1江蘇開放大學數(shù)字圖書館統(tǒng)一身份認證建設(shè)1.1江蘇開放大學數(shù)字圖書館統(tǒng)一身份認證需求分析統(tǒng)一身份論證系統(tǒng)是高校數(shù)字化校園解決方案中的核心底層基礎(chǔ)平臺，為高校各業(yè)務(wù)應(yīng)用提供全生命周期的身份管理和統(tǒng)一的認證服務(wù)，實現(xiàn)多應(yīng)用系統(tǒng)的統(tǒng)一認證和單點登錄功能。必須具有以下主要功能：身份管理功能身份管理功能是統(tǒng)一身份論證系統(tǒng)的核心功能之一，主要使用者是高校信息中心管理員。該功能旨在給管理員提供一個功能全面且易用的身份管理的平臺，確保管理員能夠管理全校的身份數(shù)據(jù)及其權(quán)限關(guān)系，掌握全校身份數(shù)據(jù)的管理狀態(tài)和使用狀態(tài)，審計全校身份數(shù)據(jù)管理和使用的問題，監(jiān)控身份管理平臺各系統(tǒng)服務(wù)的運作狀態(tài)。具體包括：認證概況認證概況是身份管理平臺的第一個功能項，它展現(xiàn)了當前身份管理平臺內(nèi)一些重要的狀態(tài)數(shù)據(jù)，可使管理員對當前系統(tǒng)的運行狀態(tài)一目了然，便于管理員及時發(fā)現(xiàn)問題和異常。今日帳號概況：展現(xiàn)今日全校帳號增刪改操作的數(shù)據(jù)。今日認證概況：展現(xiàn)今日全校帳號登錄認證的數(shù)據(jù)，包括成功認證和失敗認證。今日服務(wù)器狀態(tài)：展現(xiàn)今日各個服務(wù)器的健康狀態(tài)。帳號及賬號同步帳號身份管理平臺內(nèi)的一個關(guān)鍵功能項，旨在幫助管理員完成全校身份帳號數(shù)據(jù)的增加、刪除、修改、過期設(shè)置、鎖定/解鎖和加入組操作?！鰩ぬ柫斜砜刹樵冃?nèi)所有的身份帳號數(shù)據(jù)，并提供了對身份帳號數(shù)據(jù)的所有管理功能?！錾矸輲ぬ枖?shù)據(jù)的批量導入和導出?！錾矸輲ぬ枖?shù)據(jù)字段的完整性和實名?！鰩ぬ柾焦δ芑诓町愐晥D，管理員可預先配置好一些帳號同步任務(wù)，并讓這些任務(wù)按照事先設(shè)置好的時間循環(huán)執(zhí)行，從而滿足對身份帳號數(shù)據(jù)的自動同步和處理?！鰩ぬ柦y(tǒng)計功能主要展現(xiàn)系統(tǒng)內(nèi)身份帳號數(shù)據(jù)的所有操作行為的統(tǒng)計項，包括增加、刪除和修改帳號的個數(shù)，并以圖表的形式展現(xiàn)給管理員。同時，帳號統(tǒng)計功能還可提供帳號歷史操作的細節(jié)查詢功能。授權(quán)及分級授權(quán)授權(quán)主要提供校內(nèi)身份類型組的管理功能。身份類型組用于區(qū)分用戶的身份類型?！鼋M管理可提供增加、刪除和修改組的功能，同時還可以實現(xiàn)加帳號入組和從組中刪除帳號?！雠坎僮骺墒构芾韱T基于Excel文件來完成帳號入組和帳號出組的操作?！鍪跈?quán)統(tǒng)計可通過圖表展現(xiàn)帳號入組和帳號出組的操作統(tǒng)計，并且提供操作的細節(jié)數(shù)據(jù)的查詢，包括操作時間、操作者、操作IP等?！龇旨壥跈?quán)管理可對系統(tǒng)的管理員進行管理，包括分派、新增和刪除管理員?！雠渲霉芾碇饕刚麄€系統(tǒng)運行需要的參數(shù)設(shè)置，包括密碼策略定義、兼容管理、預留帳號設(shè)置等。審計審計是在為管理員及時發(fā)現(xiàn)問題之用，可發(fā)現(xiàn)帳號、認證和授權(quán)中出現(xiàn)的一些問題：■帳號審計中包括休眠帳號、孤兒帳號、密碼強度不符合要求的帳號和不規(guī)范的帳號?！稣J證審計中包括惡意認證的帳號、密碼暴力猜解的帳號和惡意認證的IP地址?！鍪跈?quán)審計中包括空組和無組帳號。監(jiān)控監(jiān)控功能是為管理員提供了掌握系統(tǒng)各項服務(wù)運行狀態(tài)的可能性，管理員可在實時掌握系統(tǒng)的運行狀態(tài)?！隹傮w狀態(tài)分服務(wù)器展現(xiàn)各個服務(wù)器的總體狀態(tài)，包括服務(wù)器狀態(tài)、服務(wù)器硬件的狀態(tài)和服務(wù)器上會話的狀態(tài)。會話狀態(tài)展現(xiàn)各個服務(wù)器上的會話記錄狀態(tài)，并且可提供各個服務(wù)器上會話的詳細信息，包括帳號、IP地址、最大會話時間、會話空閑時間等?！鲞M程狀態(tài)展現(xiàn)各個服務(wù)器上各個進程的健康狀況，并可提供詳細的歷史記錄和歷史狀態(tài)。同時，管理員可以在界面上啟停各個進程?！龇?wù)器狀態(tài)展現(xiàn)各個服務(wù)器的硬盤、CPU和內(nèi)存的使用狀態(tài)，并可提供詳細的歷史狀態(tài)和歷史記錄。監(jiān)控設(shè)置主要對監(jiān)控過程中用到的參數(shù)進行設(shè)置。身份認證功能身份認證功能提供核心基礎(chǔ)服務(wù)，用于對用戶的數(shù)字化身份的登錄驗證。主要包括：■通過統(tǒng)一的登錄界面，對用戶輸入的帳號和密碼進行認證，進而為集成的應(yīng)用系統(tǒng)提供訪問控制功能?！鰟?chuàng)建并維護用戶的單點登錄會話，響應(yīng)應(yīng)用系統(tǒng)發(fā)出的單點登錄會話查詢，滿足用戶在系統(tǒng)間的單點登錄。應(yīng)用授權(quán)平臺用戶是一個大的用戶集合，通過平臺認證的用戶并不一定能訪問所有接入平臺的應(yīng)用系統(tǒng)。平臺用戶對應(yīng)用系統(tǒng)的訪問權(quán)限通過用戶分組和訪問控制策略進行控制，為用戶訪問應(yīng)用系統(tǒng)的權(quán)限進行授權(quán)，并且根據(jù)授權(quán)訪問不同的應(yīng)用系統(tǒng)。門戶系統(tǒng)各業(yè)務(wù)系統(tǒng)信息資源的綜合展示，并按用戶類型及授權(quán)為其提供相應(yīng)的應(yīng)用服務(wù)導航。信息推送根據(jù)注冊信息的完整性，如手機、信箱等及時發(fā)送相關(guān)信息。訪問統(tǒng)計匯總完善日志和報表，提供用戶訪問各應(yīng)用系統(tǒng)的時間、次數(shù)等信息，匯總各系統(tǒng)自身的報表及統(tǒng)計數(shù)據(jù)等信息身份自助服務(wù)身份自助服務(wù)為可選功能，主要面向高校內(nèi)的最終用戶，包括所有學生、教師和工作人員。身份自助服務(wù)可滿足用戶對自己帳號信息和密碼信息的維護需求，同時用戶還可以查詢到自己的帳號的使用信息和維護信息。身份自助服務(wù)也包括用戶找回密碼的功能。■我的帳號提供用戶自己修改帳號基本信息的功能?！鑫业拿艽a功能可使用戶自己修改密碼信息，也可以填寫用于找回密碼的安全問題?！鑫业娜罩驹试S用戶查詢自己帳號的登錄記錄、帳號維護記錄和密碼維護記錄。1.2江蘇開放大學數(shù)字圖書館統(tǒng)一身份認證建設(shè)目標一個完整的統(tǒng)一身份認證系統(tǒng)應(yīng)該由用戶身份數(shù)據(jù)中心、身份管理系統(tǒng)（IMIdentityManager）、訪問控制系統(tǒng)（AMAccessManager）組成，如圖1所示。用戶身份數(shù)據(jù)中心包括目錄服務(wù)器（主要存儲用戶認證信息及權(quán)限信息）和數(shù)據(jù)庫（存儲用戶身份屬性信息）。身份管理系統(tǒng)（IM）用來實現(xiàn)用戶的身份信息的維護，包括用戶管理、身份配給、自動發(fā)現(xiàn)、口令管理、權(quán)限管理等內(nèi)容。訪問控制系統(tǒng)（AM）主要實現(xiàn)統(tǒng)一認證及單點登錄，與門戶系統(tǒng)形成統(tǒng)一身份認證系統(tǒng)的展現(xiàn)層?；谠L問控制系統(tǒng)，開發(fā)各類通用接口，以適應(yīng)各類應(yīng)用的接入，在最上層以門戶的方式來展現(xiàn)統(tǒng)一身份認證。管理員接口層集成接口層應(yīng)想授口■他接口學校統(tǒng)一身份認證系統(tǒng)系統(tǒng)接口度管理員接口層集成接口層應(yīng)想授口■他接口學校統(tǒng)一身份認證系統(tǒng)系統(tǒng)接口度圖1統(tǒng)一身份認證系統(tǒng)結(jié)構(gòu)圖1.3江蘇開放大學數(shù)字圖書館統(tǒng)一身份認證系統(tǒng)設(shè)計（參考）統(tǒng)一認證三大部分總體框架設(shè)計統(tǒng)一身份認證系統(tǒng)由身份管理系統(tǒng)、訪問控制系統(tǒng)和門戶系統(tǒng)三大組成。系統(tǒng)總體框圖如圖2所示：社會學員學生教師管理員學校信息門戶網(wǎng)站服務(wù)器B服務(wù) 認證服務(wù)器服務(wù)器A服務(wù)器BJAVACOM統(tǒng)一身份'認IBM

WebSphereOracle

weblogic應(yīng)用服務(wù)器支持關(guān)系數(shù)據(jù)庫支持C(C+應(yīng)用子系統(tǒng)口社會學員學生教師管理員學校信息門戶網(wǎng)站服務(wù)器B服務(wù) 認證服務(wù)器服務(wù)器A服務(wù)器BJAVACOM統(tǒng)一身份'認IBM

WebSphereOracle

weblogic應(yīng)用服務(wù)器支持關(guān)系數(shù)據(jù)庫支持C(C+應(yīng)用子系統(tǒng)口圖2系統(tǒng)總體框架圖身份管理系統(tǒng)主要存儲用戶認證信息及權(quán)限信息和存儲用戶身份屬性信息，用來實現(xiàn)用戶的身份信息的維護，包括用戶管理、口令管理、權(quán)限管理等內(nèi)容。訪問控制系統(tǒng)主要實現(xiàn)統(tǒng)一認證及單點登錄，與門戶系統(tǒng)形成統(tǒng)一身份認證系統(tǒng)的展現(xiàn)層?；谠L問控制系統(tǒng)，開發(fā)各類通用接口，以適應(yīng)各類應(yīng)用的接入。在最上層以門戶的方式來展現(xiàn)統(tǒng)一身份認證，門戶系統(tǒng)為各類用戶進行應(yīng)用的分類導航及信息反饋。2江蘇開放大學數(shù)字圖書館用戶信息管理系統(tǒng)的建設(shè)江蘇開放大學數(shù)字圖書館的用戶有學歷教育、非學歷教育和社會教育等多種角色的用戶，如何對這些用戶進行有效的管理是十分重要的，江蘇開放大學數(shù)字圖書館用戶信息管理系統(tǒng)就是管理開放大學用戶的信息平臺。2.1江蘇開放大學數(shù)字圖書館用戶管理的功能分析（一）前臺功能1、用戶（1）用戶的分類?學生：江蘇開放大學學生用戶?教師：江蘇開放大學的教師用戶。?管理員：系統(tǒng)本身固定一個管理員，他可以添加其他用戶為管理員。用戶的分級?學生、教師、普通用戶都可以被分為若干等級，學生又分為學歷教育、非學歷教育和社會教育等。?用戶分級的目的是為了便于對用戶權(quán)限進行管理，比如下載圖書的流量限制等。用戶的信息?基本信息：用戶名、密碼、密碼提示問題、E-MAIL、學生證、身份證、聯(lián)系電話。?帳戶信息：剩余時間、剩余流量、登陸信息、歷史下載清單、歷史瀏覽清單。2、信息統(tǒng)計信息的記錄?用戶登陸時記錄用戶基本信息：帳號、時間、IP、機器MAC地址。?用戶訪問資源時記錄資源信息：瀏覽的圖書、開始瀏覽時間、結(jié)束瀏覽時間、下載的圖書、下載時間、下載流量。信息的分析?用戶登陸后可以在前臺看到自己在本系統(tǒng)的使用情況。3、Q/A留言板用戶可以對管理員提問。(二)后臺管理1、用戶管理用戶開通/鎖定?所有用戶默認都是開通狀態(tài)。?管理員在后臺可以鎖定用戶。用戶權(quán)限?基于圖書庫的管理：控制用戶是否可以訪問這個圖書庫，比如設(shè)定該用戶可以訪問方正圖書庫而不能訪問超星圖書庫。?基于用戶下載流量的管理：記錄用戶下載圖書的流量，如果超過了自己帳戶的剩余流量則不允許用戶下載這本圖書。（3） 瀏覽時間/下載量的設(shè)置?基于用戶類型的設(shè)置：管理員可以針對普通用戶、學生用戶、教師用戶分別設(shè)定不同的瀏覽時間和流量總額。?基于用戶級別的設(shè)置：管理員可以針對不同類型用戶的級別分別設(shè)定不同的瀏覽時間和流量總額。?基于指定用戶的設(shè)置：管理員可以針對指定用戶分別設(shè)定不同的瀏覽時間和流量總額。（4） 用戶訪問的限制?瀏覽時間的限制：用戶每月的瀏覽時間總額是后臺設(shè)定的，不能超過。?下載流量的限制：用戶每月的下載流量總額是后臺設(shè)定的，不能超過。?訪問機器MAC地址的限制：用戶訪問數(shù)字圖書館的時候，系統(tǒng)會記錄用戶機器的MAC地址。管理員可以在后臺對用戶使用機器進行限制，防止一帳號多人使用，無限制訪問造成系統(tǒng)的負擔過重。管理員可以選擇是否開啟此功能。?訪問機器IP地址的限制：用戶訪問數(shù)字圖書館的時候，系統(tǒng)會記錄用戶是否在線，系統(tǒng)只允許一個帳號只能同時由一人使用。管理員可以選擇是否開啟此功能。（5） 管理員添加管理員可以將其他用戶設(shè)為管理員。2、 安全機制用戶下載需要輸入驗證碼，防止機器人下載。3、 統(tǒng)計分析后臺可以對以下指標按照用戶、時間等篩選條件進行統(tǒng)計分析，為系統(tǒng)管理提供依據(jù)：?點擊量。?登陸日志。?在線時間。?瀏覽時間。

?下載流量。?圖書的瀏覽、下載信息。4、Q/A留言板管理?對留言的增加、刪除、修改。?回答用戶提出的問題。2.2江蘇開放大學數(shù)字圖書館用戶管理的框架設(shè)計（參考）用戶管理的框架設(shè)計如圖3,系統(tǒng)采用三層架構(gòu)，Web服務(wù)器采用IIS，數(shù)據(jù)庫采用SQLServer，服務(wù)器建議采用Windows2003和IIS5可以提供高效和擴展性能極佳的Web服務(wù)體系，可以通過開發(fā)COM組件提高IIS性能，將ASP處理大量事物的效率提高。同時還可以通過TransactionServer對組件進行事務(wù)隊列，滿足大量訪問需求而不會出現(xiàn)系統(tǒng)崩潰。數(shù)據(jù)庫系統(tǒng)采用ADO2.5（ActiveDatabaseObject）和數(shù)據(jù)庫進行連接，站點的管理采用瀏覽器/Web服務(wù)器模式，和普通瀏覽者完全一樣，也就意味著可以在任何地方進行網(wǎng)站管理。服務(wù)器（主機）：建議采用HP、IBM、DELL等主流硬件廠商的服務(wù)器產(chǎn)品，并具有很好的可擴充性。Admin管理員（瀏覽器）Clients客戶端（瀏覽器）,Admin管理員（瀏覽器）AccessX^lidation（訪問許可極限分配，資源匹配）DatabaseServe