上海交通大学统一身份认证和授权系统
白雪松
2009-5-27
上海交通大学统一身份认证和授权系统概述
总体框架
关键技术
应用示例
改进方向
上海交通大学统一身份认证和授权系统
jaccount认证体系是上海交通大学网络信息中心开发的用户认证体系。

上海交通大学网络信息中心为每个注册的交大
校园网用户提供了一个统一的网络账户。

jaccount可以在Web应用中实现单点登录，即用户在一个浏览器会话期中只需登陆一次就能进入所有他拥有访问权限的jaccount
成员站点，不必每进入一个站点就登录一次。

jaccount
使用了各种安全技术来保障登陆的安全。

jaccount为校园网网络应用提供了便捷的开发方式。

jaccount认证体系
上海交通大学统一身份认证和授权系统jaccount成员站点本身不需要建立和维护自己的认证系统，
网络信息中心所提供的jaccountSDK可以很方便的将jaccount
集成入各应用系统。

目前的jaccountSDK支持各种主流Web开发运行平台，包括：jaccountSDK for Java, jaccountSDK for .Net , jaccountSDK for ASP和jaccountSDK for PHP,分别运行于Java, Microsoft .Net, Microsoft ASP和PHP平台。

jaccount成员站点的开发方式
上海交通大学统一身份认证和授权系统
统一授权系统（）基于jaccount账号进
行管理。

统一授权系统为各应用系统提供了一个统一授权的接
口。

各应用系统的管理员可以通过web接口对用户在该应用系统内的权限进行管理，当用户访问使用了统一授权的第三方应用系统时，第三方应用系统通过调用统一授权系统提供的webservice接口，通过用户的jaccount账号得到用户在该应用系统内的权限。

统一授权
上海交通大学统一身份认证和授权系统总体框架
上海交通大学统一身份认证和授权系统认证模型
上海交通大学统一身份认证和授权系统
身份信息同步
单点登陆的安全性
webservice 的安全性
关键技术讨论
上海交通大学统一身份认证和授权系统
在高校的信息化实践中，经常会面临不同信息源的同步问题，特别是不同身份信息数据源之间的同步问题。

在我们的统一身份认证与授权系统中，也面临着AD中的用户信息和LDAP中的用户信息的同步问题。

身份信息同步
上海交通大学统一身份认证和授权系统MIIS的体系结构
上海交通大学统一身份认证和授权系统AD与LDAP之间的同步
上海交通大学统一身份认证和授权系统
除了用户的基本信息以外，还需要对密码进行同步，由于AD和LDAP中密码都是单向加密方式，而且AD和LDAP中使用的加密算法不同，我们不能通过密文获得明文，然后再用另外一种方式加密。

为了解决这个问题，我们利用了PCNS （password change notification service）。

密码同步
上海交通大学统一身份认证和授权系统借鉴了Kerberos
的思想。

Kerberos为了避免口令在网络上的传播，需要客户端有相应的计算能力来实现相应的算法。

但这对于Web 应用的瘦客户端的特性是不适合的，因为浏览器不具备这种计算能力。

所以我们的单点登陆认证模型对Kerberos的思想进行了改造,避免使用客户端的计算。

单点登陆的安全性
上海交通大学统一身份认证和授权系统基于传输层的SSL和基于网络层的
IPSEC
数据加密(XML Encryption)和数字签名(XML Digital Signature)
webservice的安全性
上海交通大学统一身份认证和授权系统Jaccount登录示例
上海交通大学统一身份认证和授权系统
登录页嵌入脚本示例
<%
JAccountManager jam = new JAccountManager("jalibtest04423", getServletContext().getRealPath("/"));
Hashtable ht = jam.checkLogin(request, response, session,
request.getRequestURI());
if (ht !=null && jam.hasTicketInURL) {
jam.redirectWithoutTicket(response);
return;
}
%>
上海交通大学统一身份认证和授权系统统一授权系统示例
上海交通大学统一身份认证和授权系统
上海交通大学统一身份认证和授权系统
身份帐号本身的安全性
异构模式的统一身份认证……
改进的方向
谢谢！
联系方式：dinosissi@。