校園網認證銳捷校園網認證客戶端

一：[校內網認證]校內網認證使用指南

用于認證武漢理工高校WHUT-WLAN和WHUT-WLAN-DORM的Wifi。1基礎常識

1.1在哪里可以連校內網，校內網收費問題校內網Wifi幾乎掩蓋整個校內，分為WHUT-WLAN和WHUT-WLAN-DORM。WHUT-WLAN為教學區，WHUT-WLAN-DORM為寢室樓。教學區免費，本科生只能登錄1個設備，討論生可以同時登錄3個設備。宿舍區20元/月，只能同時登錄1個設備。1.2什么是工作組（計費組）計費組有兩種方式：同學教學辦公區免費組和宿舍20元包月計費組，用戶只能設置為其中的一種。選擇前者則無法使用宿舍區的WHUT-WLAN-DORM。通過（需校內網訪問）進行修改計費組，建議使用電腦訪問。1.3繳費方式請登錄武漢理工高校支付平臺繳納網費或通過掌上理工大的校內卡網費功能繳納。2自動認證功能

2.1這個功能有什么用？開啟本功能后，在Wifi連接上校內網WHUT-WLAN或WHUT-WLAN-DORM時將自動認證校內網。2.2如何開啟或關閉有兩種方式：

通過校內網認證主頁面右上角個人中心的開關進行設置通過掌上理工大設置頁面進行設置

2.3開啟本功能消耗內存或CPU資源嗎？不會。該功能的原理是連接Wifi時，系統會通知并喚起掌上理工大后臺，然后掌上理工大在后臺進行認證，認證完結束后臺。因此開啟此功能不會鋪張資源，也不會影響手機性能。2.4開啟后若清理后臺內存，校內網還能自動認證嗎？基本上可以。對于部分手機可能禁止應用相互喚醒權限（為自啟動權限的一種），此時若進程被清理，系統在Wifi連接時將無法喚起校內網認證。該狀況下，用戶可通過設置掌上理工大的自啟動權限，來實現即使后臺進程被清理也能自動校內網認證。2.5認證失敗會在通知欄顯示嗎？不會，由于考慮到用戶跨校區走在路上會多次連接校內網，有時網絡狀態不佳造成認證超時。假如通知會對用戶產生干擾。3校內網求助功能

3.1這個功能有什么用？當認證校內網遇到困難（如校內網欠費又無法繳費）時，可通過該功能生成求助鏈接，發送給好友，好友點擊進入鏈接來幫忙認證校內網。3.2詳細步驟怎么樣求助人在校內網下生成求助鏈接，通過短信、微信或者等渠道發送給好友，也可以讓好友當面掃二維碼，好友打開鏈接后幫忙認證，好友幫忙認證時務必保證你自己當前連接著校內網Wifi。3.3在校內網未認證狀況下如何把求助鏈接告知好友呢？有多種途徑：

方式1：直接利用二維碼當前掃或短信發送求助鏈接功能即可快速向好友求助方式2：在連接校內網Wifi狀況下生成求助鏈接（二維碼），使用流量共享改求助鏈接，共享完好友幫忙認證時肯定要連接校內網Wifi，否則將認證失敗。

3.4為什么提示漫游錯誤？手機A在教學樓甲下生成求助鏈接，那么好友在幫忙認證時若手機A不連接著教學樓甲的Wifi，則會提示漫游錯誤。4桌面插件

4.1這個功能有什么用？使用桌面插件可以更快速得認證校內網，一鍵認證。考慮到寢室區電腦與手機不能同時使用校內網，所以不建議開啟寢室區的校內網自動認證。此時，插件一鍵認證將是最佳選擇。4.2如何添加桌面插件？插件的添加必需由用戶手動添加，插件又叫桌面小部件，不同機型添加方式略有區分。若不清晰如何添加可自行百度。如何還未能解決你的懷疑，請向我們反饋。

二：[校內網認證]校內網統一認證系統的設計計算機與信息技術

校內網統一認證系統的設計

張霞

秦緒海

摘

要

該文詳述了統一認證的系統設計原理，并對目前國內外常見的幾種統一認證系統進行分析，總結其中的技術要點和設計流程，說明數據管理的規律統一和單點登錄是實現統一認證的核心問題，基于對這兩種技術的討論，給出了一個校內網統一認證系統的設計方案。

關鍵詞

統一認證

單點登錄

SSO

LDAP

Passport

1

引言

當用戶訪問網站時，出于平安的考慮，很多網站的服務如電子郵件、論壇、文件下載等一般都要對用戶進行認證，確定用戶的身份后給予用戶相應的訪問權限。隨著用戶申請服務的增多，用戶需要記憶的用戶名和密碼也在增多，每進入一項服務都要進行認證，不僅耗費時間而且簡單遺忘密碼；另外，網站維護人員對各種服務需要建立相應的用戶認證與信息管理系統，分布于各服務器上的用戶數據不僅鋪張維護人員的時間，而且過于分散的用戶數據不利于統計和管理，無論是商業網站、企業網還是校內網，都面臨這個問題。用戶需求與管理要求促使用戶認證趨于統一，這就產生了統一認證。

統一認證的目標與系統特點為：

⑴

一認證以用戶層、維護層和管理層三個層面上的平安和操作簡便為目標。用戶層只需一個用戶名和密碼，進行一次登錄就可以訪問統一認證范圍內的全部網站服務；維護層可以統一設計用戶的信息格式，集中管理用戶信息；管理層可以更快捷地獵取用戶動態，分析用戶需求，進而進展更新奇，豐富的服務。

⑵

一認證系統應供應認證過程的透亮?????性和網站服務轉換的無縫鏈接。

⑶

目前瘦客戶機的概念已經深化軟件體系結構設計之中，B/S結構成為流行設計趨勢，BBS,E-MAIL,ftp等傳統服務已經逐步轉向WEB方式，統一認證也應當體現這種瘦客戶機設計思想。

2

系統設計

軟件體系結構通常分為三個層面：數據管理層，業務規律層和應用表示層。我們也從這三個方面來解析統一認證系統的設計。統一認證的兩個核心問題是數據的規律統一和單點登錄（SSO，SingleSign-on）的實現，它們分別位于數據管理層和業務規律層。

（1）

數據管理層：這一層實現對用戶信息存儲和管理的規律統一，使統一認證系統管理下的全部用戶信息能夠呈現一個完整的規律視圖，消退分散管理的混亂，實現統一的管理標準和可擴展的數據結構。目前在此方面的數據管理技術已經比較成熟，常見的國際標準是輕量名目訪問協議LDAP(Light-WeightDirectoryAccessProtocol)。

LDAP是IETF制定的網絡信息管理協議，可以便利地對用戶數據、網絡資源等各類信息進行統一、有效地管理，一般布置在Unix或Linux服務器平臺中，它可以使用數據庫進行數據存儲，加快數據訪問速度和提高平安性；通過接口與各種數據庫進行交互，具有較高的敏捷性。比較常見的軟件中非商業性的有OpenLDAP，商業性的有NetscapeDirectoryServer、SUNONEDirectoryServer、MicrosoftActiveDirectory等。其中ActiveDirectory是Microsoft公司依照LDAP標準設計的基于Windows服務器平臺的名目服務，通過存儲網絡上對象的信息，允許網絡用戶通過單個登錄過程訪問網絡任意位置上允許訪問的資源，為網絡管理人員供應了直觀的網絡層次結構視圖和對全部網絡對象的單點管理。

數據庫的應用是通過制定用戶管理信息的規范，設計相應的表結構，實現數據的存儲，并通過數據庫供應的接口規范編寫各種應用模塊，此外，數據庫還供應了較為完善的平安性、數據完整性等服務。通常使用的應用數據庫有ORACLE、SQLServer、INFORMIX等。

（2）

業務規律層：這一層主要實現統一認證的核心服務，包括對數據的操作，用戶的認證服務和通信服務，目標是實現單點登錄。

數據操作部分依照數據層供應的接口規范編寫相應模塊即可；

用戶認證部分既可以響應由用戶通過WEB訪問進行的認證服務調用，也可以響應非WEB的訪問，如用戶端的OUTLOOK、服務器間聯合認證調用等。認證后通過對用戶認證信息的傳遞，使用戶以合法身份訪問各網站的服務。

單點登錄在時間上涉及注冊、登錄、訪問和退出四個過程，注冊和登錄應保證信息傳送的保密性和認證過程的透亮?????性，認證的機制有：Kerberos,PKI,一次性口令，數字證書和硬件鑒別等。訪問過程應實現對認證信息的透亮?????處理和對網站的無縫連接，各項服務的退出應體現透亮?????性。在空間上涉及單個認證系統和多個認證系統下的認證訪問，主要運用分布式處理技術，實現認證信息的透亮?????傳輸與交換；在用戶端涉及到使用Cookie保留認證信息，或是由服務器側將認證信息組裝在HTTP頭部進行重定向等技術。

（3）

應用表示層：供應用戶統一的認證接口，應體現WEB訪問的主流設計思想，便于開發新業務，供應針對各種應用服務的認證功能，如,E-MAIL,BBS等。

3

國內外典型案例分析

目前關于用戶統一認證的討論已經進入到實際應用之中，技術的焦點主要集中在單點登錄上，商業性的產品有IBM的TivoliGlobalSign-On，Novell的SecureLogin,RSA的ClearTrust,Oracle9iASInfrastructure，Microsoft的.NetPassportSSI等。一些組織和論壇也提出了一些規范和技術，如LibertyAllianceProjectPhase2,OpenLDAP等。另外，WebService近幾年來逐步流行，它使用XML與HTTP進行對象描述與信息傳送，實現了跨平臺性和面對對象的分布式處理，單點登錄也有在WebService中集成的趨勢，目前Microsoft和SUN等公司都在致力于這方面的討論。

下面就一些典型案例進行分析。

（1）.NETPassportSSI（SingleSign-in）：它通過.NETPassport服務建立集中認證機制，用戶可以通過在HOTMAIL、MSN上注冊電子郵件，登錄Passport網站或Passport合作站點等方式建立Passport賬號。

在獲得Passport帳號后，可以在Passport及其合作站點進行單點登錄，實現無縫的鏈接訪問，合作站點的登錄認證都通過HTTP重定向功能集中到Passport網站完成，其中采納SSL/TLS,TripleDES加密算法等平安措施保證信息平安，認證通過后，將認證信息傳送至客戶端,以Cookie形式保存，用戶訪問合作站點時，在訪問信息中附帶Cookie一起傳送給合作站點，合作站點中有PassportManagerObject進程用來檢查Cookie信息，鑒別用戶合法與否，合法用戶被授權訪問網站信息,用戶完成訪問后，通過選擇Logout，重定向到Passport服務器，由Passport通知各受訪站點退出，各受訪站點同時刪除客戶端的Cookies。

Passport認證過程示意框圖如下：

圖1Passport認證過程示意圖

Passport合作站點的開發基于Microsoft供應的SDK，可將Passport部署在Windows,Linux或Unix等服務器平臺上，由Microsoft供應平安密鑰和站點ID，使用Passport服務器進行集中式認證服務。

Passport目前已進入商業運行，且擁有相當規模的注冊用戶。但是它也有一些潛在的問題，照實現集中式認證后，各合作站點的用戶認證都在Passport網站的管理之下，一旦認證時Passport網站無法連通，則不能供應后續服務；使用Cookies保存和傳遞用戶信息會引起用戶登錄信息的泄密，如用戶使用公共計算機上網，遺忘退出Passport或使用了自動登錄選項，就會造成賬號盜用；Passport未供應與其他身份認證服務進行聯合的機制，使得其它具備認證服務的網站不行能參與Passport，也不能聯合進行統一認證。目前Microsoft正在推出TrustBridge技術以解決不能與其它認證服務站點聯合的問題，并通過支持Kerberos認證機制增加平安性。

（2）LibertyAllianceProject:它是由RSA、SUN、Novell等多家公司制定的聯合認證標準,基于互聯網上已存在的認證系統而提出，目的是為了簡化用戶登錄和訪問的過程，其實質也是單點登錄，目前它的版本為Phrase2,其內容涉及到聯合認證，WebService下的認證管理等技術標準，它沒有Passport集中式的統一認證系統，服務站點（ServiceProvider）與認證站點(IdentityProvider)之間建立一對多或多對多的合作關系，通過用戶設定各網站賬號的映射關系，建立用戶的單點登錄服務，使用HTTP重定向、URL編碼和SAML（SecurityAssertionMarkupLanguage）進行認證信息傳遞，不在客戶端存放Cookies認證信息。目前，SUN、AOL等公司已開發出基于此規范的產品，

當用戶登錄服務站點時，服務站點向用戶供應建立聯盟的認證站點鏈接，由用戶選擇一個認證站點進行登錄驗證，驗證時詢問用戶是否建立服務站點的賬號聯合，用戶選擇是后站點之間完成賬號聯合，并將用戶重定向到服務站點開頭服務，以后用戶無須再進行賬號聯合,可以通過在認證站點單點登錄之后訪問服務站點，也可以在訪問服務站點時選擇認證站點進行登錄，再通過站點之間使用SOAP協議傳遞認證信息實現服務訪問的無縫鏈接。

用戶退出時，若在認證站點時，則由認證站點通過HTTP重定向和GET指令通知各服務站點退出，在服務站點時，則通過HTTP重定向通知認證站點等退出；另外，也可采納SOAP進行通信完成退出過程。

其余的SSO軟件開發，在Unix或Linux平臺下，有的采納RPC或SUN的RMI，EJB等，例如通過在客戶端執行Javaapplet，實現客戶端的計算，完成密鑰交換與認證，采納RMI在實現Java對象的各站點之間進行認證信息傳遞等。

4

可行性方案設計

校內網是一個供應多種服務的大系統，有必要建立一個集中式的認證系統，供應對E-MAIL,BBS,FTP，電子交易