三維認證模型在高校信息化管理的應用研究

陳勇

三維認證模型在高校信息化管理的應用研究

陳勇

隨著學校信息化工作建設的不斷推進，信息化辦公、信息化教學逐漸走入廣大教師員工和學生中，信息化和大學、教師、學生的辦公、教學、辦公等領域變得日益緊密。但是，對于認證中的安全和便捷性問題研究變成一個難點和熱點，分析和總結了基于時間認證等幾種認證模式的特點，最終提出了一種基于身份、時間、地點的三維認證模型，并將該模型應用于學校信息化建設應用中，特別是基于課表的無線網絡管理系統，提出了一種基于教師意愿的網絡管理流程，為高校信息化管理提供了思路。

信息化；校園；管理

0 引言

隨著校園信息化工作建設的不斷推進，信息化辦公、信息化教學逐漸走入廣大教師員工和學生中，信息化和大學、教師、學生的辦公、教學、辦公等領域[1]變得日益緊密。信息化迎來大發展，學校網絡硬件和軟件逐步升級，無線進一步擴展，無線網絡走進教室，無線網絡逐漸深入校園每一處，針對各種需求催生出各種信息化系統，學校信息化建設引來大發展的同時也面臨挑戰，校園網絡和信息安全問題，校園各種數字平臺信息系統集成對接問題，信息系統孤島問題，特別是學生賬號上網的精細化控制問題等諸多的因素限制了校園信息化統一深入建設，為深化無線網絡和學生課表的深層對接和管理[2-3]，本文提出一種基于上網時間、上網地點及上網身份的三維認證管理系統，依據教師靈活控制上課時間內允許學生上網與否來精細化控制特定課程特定的學生上網行為，將上課時間內是否開通上網的權限交付給老師，讓無線網絡的管理權限下放到教學工作的主導者，提升了網絡精細化控制力度，改善了粗放似的信息管理制度，進一步保障網絡認證安全，促進全校網絡穩定，營造新型的無線網絡課堂下的教學互動新模式[4-5]。

本文分別研究了基于身份認證模型、時間認證模型、地點認證模型，通過對其不足進行分析，確立了三維混合認證模型，從而進一步對上述模型進行應用研究，通過每種認證模型的具體實現方法，證明其在應用中的可行性，實現了數字校園認證的可靠、安全、可審計等特點[5-6]。

本文利用三維認證模型對數字校園內的相關應用進行分析，設計并實現了校園網無線認證系統、教學管理認證系統等，實際應用證明了三維認證模型可以保證數字校園認證的安全性，并依據該理論建立了一個基于身份、時間、地點的多維度的認證系統，使師生可以更加方便、可靠的使用數字校園中的各項應用。

1 學校網絡現狀和認證需求

1.1 學校網絡架構現狀

中國石油大學（華東）已經建立了一套支持IPV4/IPV6協議的有線網全覆蓋，無線進教室進會議室進圖書館進學校重點公共區域，骨干千兆鏈路，部分核心達萬兆鏈路的校園網。青島校區承擔黃島區其他學校及教育行政部門的中國教育科研網絡接入。學校網絡約 23000處校園計算機網絡接點，遍布兩校區的所有辦公樓、教學樓、院系館、學生宿舍樓等。

目前學校網絡邏輯劃分為教學網、辦公網、學生網；按照傳輸介質劃分有線網、無線網。辦公區有圖文中心、逸夫樓、工科樓、體育館、文理樓等5個大匯聚點，教學區有講堂群、文理樓機房、多媒體學習中心等3個大的匯聚點。學生網有學2、學13、學19、研2等4個大的匯聚點。無線網中涵蓋了學校所有教室，重要的公共場所，包括行政樓會議室、逸夫樓會議室、逸夫樓報告廳、圖書館、體育館及學校室外熱點區域等。

1.2 學校網絡認證需求

目前數字校園的設計均是基于校內教職工和學生的身份進行身份認證的，此外，隨著學校數字校園應用建設的逐步深入，已經建成的和將要建成的各種應用系統存在不同的身份認證方式，廣大師生用戶必須記憶不同的密碼和身份。

為了解決多賬戶問題，使老師和學生使用信息化校園應用中的各個二級單位的應用子系統，便要求學校建立一整套可登錄各個應用系統可對接互動的認證模型，使廣大師生可以通過單點登錄的方式順利的使用學校內各個應用子系統，提升學校信息化應用效率。

綜上所述，學校網絡認證管理有如下認證需求：

要對各個認證系統做深入整合，包括校園網移動組、校園網聯通組、校園網教育網組的認證整成統一的認證頁面、統一的賬號管理；

要對學生賬號做到基于地域的差異化認證，做到在教學區域和宿舍區域不同的控制策略；

要對學生賬號做到基于時間的網絡權限控制，要依托上課時間，以任課老師為主體來決定特定的時間、特定的地點、特定的學生是否可以上網。

2 三維認證模型架構設計

2.1 基于時間的認證模式

時間認證模型一般有兩種實現方法：

第一種方法是將應用啟用或者訪問的時間寫入數據庫，當用戶訪問時，將現在時間和數據庫中的時間進行對比，如果在允許的時間范圍內則允許對現有程序進行正常訪問，否則提醒用戶未在允許的訪問時間內。

第二種方法是直接將程序停用，使得用戶無法訪問該程序，待時間到來時，再開放該程序的訪問，訪問時間結束后將程序移除。

第一種方法需要編程實現，實現較為復雜，好處是不需要人為控制，整體由程序控制，不會出現時間上的偏差，第二種方法需要人為控制，不需要程序，實現較為簡單，但是時間上控制會有偏差，對時間要求嚴格的不可以使用該方法。

2.2 基于混合認證模式

在應用中混合認證模型是最常用的，而進行混合認證的時3種認證方式是串行在整個認證過程中，這種串行是沒有先后順序的，可以根據需要決定認證的先后順序。此外，如果某一種認證模型不需要的話，可以跳過，這不會影響到整個認證過程如圖1所示：

圖1 混合認證流程

通常在混合認證中，會混合使用上述認證方法，例如身份認證會采用數據方式或者Ldap方式，時間認證方式采用數據庫方式，地點認證采用程序控制方式。通常會在每種認證中選擇一種方式，很少在一種認證中選擇多種認證方式，因為控制不好會導致數據沖突，從而產生數據錯誤，使得用戶獲得錯誤的信息

2.3 三維認證模式設計

校園信息化系統中的統一身份認證平臺主要是負責對門戶及各個應用系統的身份和權限進行設計和管理，通過該平臺可以保證各個應用子系統可以基于統一的模式開發、集中的環境運行，在運行后可以進行流暢的升級，這樣便降低了各個系統的運行維護的成本。

通過認證平臺的多角色的定義，使得校內師生及相關人員可以通過身份認證平臺獲得相應的身份，并有系統為師生及相關人員定義相關的業務，同時將與該人員無關的業務屏蔽。而管理員可以根據要求賦予相應人員的權限或者取消相應人員的角色，這樣師生便可以在其所對應的權限范圍內獲得一定的數據以及指定的信息。

根據三維認證模型對應用進行認證設計，可以屏蔽與該應用無關的人，也保證該應用可以在合適的地點和適當的時間進行認證。通常的認證模型主要是強調對人的認證，即主要是人的身份是否正確，是不是應該做相應的操作，而認證過程并不單單是對人的認證的問題，對時間和地點的認證也非常關鍵。例如教師上課便是這種三維認證模型的具體表現，教師只能是教務處指定的教師在指定的時間到指定的教室內去上課，這時就不能用簡單的對人的認證方式了，而應該采用這種三維的認證模型來確定了。根據三維認證模型會形成一個有認證單元組成的認證體的合集。即認證集 Au（Authentication）等于身份S（Status）、時間T（Time）和地點P（Place）的合集，如公式1所示：

由式（1）可以看出，實際上一個認證是由若干個認證群體組成的，這里面可以根據時間、身份、地點進行定義。這里面有3個比較特殊的情況：設定具有訪問權限則設定為true，否則為false。所有人都可以訪問該應用，那么定義S= true；任意地點或者IP地址都可以訪問，那么定義P=true；任意時間可以訪問，那么定義T=true。

3 三維認證模型在高校信息化建設中應用

3.1 基于課表的三維模型管理流程

結合前面研究，在基于時間、地點、對象的三維認證模型的架構下，如果希望控制學生在教學樓內上課時使用無線網，其相關的參數有身份認證（即必須是本人的賬號才能登錄），時間（上課時間不允許使用），地點（教學樓內），三者缺一不可如圖2所示：

圖2 與基于課表的無線網認證流程圖

基于課表的無線網絡控制主要是通過將教務處的學生課程表與無線認證系統的對接來實現的。具體的實現步驟如下：

第一步：定期同步教務處課表數據庫至認證系統中；

第二步：定義每節課的起始時間；

第三步：在每節課的開始時判斷是否禁用該學生的賬號；

第四步：在每節課的結束時啟用被禁用學生的賬號。

3.2 基于教師意愿的三維模型管理流程

基于課表的無線網控制總流程為：

學生通過自己賬號登錄無線網，判斷課表內是否有課，如果沒有課，通過認證后使用無線網；

如果有課，判斷任課老師是否允許使用無線網，如果沒有定義，將按照默認設置禁用該帳號；

如果教師定義其可以使用無線網，該學生可以在該教師上課期間使用，直至下課，或者重新定義不允許使用無線網；

下課后，允許正常認證并使用無線網；下節課到來時，判斷該生是否有課，如果有課，根據課表和教師預定義來判斷是否允許使用無線網，如果不允許，則強制下線如圖3所示：

圖3 基于教師的無線認證流程圖

3.3 實現效果圖

基于教師的無線認證管理界面如圖4所示：

圖4 基于教師的無線認證管理界面

僅當有課教師才有權限登陸進入該界面，界面中的管理對象是該任課老師的班級所在的同學。

依托三維認證模型，該教師所擁有的權限是決定其所在班級擁有無限賬號的學生在其上課期間是否擁有上無線網的權限。若是其需要開通權限，基于三維認證模型中的相關屬性如下：時間是則該任課老師在特定的上課時間內；地點是無線網絡覆蓋下的教室；角色是該任課老師所任教的所有學生。依托三維模型對特定時間、特定地點及特定身份開通是否允許其上網的權限。

4 本文總結

本文針對校園網數字安全，特別是無線網絡認證的多樣性需求，提出了一種基于時間、地點、人物的三維認證模型，且將該模型深入推廣到其他信息系統的身份集成應用中，為簡化認證、安全認證做了有益貢獻，確保校園信息化建設中信息系統集成的順利實施，確保對學生賬號的精細化控制，進一步提升信息化辦公、信息化教學的效率。保證這些應用可以在合適的地點、合適的時間利用合適的身份進行可靠地認證。除了保證可靠性，也要在設計上著重頁面的簡潔性與操作的方便性，提供操作者更好的用戶體驗。

[1] 趙冶東.路由交換技術[M].北京:清華大學出版社,2011.

[2] Hill B. Cisco完全手冊[M].北京:電子工業出版社,2002.

[3] China Education and Research Network [EB/OL].1993.

[4] 張宏科. IP路由原理與技術[M].北京:清華大學出版社,2000.72-94.

[5] 胡國榮.數字視頻壓縮及其標準[M].北京:北京廣播學院出版社,1999.

[6] 沈蘭蓀,卓力,田棟,汪孔橋.視頻編碼與低速率傳輸[M].北京:電子工業出版社,2003.

The Usage of 3D M odel in App lication of the University Informatization M anagement

Chen Yong
(Internet and Education Technology Center, China University of Petroleum (East China), Qingdao 266580, China)

With the continuous progress of university informatization’s construction, informatization office, information teaching has gradually turned into the teachers’ staff and students, informationization and University, teachers, students, teaching office, office and other fields become increasingly closer. But for the safety and convenience of the certification to become a difficult and hot spot, this paper analyzes and summarizes the characteristics of several time certification based on patterns, finally presents the 3D authentication model, which based on the status, time place was applied to the construction of the school of information application, especially in w ireless network management system based on the schedule, proposed one kind based on the teachers' w illingness to network management process, and provides a way for the University Information Management.

Informatization; Campus; Management

TP393

A

2014.05.09）

陳勇（1968-），男，安徽省人，中國石油大學（華東）網絡及教育技術中心，主任，高級工程師，研究方向：校園網絡管理，青島，266580

1007-757X(2014)11-0058-03