；能夠集成全校已有的所有信息資源，并滿足未來信息資源擴展的需要； 加強信息資源的檢索效率，允許用戶定義自己所需要的信息資源和工作界面，同時，能夠將不同用戶所需要的信息資源主 動推送給他們；建設能夠快速滿足未來應用擴展的支撐工具； 建設滿足數(shù)字化校園安全、可靠運行的規(guī)章制度、安全標準和人才隊伍 。 數(shù)字化校園建設的預期目標是建設一個完整統(tǒng)一、技術先進、高效穩(wěn)定、安全可靠的基于互聯(lián)網(wǎng)或校園內(nèi)網(wǎng)的校園信息系統(tǒng)和內(nèi)部管理系統(tǒng)。將學校內(nèi)相對獨立分散的系統(tǒng)進行統(tǒng)一整合，消除信息孤島，為改善學生培養(yǎng)環(huán)境提供第 1 章 引言 3 完整的信息化解決方案，提供充分的交流平臺，實現(xiàn)教育環(huán)境 (設備、教室等 )、資源 (圖書、講義、課件等 )到活動 (教、學、管理和服務等 )的數(shù)字化。在傳統(tǒng)校園的基礎上構建一個數(shù)字空間，以拓展現(xiàn)實校園的空 間、時間緯度，提升傳統(tǒng)校園的效率，擴展傳統(tǒng)校園的功能，最終實現(xiàn)教育過程全面信息化，從而達到提高教育質量和管理水平的目的。 南陽理工學院數(shù)字化校園建設的總體目標：建設一流的數(shù)字化網(wǎng)絡環(huán)境，數(shù)字化的教學資源，數(shù)字化的教學與學習環(huán)境，數(shù)字化的管理手段和工作環(huán)境，實現(xiàn)數(shù)字化學習、數(shù)字化教學、數(shù)字化科研和數(shù)字化管理，創(chuàng)建數(shù)字化的生活空間，創(chuàng)建虛擬大學空間，實現(xiàn)學習、教學、科研、管理、服務等教育過程的信息化 , 利用三年時間，把我校建設成一個與學校辦學水平相適應的“數(shù)字校園” 2。 究現(xiàn)狀及發(fā)展方向 在信息化 社會和知識經(jīng)濟時代，信息化、數(shù)字化校園建設是國內(nèi)外高校的建設熱點。在國外，數(shù)字化校園建設具有發(fā)展早、起點高、投資大和速度快的特點。數(shù)字化校園是從高校信息化開始逐步走上舞臺的。 從一些歐美發(fā)達國家教育行業(yè)信息化建設的發(fā)展來看，高校信息化建設普遍經(jīng)歷了下面幾個階段： (1)網(wǎng)絡信息化平臺的基礎設施建設。 (2)教育應用系統(tǒng)的擴展及教育內(nèi)容 (如課件等 )的交流與共享。 (3)上網(wǎng)技能的普及、知識內(nèi)容素材的引入、基于電子商務的信息化教育成果的交流，以致形成基于信息化技術的教育產(chǎn)業(yè)。 在歐洲國家中，英國不僅信息技術教育 的起步早，而且現(xiàn)有的發(fā)展水平也較高。英國全國學習網(wǎng)于 1998年 1月啟動。它是英國政府所提供的網(wǎng)絡教育資源途徑，也是主要的信息高速公路的教育通道。它充分利用網(wǎng)絡，將學校、研究機構和圖書館等網(wǎng)站連接為一體，建立統(tǒng)一的教育網(wǎng)絡和教育服務，是開發(fā)與應用在線學習、教學與公眾服務的國家信息網(wǎng)絡體系。到 2002年，英國全國學習網(wǎng)的網(wǎng)絡已連接英國所有家庭、街道、社區(qū)、醫(yī)院、工作單位、社會服務以及大眾山東大學軟件工程碩士畢業(yè)論文媒體傳播體系，能滿足學校教育、家庭教育、職業(yè)教育、終身教育和社會經(jīng)濟發(fā)展的各種需求。目前，英國全國 學習網(wǎng)已經(jīng)成為歐洲最大的教育門戶網(wǎng)站，具備功能強大的搜索功能，共有 250，000個左右的索引頁 3。 英國教師網(wǎng)于 2000年 8月開通，專門面向教師，包括全國課程網(wǎng)站和虛擬第 1 章 引言 4 教師中心。教師在此能簡單便捷地獲得相關信息與服務。 2001年，全國課程網(wǎng)站又有新的改進，使之不僅具有了解國家課程的功能，而且可以直接把握國家課程相應階段的學習計劃。與此同時，虛擬教師中心也有新的發(fā)展，能夠更加有效地搜索、整合和交互，為廣大教師和教育工作者提供交流的機會與條件。 我國黨和政府高度重視教育信息化工作，并從推動教育改革和發(fā)展，實 現(xiàn)教育現(xiàn)代化和跨越式發(fā)展的角度，充分肯定了教育信息化的重要性。并明確指出要“大力提高教育技術手段的現(xiàn)代化水平和教育信息化程度，從教育信息化的基礎設施建設、網(wǎng)絡教育學院試點、教育資源的開發(fā)和遠程教育教學收視點的建設等方面，大大加快了教育信息化發(fā)展步伐。 從 20世紀 90 年代起，現(xiàn)代信息技術廣泛應用于國內(nèi)高等教育的各個領域。國內(nèi)高校紛紛在園區(qū)內(nèi)建立局域網(wǎng)，并開發(fā)出一批 統(tǒng)用于日常管理，拉開了大學校園數(shù)字化的序幕。隨著 展現(xiàn)代遠程教育等戰(zhàn)略措施的實施，校園網(wǎng)絡基 礎設施建設和網(wǎng)絡多媒體教學應用逐漸成為數(shù)字化校園建設的主流。從 2000年開始，國內(nèi)一些重點高校，如清華、北大、復旦、暨南大學、上海交大、西安交大等開始有步驟地進行數(shù)字化校園建設，其中清華大學起步最早，成效也最為顯著，其多項應用成果都在其它高校得到推廣。部屬師范院校中，華東師大 2002年起開始制定校園信息化建設總體規(guī)劃及分步實施方案，以指導和規(guī)范整個信息化建設，目前已建立了公共數(shù)據(jù)庫平臺、網(wǎng)上辦公系統(tǒng)、網(wǎng)絡教學系統(tǒng)、校園一卡通系統(tǒng)以及多個基于公共數(shù)據(jù)平臺的管理信息系統(tǒng)。 2002 年 5月，在中山大學舉行了高校數(shù)字 化校園建設工作研討會，清華大學、北京大學、浙江大學、暨南大學、復旦大學等近 10所高校介紹了各自的經(jīng)驗，標志著我國高校數(shù)字化校園建設進入了一個新的階段。據(jù) 2003年全國教育信息化建設工作會議資料，全國已有 300多所高校實現(xiàn)了校內(nèi)網(wǎng)絡教學和辦公自動化。在全國教育第十個五年計劃中，教育信息化被列入國家重點建設工程。截至 2005年，我國全部高等學校、高中階段學校和部分初中、小學均能連接國際互聯(lián)網(wǎng)。目前，全國各高等院校均程度不同的建有自己的校園網(wǎng)，數(shù)字化校園建設也在不同層次上展開，總的建設格局是國辦院校比較規(guī)范、網(wǎng)上 應用較多，民辦院校起步雖晚，但比較注重實際應用的效果。從已建成的各大院校數(shù)字化校園來看，多媒體網(wǎng)絡教學、教務管理系統(tǒng)、辦公系統(tǒng)、財務管理系統(tǒng)、圖書管理系統(tǒng)、一卡通系統(tǒng)是整個“ 數(shù)字化校園”工程建設的重點，教學數(shù)據(jù)中心大集中是必然趨勢 4。 第 1 章 引言 5 文結構和工作內(nèi)容 本文的組織結構和各章節(jié)主要內(nèi)容如下 : 第一章緒論?？傮w描述論文的選題背景、課題來源以及研究目標、研究現(xiàn)狀與發(fā)展方向。 第二章相關技術。首先介紹 術 ,然后分別介紹 術 和 第三章系統(tǒng)分析與設計。介紹 數(shù)字化 校園系統(tǒng) 的功能需求，然后介紹系統(tǒng)的架構設計，在系統(tǒng)詳細中重點介紹 數(shù)據(jù)中心平臺、統(tǒng)一信息門戶平臺、統(tǒng)一身份認證平臺和業(yè)務系統(tǒng)集成 設計。 第四章系統(tǒng)實現(xiàn)。討論 統(tǒng)一身份認證平臺實現(xiàn)實現(xiàn)、認證和訪問控制實現(xiàn)實現(xiàn) 。 第五章總結與展望?？偨Y課題開展的過程和結論，討論系統(tǒng)進一步改進的需求和方法。第 2 章 相關技術 6 第 2 章 相關技術 架 當前 企業(yè) 應用級系統(tǒng) 開發(fā)中，越來越多地引入了 企業(yè)級應用開發(fā)的 多層架構設計模式。 是 輕量級的企業(yè)級應用開發(fā)框架 ，構是當前非 常 流行 的 企業(yè)級系統(tǒng) 架構，很多金融、電信項目 和 大型門戶網(wǎng)站均選擇該架構作為業(yè)務支撐架構， 其 開發(fā)流程也已經(jīng)非常成熟。 架和 架 的 集成整合框架組 。 在這樣的系統(tǒng)架構中，責 實現(xiàn) 責架構的結合， 責 進行數(shù)據(jù)的持久化 7。 構圖 : 2構圖 從 該架 構下系統(tǒng)分為四層： （ 1） 表示層：由 現(xiàn)，以 核心，通用的控制組件 擔 角色， 封裝與用戶界面的數(shù)據(jù)元素，用 實現(xiàn)業(yè)務邏輯、動作處理、鏈接轉向。 （ 2） 業(yè)務層：由 現(xiàn)業(yè)務組件的組裝關聯(lián)，通過依賴注入、 向接口編程，來降低業(yè)務組件之間的耦合度，增強系統(tǒng)兼容性和可擴展性。 （ 3） 持久層：借助 具 現(xiàn)數(shù)據(jù)庫訪問性能優(yōu)化和與數(shù)據(jù)庫交互的常用操作（添加、修改、刪除、瀏覽），并將數(shù)據(jù)庫表與對象進行關聯(lián)，把利用 數(shù)據(jù)庫表的交互轉化為直接針對對象的數(shù)據(jù)庫交互，如此大大提高編碼效率。 第 2 章 相關技術 7 （ 4） 域對象層：域對象是與數(shù)據(jù)庫表關聯(lián)的對象的集合，是各層之間數(shù)據(jù)通信的載體，業(yè)務的對象化主要是基于業(yè)務邏輯復用的考慮 。 采用 式，能夠很好地幫助 發(fā)者利用 發(fā) 式 分離顯示邏輯和業(yè)務邏輯 的能力發(fā)揮得淋漓盡致。架的核心是一個彈性的控制層。 每個專 業(yè)的 用程序做背后的支撐，幫助為你的應用創(chuàng)建一個擴展的開發(fā)環(huán)境 6。 一個解決了許多在 供了管理業(yè)務對象的一致方法，并可通過對接口編程而不是對類編程去實現(xiàn)。架構基礎是基于使用 性的 器，這使得 使用器作為構建所有架構層的完整解決方案方面是獨一無二的。 架的功能可以用在任何 務器中，大多數(shù)功能也適用于不受管理的環(huán)境。 核心要點是：支持不綁定到 特定 務的可重用業(yè)務和數(shù)據(jù)訪問對象。毫無疑問，這樣的對象可以在不同 境 （ 獨立應用程序、測試環(huán)境之間重用 8。 型 訪問控制技術是由美國國防部（ 助的研究和開發(fā)成果演變而來的。這一研究導致兩種基本類型訪問控制的產(chǎn)生：自主訪問控制（ 強制訪問控制（ （兩者區(qū)別請參考 附錄 它們最初的研究和應用主要是為了防止機密信息被未經(jīng)授權者訪問，近期的應用主要是把這些策略應用到為商業(yè)領域。 由于 特殊背景，人們越來越發(fā)現(xiàn)在實際情況中并不適合商用，在 1992年，由 作提出了 型，在 型中，在用戶（ 和訪問權限（ 間引入了角色（ 概念，用戶于特定的一個或多個 角色相聯(lián)系，而角色與一個或多個訪問許可權相聯(lián)系，角色可以根據(jù)實際的工作需要生成或取消。由于 管理大型網(wǎng)絡應用安全時所表現(xiàn)出的靈活性和經(jīng)濟性，使得 了將人和權限解耦引入了 概念，整個 考模型都是圍繞 建立的。其基本思想是通過分配和取消角色來完成用戶權限的授予和取消，根據(jù)不同的職能崗位劃分角色，資源訪問許可被封裝在角色中，用戶通過賦予的角色間接地訪問系統(tǒng)資源和對系統(tǒng)資源可進行的操作。授權者根第 2 章 相關技術 8 據(jù)需要定義各種角色，并設置合適的訪 問權限，而部門或個人根據(jù)其工作性質和職責再被指派為不同的角色，完成權限授予。這樣，整個訪問控制過程就分成兩個部分，即訪問權限與角色相關聯(lián)，角色再與部門或個人關聯(lián)，從而實現(xiàn)了部門或個人與訪問權限的邏輯分離。 核心 個基本元素集合（ 型的本質其實就是基于這幾個基本集合的一系列關系（如圖）。包括：角色授權關系 (用戶的角色授權關系 (角色的層次關系 (；一些函數(shù)，包括：會話到用戶的映射 ( )、會話到角色集合的映射 ( )等； 以及一些相關約束。 用戶 (一個用戶被定義成一個人。雖然它的概念可以擴展成一個機器、網(wǎng)絡、以及智能代理等，但我們?yōu)榱撕唵纹鹨?，在這個文檔中我們將用戶定義成一個人的概念。 角色 (在一個組織機構的關系中， 示一個工作職責。如果將用戶指派到角色上，則 含關聯(lián)權限和職責的語義。 權限 (一個許可，是對一個或多個 行 許可。（資源客體 、操作（ 會話 (會 話在 跟 概念有些不同。根據(jù)標準發(fā)布的內(nèi)容可以看出 體來說是一個 一（多）個 間關系的映射； 在一個 型的系統(tǒng)中，每個用戶進入系統(tǒng)得到自己的控制時，就得到了一個 個 動態(tài)產(chǎn)生的，從屬于一個用戶。只要靜態(tài)定義過這些角色與該用戶的關系，會話根據(jù)用戶的要求負責將它所代表的用戶映射到多個角色中去。一個 能激活的角色是用戶的全部角色的一個 子集，對于用戶而言，在一個 可獲得全部被激活的角色所代表的訪問許可權。角色和會話的設置帶來的好處是容易實施最小特權原則（ 所謂最小特權原則是將超級用戶的所有特權分解成一組細粒度的特權子集，定義成不同的“角色”，分別賦予不同的用戶，每個用戶僅擁有完成其工作所必須的最小特權，避免了超級用戶的誤操作或其身份被假冒后而產(chǎn)生的安全隱患。 一個 能關聯(lián)一個 個 以關聯(lián)多個 上面的圖例中有兩個函數(shù)： 活的角色）。 用戶控制，允許動態(tài)激活 /取消角色，實現(xiàn)最小特權。應避免同第 2 章 相關技術 9 時激活所有角色； 離可以解決同一用戶多賬號帶來的問題，如審計、計賬等 。 實現(xiàn)核心 須具備的功能 1、管理方面的功能：增加及刪除使用者、增加及刪除角色、分配角色給使用者及移除原先分配給使用者的角色、分配權利給角色及移除原先分配給角色的權利 2、系統(tǒng)支持方面的功能：產(chǎn)生或刪除一 個會話期、在一個會話期加入或刪除角色，既能在一個會話期啟動或停止部分角色、檢查一個會話期是否具有某個權利。 3、核查（ 能：查詢所有擁有某一角色的使用者、查詢一個使用者所擁有的全部角色。 4、增強型核查功能：查詢一個角色所有的權利、查詢一個使用者所擁有的權利、查詢一個會話期所啟用的角色、查詢一個會話期所具有的權利、查詢一個角色對某一個物件所能行使的操作、查詢一個使用者對某一個物件所能行使的操作 。 點登錄 單點登錄（ n），簡稱為 是目前比較流行的企業(yè)業(yè) 務整合的解決方案之一。 定義是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。 通常情況下運維內(nèi)控審計系統(tǒng)、 4的是簡化賬號登陸過程并保護賬號和密碼安全，對賬號進行統(tǒng)一管理。 企業(yè)應用集成（ 企業(yè)應用集成可以在不同層面上進行：例如在數(shù)據(jù)存儲層面上的“數(shù)據(jù)大集中”，在傳輸層面上的“通用數(shù)據(jù)交換平臺”，在應用層面上的“業(yè)務流程整合”，和用戶界面上的“通用企業(yè)門戶”等等。事實上，還 有一個層面上的集成變得越來越重要，那就是“身份認證”的整合，也就是“單點登錄”。 在信息安全管理中，訪問控制 (繞四個過程：點登錄（ n）屬于 權系統(tǒng) 。 單點登錄應用優(yōu)勢：用戶只需登錄一次，即可通過單點登錄系統(tǒng)（ 問后臺的多個 應用系統(tǒng)，二次登陸時無需重新輸入用戶名和密碼 。 第 2 章 相關技術 10 C/S 單點登錄解 決方案：無需修改任何現(xiàn)有的應用系統(tǒng)服務端和客戶端即可實現(xiàn) C/S 單點登錄系統(tǒng) 。 即裝即用：通過簡單的配置，無須用戶修改任何現(xiàn)有 B/S、 C/S 應用系統(tǒng)即可使用 。 應用靈活性：內(nèi)嵌金萬維動態(tài)域名解析系統(tǒng)（ 可獨立實施，也可結合金萬維異速聯(lián) /天聯(lián)產(chǎn)品使用 。 基于角色訪問控制：根據(jù)用戶的角色和 全面的日志審計：精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對日志進行查詢、統(tǒng)計和分析 。 集群：通過集群功能，實現(xiàn)多臺服務器之間的動態(tài)負載均衡 。 傳輸加密：支持多種對稱和非對稱加 密算法，保證用戶信息在傳輸過程中不被竊取和篡改 。 可擴展性：對后續(xù)的業(yè)務系統(tǒng)擴充和擴展有良好的兼容性 。 單點登錄的如圖 2用戶第一次訪問應用系統(tǒng) 1的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄（ 1）；根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑據(jù)2）；用戶再訪問別的應用的時候（ 3， 5）就會將這個 上，作為自己認證的憑據(jù)，應用系統(tǒng)接受到請求之后會把 到認證系統(tǒng)進行效驗，檢查 合法性（ 4， 6）。如果通 過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng) 2和應用系統(tǒng) 3了。 圖 2點登錄 實現(xiàn)機制 單點登錄的實現(xiàn)原理 1、 實現(xiàn)基本流程 1） 首先用戶統(tǒng)一登錄 ， 向服務方提出服務的請求。 第 2 章 相關技術 11 2） 通過 份驗證 ， 服務方確認身份通過。 3） 通過后 ， 用戶進入系統(tǒng)一。 4） 在系統(tǒng)一中服務方會返回個給用戶一個認證的憑據(jù) 5） 服務方將票據(jù)保存在 。 6） 用戶將 進入系統(tǒng)二時 ， 服務方將驗證票據(jù)。 7） 票據(jù)通過驗證后 ， 用戶才能進入下一個系統(tǒng)。 8）用戶進入下一個系統(tǒng)后，又將獲得票據(jù) 作為進入下一個系統(tǒng)的憑證。以此重復操作。 2、單點登錄的 于 特別是 單點登錄 ， 主要可用的機制有兩種 ： 基于 基于 但是 身具有一定的局限性 ，為了保證客戶的安全 ， 本按域名區(qū)分存儲 本。 如果要實現(xiàn)基于 單點登錄 就需要用其它技術或通訊 ， 使 務器之間或 務器與認證服務器之間交互信息。 為單點登錄的有較突出的優(yōu)點。 有獨立的遷居唯一的編號 ， 而且可以在客戶端存儲編號意外的其他字符信息 ， 便于單點登錄及其應用系統(tǒng)的利用。但是它也有重大的缺點 ， 當單點登錄系統(tǒng)與應用系統(tǒng)不在同一個域時 ， 由于考慮系統(tǒng)安全的原因 ， 應用系統(tǒng)服務程序是無法訪問其它域的 息。 而 每個用戶與 務器連接都會產(chǎn)生一個獨立的 象。服務器之間特別是不同平臺的服務器之間 ， 沒有建立共同使用 制。若 為單點登錄的 具有一定優(yōu)勢。 由于它存放于服務器端 ， 大部分不同系統(tǒng)之間能直接坐到信息共享 ， 只有個別同廠家的 務系統(tǒng)具有直接享功能。 3、 比較 從本質上來看 ， 編號是一 致的 ， 只是基于 機制可以將其他信息記錄在客戶端 ， 當訪問對象要在不同域名服務器之間進行時 ，因 為瀏覽器本身系統(tǒng)安全原因將 息屏蔽了 ， 而且很多用戶因為安全的原因會排斥在客戶端生成 件。 4、 驗證 在單點登錄中是怎樣驗證票據(jù)的呢第 2 章 相關技術 12 驗證票據(jù)合法性的檢查中進行相應的解密。身份驗證票據(jù)的保存也是很有挑戰(zhàn)C/S 結構的程序 能夠取到就可以。 在 一組保存在客戶端的數(shù)據(jù)集合 公共儲存庫的目錄 合訪問的幾個包含以 過 形式傳輸?shù)娇蛻舳?。然后將票?jù)保存在 即可 由于 行詐騙程中 ， 加入特定的身份驗證信息。 章小結 本章主要介紹 系統(tǒng)開發(fā)關鍵技術 。首先說明 輕量級 構的 3個 框架技術 架 、 架 、 架 ， 然后 介紹了 權限管理模型 單點登錄技術 。 第 3 章 系統(tǒng)分析與設計 13 第 3 章 系統(tǒng)分析與設計 統(tǒng)簡述 南陽理工學院 在 河南 省高校中較早開始籌建校園網(wǎng) ， 1997年校園網(wǎng)一期工程完成，設立 中國學術期刊一級檢索咨詢站 。 1998年，校園網(wǎng)二期工程完成，覆蓋圖書館、教學樓、行政樓、學生公寓。 1999年開始，學校樓宇建到哪里網(wǎng)絡鋪設到那里，同時以網(wǎng)絡技術為基礎進行學校信息化集成應用系統(tǒng)的建設和開發(fā)，自行開發(fā)了網(wǎng)上討論系統(tǒng) 、電子郵件系統(tǒng)、網(wǎng)上圖書檢索系統(tǒng)、辦公自動化系統(tǒng)、綜合教務管理系統(tǒng)等。南陽理工學院網(wǎng)絡拓撲圖如圖 3 圖 3陽理工學院網(wǎng)絡拓撲圖 根據(jù)學?；üこ?、新校區(qū)建設、老區(qū)改造、網(wǎng)絡設備換代升級等實際情況，新增網(wǎng)絡基礎設施、擴充并更新相關設備，最終要建成覆蓋全校、技術先進、功能齊全、無間斷運行的計算機信息網(wǎng)絡系統(tǒng)。 在數(shù)字化校園建設中，網(wǎng)第 3 章 系統(tǒng)分析與設計 14 絡和環(huán)境建設是基礎，信息資源建設是核心，教學、科研、管理、服務的應用是目的。 南陽理工學院 數(shù)字化校園建設主要從以下三方面來進行： 絡基礎建設 提高校園網(wǎng)主干速度和可靠性。將核心速度提高到 10G，匯聚層都采用1000高網(wǎng)絡的穩(wěn)定性，接入層為 100現(xiàn)負載自動均衡，避免單點故障，提高網(wǎng)絡安全性、穩(wěn)定性。在主干網(wǎng)絡與部分上網(wǎng)區(qū)域建設 擴大網(wǎng)絡覆蓋范圍。根據(jù)學校基建工程、新教學校的建設、網(wǎng)絡設備換 代等實際情況，新增網(wǎng)絡基礎設施、擴充并更新相關設備，保證校園網(wǎng)絡 7*24小時無間斷工作的要求。作為有線校園計算機網(wǎng)絡的補充，建設覆蓋整個校園的無線網(wǎng)絡，以滿足隨時隨地上網(wǎng)的需求 11。 制定基礎信息代碼標準和數(shù)據(jù)庫開發(fā)標準。參照教育部頒布的教育管理信息化標準，遵循國際、國家、教育部及行業(yè)標準，制定我?；A信息代碼標準，制定信息采集、整理、數(shù)據(jù)庫開發(fā)的系列標準，統(tǒng)一數(shù)據(jù)庫開發(fā)的技術平臺，以實現(xiàn)信息資源能最大限度共享。 息化應用建設 規(guī)劃設計學校數(shù)據(jù)中心， 建成存儲容量在 100T 以上的數(shù)據(jù)中心 ，面向校內(nèi)各部門開放。建立一個涵蓋教學資源庫、學科資源庫、科研信息庫、管理信息庫、學生信息庫等所有應用數(shù)據(jù)、邏輯連接的基礎共享數(shù)據(jù)庫，規(guī)范我校數(shù)字化資源，統(tǒng)一數(shù)據(jù)格式，信息共享，消除信息孤島，建設成高可靠性、大容量的數(shù)據(jù)中心。 建成并完善校園自動化網(wǎng)絡辦公系統(tǒng)、網(wǎng)絡化教學系統(tǒng)、綜合教務管理系統(tǒng)、人事管理系統(tǒng)、財務管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、科研管理系統(tǒng)等多個應用系統(tǒng)。為各個應用系統(tǒng)的集成提供統(tǒng)一的基礎服務，利用先進的技術手段將各個系統(tǒng)整合，使得各應用系統(tǒng)之間能夠實現(xiàn)數(shù)據(jù)交換、共享、統(tǒng)一的信息發(fā)布接口和用戶訪問接 口。 第 3 章 系統(tǒng)分析與設計 15 數(shù)字化圖書館建設。到 2012 年，至少建設大型數(shù)據(jù)庫鏡像站點 20 個，可利用的全文電子 期刊涵蓋我校所有學科和專業(yè)，電子圖書數(shù)量在原有基礎上翻一翻，為學 院人才培養(yǎng)和科學研究提供良好條件。 建立數(shù)字化教學資源庫。每個專業(yè)每年至少要建成 3門課程的教學資源庫，到 2012年全校網(wǎng)絡課程達到 500門以上。 校社區(qū)服務系統(tǒng)建設 建立校園一卡通系統(tǒng)；建立集成化電子公告服務系統(tǒng)；網(wǎng)絡服務保障系統(tǒng)、預訂系統(tǒng)；網(wǎng)上生活、娛樂系統(tǒng)、網(wǎng)上購物系統(tǒng)；虛擬實驗室等。 絡安全運行體系建設 建立一套保障系統(tǒng)正常 運行和維護所必需的規(guī)章制度 , 建立網(wǎng)絡安全防范體系，實現(xiàn)網(wǎng)絡管理與安全的一致性 12。 統(tǒng)分析 統(tǒng)功能分析 結合數(shù)字化校園建設的總體目標， 南陽理工學院 數(shù)字化校園的具體需求主要包括以下幾點： 統(tǒng)一學校的各類信息標準，形成能夠適應現(xiàn)在需要和未來擴展需要的信息標準體系； 全校的信息資源按照標準體系進行轉換，并形成一個整體，加以有效的利用和挖掘； 實現(xiàn)全校信息資源的高效流動，構建統(tǒng)一的交換機制，消除信息孤島； 形成全校統(tǒng)一的用戶管理，權限管理和認證管理，提高系統(tǒng)的安全性和可管理性； 能夠集成 全校已有的所有信息資源，并滿足未來信息資源擴展的需要； 加強信息資源的檢索效率，允許用戶定義自己所需要的信息資源和工作界面，同時，能夠將不同用戶所需要的信息資源主動推送給他們； 第 3 章 系統(tǒng)分析與設計 16 建設能夠快速滿足未來應用擴展的支撐工具； 建設滿足數(shù)字化校園安全、可靠運行的規(guī)章制度、安全標準和人才隊伍。 對上述需求進行詳細分析，可以將需求分為身份、認證和權限管理類需求，信息資源存儲、交換、共享和利用需求，信息展現(xiàn)類需求，業(yè)務擴展類需求，運行體系和安全體系需求。下面分別對上述 5個類別的需求進行具體分析。 1、 身份、認證和權限管理 需求 統(tǒng)一全校用戶管理，實現(xiàn)用戶身份格式的統(tǒng)一，來源的統(tǒng)一，管理的統(tǒng)一，實現(xiàn)用戶管理的圖形化、 式管理；統(tǒng)一的權限管理：實現(xiàn) 式、圖形化的、統(tǒng)一的權限管理，實現(xiàn)分級授權 。 統(tǒng)一的用戶策略和密碼策略管理：建立統(tǒng)一的用戶策略和密碼策略管理服務，可以自定義用戶管理策略和密碼管理策略，包括用戶凍結、解