高校數字證書統一身份認證系統分析與應用

黃海軍

（云南工商學院 云南 651700）

0 引言

傳統的高校校園網系統應用中，普遍采用的身份認證方式為“用戶名+靜態密碼”進行驗證；管理員在用戶進行相關應用操作前，在應用服務器中建立一個文件，該文件存儲了使用者的用戶名信息，并將對應的密碼、應用權限與用戶名進行了綁定，當用戶對應用進行操作時，應用服務器要求使用者提交“用戶名+靜態密碼”，應用服務器在收到認證信息后，將認證信息與存儲在服務器中的用戶信息進行比對，以確認該訪問者是否為合法用戶，擁有哪些訪問權限；認證之后，根據認證結果進行對應的下一步操作。

1 傳統的口令式身份認證優點及缺陷

傳統的口令式身份認證的優點是：一般常用的操作系統都能提供對口令認證的支持，對一些小規模的、封閉的內部系統來說，采用口令式認證是一種低成本的解決方案；但是，口令式的身份認證方式主要存在以下幾種缺陷：

使用時泄密：靜態密碼在使用時，可能在輸入過程中被窺視，也可能被“鍵盤鉤子”等木馬程序竊取。

傳輸過程泄密：在系統網絡中，口令文件是以明文方式傳輸的，易在傳輸過程中被欄截，并分析破解。

密碼特征化泄密：許多用戶的密碼設置常用容易記憶的字段，如用戶的出生日期、電話號碼、姓名縮寫等。

密碼通用性泄密：為防止遺忘密碼或者在多種應用中將密碼字段混淆，用戶可能在多種應用系統（如：校園網系統、電子郵件系統、網上銀行）中使用同一組靜態密碼；一旦有其中一個系統出現泄密，其他應用系統的賬號也就存在危險。

可被暴力攻擊破解：不少用戶的靜態口令設置簡單，且長時間使用不進行更改，讓黑客使用窮舉式暴力破解提供了可能。

在高校校園網內自建CA認證中心，能夠充分滿足校園網系統的身份認證需求，提供足夠的安全認證支持，還可以節約成本、便于管理和進行擴展。從長遠來看，自建CA的成本遠低于第三方CA提供相應服務的成本。

高校校園網是網絡辦公系統中很有代表性的一種，有明確的可信任的應用范圍和基本確定的使用者范圍，校園網自建的認證中心就是該校園網系統的權威數字認證中心。近幾年國內教育界在這一領域的發展非常迅速，現在已經有很多高校都開始設計并建立了自己的數字證書認證中心，使得該技術逐漸走向成熟。在構建適合校園的數字證書認證系統時，系統的體系結構是要重點考慮的。校園網是獨立的主體，其客戶和服務群體基本上都信任學校權威中心，身份確認及授權均可最終由權威中心仲裁。在校園網系統中引入數字證書身份認證系統，能夠解決當前校園網系統中面臨的應用安全性、完整性和保密性問題，還能提供應用的強身份認證及操作的不可否認性。校園網身份認證系統是建立數字化校園的堅實基礎，建立適用于校園網的身份認證系統模型，必須充分考慮校園網的特殊環境及特殊需求。

2 數字證書在校園網中的應用

云南工商學院目前使用的應用系統通常有：OA系統、教學系統、財務系統、門戶系統、人事系統、學生工作管理、綜合教務、郵件系統、圖書管理等應用系統。目前校園網系統釆用的為B/S模式，為了實現基于數字證書身份認證功能在原有學院校園網系統中的應用，需要進行如下改造：

（1）在中心機房端，添加一臺物理獨立的服務器，將CA系統與校園網應用系統設為物理獨立，作為身份認證系統的信任基礎。

（2）在中心機房端，添加一臺服務器，用于存放 LDAP目錄服務系統，CA將用戶的證書過期列表（CRL）添加到LDAP中，供身份認證網關進行身份認證時查詢。

（3）對目前存放用戶身份、口令等信息的服務器進行改造，添加統一用戶管理系統，完成數字證書與原賬號的映像關系綁定，供身份認證網關進行身份認證時查詢。

（4）添加身份認證網關設備，網關與RA、LDAP、統一用戶管理系統直接連接，同時再對網關進行注冊配置，添加如下信息：

①應用登錄頁面的地址、端口等；

②網關需要向系統傳遞的信息進行認證。

（5）添加密碼機，對在各系統之間傳輸的數據、信息等進行加密，確保數據傳輸的安全。

3 數字證書的獲得

學院外語系新招聘英語專業教師李某為例，為了能讓其使用校園網系統開展對應的業務，需要為李某申請數字證書，讓她獲得登錄校園網應用的唯一身份標識。

管理員首先通過統一用戶管理系統，為李某釆集其原始信息，如：姓名、專業、身份、郵件地址等。

李某到本系的注冊中心（RA）提出數字證書申請，待審核通過后，RA將申請發送至CA。

管理員登陸CA，對RA發送的數字證書申請作出回應，為申請者頒發數字證書，將用戶的證書文件交給李某；同時，將李某的證書信息添加到證書注銷列表（CRL）中，并將李某的證書公鑰也添加到LDAP目錄服務系統中。

李某此時即獲得了她在工商學院校園網中的業務身份，也是其唯一的應用身份標識。

4 數字證書統一身份驗證

李某在獲得數字證書后，進入教學管理系統，修改學生考試成績，流程如下：

打開教學管理系統入口頁面，應用服務器端檢測后發現，李某并未進行登錄隨后對其訪問請求進行重定向到身份認證網關，并要求李某出示她的數字證；身份認證網關在LDAP目錄系統的支持下，完成對李某證書有效性的驗證，驗證通過后，身份認證網關從統一用戶管理系統中獲取她的賬號、權限、屬性信息等資料，并將驗證結果返回教學管理系統，同時給李某發放本次訪問的 Token；李某重新登錄教學管理系統，教學管理系統又將用戶所帶的 Token重定向到認證網關，網關又對Token進行驗證，判定用戶是否已經通過身份認證，并且具備訪問該應用系統的權限，身份認證網關將判定信息返回至教學管理系統，而后，李某便能登錄教學管理系統進行操作；并且在此次驗證后，李某還能直接訪問其權限允許的各應用系統，不再需要進行登錄驗證。

為用戶以及信息系統服務器頒發數字證書，PKI/CA中心承擔起核對和驗證各網絡用戶方身份；頒發、維護和管理數字證書，提供數字證書及CRL查詢服務。基于數字證書建立統一身份認證系統，用于財務系統、郵件系統、科研管理系統等校園核心應用系統用戶進行系統登錄時的強身份認證、單點登錄、應用級訪問控制等應用安全加固功能。

5 總結

在高校校園網中建立一套安全防護系統為用戶提供統一、安全的身份認證服務，并實現教學系統、人事系統、財務系統、綜合教務、多媒體資源、網絡教學、學生工作管理、郵件系統、ERP系統等業務系統單點登錄，讓用戶使用安全的身份登錄一次后就可以根據相關的策略訪問業務系統資源，不需要重新輸入業務系統用戶名/密碼等信息。并且業務系統都是獨立部署，并且運行在不同的平臺上。因此，數字證書驗證系統確保高校校園網系統能夠獨立運行的前提下解決統一身份認證、單點登錄的問題。

[1]黃劍飛.LDAP在校園網統一身份認證中的應用[D].江工業大學.2009.

[2]常潘.沈富可.于 LDAP的校園網統一身份認證的實現[J].算機工程.2007.

[3]段海新.校園網安全問題分析與對策[f].中國教育網絡.2005.

[4]查貴庭，彭其軍，羅國富.校園網安全威脅及安全系統構建[J].計算機應用研究.2005.

[5]開澄.計算機密碼學——計算機網絡中的數據保密與安全[M].第二版.清華大學出版社.2007.

[6]湯彬，胡浩民，向玨良.基于PK1身份認證技術的研究與實現[J].自動化儀表.2008.

[7]楊宇.基于PKI身份認證系統的研究和實現[D].成都：電子科技大學.2009.

[8]關振勝.公鑰基礎設施PKI與認證機構CA.電子工業出版社.2002.

[9]唐玲.數字證書系統的設計研究[D].合肥工業大學.2004.

[10]楊波，王常吉，段海新.基于PKI/PMI的校園網安全單一登錄設計[J].計算機工程與應用.2004.