校園網(wǎng)的信息安全方案設(shè)計(jì)目錄TOC\o"1-3"\h\u31900摘要 I10302引言 1248331

概述 220721．1

研究背景 291881．2

研究意義 2198991．3

研究現(xiàn)狀 318432

身份認(rèn)證技術(shù)簡介 4270782．1

統(tǒng)一身份認(rèn)證技術(shù) 4146672．2

單點(diǎn)登錄 5144502．3

輕型目錄訪問協(xié)議 6142192．4

統(tǒng)一建模語言 6131882．5

本章小結(jié) 7181743

需求分析 8237553．1

系統(tǒng)可行性研究 8141783．2

系統(tǒng)總體需求分析 8280533．3

系統(tǒng)框架圖 9274643．4

子模塊需求分析 9314213．5

系統(tǒng)角色用例 10139253．6

本章小結(jié) 11313004

系統(tǒng)設(shè)計(jì) 12274754．1

系統(tǒng)結(jié)構(gòu)設(shè)計(jì) 12160174．2

系統(tǒng)詳細(xì)設(shè)計(jì) 13318144．2．1用戶管理 13237544．2．2身份認(rèn)證設(shè)計(jì) 16282944．2．3系統(tǒng)應(yīng)用管理 19242974．2．4安全事件信息采集 2078574．2．5

權(quán)限管理 21264824．3

系統(tǒng)數(shù)據(jù)庫設(shè)計(jì) 2210404．4

本章小結(jié) 26235525

總結(jié) 27摘要：隨著國家大力推行將信息化時(shí)代的網(wǎng)絡(luò)機(jī)遇和教育工作相結(jié)合，校園網(wǎng)在我國的發(fā)展也逐漸走向成熟。由于不同高校對校園網(wǎng)的需求不同，校園網(wǎng)中存在可以實(shí)現(xiàn)不同功能的子系統(tǒng)且每個(gè)系統(tǒng)獨(dú)立存在，如圖書管理系統(tǒng)，選課系統(tǒng)等。這樣用戶需要使用多個(gè)不同的賬戶密碼登錄不同功能的系統(tǒng)，給用戶的記憶增加負(fù)擔(dān)，同時(shí)由于每個(gè)系統(tǒng)的相互獨(dú)立，管理員需要修改維護(hù)所有系統(tǒng)的用戶信息，瑣碎的用戶信息給管理員的管理也帶來了極大的不便。信息數(shù)據(jù)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)出錯(cuò)性隨之增加，也對校園網(wǎng)的安全也構(gòu)成一定的威脅。因此想實(shí)現(xiàn)各子系統(tǒng)之間互相關(guān)聯(lián)，且用戶只需登錄一次即可訪問所有權(quán)限系統(tǒng)，這就需要建立一個(gè)可以實(shí)現(xiàn)單點(diǎn)登錄的統(tǒng)一身份認(rèn)證系統(tǒng)，減少校園網(wǎng)絡(luò)信息安全帶來的負(fù)面影響。通過LDAP目錄服務(wù)協(xié)議存儲系統(tǒng)用戶信息，使用認(rèn)證中心驗(yàn)證動(dòng)態(tài)口令從而實(shí)現(xiàn)單點(diǎn)登錄。系統(tǒng)主要流程為：用戶輸入用戶ID和密碼口令進(jìn)行用戶認(rèn)證，與后臺數(shù)據(jù)庫服務(wù)器對比通過后，認(rèn)證服務(wù)器向客戶端發(fā)送一串隨機(jī)字符驗(yàn)證碼，用戶接收到驗(yàn)證碼后在文本框進(jìn)行輸入，給認(rèn)證服務(wù)器對比審核。若對比通過，則用戶認(rèn)證成功可訪問系統(tǒng)一。而單點(diǎn)登錄的成功關(guān)鍵在票據(jù)token的對比，若其他子系統(tǒng)檢查用戶的token合法，則賬戶關(guān)聯(lián)成功可實(shí)現(xiàn)單點(diǎn)登錄。通過對用戶的身份認(rèn)證，減少了校園網(wǎng)面臨的攻擊，使校園網(wǎng)的信息安全得到保障。關(guān)鍵詞：統(tǒng)一身份認(rèn)證技術(shù)

單點(diǎn)登錄

UML統(tǒng)一建模語言

引言二十一世紀(jì)到來后，互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，給人們帶來了一個(gè)高效率、范圍廣、跨空間的網(wǎng)絡(luò)信息時(shí)代。尤其是近幾十年，互聯(lián)網(wǎng)成為了我們生活中必不可少的一名成員，智慧化、科技化的社會體系也正在被建立完善。同樣，高校的教育、管理工作也無法缺少互聯(lián)網(wǎng)的支持。信息化時(shí)代開啟后，國家大力倡導(dǎo)各大高校進(jìn)行“智慧校園”的發(fā)展，從此，和傳統(tǒng)的學(xué)習(xí)方式相比較，網(wǎng)絡(luò)學(xué)習(xí)占的比重越來越大。學(xué)校針對校內(nèi)工作的各種需求建設(shè)應(yīng)用系統(tǒng)，完善學(xué)校工作制度，提高校內(nèi)辦公效率。由于我國軟件系統(tǒng)技術(shù)實(shí)力欠缺，高校軟件應(yīng)用系統(tǒng)發(fā)展不成熟，校園網(wǎng)的每個(gè)部門系統(tǒng)無法和其他系統(tǒng)聯(lián)系起來，導(dǎo)致學(xué)生使用校園網(wǎng)訪問不同應(yīng)用時(shí)需要多次登錄，造成管理負(fù)擔(dān)。同時(shí)由于用戶信息的分散存儲和網(wǎng)絡(luò)結(jié)構(gòu)的不斷復(fù)雜也導(dǎo)致嚴(yán)重的安全隱患，網(wǎng)絡(luò)惡意攻擊無處不在。網(wǎng)絡(luò)安全已經(jīng)成為影響國際安安全的一個(gè)重要因素，當(dāng)今社會信息安全越來越受到重視，尤其是對硬件設(shè)備設(shè)施不完善、抵抗能力差的校園網(wǎng)絡(luò)來說，他們更容易遭受黑客等不法分子的惡意攻擊。為此，各大高校校園網(wǎng)系統(tǒng)應(yīng)該實(shí)施建立一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，只需要實(shí)現(xiàn)一次身份驗(yàn)證就可以訪問所有校園網(wǎng)應(yīng)用系統(tǒng)的單點(diǎn)登錄。單點(diǎn)登錄的實(shí)現(xiàn)必須要通過身份認(rèn)證檢驗(yàn)，請求登錄系統(tǒng)的用戶首先輸入用戶ID和密碼，系統(tǒng)服務(wù)器驗(yàn)證通過后，發(fā)送給用戶端一個(gè)隨機(jī)字符驗(yàn)證碼，隨后用戶在文本框輸入驗(yàn)證碼，后臺服務(wù)器檢查驗(yàn)證碼的合法性。通過這樣的用戶名密碼和隨機(jī)驗(yàn)證碼的雙重驗(yàn)證后，才可實(shí)現(xiàn)的多系統(tǒng)權(quán)限相關(guān)聯(lián)的單點(diǎn)登錄。通過這種方法對不同系統(tǒng)的用戶進(jìn)行統(tǒng)一管理和身份認(rèn)證，將智慧化校園作為一個(gè)整體進(jìn)行統(tǒng)一管理，既提高管理者的工作效率，又可以加強(qiáng)信息化建設(shè)的安全性。

1

概述1．1

研究背景當(dāng)前，互聯(lián)網(wǎng)廣泛應(yīng)用于人們生活、學(xué)習(xí)、娛樂、工作等各個(gè)方面，校園也不例外。近年來,我國將教育信息化的工作作為重中之重,提出要加快教育現(xiàn)代化，加快推動(dòng)教育信息化轉(zhuǎn)換升級，積極推進(jìn)“互聯(lián)網(wǎng)+教育”。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，使得智能化技術(shù)和校園體系二者相結(jié)合，產(chǎn)生了校園網(wǎng)。校園網(wǎng)是一種寬帶多媒體網(wǎng)絡(luò)，它以信息數(shù)字化和計(jì)算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)，為校內(nèi)師生提供教學(xué)活動(dòng)、科學(xué)研發(fā)以及綜合服務(wù)，是學(xué)校進(jìn)行日常教學(xué)工作不可缺少的平臺，高校教育水平的高低在一定程度上可以通過校園網(wǎng)發(fā)展水平的高低反映出來。高校利用計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)開展教學(xué)活動(dòng)，管理學(xué)生信息，共享教學(xué)資源，極大促進(jìn)了各所高校的工作效率，微校園工作提供便利條件。校園網(wǎng)的廣泛使用使各級各類學(xué)校的信息化工作得到了極大地推動(dòng)，校園網(wǎng)里的信息越來越繁多,內(nèi)容愈加豐富，應(yīng)用也愈加廣泛，成為校園辦公、教學(xué)必不可少的一項(xiàng)基礎(chǔ)設(shè)施。在校園網(wǎng)技術(shù)得到學(xué)校廣大師生青睞的同時(shí)，也吸引了黑客的注意。雖然近幾年高校信息化建設(shè)逐漸成熟，但是抵御入侵能力仍然較弱，在防火墻、入侵檢測系統(tǒng)等設(shè)備配置方面投入相對較少，很容易受到黑客等不法分子的攻擊。首先，網(wǎng)絡(luò)系統(tǒng)中的服務(wù)器、操作系統(tǒng)、防火墻等方面都存在大量安全漏洞，許多不法分子利用這些漏洞對操作系統(tǒng)進(jìn)行攻擊，導(dǎo)致校園網(wǎng)出現(xiàn)網(wǎng)絡(luò)癱瘓等各類安全問題。其次，計(jì)算機(jī)病毒攻擊性隱蔽性強(qiáng)，傳播范圍廣、病毒存在計(jì)算機(jī)內(nèi)潛伏期長，對計(jì)算機(jī)硬件造成的破壞力較大，直接影響著系統(tǒng)的正常運(yùn)行，使網(wǎng)絡(luò)效率下降，這更是影響校園網(wǎng)絡(luò)安全的主要因素。因此教育信息化的建設(shè)必須要擁有一個(gè)穩(wěn)固的高質(zhì)量的網(wǎng)絡(luò)安全保證。由此可見，加強(qiáng)對校園網(wǎng)的信息安全管理是十分必要的。為使智能化校園網(wǎng)的實(shí)際應(yīng)用價(jià)值最大化并保證校園網(wǎng)的安全，本文將設(shè)計(jì)一個(gè)實(shí)現(xiàn)用戶單點(diǎn)登錄的統(tǒng)一身份認(rèn)證系統(tǒng)，以此實(shí)現(xiàn)用戶的統(tǒng)一認(rèn)證與管理。一方面能夠降低校園網(wǎng)安全風(fēng)險(xiǎn)，另一方面可以提高了息管理效率。1．2

研究意義計(jì)算機(jī)互聯(lián)網(wǎng)的出現(xiàn)一方面便利了人們的生活，可同時(shí)也增加了許多安全隱患，尤其是校園網(wǎng)防御抵抗攻擊能力差的高校存在的安全隱患更多。例如仍然存在沒有把校園網(wǎng)建設(shè)同用戶身份認(rèn)證管理等方面結(jié)合起來的安全隱患。智慧化校園不僅要滿足用戶的日常操作需求，同時(shí)他們的個(gè)人信息也需要得到安全保障。身份認(rèn)證是指對登錄系統(tǒng)的用戶身份進(jìn)行核實(shí)、查證，與校園網(wǎng)系統(tǒng)內(nèi)的數(shù)據(jù)庫對比，檢驗(yàn)該用戶身份是否存在且合法。目前大多數(shù)高校校園網(wǎng)采用的是高效率省資源的信息化管理，他的優(yōu)點(diǎn)是權(quán)限范圍內(nèi)，用戶可以實(shí)現(xiàn)遠(yuǎn)程管理。但不同權(quán)限的可訪問的系統(tǒng)應(yīng)用不同，對應(yīng)的安全級別也不相同，導(dǎo)致在校園網(wǎng)系統(tǒng)內(nèi)訪問某些應(yīng)用時(shí)需要進(jìn)行多個(gè)賬戶ID密碼口令登錄，給用戶的使用帶來了不便，也削弱了信息化管理的優(yōu)勢，不能發(fā)揮信息化管理的全部優(yōu)點(diǎn)。本課題將立足于設(shè)計(jì)實(shí)現(xiàn)單點(diǎn)登錄的統(tǒng)一身份認(rèn)證系統(tǒng)方案，對用戶進(jìn)行統(tǒng)一身份認(rèn)證、管理，既為校園網(wǎng)的信息安全提供基礎(chǔ)保障，也提高了校園網(wǎng)的使用效率和安全性，加快高校的信息化建設(shè)進(jìn)程，有助于高校教學(xué)水平等各方面的提升，推動(dòng)“互聯(lián)網(wǎng)+教育”更快速高效的發(fā)展。1．3

研究現(xiàn)狀國外的互聯(lián)網(wǎng)發(fā)展較先進(jìn)，身份認(rèn)證技術(shù)也更加發(fā)達(dá)，上世紀(jì)七十年代，數(shù)字化校園這一概念就已經(jīng)被麻省理工學(xué)院提出，加上國家和政府對高校學(xué)生教育的大力支持，國外的校園網(wǎng)在教學(xué)水平和信息安全等方面飛速發(fā)展，近年來也逐漸從陌生走向成熟。因此國外出現(xiàn)了很多身份認(rèn)證系統(tǒng)，如微軟的Passport認(rèn)證系統(tǒng)等。國內(nèi)大部分高校校園網(wǎng)系統(tǒng)還使用用戶ID和靜態(tài)密碼登錄的傳統(tǒng)登錄方式，這種簡便的登錄方式存在著很大安全隱患，我們應(yīng)該借鑒國內(nèi)銀行系統(tǒng)或QQ的登錄系統(tǒng)的身份認(rèn)證技術(shù)，提高校園網(wǎng)的信息安全。例如QQ登錄，用戶登錄時(shí)先輸入用戶名及密碼，驗(yàn)證成功后系統(tǒng)向用戶登記過的密保手機(jī)發(fā)送一條短信驗(yàn)證碼，用戶輸入短信驗(yàn)證碼通過后，方可成功登錄自己的QQ帳號。除了發(fā)送隨機(jī)字符驗(yàn)證碼的驗(yàn)證方式，很多銀行系統(tǒng)也在使用USBKey等方式，雖然安全性高，但使用成本也高昂，不適合校園網(wǎng)使用。故在設(shè)計(jì)統(tǒng)一身份認(rèn)證系統(tǒng)時(shí)使用隨機(jī)驗(yàn)證碼的方式對用戶身份進(jìn)行校驗(yàn)，既節(jié)省成本又能提高網(wǎng)絡(luò)安全。

2

身份認(rèn)證技術(shù)簡介2．1

統(tǒng)一身份認(rèn)證技術(shù)身份認(rèn)證是通過一定的手段對用戶的身份進(jìn)行檢驗(yàn)確認(rèn)，即檢查用戶身份是否合法的過程，是網(wǎng)絡(luò)安全管理的重要基礎(chǔ)之一。普通的身份認(rèn)證通過用戶輸入的用戶名和密碼，和數(shù)據(jù)庫中存儲的用戶名及密碼口令進(jìn)行對比，一致則身份認(rèn)證通過，否則登錄失敗。一些復(fù)雜的身份認(rèn)證系統(tǒng)還采取私鑰加密等加密方式，提高身份認(rèn)證的可信度及系統(tǒng)安全性。常見的身份認(rèn)證技術(shù)有Kerberos認(rèn)證技術(shù)、X.509認(rèn)證技術(shù)等。常見的認(rèn)證方式：靜態(tài)密碼在登錄時(shí)向系統(tǒng)輸入自己設(shè)置好的用戶名和密碼，若用戶名對應(yīng)的密碼正確，系統(tǒng)認(rèn)為此用戶合法。這種方式對用戶和系統(tǒng)來說操作十分簡單，但是安全性較低。大部分用戶為了防止自己忘記密碼，會選擇使用生日或電話號碼等易被猜出破解的字符串作為自己的密碼，導(dǎo)致密碼泄露嚴(yán)重。用戶輸入賬戶密碼提交給系統(tǒng)審核，在這期間很可能遭受到不法分子的被動(dòng)攻擊，傳輸中途將密碼截獲。因此從安全角度看，靜態(tài)密碼安全性低，是一種不安全的身份認(rèn)證方式。動(dòng)態(tài)口令此方式是當(dāng)今網(wǎng)銀、電子商務(wù)、企業(yè)等領(lǐng)域普遍采用的一種認(rèn)證技術(shù)。用戶訪首先問系統(tǒng)登錄頁面，輸入用戶ID和口令，提交等待系統(tǒng)驗(yàn)證。這個(gè)過程中的動(dòng)態(tài)口令數(shù)據(jù)是動(dòng)態(tài)變化的，僅在某短時(shí)間內(nèi)存在合法性。系統(tǒng)根據(jù)用戶標(biāo)識符計(jì)算用戶口令，與收到用戶輸入的口令后進(jìn)行對比，驗(yàn)證此用戶是否為合法用戶。用于生成動(dòng)態(tài)口令終端有：硬件令牌：基于時(shí)間同步的硬件口令牌是目前最主流的方式，動(dòng)態(tài)口令一次一效，每次間隔60秒變換一次，每次變換后都會產(chǎn)生6-8位動(dòng)態(tài)數(shù)字。手機(jī)令牌：是一種基于時(shí)間同步的手機(jī)客戶端軟件，每次間隔30秒產(chǎn)生一個(gè)6位隨機(jī)動(dòng)態(tài)密碼?？诹町a(chǎn)生過程不產(chǎn)生通信費(fèi)用，此方式具有很多優(yōu)點(diǎn)，如：使用簡單，成本低，安全性高，易獲取，不需要攜帶額外設(shè)備等。短信密碼：使用手機(jī)短信方式，請求包含6位或更多位數(shù)的隨機(jī)數(shù)動(dòng)態(tài)口令，驗(yàn)證碼以短信形式被身份認(rèn)證系統(tǒng)反饋給用戶并發(fā)送到用戶的手機(jī)上，客戶端在登錄時(shí)輸入此動(dòng)態(tài)口令?？诹罘诸愅娇诹罴夹g(shù)時(shí)間同步令牌和服務(wù)器時(shí)間同步要求每60秒更新一次，產(chǎn)生一個(gè)新的口令。由于時(shí)間偏移，令牌服務(wù)器必須要保持準(zhǔn)確的時(shí)鐘，且對令牌的晶振頻率的要求也十分嚴(yán)格，這樣一來邊使系統(tǒng)失去同步的幾率得以降低。令牌在磁場、高溫、高壓、震蕩等不同的工作環(huán)境中，極易發(fā)生時(shí)鐘脈沖偏移和損壞，所以要保護(hù)好時(shí)間同步令牌。同時(shí)也要保護(hù)好系統(tǒng)時(shí)鐘，不能隨便更改時(shí)鐘，以免發(fā)生影響令牌的同步問題。事件同步原理：將某一事件的次序、相同的種子值作為輸入，可以在算法中計(jì)算得到相同的密碼。每個(gè)碼流獨(dú)立于時(shí)鐘，不受時(shí)鐘影響。異步口令技術(shù)又稱挑戰(zhàn)-應(yīng)答技術(shù)?；舅枷耄和ㄐ烹p方具有相同的方法來產(chǎn)生口令，且用戶身份信息也相同，用戶發(fā)出登錄申請時(shí)，認(rèn)證方產(chǎn)生并提供給用戶一個(gè)隨機(jī)口令，用戶將通過此數(shù)據(jù)和自身的身份信息構(gòu)造出口令，并將口令提交給系統(tǒng)，系統(tǒng)將對此口令進(jìn)行認(rèn)證。認(rèn)證服務(wù)器提出challenge挑戰(zhàn)，challenge被用戶輸入令牌，接下來計(jì)算response應(yīng)答值，計(jì)算完畢交給認(rèn)證服務(wù)器，并等待服務(wù)器回復(fù)。對于異步令牌來說，令牌和服務(wù)器只在相同的算法上實(shí)現(xiàn)了同步，其他不需要達(dá)到同步要求。這樣有效解決了令牌的失步問題，系統(tǒng)可靠性增強(qiáng)。但使用異步口令時(shí)，因?yàn)橛脩粜枰斎胩魬?zhàn)值，使得操作步驟復(fù)雜度增加。特點(diǎn)動(dòng)態(tài)口令具有動(dòng)態(tài)性、隨機(jī)性、一次性、不可復(fù)制性、抗窮舉性、方便性等特點(diǎn)。但同時(shí)也具有一些安全隱患：使用的安全工具受到人為因素的影響；每種安全機(jī)制具有一定的應(yīng)用范圍和環(huán)境；黑客的攻擊手段在持續(xù)更新。數(shù)字簽名此方式又稱為電子加密，能夠區(qū)分真實(shí)數(shù)據(jù)與偽造或被篡改的數(shù)據(jù)。一般采用摘要技術(shù)，采用哈希函數(shù)提供的計(jì)算過程：輸入一個(gè)不定長的字符串，經(jīng)hash函數(shù)計(jì)算后返回一個(gè)定長字符串。將長的報(bào)文轉(zhuǎn)換為定長的報(bào)文。生物識別對人體的生物信特征息進(jìn)行測量記錄，通過生理信息進(jìn)行身份認(rèn)證。生物特征是唯一識別、驗(yàn)證的生理特征。此方式采用傳感器讀取生物信息，將生物信息與數(shù)據(jù)庫存儲的信息對比，信息一致則通過驗(yàn)證。目前最常見的生物認(rèn)證方式有智能手機(jī)的指紋識別、虹膜識別、聲音識別等，主要應(yīng)用于手機(jī)黑屏解鎖、手機(jī)支付等。生物識別方式目前比較安全，同時(shí)給人們的生活也提供了很多便利之處。2．2

單點(diǎn)登錄單點(diǎn)登錄簡稱SSO,一般應(yīng)用于用戶僅需登錄一次，便可以訪問系統(tǒng)中互相信任的多應(yīng)用系統(tǒng)。一個(gè)SSO系統(tǒng)中有三個(gè)角色：用戶、應(yīng)用系統(tǒng)、認(rèn)證中心。所有的認(rèn)證登錄都在認(rèn)證中心驗(yàn)證，認(rèn)證中心檢測用戶身份是否合法，系統(tǒng)應(yīng)用必須要信任認(rèn)證中心。用戶第一次訪問應(yīng)用系統(tǒng)時(shí)，需要進(jìn)行用戶登錄對身份信息校驗(yàn)。若校驗(yàn)通過，用戶將會接受到一個(gè)認(rèn)證憑據(jù)ticket。在訪問其他系統(tǒng)應(yīng)用時(shí)，系統(tǒng)將使用接收到的ticket作為認(rèn)證憑據(jù)檢查用戶合法性。若校驗(yàn)通過，用戶則可以訪問其他系統(tǒng)應(yīng)用，不需要重復(fù)登錄。早期開發(fā)Web應(yīng)用將所有的包放在一起變成war包，將它放入tomcat容器運(yùn)行，所有功能、業(yè)務(wù)管理、門戶界面都由war包支持，此方式稱之為單應(yīng)用，也叫巨石應(yīng)用。在此方式下，用戶登錄成功后把相關(guān)信息放入會話，http維護(hù)此會話，以后每次用戶請求服務(wù)器時(shí)驗(yàn)證此會話即可。由于網(wǎng)站訪問量的增加，單機(jī)部署已經(jīng)不能滿足用戶需求，這就出現(xiàn)了分布式集群部署。一個(gè)單應(yīng)用可能重新部署在三臺tomcat服務(wù)器，此時(shí)session無法在三臺tomcat共享信息，導(dǎo)致用戶信息丟失，所以必須考慮多臺服務(wù)器的session同步問題，由此單點(diǎn)登錄即將出現(xiàn)。采用單點(diǎn)登錄有很多優(yōu)點(diǎn)，首先用戶僅需記住一個(gè)用戶名ID及密碼口令，通過驗(yàn)證后即可以訪問系統(tǒng)內(nèi)所有應(yīng)用；其次一個(gè)用戶擁有多個(gè)賬戶信息不利于管理員對用戶的管理，使用單點(diǎn)登錄減輕了管理員的管理負(fù)擔(dān)，提高了管理效率。實(shí)現(xiàn)單點(diǎn)登錄有三種方式：基于父域Cookie的單點(diǎn)登錄此方式是實(shí)現(xiàn)單點(diǎn)登錄最簡單的方式。用戶訪問登錄父應(yīng)用后，應(yīng)用返回加密的cookie，若用戶訪問子應(yīng)用，使用接收到的加密cookie，授權(quán)應(yīng)用對此cookie校驗(yàn)，檢驗(yàn)通過后則可訪問授權(quán)子應(yīng)用。但此方式不能實(shí)現(xiàn)跨域登錄，cookie不能共享。基于認(rèn)證中心的單點(diǎn)登錄此方式下用戶再認(rèn)證中心登錄成功后，記錄下用戶登錄狀態(tài)，將token傳入認(rèn)證中心，系統(tǒng)檢查當(dāng)前請求有無token，若沒有則用戶尚未登錄系統(tǒng)，返回登錄頁面，用戶可進(jìn)行登錄。反之檢查用戶登錄成功后，認(rèn)證中心生成一個(gè)token傳給系統(tǒng)應(yīng)用，應(yīng)用系統(tǒng)接收到token后向認(rèn)證中心確認(rèn)合法性。確認(rèn)不是用戶偽造后，系統(tǒng)記錄用戶登錄狀態(tài)，允許訪問系統(tǒng)。此方式擴(kuò)展性好，支持跨域?；诎踩珨嘌詫?shí)現(xiàn)安全斷言標(biāo)記語言用于兩個(gè)工作，即在不同安全域間的交換認(rèn)證和授權(quán)數(shù)據(jù)工作。它簡化了SSO，被批準(zhǔn)為SSO的執(zhí)行標(biāo)準(zhǔn)。、本系統(tǒng)設(shè)計(jì)采用基于認(rèn)證中心的單點(diǎn)登錄方式，使用LDAP目錄服務(wù)協(xié)議存儲用戶的賬戶信息。2．3

輕型目錄訪問協(xié)議輕型目錄訪問協(xié)議簡稱LDAP，在統(tǒng)一身份認(rèn)證系統(tǒng)中協(xié)助存儲用戶認(rèn)證、身份信息、權(quán)限等。目錄服務(wù)是實(shí)現(xiàn)信息管理和服務(wù)接口的一種方式，并且是一個(gè)特殊的數(shù)據(jù)庫，他保存描述性的且基于屬性的詳細(xì)信息，并支持過濾搜索功能。目錄服務(wù)技術(shù)能夠協(xié)助統(tǒng)一身份認(rèn)證系統(tǒng)存儲用戶信息，數(shù)據(jù)存儲采用樹狀層次結(jié)構(gòu)。使用LDAP目錄服務(wù)器對多個(gè)應(yīng)用的用戶進(jìn)行集中管理，避免在使用每個(gè)系統(tǒng)時(shí)都需要記錄獨(dú)立的賬號密碼，使每個(gè)應(yīng)用通過LDAP和目錄服務(wù)器進(jìn)行通信，進(jìn)而達(dá)到集中管理用戶信息的目的。X.500目錄服務(wù)是一種用于開發(fā)組織內(nèi)部人員電子目錄的標(biāo)準(zhǔn)，在此目錄結(jié)構(gòu)中使用目錄訪問協(xié)議DAP，對于服務(wù)器目錄服務(wù)中服務(wù)器的響應(yīng)請求，客戶機(jī)進(jìn)行查詢且接收，由此服務(wù)器與客戶機(jī)的通信控制得以實(shí)現(xiàn)。X.500中每個(gè)本地目錄稱為目錄系統(tǒng)代理DSA，它也是一種數(shù)據(jù)庫，數(shù)據(jù)庫中存儲了目錄信息，采用分層格式從而快速高效檢索。X.500具有以下特征：分散維護(hù)：每個(gè)運(yùn)行X.500的站點(diǎn)只需負(fù)責(zé)本地目錄部分，即可以及時(shí)更新維護(hù)操作。搜索性能強(qiáng)大：支持用戶的任意復(fù)雜查詢。單一全局命名空間：給用戶提供但以相同命名空間，命名更靈活且易擴(kuò)展。結(jié)構(gòu)化信息結(jié)構(gòu)：目錄中定義了允許進(jìn)行本地?cái)U(kuò)展的信息結(jié)構(gòu)。基于標(biāo)準(zhǔn)的目錄服務(wù)由于X.500目錄協(xié)議實(shí)施過于復(fù)雜，科技人員推出一種簡單的基于TCP/IP的DAP新版本協(xié)議，即輕量級目錄訪問協(xié)議。LDAP是基于X.500標(biāo)準(zhǔn)的輕量級目錄訪問協(xié)議（X.500是一套目錄服務(wù)標(biāo)準(zhǔn)），呈樹狀結(jié)構(gòu)組織數(shù)據(jù)，類似文件目錄。LDAP以條目作為存儲、組織的基本數(shù)據(jù)結(jié)構(gòu)，每個(gè)條目都有唯一標(biāo)識符并存在相關(guān)屬性，類似數(shù)據(jù)庫中每一行對應(yīng)代表一條數(shù)據(jù)，且有一項(xiàng)是唯一標(biāo)識。使用C/S模式來管理和檢索目錄信息，和X.500相異LDAP基于TCP/IP協(xié)議，若要訪問Internet，必須使用LDAP協(xié)議。LDAP目錄和關(guān)系數(shù)據(jù)庫都是基于屬性的、具有描述性的記錄集，二者十分相像，。LDAP主要數(shù)據(jù)類型有二進(jìn)制數(shù)據(jù)、字符型、CIS、CES等。LDAP服務(wù)器由三部分構(gòu)成，一是目錄服務(wù)模塊，此模塊分為前端和后端，且分工有所不同。前端主要完成網(wǎng)絡(luò)通信及協(xié)議解析，后端完成目錄數(shù)據(jù)庫的管理；二是管理服務(wù)模塊，此模塊主要用于管理目錄信息，使用戶得到的目錄信息在安全性、一致性、完整性上準(zhǔn)確無誤；三是復(fù)制服務(wù)模塊，完成復(fù)制LDAP服務(wù)期間的目錄數(shù)據(jù)工作。LDAP主要業(yè)務(wù)是數(shù)據(jù)查詢，不提供數(shù)據(jù)處理機(jī)制。LDAP工作原理：LDAPClient提交目錄服務(wù)請求，經(jīng)過TCP/IP的處理，程序編程接口將訪問操作、參數(shù)傳給LDAP，經(jīng)過服務(wù)器和目錄連接后結(jié)果返回給客戶端。LDAP目錄服務(wù)特點(diǎn)：快速靈活查詢：檢索操作目錄由國際標(biāo)準(zhǔn)定義，信息查詢快速靈活。分布性：目錄呈樹狀分布式結(jié)構(gòu)，使得實(shí)現(xiàn)分級管理，同時(shí)也使目錄信息的總體結(jié)構(gòu)一致。平臺無關(guān)性：目錄服務(wù)使用的是OSI網(wǎng)絡(luò)七層結(jié)構(gòu)模型通信協(xié)議框架。此模型適用于所有平臺，故目錄系統(tǒng)是開放性的、與平臺無關(guān)的。安全性：目錄系統(tǒng)向管理者提供控制用戶存取的權(quán)限方案精密，使得條目信息更加安全，方便管理員對用戶信息的管理。易擴(kuò)展性：大小規(guī)模的查詢都可以使用目錄系統(tǒng)提供的服務(wù)實(shí)現(xiàn)，目錄系統(tǒng)很容易實(shí)現(xiàn)目錄擴(kuò)展。LDAP目錄服務(wù)模型：命名模型：表明數(shù)據(jù)的組織方式及如何定位條目。信息模型：即LDAP的表示方式。LDAP目錄服務(wù)協(xié)議的信息以樹狀形式存儲。安全模型：通過身份認(rèn)證、訪問控制、安全通道三種方式實(shí)現(xiàn)。功能模型：LDAP一共包含10種操作方式，分為查詢、更新、認(rèn)證、擴(kuò)展四類操作。2．4

統(tǒng)一建模語言統(tǒng)一建模語言是一種圖形語言，描述了軟件密集型系統(tǒng)的制品，但不局限于對詳述、可視化、構(gòu)造和文檔化的描述，英文全稱UnifiedModelingLanguage，簡稱UML。該語言是一種定義良好、已與表達(dá)、功能強(qiáng)大且普遍適用的建模語言，在開發(fā)階段、說明、可視化、構(gòu)建且書寫面向?qū)ο筌浖到y(tǒng)的開發(fā)方法。統(tǒng)一建模語言幫助軟件開發(fā)的設(shè)計(jì)人員縮短設(shè)計(jì)時(shí)間，并有效分割軟硬件。他不僅適用于大型集成系統(tǒng)的開發(fā)，也適合小型系統(tǒng)的開發(fā)設(shè)計(jì)。UML一共有十種圖：靜態(tài)結(jié)構(gòu)使用靜態(tài)模型圖來描述。靜態(tài)模型圖分別為類圖：表示不同實(shí)體間的關(guān)系，可用于表示邏輯類、實(shí)現(xiàn)類，顯示了系統(tǒng)的靜態(tài)結(jié)構(gòu)。對象圖：顯示了某時(shí)刻一組對象和他們之間存在的關(guān)系。對象圖是類圖的實(shí)例，但二者不同之處在于：對象圖不顯示實(shí)際的類，而顯示類的多個(gè)對象實(shí)例，且對象圖存在生命周期只在系統(tǒng)某時(shí)間段內(nèi)存在。包圖：將類組合成包packages就可以簡單表示復(fù)雜的類圖，UML上具有邏輯關(guān)系的元件集合組成一個(gè)包，稱之包圖。組件圖：用來顯示系統(tǒng)中的軟件對其他軟件組件的依賴關(guān)系并為系統(tǒng)提供物理視圖。部署圖：描繪軟件系統(tǒng)在硬件環(huán)境中如何被部署，它顯示了系統(tǒng)的不同組件在何處物理運(yùn)行，以及如何通信。使用動(dòng)態(tài)模型圖用來描述系統(tǒng)行為的各個(gè)方面。動(dòng)態(tài)模型圖分別為用例圖：對系統(tǒng)、子系統(tǒng)或類的功能行為進(jìn)行建模，展示了用例之間和用例參與者間的關(guān)系。主要目的是以一種可視化方式幫助開發(fā)者理解系統(tǒng)功能需求。時(shí)序圖：又稱序列圖，時(shí)序圖描述了不同對象在流程中他們之間的調(diào)用關(guān)系，還展示出不同對象的不同調(diào)用。時(shí)序圖具有兩個(gè)維度，按照已經(jīng)發(fā)生的時(shí)間順序來顯示消息，此方式稱為垂直維度；顯示消息被發(fā)送給的對象實(shí)例，此方式稱作水平維度，。協(xié)作圖：對交互中有意義的對象和他們之間的鏈進(jìn)行建模，使用幾何排列的方式表示交互中的每個(gè)角色。消息用附在類元角色上的箭頭表示，消息箭頭處的編號表示消息發(fā)生順序?；顒?dòng)圖：適用于處理某活動(dòng)時(shí)兩個(gè)或更多類對象間的過程控制流，多用于高級別的業(yè)務(wù)過程建模。狀態(tài)圖：用來表示某個(gè)類的不同狀態(tài)和它對應(yīng)的狀態(tài)信息。狀態(tài)圖初始起點(diǎn)用實(shí)心圓繪制表示，狀態(tài)用圓角矩形表示，判斷點(diǎn)用空心圓表示，一個(gè)或多個(gè)終止點(diǎn)用內(nèi)部包含實(shí)心圓的圓表示。其中UML包含四中關(guān)系：關(guān)聯(lián)、依賴、實(shí)現(xiàn)、泛化關(guān)系。UML系統(tǒng)開發(fā)中有三個(gè)主要的模型：

功能模型：從用戶的觀點(diǎn)出發(fā)，向大家展示系統(tǒng)的功能，如用例圖。對象模型：采用對象，關(guān)聯(lián)，屬性，操作等概念展示系統(tǒng)的結(jié)構(gòu)和基礎(chǔ)，如類別圖、對象圖。動(dòng)態(tài)模型：展現(xiàn)系統(tǒng)的內(nèi)部行為。如序列圖，活動(dòng)圖，狀態(tài)圖。本系統(tǒng)采用用例圖對角色用例區(qū)分設(shè)計(jì)，采用時(shí)序圖對系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)。2．5

本章小結(jié)本章敘述了統(tǒng)一身份認(rèn)證系統(tǒng)涉及的LDAP協(xié)議、SSO等相關(guān)技術(shù)原理，并介紹了系統(tǒng)開發(fā)使用的統(tǒng)一建模語言UML，結(jié)合建模語言中不同的圖示為接下來的需求分析及系統(tǒng)設(shè)計(jì)奠定理論基礎(chǔ)。本章起始介紹的統(tǒng)一身份認(rèn)證技術(shù)是本文編寫需要學(xué)習(xí)掌握的較為重要的技術(shù)。通過對身份認(rèn)證方式的了解和學(xué)習(xí)，本文決定采取基于動(dòng)態(tài)口令的隨機(jī)驗(yàn)證碼方式，實(shí)現(xiàn)系統(tǒng)身份認(rèn)證；其次研究了單點(diǎn)登錄的發(fā)展、優(yōu)點(diǎn)和實(shí)現(xiàn)方式，選擇基于認(rèn)證中心對用戶進(jìn)行認(rèn)證，希望能夠?qū)崿F(xiàn)單點(diǎn)登錄。

3

需求分析3．1系統(tǒng)總體分析3．1．1可行性研究校園網(wǎng)的主要目的是用戶查詢校園信息、使用系統(tǒng)應(yīng)用，同時(shí)也可以提高管理者管理用戶信息的效率。對于管理員來說，傳統(tǒng)的信息查詢方法工作量大且出錯(cuò)較多，有的用戶信息信息更新不及時(shí)，導(dǎo)致錯(cuò)誤率變高，影響工作效率。但使用校園網(wǎng)系統(tǒng)，管理員可以即時(shí)查看用戶更新后的個(gè)人信息。同時(shí)，學(xué)生和教師也可以在系統(tǒng)查詢課程、資料或其他用戶公開的信息等。與傳統(tǒng)方法相比，校園網(wǎng)系統(tǒng)的工作量更小，減少了人力物力財(cái)力的投資，辦事效率也得到大幅提升。為減少校園網(wǎng)的攻擊，必須盡快建立統(tǒng)一身份認(rèn)證子系統(tǒng)，完善各智能化校園的安全建設(shè)，從時(shí)機(jī)可行性分析此系統(tǒng)設(shè)計(jì)可行。本系統(tǒng)采用統(tǒng)一建模語言進(jìn)行建模，系統(tǒng)設(shè)計(jì)具備技術(shù)條件。此系統(tǒng)設(shè)計(jì)開發(fā)所需要的硬件設(shè)備投入量較少，且不需要高昂的硬件，開發(fā)成本低，系統(tǒng)設(shè)計(jì)開發(fā)具備經(jīng)濟(jì)條件。綜上，此系統(tǒng)的研究設(shè)計(jì)可行。3．1．2總體目標(biāo)建立智慧型校園統(tǒng)一身份認(rèn)證系統(tǒng)的目標(biāo)是保障校園網(wǎng)安全，使之可以長期穩(wěn)定運(yùn)行。在結(jié)合新的認(rèn)證系統(tǒng)后可以實(shí)現(xiàn)用戶的不同訪問需求，單點(diǎn)登錄可以加強(qiáng)各子系統(tǒng)之間的聯(lián)系，減少了“信息孤島”現(xiàn)象的發(fā)生，使資源得到更合理高效的使用，有利于提高教學(xué)質(zhì)量。3．1．3總體需求分析為增強(qiáng)校園網(wǎng)的防御功能，提高校園信息管理效率，給校園網(wǎng)使用用戶提供一個(gè)更加安全高質(zhì)量的校園網(wǎng)系統(tǒng)，系統(tǒng)應(yīng)當(dāng)加強(qiáng)訪問系統(tǒng)用戶的身份驗(yàn)證。訪問校園網(wǎng)的用戶主要有三類，游客、系統(tǒng)用戶、管理員。游客訪問校園網(wǎng)時(shí)，只能查看部分內(nèi)容，由于沒有用戶ID及密碼口令，無法通過統(tǒng)一身份認(rèn)證系統(tǒng)的身份驗(yàn)證，故無法訪問校園網(wǎng)的其他應(yīng)用系統(tǒng)。系統(tǒng)用戶大多為本校學(xué)生和教師，這些用戶注冊后系統(tǒng)根據(jù)用戶身份賦予不同的訪問權(quán)限，不同類型的用戶角色對應(yīng)可訪問的應(yīng)用系統(tǒng)也有所不同。若具有登錄權(quán)限的校內(nèi)用戶想訪問系統(tǒng)內(nèi)部應(yīng)用程序，必須要通過統(tǒng)一身份認(rèn)證子系統(tǒng)的單點(diǎn)登錄驗(yàn)證。用戶輸入自己的用戶ID及密碼口令申請登錄，認(rèn)證服務(wù)器接受到用戶請求后，向用戶客戶端發(fā)送隨機(jī)字符驗(yàn)證碼，用戶方收到驗(yàn)證碼后在對話框中輸入，認(rèn)證服務(wù)器將用戶方發(fā)來的驗(yàn)證碼進(jìn)行審核，若與自己發(fā)出的驗(yàn)證碼完全一致，則用戶通過審核，并將審核結(jié)果反饋到用戶端，若用戶登錄失敗，將失敗結(jié)果返回到客戶端用戶。圖3-1認(rèn)證流程圖3．1．4系統(tǒng)框架圖圖3-2系統(tǒng)框架圖此系統(tǒng)分為用戶管理、身份認(rèn)證管理、系統(tǒng)應(yīng)用管理、日志管理、權(quán)限管理五個(gè)模塊。3．2

子模塊需求分析用戶管理新入校的學(xué)生、教師及工作人員需要在校園網(wǎng)系統(tǒng)進(jìn)行注冊，用戶名ID分別為本人學(xué)號、教工編號或職工編號，設(shè)置登錄密碼提交系統(tǒng)注冊成功后，方可登錄系統(tǒng)，編寫自己的個(gè)人基本信息。如教師個(gè)人信息包括：姓名、性別、民族、出生日期、身份證號、所屬院系、職稱、聯(lián)系方式、來校時(shí)間、教學(xué)研究方向等。每位系統(tǒng)用戶可以隨時(shí)查看、更新自己的個(gè)人信息，對自己的個(gè)人信息修改維護(hù)。在用戶忘記登錄系統(tǒng)密碼口令或連續(xù)多次輸入密碼錯(cuò)誤，可向系統(tǒng)提出找回密碼申請，后臺管理員將通過隨機(jī)驗(yàn)證碼檢測，確定是否為本人操作，若檢測通過，則同意重置密碼，用戶修改保存新密碼后，后臺返回密碼修改成功與否的結(jié)果。身份認(rèn)證管理此系統(tǒng)為減輕管理人員負(fù)擔(dān)，提高系統(tǒng)利用率，保障系統(tǒng)安全，應(yīng)實(shí)現(xiàn)單點(diǎn)登錄機(jī)制。通過口令認(rèn)證方式的用戶認(rèn)證后，系統(tǒng)將用戶對應(yīng)身份所可以訪問的應(yīng)用程序關(guān)聯(lián)起來，完成賬戶關(guān)聯(lián)。在前兩項(xiàng)工作完成后，才可以進(jìn)行用戶ID及密碼口令的核對，通過后則實(shí)現(xiàn)單點(diǎn)登錄。系統(tǒng)應(yīng)用管理為完善校園網(wǎng)系統(tǒng)功能，需要向系統(tǒng)添加新的Web應(yīng)用程序，管理員應(yīng)在后臺對此應(yīng)用程序注冊，填寫應(yīng)用程序的基本信息。包括：程序名稱、鏈接網(wǎng)址、開發(fā)者名稱等。同時(shí)管理員需要對系統(tǒng)所有的應(yīng)用程序信息進(jìn)行后臺維護(hù)管理工作。日志管理管理員可以查看系統(tǒng)運(yùn)行日志，同時(shí)能夠監(jiān)測追蹤到用戶使用系統(tǒng)時(shí)的各項(xiàng)操作日志。權(quán)限管理對于不同分類的用戶對應(yīng)可訪問系統(tǒng)應(yīng)用程序的權(quán)限不同，管理員可以添加或修改某些Web應(yīng)用程序的權(quán)限，對用戶訪問權(quán)限進(jìn)行監(jiān)管。3．3

用例分析3．3．1角色用例分析使用此身份認(rèn)證系統(tǒng)的用戶主要為校內(nèi)學(xué)生、教師、工作人員及管理員，故設(shè)計(jì)構(gòu)造兩個(gè)角色用例。普通用戶用例圖3-3用戶角色用例圖每個(gè)用戶角色具有登錄、注冊、退出、訪問系統(tǒng)應(yīng)用、找回密碼五個(gè)用例，其中單點(diǎn)登錄用例還包含了SSO代理和身份認(rèn)證；管理員用例圖3-4管理員角色用例圖管理員除了擁有普通用戶的用例外，還具有設(shè)置用戶、權(quán)限設(shè)置、賬戶關(guān)聯(lián)、添加系統(tǒng)應(yīng)用四個(gè)用例。3．3．2系統(tǒng)用例分析經(jīng)需求分析得統(tǒng)一身份認(rèn)證系統(tǒng)核心功能板塊是身份認(rèn)證和統(tǒng)一用戶管理。系統(tǒng)共包含系統(tǒng)應(yīng)用管理、身份認(rèn)證、統(tǒng)一用戶管理、日志管理、統(tǒng)一訪問管理五個(gè)用例。圖3-5系統(tǒng)頂層用例圖統(tǒng)一用戶管理此用例包含用戶注冊、用戶信息維護(hù)、找回密碼三個(gè)子用例。用戶根據(jù)自己的工號進(jìn)行注冊，成功后系統(tǒng)將根據(jù)用戶角色賦予相應(yīng)系統(tǒng)訪問權(quán)限，不需要在每個(gè)系統(tǒng)重復(fù)注冊。用戶信息維護(hù)在此用例下用戶可以自行修改個(gè)人信息，修改完畢提交系統(tǒng)后臺管理員，管理員審核通過后修改成功。找回密碼提供用戶找回身份認(rèn)證口令，可采用短信驗(yàn)證碼、隨機(jī)動(dòng)態(tài)字符等方式進(jìn)行新的密碼修改，修改后可使用新口令登錄。身份認(rèn)證此用例包括單點(diǎn)登錄、賬戶關(guān)聯(lián)、用戶認(rèn)證三個(gè)子用例。系統(tǒng)使用動(dòng)態(tài)口令認(rèn)證方式對用戶身份檢核后完成用戶認(rèn)證，根據(jù)用戶角色的不同系統(tǒng)訪問權(quán)限將這些系統(tǒng)與用戶身份信息關(guān)聯(lián)，實(shí)現(xiàn)賬戶關(guān)聯(lián)。賬戶關(guān)聯(lián)和用戶認(rèn)證完成后即可實(shí)現(xiàn)單點(diǎn)登錄。訪問賬戶關(guān)聯(lián)后的應(yīng)用程序不需要重復(fù)登錄，一次登錄認(rèn)證后即可訪問對應(yīng)權(quán)限的系統(tǒng)應(yīng)用。統(tǒng)一訪問管理此用例用于控制用戶的資源訪問。由于校園網(wǎng)內(nèi)資源有限，不同身份訪問用戶權(quán)限不同，需要的資源也有所不同。同一時(shí)段對于不同角色的訪問，為訪問需求更大的用戶提供更多的資源。當(dāng)瀏覽用戶和選課用戶同時(shí)訪問系統(tǒng)資源時(shí)，因?yàn)檫x課用戶所需要的訪問需求更大，系統(tǒng)將控制訪問權(quán)限，賦予更多的資源給需求更大的用戶。系統(tǒng)應(yīng)用管理此用例包括系統(tǒng)應(yīng)用注冊、系統(tǒng)應(yīng)用信息維護(hù)兩個(gè)子用例。若有新應(yīng)用入駐系統(tǒng)時(shí)，管理員要對系統(tǒng)應(yīng)用的基本信息進(jìn)行登記填寫，系統(tǒng)應(yīng)用注冊頁面填寫應(yīng)用名稱、開發(fā)者信息、應(yīng)用程序主要功能、應(yīng)用程序網(wǎng)址、應(yīng)用程序創(chuàng)建時(shí)間等信息。日志管理此用例包括查詢?nèi)罩尽⑾到y(tǒng)監(jiān)控兩個(gè)子用例。管理員可以查看用戶訪問系統(tǒng)的任意操作日志，并對用戶訪問系統(tǒng)的各項(xiàng)操作進(jìn)行監(jiān)控，及時(shí)制止用戶對系統(tǒng)的非法操作，為系統(tǒng)的安全運(yùn)行提供一定的保障。3．4

本章小結(jié)本章首先研究了系統(tǒng)的可行性，接下來為保障校園網(wǎng)安全運(yùn)行分析系統(tǒng)整體目標(biāo)，對系統(tǒng)做出需求分析，畫出系統(tǒng)框架圖并分析系統(tǒng)用例和使用系統(tǒng)的角色用例，為接下來的系統(tǒng)詳細(xì)設(shè)計(jì)提供思路

4

系統(tǒng)設(shè)計(jì)4．1

系統(tǒng)結(jié)構(gòu)設(shè)計(jì)圖4-1系統(tǒng)結(jié)構(gòu)圖經(jīng)過之前的需求分析，將系統(tǒng)劃分為用戶管理、身份認(rèn)證管理、系統(tǒng)應(yīng)用管理、權(quán)限管理、日志管理五個(gè)模塊。用戶管理模塊下劃分為用戶注冊、用戶信息維護(hù)、找回密碼三個(gè)子模塊。使用此系統(tǒng)的合法用戶，必須是在校學(xué)生、教師或校內(nèi)工作人員。用戶首次進(jìn)入系統(tǒng)需要先注冊，系統(tǒng)根據(jù)不同的角色身份進(jìn)行用戶分類，并要求用戶填寫相應(yīng)個(gè)人信息；若用戶注冊時(shí)填寫的信息有誤，可選擇“用戶信息維護(hù)”對個(gè)人信息進(jìn)行修改；當(dāng)用戶想登錄系統(tǒng)訪問應(yīng)用但忘記密碼時(shí)，可以選擇“找回密碼”進(jìn)行密碼重置，向后臺管理員申請重置密碼。后臺管理員接收到找回密碼申請后，向用戶注冊時(shí)留下的郵箱或手機(jī)號碼發(fā)送驗(yàn)證碼驗(yàn)證是否為用戶本人操作，用戶輸入驗(yàn)證碼正確后，管理員同意用戶進(jìn)行密碼重置。身份認(rèn)證管理模塊是劃分為單點(diǎn)登錄、賬戶關(guān)聯(lián)、用戶認(rèn)證三個(gè)子模塊，此模塊是系統(tǒng)的核心板塊?！坝脩粽J(rèn)證”模塊包括靜態(tài)密碼認(rèn)證、動(dòng)態(tài)口令認(rèn)證、短信密碼認(rèn)證、數(shù)字簽名等方式；“賬戶關(guān)聯(lián)”即在身份認(rèn)證通過后，根據(jù)登入系統(tǒng)的角色將具有當(dāng)前角色訪問權(quán)限的校園網(wǎng)內(nèi)系統(tǒng)應(yīng)用全部關(guān)聯(lián)；系統(tǒng)內(nèi)“單點(diǎn)登錄”指在經(jīng)過身份認(rèn)證和賬戶關(guān)聯(lián)后，用戶訪問系統(tǒng)其他應(yīng)用不需要再進(jìn)行二次登錄認(rèn)證，提高了用戶使用效率。系統(tǒng)應(yīng)用管理模塊下劃分為系統(tǒng)應(yīng)用注冊、系統(tǒng)應(yīng)用信息維護(hù)兩個(gè)子模塊。系統(tǒng)內(nèi)沒有的應(yīng)用程序可以選擇“系統(tǒng)應(yīng)用注冊”功能，輸入新建系統(tǒng)應(yīng)用的基本信息進(jìn)行登記注冊；若信息注冊后出現(xiàn)錯(cuò)誤，選擇“系統(tǒng)應(yīng)用信息維護(hù)”功能進(jìn)行修改。日志管理模塊分為查詢系統(tǒng)日志和系統(tǒng)監(jiān)控兩個(gè)子模塊。對系統(tǒng)用戶的操作訪問進(jìn)行記錄、追蹤、監(jiān)測。權(quán)限管理模塊下劃分為查詢權(quán)限、修改權(quán)限兩個(gè)子模塊。用戶注冊時(shí)，系統(tǒng)后臺根據(jù)登錄系統(tǒng)用戶的不同身份，賦予每類用戶不同的系統(tǒng)應(yīng)用訪問權(quán)限。管理員可以通過“查詢權(quán)限”查看每類用戶系統(tǒng)內(nèi)可訪問的系統(tǒng)應(yīng)用權(quán)限；通過“修改權(quán)限”對用戶可訪問的權(quán)限進(jìn)行修改。4．2

系統(tǒng)詳細(xì)設(shè)計(jì)4．2．1用戶管理 對于首次登錄校園網(wǎng)系統(tǒng)未注冊過的學(xué)生、教師、工作人員等用戶，需要在用戶管理部分先進(jìn)行注冊，登錄后方可登錄系統(tǒng)訪問應(yīng)用程序；管理員對用戶注冊時(shí)錄入系統(tǒng)的信息進(jìn)行維護(hù)修改；若用戶忘記密碼，可以向后臺管理員請求找回密碼。后臺管理員接收到找回密碼申請后，向用戶注冊時(shí)留下的郵箱或手機(jī)號碼發(fā)送驗(yàn)證碼驗(yàn)證是否為用戶本人操作，用戶輸入驗(yàn)證碼正確后，管理員同意用戶進(jìn)行密碼重置。用戶注冊如圖4-2為用戶注冊時(shí)序圖，描述了用戶首次進(jìn)行注冊系統(tǒng)的操作：圖4-2用戶注冊時(shí)序圖用戶打開校園網(wǎng)鏈接進(jìn)入首頁界面；選擇用戶注冊，向后臺申請注冊，跳轉(zhuǎn)到注冊頁面；輸入自己的學(xué)號、教工號或職工號作為用戶的登錄ID賬號，設(shè)置登錄密碼，填寫注冊頁面姓名、年齡、角色名稱等個(gè)人信息；信息填寫完畢后將用戶ID提交到后臺數(shù)據(jù)庫對比；若輸入的用戶ID在數(shù)據(jù)庫中存在，則給用戶返回“已注冊”提示；否則將用戶信息存儲到數(shù)據(jù)庫，跳轉(zhuǎn)到首頁頁面，返回“注冊成功”提示語；用戶信息管理若用戶想修改個(gè)人信息，可進(jìn)行以下操作：用戶進(jìn)入首頁經(jīng)身份認(rèn)證后登錄校園網(wǎng)系統(tǒng)；選擇用戶信息維護(hù)向后臺服務(wù)器發(fā)出修改申請，同意后跳轉(zhuǎn)到個(gè)人信息頁面；對要更改的信息進(jìn)行編輯，全部修改完成后提交給后臺管理員；管理員檢查后信息格式無錯(cuò)誤，返回“修改成功”結(jié)果；若修改后檢測出信息有誤，返回“信息有誤或空缺”結(jié)果；圖4-3用戶信息維護(hù)時(shí)序圖管理員審核每一名用戶修改自己的個(gè)人信息時(shí)，需要向后臺提交修改申請，后臺服務(wù)器收到申請后發(fā)出同意修改，響應(yīng)用戶修改請求，但用戶修改后提交到服務(wù)器的信息不會自動(dòng)在數(shù)據(jù)庫及時(shí)更新，這期時(shí)需要后臺管理員的審核過程。管理員查看用戶修改的信息后，對用戶更新的信息資料進(jìn)行核實(shí)。若檢查無誤，管理員點(diǎn)擊確認(rèn)更改后才可以改變數(shù)據(jù)庫信息；若管理員核實(shí)信息出錯(cuò)，則審核不通過，用戶修改信息被駁回，向用戶返回修改失敗，并刪除本次修改申請。審核過程流程圖如下：圖4-4管理員審核流程圖4．2．2身份認(rèn)證設(shè)計(jì)基于單點(diǎn)登錄的身份認(rèn)證，最關(guān)鍵組成部分的是票據(jù)，用Token或Ticket表示，是存儲用戶登錄通行信息的唯一標(biāo)準(zhǔn)，判斷用戶名和密碼是否正確并給出提示信息。單點(diǎn)登錄技術(shù)要求網(wǎng)頁瀏覽器客戶端長時(shí)間保存票據(jù)，只能通過Cookie文件實(shí)現(xiàn)。故一段時(shí)間內(nèi)多次瀏覽使用網(wǎng)頁，Cookie文件可以自動(dòng)提供身份驗(yàn)證信息，不需要新的身份驗(yàn)證。認(rèn)證過程描述：第一次使用系統(tǒng)時(shí)，需要在網(wǎng)站首頁輸入用戶名密碼登錄，若驗(yàn)證通過，用戶將收到系統(tǒng)提供的通行票據(jù)token2；當(dāng)用戶想訪問系統(tǒng)2或3時(shí)，使用token票據(jù)進(jìn)行驗(yàn)證，收到驗(yàn)證請求后，內(nèi)部驗(yàn)證系統(tǒng)根據(jù)票據(jù)token的有效性，驗(yàn)證票據(jù)是否合法有效。若驗(yàn)證通過用戶則可以直接訪問應(yīng)用系統(tǒng)2和3.圖4-5單點(diǎn)登錄流程身份認(rèn)證經(jīng)歷的步驟：用戶打開鏈接進(jìn)入首頁登錄頁面，輸入用戶ID和密碼口令，系統(tǒng)對身份信息檢測校驗(yàn)，若驗(yàn)證成功，服務(wù)器則向客戶端發(fā)送驗(yàn)證碼；若驗(yàn)證失敗提示用戶返回登錄失敗。用戶驗(yàn)證成功接收到驗(yàn)證碼后，需要在客戶端輸入隨機(jī)驗(yàn)證碼，系統(tǒng)將通過驗(yàn)證碼對用戶進(jìn)行身份核實(shí)。若驗(yàn)證碼校驗(yàn)錯(cuò)誤，提示用戶返回登錄失敗并結(jié)束現(xiàn)在的操作。若檢測校驗(yàn)成功，則授予應(yīng)用系統(tǒng)訪問權(quán)限。流程圖如下：圖4-6身份驗(yàn)證流程圖身份認(rèn)證時(shí)序操作如下：用戶在網(wǎng)頁客戶端界面輸入用戶ID和密碼信息，客戶端檢測格式是否正確；客戶端向Web服務(wù)器端請求登錄系統(tǒng)；Web服務(wù)器端回復(fù)客戶端發(fā)出的請求，向數(shù)據(jù)庫服務(wù)器端提出身份驗(yàn)證請求；數(shù)據(jù)庫服務(wù)器根據(jù)用戶ID對應(yīng)存儲在數(shù)據(jù)庫的密碼口令進(jìn)行用戶名密碼身份認(rèn)證；數(shù)據(jù)庫服務(wù)器向Web服務(wù)器端發(fā)送驗(yàn)證碼；Web服務(wù)器端收到服務(wù)器發(fā)送來的驗(yàn)證碼，并將此驗(yàn)證碼發(fā)送給用戶客戶端；用戶填寫驗(yàn)證碼后，客戶端向Web服務(wù)器提交輸入的驗(yàn)證碼；Web服務(wù)器端申請?zhí)峤或?yàn)證碼認(rèn)證；數(shù)據(jù)庫服務(wù)器校驗(yàn)驗(yàn)證碼；認(rèn)證結(jié)果被數(shù)據(jù)庫服務(wù)器返回到Web服務(wù)器；Web服務(wù)器將認(rèn)證結(jié)果返回到客戶端；圖4-7身份認(rèn)證時(shí)序圖4．2．3系統(tǒng)應(yīng)用管理系統(tǒng)應(yīng)用信息維護(hù)和用戶信息維護(hù)操作過程類似，只是操作者不同。前者需要用戶自己更改操作，后者只有管理員才擁有對應(yīng)用程序的信息更改。操作如下：管理員輸入用戶名密碼，通過認(rèn)證后進(jìn)入系統(tǒng)；進(jìn)入應(yīng)用系統(tǒng)管理模塊；進(jìn)入應(yīng)用系統(tǒng)信息維護(hù)模塊；選擇要操作的某一應(yīng)用程序，對要修改的信息進(jìn)行更新；提交修改后，若格式無誤返回“修改成功”；若格式錯(cuò)誤，返回“格式錯(cuò)誤”；流程圖如下：圖4-8系統(tǒng)應(yīng)用操作流程圖4．2．4安全事件信息采集如圖為系統(tǒng)監(jiān)控模塊安全信息采集流程圖，登錄系統(tǒng)后進(jìn)入日志管理，選擇系統(tǒng)監(jiān)控，對安全事件采集。若采集失敗返回失敗消息提示，若成功則顯示安全事件信息。圖4-9安全時(shí)間采集流程圖對應(yīng)事件時(shí)序圖操作如下：管理員經(jīng)身份驗(yàn)證后登錄系統(tǒng)進(jìn)入日志管理；選擇日志管理中系統(tǒng)監(jiān)控模塊，進(jìn)入安全事件信息采集模塊；客戶端用戶向Web服務(wù)器端提出安全事件信息采集請求；服務(wù)器接受請求后向數(shù)據(jù)庫端請求采集安全事件數(shù)據(jù)；數(shù)據(jù)庫端將事件信息備份，發(fā)送給Web服務(wù)器端；服務(wù)器接收到備份信息反饋給客戶端用戶；圖4-10安全事件信息采集時(shí)序圖4．2．5權(quán)限管理以權(quán)限參數(shù)的設(shè)置為例，對用戶訪問應(yīng)用程序的權(quán)限進(jìn)行添加、更改、刪除、查詢等基本操作。對應(yīng)時(shí)序圖操作如下：管理員登錄系統(tǒng)進(jìn)入權(quán)限管理模塊；進(jìn)入修改權(quán)限模塊下權(quán)限參數(shù)修改子模塊；管理員對權(quán)限參數(shù)進(jìn)行添加操作時(shí)，錄入需要的權(quán)限參數(shù)，提交添加請求，系統(tǒng)將調(diào)用Database.Add(sql)語句在數(shù)據(jù)庫進(jìn)行權(quán)限參數(shù)添加，向用戶返回添加成功；管理員對權(quán)限參數(shù)進(jìn)行刪除操作時(shí)，選擇需要?jiǎng)h除的權(quán)限參數(shù)，提交刪除參數(shù)請求，系統(tǒng)將調(diào)用Database.Delete(sql)語句在數(shù)據(jù)庫進(jìn)行權(quán)限參數(shù)刪除，向用戶返回刪除成功；管理員對權(quán)限參數(shù)進(jìn)行更改操作時(shí)，選擇需要更改的權(quán)限參數(shù)并錄入更改后的參數(shù)要求，提交更改請求，系統(tǒng)將調(diào)用Database.Update(sql)語句在數(shù)據(jù)庫進(jìn)行權(quán)限參數(shù)更改，向用戶返回操作成功；圖4-11權(quán)限參數(shù)操作時(shí)序圖4．3

系統(tǒng)數(shù)據(jù)庫設(shè)計(jì)學(xué)生信息表，用于存放每名學(xué)生的個(gè)人信息，瀏覽此表可以得知學(xué)生的基本信息。如表4-1所示:表4-1學(xué)生信息表字段名別名類型長度NULL主鍵Student_Number學(xué)號char12NO是NUmber校園卡號char12NO是Role_name角色名稱varchar20NOName姓名varchar20NOSex性別Char1NONationality民族tinyint4NOID_Number身份證號varchar18NOBirthday出生日期date8YESNativeplace籍貫varchar20YESHouse_Place家庭住址varchar50YESPhone_Number聯(lián)系方式varchar11NOIdentity政治面貌varchar20NODepartment所屬學(xué)院varchar25NO備注：校園卡號即學(xué)生學(xué)號；教師信息表，用于存放教師的個(gè)人信息，瀏覽此表可以得知某位老師的基本信息。如表4-2所示:表4-2教師信息表字段名別名類型長度NULL主鍵Teacher_Number教師編號char12NO是NUmber校園卡號char12NO是Role_name角色名稱varchar20NOName姓名varchar20NOSex性別Char1NONationality民族tinyint4NOReligion宗教tinyint4YESID_Number身份證號varchar18NOBirthday出生日期date8YESLive_Place現(xiàn)居住地varchar50YESPhone_Number聯(lián)系方式varchar11NOIdentity政治面貌varchar20NODepartment所屬學(xué)院varchar25NOEmail電子郵件varchar25YESTitlename職稱名稱varchar10NOStatus工作狀態(tài)tinyint4NO備注：數(shù)據(jù)庫表中數(shù)據(jù)項(xiàng)“民族”的類型選用tinyint，規(guī)定01為漢族，02-56代表其他少數(shù)民族；校園卡號為教師編號；登錄表，用于核實(shí)用戶登錄時(shí)的用戶ID和密碼口令的正確性，并分配相應(yīng)角色。如表4-3所示:表4-3登錄表字段名別名類型長度NULL主鍵Number校園卡號char12NO是Password密碼varchar20NORole_id角色int11NO角色信息表，用于存儲用戶的身份信息、創(chuàng)建者信息等。從角色字段值可以判斷出是學(xué)生、教師、管理員中的哪一類用戶。如表4-4所示:表4-4角色信息表字段名別名類型長度NULL主鍵 Role_id角色idInt12NO是Role_name角色名稱varchar20NORole_creator創(chuàng)建者varchar30YESRole_creat創(chuàng)建時(shí)間varchar30YES應(yīng)用系統(tǒng)表，存儲通過認(rèn)證中心進(jìn)行身份認(rèn)證的Web應(yīng)用系統(tǒng)相關(guān)信息。如表4-5所示：表4-5應(yīng)用系統(tǒng)信息表字段名別名類型長度NULL主鍵 Application_id應(yīng)用idchar12NO是Application_name應(yīng)用名稱varchar20NOApplication_url應(yīng)用網(wǎng)址varchar50YESRole_creat創(chuàng)建時(shí)間varchar30YES賬戶關(guān)聯(lián)表，用于在統(tǒng)一認(rèn)證系統(tǒng)中存儲賬戶及相關(guān)聯(lián)應(yīng)用系統(tǒng)的賬號信息，及應(yīng)用系統(tǒng)相關(guān)信息。賬戶關(guān)聯(lián)建立后，用戶可以使用被授權(quán)的應(yīng)用系統(tǒng)，進(jìn)而訪問系統(tǒng)中的Web應(yīng)用。如表4-6所示：表4-6賬戶關(guān)聯(lián)表字段名別名類型長度NULL主鍵User_id統(tǒng)一身份用戶idchar4NO是Account_id應(yīng)用系統(tǒng)用戶idchar4NO是Application_id應(yīng)用編號char2NO是權(quán)限表，用于存儲系統(tǒng)分配給不同用戶角色的權(quán)限。如表4-7所示：表4-7權(quán)限表字段名別名類型長度NULL主鍵 Purview_id權(quán)限編號char2NO是 Purview_name權(quán)限名稱varchar20NO系統(tǒng)日志信息表，用于存儲用戶操作系統(tǒng)記錄，便于管理員查詢、追蹤用戶操作。如表4-8所示：表4-8系統(tǒng)日志信息表字段名別名類型長度NULL主鍵 Operator_id日志記錄編號Int12NO是 User_id用戶編號varchar4NOStart_time開始時(shí)間date8NOEnd_time結(jié)束時(shí)間date8NOContent操作內(nèi)容varchar10YES4．4

本章小結(jié)本章主要是對統(tǒng)一身份系統(tǒng)的每一模塊進(jìn)行詳細(xì)設(shè)計(jì)，列出系統(tǒng)結(jié)果圖，畫出了子模塊的流程圖、時(shí)序圖說明介紹每個(gè)模塊的功能；同時(shí)也編寫了此系統(tǒng)數(shù)據(jù)庫需要使用的主要數(shù)據(jù)庫信息表，對整個(gè)系統(tǒng)的設(shè)計(jì)進(jìn)行詳細(xì)描述。5

總結(jié)本文通過對近年來校園網(wǎng)面臨的網(wǎng)絡(luò)攻擊、威脅等安全問題進(jìn)行簡單分析，由于各子系統(tǒng)用戶信息分散，數(shù)據(jù)繁多復(fù)雜給系統(tǒng)增加了安全隱患，決定設(shè)計(jì)一個(gè)統(tǒng)一身份認(rèn)證系統(tǒng)，使子系統(tǒng)相關(guān)聯(lián)，對登錄校園網(wǎng)的用戶進(jìn)行身份驗(yàn)證，最后實(shí)現(xiàn)用戶的單點(diǎn)登錄。首先研究了校園網(wǎng)安全的發(fā)展背景，分析了國內(nèi)外校園網(wǎng)身份認(rèn)證技術(shù)的發(fā)展現(xiàn)狀，進(jìn)一步確定設(shè)計(jì)此身份認(rèn)證系統(tǒng)的必要性。接下來介紹了統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)所需要掌握的身份認(rèn)證技術(shù)、認(rèn)證方法、單點(diǎn)登錄實(shí)現(xiàn)方式、統(tǒng)一建模語言等相關(guān)技術(shù)原理，對存儲用戶信息所能使用到的LDAP目錄服務(wù)協(xié)議的概念、工作原理也進(jìn)行了簡單敘述。隨后對設(shè)計(jì)系統(tǒng)的需求進(jìn)行分析，給出角色用例圖和系統(tǒng)用例圖，將系統(tǒng)劃分為用戶管理、身份認(rèn)證管理、系統(tǒng)應(yīng)用管理、日志管理、權(quán)限管理五個(gè)模塊。結(jié)合時(shí)序圖和流程圖闡述了用戶注冊、用戶信息維護(hù)、身份認(rèn)證、安全事件信息采集等主要功能的詳細(xì)步驟。最主要的是身份認(rèn)證設(shè)計(jì)，在用戶認(rèn)證通過后，用戶成功登陸系統(tǒng)一，認(rèn)證服務(wù)器會向用戶發(fā)送票據(jù)token這一關(guān)鍵信息，若用戶想訪問其它系統(tǒng)，系統(tǒng)只需要驗(yàn)證用戶的token是否合法即可決定用戶能否訪問其他子系統(tǒng)。經(jīng)過每個(gè)部分功能的詳細(xì)設(shè)計(jì)，基本實(shí)現(xiàn)了系統(tǒng)總目標(biāo)。校園網(wǎng)絡(luò)的安全問題短時(shí)間內(nèi)是無法解決的，而是一個(gè)持久戰(zhàn)。除了提出加強(qiáng)訪問校園用戶的身份認(rèn)證方案，還有很多是我自身能力有限無法做到的：本文的身份認(rèn)證是基于口令認(rèn)證方式身份認(rèn)證，后續(xù)方案也可以考慮使用安全性更高的方法技術(shù)實(shí)現(xiàn)，如USB移動(dòng)證書；由于學(xué)校每一年都會有新成員注冊校園網(wǎng)，在LDAP服務(wù)器存儲用戶信息時(shí)，要改進(jìn)技術(shù)手段，加強(qiáng)對LDAP服務(wù)器的管理，提高系統(tǒng)使用率。校園網(wǎng)最大的也是最嚴(yán)重的問題是網(wǎng)絡(luò)安全問題沒有辦法根治，加強(qiáng)校園網(wǎng)的信息安全，不僅要建立更安全的身份認(rèn)證系統(tǒng)，還需要配置性能較好的計(jì)算機(jī)的硬件設(shè)施，提高網(wǎng)絡(luò)防火墻技術(shù)，使用安全性較高的網(wǎng)絡(luò)安全產(chǎn)品，同時(shí)也要提高用戶安全意識。希望隨著科技進(jìn)一步發(fā)展，校園網(wǎng)的安全可以得到更全面的保護(hù)完善。參考文獻(xiàn)[1]王錦輝.校園信息安全現(xiàn)狀分析.2011.[2]黃玉濤.\t"/https/77726476706e69737468656265737421fbf952d2243e635930068cb8/kns8/defaultresult/_blank"“互聯(lián)網(wǎng)+”背景下的校園網(wǎng)絡(luò)信息安全研究.2020-3.[3]賀思德.計(jì)算機(jī)網(wǎng)絡(luò)信息安全與應(yīng)用[M].北京：清華大學(xué)出版社,2012.[4]王左利.網(wǎng)絡(luò)安全戰(zhàn)略與人才培養(yǎng)[J].中國教育網(wǎng)絡(luò)2015年,1月刊.[5]郭琳.網(wǎng)絡(luò)安全部署[M].北京：國防工業(yè)出版社,2011.[6]趙華偉，劉理爭.網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教程[M].北京:清華大學(xué)出版社,2012.[7]黃海軍，朱凱.對高校校園網(wǎng)信息安全的分析與研究.2014-3.[8]蔣亞軍，詹增榮，王偉等.實(shí)用信息安全技術(shù)[M].北京：清華大學(xué)出版社,2012.[9]HendaouiFatma;EltaiefHamdi;YoussefHabib.UAP:AunifiedauthenticationplatformforIoTenvironment.ComputerNetworks,2021-01-08.[10]\t"/https/77726476706e69737468656265737421e3f44990357e6b5e7501c7a29d41/zn/Detail/index/SFJG_01/_blank"AnirudhSrivathsan;?\t"/https/77726476706e69737468656265737421e3f44990357e6b5e7501c7a29d41/zn/Detail/index/SFJG_01/_blank"AyushAmbastha;?\t"/https/77726476706e69737468656265737421e3f44990357e6b5e7501c7a29d41/zn/Detail/index/SF