论文摘要
当前高校信息化工作快速发展,建设“数字化校园”成为高校现代化发展的一个重要目标。随着高校信息化的发展,很多高校在校园网中已建立了多个信息管理系统,如邮件系统、办公自动化系统、教务管理系统等等,今后仍会增加很多新的应用系统,为高校师生提供多种服务。校园网应用规模越来越大,用户数量也不断增加。这给信息安全方面带来很大挑战:一方面是现有一些WEB运行环境存在着很大安全隐患,例如,网络中的重要信息以明文传输、身份认证功能没有或者很弱、缺少统一的访问控制管理功能等,这些系统很容易成为黑客攻击的对象;另一方面是校园网许多用户可能拥有多个系统的多个账号,使用这些系统时将要重复录入账号、密码等信息,不仅烦琐,而且容易丢失密码,甚至为了记忆方便,而降低密码强度等。因此,校园网需要有一个统一的、具有较高安全又有较高效率的分布式环境下的身份认证和访问控制系统,以保证校园网应用系统的安全。当前统一身份认证和访问控制已成为研究的热点,并出现了许多基于SOAP的Web Services相关协议,如SAML、WS-Federation、XACML等,并得到了许多著名企业的支持,但要正确使用这些协议,将是非常复杂的事情。在综合比较目前已有统一身份认证和访问控制研究和应用的基础上,克服传统统一身份认证和访问控制系统效率不高,使用复杂等缺点,以REST、AJAX和Javascript虫洞等技术为核心,给出了一个新的基于Rest和AJAX的身份管理系统(REST and AJAX Identity Management,RAIM)。在RAIM系统中,提出新的、高效的基于AJAX的身份认证方式,避免了采用HTTPS身份认证方法,计算成本太高,服务器性能要求苛刻等缺点。利用Javascript虫洞、AJAX和二次登录等方法,实现一种新的跨域单点登陆和全局注销。基于角色和REST风格,设计一个适于校园网现状的多级访问控制策略。基于REST对资源权限定义为三层:Web应用系统层、URI层和操作层。系统API设计上没有采用传统的基于SOAP的Web Services服务方式,而是基于更简单高效的REST,设计新的统一身份认证和访问控制Web服务API。