智慧校園統一身份認證技術分析

摘 要：在互聯網技術高速發展的今天，建設數字化和智慧化校園的步伐不斷推進，于是各種基于校園網的應用層出不窮，然而在不同應用“百家爭鳴”的表面之下卻也有著很多弊端，比如應用更新不及時、維護不及時、惡性漏洞多、每一個應用都需要頻繁的登錄驗證等缺點，其中最令用戶頭痛的則是不同應用需要頻繁登錄驗證的問題，這不符合智慧校園的要求。因此，建立一個統一的身份驗證系統，對用戶進行統一的管理、身份驗證和授權，避免用戶頻繁的登錄認證是建設智慧校園的一項重要的內容。

關鍵詞：智慧校園；統一身份認證；技術分析

1 背景

智慧校園是校園數字化的一種高度發展的形式，或者說智慧校園與數字化校園在本質上沒有區別，都是利用互聯網技術對處于校園網的人進行統一的管理，因此派生了許多基于校園網方便師生的應用。雖然這些應用基于校園網，但是其本質依舊是一個個獨立的系統，并且這些系統的管理員之間互不信任，因此就會出現面對不同應用用戶得記憶不同的賬號和密碼，造成了在使用應用時的頻繁登錄與認證。比如在某高校，學生登錄個人信息系統用的是自己的學號與密碼A，學生登錄學校圖書館時用的是自己的學號與密碼B，學生用校園網上網時用的是自己的學號與密碼C，雖然賬號均為學生本人的學號，但是，密碼卻有三個，增加了記憶量，有的學校甚至在這些平臺的登錄上讓用戶使用不同的賬號密碼，也就是說雖然學校的個人查詢信息平臺、圖書館首頁都是基于校園網而建立，但是相關的數據卻互不通用，這不僅不能體現數字化校園給人帶來的便利性，而且還會增加維護的困難，因此建立一個統一的管理、身份認證和授權的平臺，使得用戶可以使用一套賬號密碼“一鍵登錄”一切基于校園網而建立的應用。

有人會有疑問，這些應用都用一套賬號密碼登錄難道不會增加自身信息被盜取的危險？這種擔心不是沒有根據的，在多個應用使用相同的賬號和密碼確實會增加賬號被盜取的風險，但是那是基于這些應用沒有一個統一的數據庫而言，而建立統一驗證系統的本質即是建立一個總的用戶數據庫。

2 認證機制分類

2.1 用戶口令認證

用戶口令認證是一種早期的認證機制，一般用于早期的電腦系統中，現今也常用于某些對于安全性要求不高的系統中，比如Windows中的用戶登錄，pc的開機口令，Linux系統的用戶登錄等。其驗證過程為，當遇到需要驗證用戶身份的操作時，用戶輸入相應口令，若用戶輸入的口令與系統中儲存的口令一致時則通過驗證，反之則拒絕用戶的操作。但是其存在以下缺點：（1）驗證方式簡單容易被破解；（2）易被病毒截取口令；（3）口令泄露后用戶不能及時察覺。

2.2 挑戰-應答的認證

挑戰-應答模式的作用過程為，當遇到需要認證用戶的身份時，服務器會發送一串隨機字符給用戶，用戶根據字符做出相應的回答然后將回答返回到服務器，若回答的結果與服務器結果相一致則用戶通過驗證，反之則終止操作或繼續發送字符直到用戶返回正確的結果。

該機制可以看作是口令認證的升級版，但是該機制因每次認證時都會發送不同的字符，因而不容易被攻擊者破解，因此具有很高的安全性，但是用于每次驗證時口令都是隨機的，因而會浪費掉用戶大量的時間。

2.3 Kerberos認證

Kerberos是一種認證協議，該協議的認證過程不依賴傳統的主機操作系統的認證，亦不必基于對主機地址的信任，更不要求任一在網絡上的主機都是安全的，該協議假定在網絡上傳輸的數據包都是可以被任意讀取、修改和擴充的。

Kerberos對信息進行的加密方式為對密鑰加密，因此該認證方式提供了一個具有較高安全性的用戶身份認證方式，其基本內容是，只要能夠對信息進行正確解密的即是合法用戶，用戶在訪問應用的服務器之前會先訪問Kerberos（第三方）服務器以獲取訪問許可證。

該認證的運行環境可分為以下三部分：（1）密鑰的分配中心：此

部分含有全部的用戶賬號信息，是整個系統的核心之處，并且提供兩部分的服務，認證服務（Authentication Server， AS），以及票據授權服務（Ticket Granting Service， TGS）。（2）Kerberos的應用服務器：此部分用于接受用戶的操作請求，驗證用戶，并且為合法用戶提供相應的服務。（3）Kerberos的工作站：這部分的功能是將用戶的登錄時的密碼轉為該用戶的長期密鑰（秘密密鑰）。

該認證方式的過程為：（1）用戶A向AS做出要訪問TGS的請求。（2）AS收到該請求并從用戶的口令中導出密鑰K-A進行加密，加密后只有用戶能夠解答。而后，向用戶做出應答，內容包括：證明用戶A身份的ID-tgs，A與TGS間會話所使用的密鑰K-A-tgs，時間戳TS2，以及AS發放的Ticket-tgs（票據許可票據）。（3）A收到Ticket-tgs后，會向TGS發送請求，請求訪問應用服務器服務。之后TGS使用K-tgs解密，導出用戶A與自己會話使用的K-A-tgs，而后TGS進行數據比對確認A的身份。（4）TGS向A發出應答，應答內容為服務器X的身份ID-X，以及服務器與用戶會話使用的K-A-X，服務許可票據Ticker-X。（5）A向服務器X出示認證符和服務許可票據，服務器解密票據后得密鑰，利用該密鑰確認A的身份。（6）最后服務器向A證明自己的身份。

由此可見，kerberos認證方式在于其能將用戶的數據集中管理，是一種互相認證的機制，這可以大幅度服務器的維護成本。而且這種認證是雙向的，不僅服務器要驗證用戶的身份，服務器還要向用戶證明自己的身份。這樣每次的密鑰都不一樣，因此可以防止非法服務器進行攻擊。所以校園統一身份認證的認證機制采用kerberos認證較為適合。

3 其他框架

3.1 目錄以及目錄服務

目錄服務即是按照樹形信息組織方式來實現信息的管理和服務接口一種方式，所以目錄服務是一種管理的工具也是用戶的最終工具。在目錄服務期間用戶與服務器能夠互相驗證對方的身份。

3.2 Web Services

Web service是一種架構在XML技術基礎上的程序集成技術，構筑Web service的主要技術為XML（可擴展標記語言）、SOPA（簡單對象訪問協議）、服務描述語言（WSDL）、統一描述、UDDI（發現和集成規范）。利用web service在各種異構平臺的基礎上搭建一個通用的平臺。

3.3 Protal技術

由于在校園應用中有不同的操作系統、不同的數據庫以及不同的開發平臺，在建設智慧校園時應當使用一個統一的展現平臺，而且還能夠為用戶提供定制的能力。而Protal技術即提供了這樣一個平臺，利用Protal技術可以實現的功能有：（1）內容聚合；（2）視圖定制；（3）單點登錄；（4）個性化服務；（5）可管理可配置等。

4 結束語

統一身份認證系統是建設智慧校園的重要部分，利用統一身份認證系統，用戶可以不必記憶大量的賬號和密碼，可以用一個賬號密碼進行各個應用的登錄，由于各應用服務器共同使用了一個數據庫因此，可以大大降低服務器的維護成本，并且由于采用了互相認證的方式能夠大大減少服務器被攻擊的幾率，而且統一認證系統比傳統的認證系統顯得更為可靠可以大幅度降低信息被盜用的風險。

參考文獻

[1]王瑋.數字化校園統一身份認證系統的研究與實現[D].北京郵電大學，2010.

[2]陳鴻.數字校園統一身份認證系統的研究與實現[D].電子科技大學，2013.

[3]王靜然.結合人臉識別和RFID卡的考生身份認證系統的研究[D].太原理工大學，2013.

作者簡介：狄宏林（1979-），男，吉林省延吉市人，本科，講師，畢業于吉林大學，就職于東莞市廣播電視大學，研究方向：數據挖掘、大數據分析。