[发明专利]身份认证系统

说明书

本发明公开了一种校园网身份认证系统，能够实现全校校园网内统一的用户认证，为校园网各应用系统提供统一的、安全的身份认证服务，为门户提供认证与票据服务，实现单点登录和应用漫游，实现了基于用户认证的访问控制、支持基于角色的应用级权限管理、实现了个性化应用访问的需求。不仅保证了身份的真实性，还为信息的保密性和完整性以及交易提供不可抵赖性的服务。

技术领域

本发明涉及一种校园身份认证系统，属于数字化信息技术领域。

背景技术

数字校园是在传统校园的基础上，利用先进的信息化手段和工具，将现实校园的各项资源数字化，形成一个数字空间，以实现教育信息化，强化各项管理。数字校园中一般存在多个系统，例如教务系统、学生系统、人力资源系统、财务系统、设备系统、资产系统、网络教学系统、数字图书馆系统和社区服务系统等。对于校园网中这些应用系统来说，必须解决不同的网络应用系统用户名和口令不统一的问题，需要一种方便、安全的身份认证方法，让用户只要一套用户名和口令就可以使用校园网上被授权使用的所有应用系统，且该身份认证系统还需要考虑校园网的安全性问题，要严格区分各类用户的操作权限，跟踪用户的操作行为，具有防抵赖机制。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明的目的就在于为了解决上述问题提供一种校园网身份认证系统，该身份认证系统中学校的每一个成员都有一个与其身份相应的电子身份，用户可以使用自己的电子身份访问数字校园中有权访问的任何系统。

为了实现根据本发明的这些目的和其它优点，提供了一种身份认证系统，其中，包括：

用户认证模块：为所述身份认证系统中的各应用系统提供用户认证，认证方式包括单一应用系统基本认证和多应用系统间切换认证，所述多应用系统间切换认证是通过所述单一应用系统基本认证后，实现用户登录一次即可访问所述身份认证系统内集成的所有应用系统，当所述用户/组织通过用户认证模块登录后，所述用户认证模块会发送信息给所述应用系统模块告知所述用户/组织已通过认证；用户/组织控制模块：根据所述用户/组织的真实身份来赋予其相应的操作权限，包括组织控制、用户控制和角色控制，保证用户、组织信息的准确性与一致性，并将所述用户/组织的操作权限发送给应用系统控制模块；应用系统控制模块：对所述身份认证系统内集成的各应用系统进行控制，使所述各应用系统不仅适应所述用户认证模块，还包括提供所述应用系统的信息、将所述应用系统接入身份认证系统生成服务器证书、添加所述应用系统的管理员、根据所述用户/组织模块发送的用户/组织操作权限设置访问所述应用系统的用户、组织或角色；系统控制模块：对所述身份认证系统进行控制，包括日志控制、访问策略确定、系统备份和管理员控制。

优选的是，所述用户认证模块中用户登录算法采用数字签名算法，且所述用户认证方式既包括单一应用系统的基本认证又包括多应用系统间切换认证，其中所述单一应用系统的基本认证过程为：用户与应用系统A进行交互，并进行登录操作，所述应用系统A将用户提供的用户名、密码等转发给统一身份认证系统以检验其是否通过授权；所述多应用系统间切换认证过程为：用户通过所述单一应用系统的基本认证流程登录应用系统A后，当用户切换至应用系统B时，所述应用系统A将用户的访问权限令牌传递给所述应用系统B，所述应用系统B再将所述用户访问权限令牌传递给认证前置机，所述认证前置机与认证服务器进行交互，根据所述用户访问权限令牌以及相应的安全策略进行过滤，确定用户是否有权访问所述应用系统B，并将认证结果返回所述认证前置机，所述认证前置机将所述认证结果传送给所述应用系统B，所述应用系统B根据所述认证结果确定用户是否有权进行访问。