數(shù)字化校園統(tǒng)一身份認證系統(tǒng)的研究

摘 要：進入21世紀，計算機移動網絡技術迅猛發(fā)展，各種應用迅速走入人們的生活，用戶數(shù)量和應用終端數(shù)量爆發(fā)式增長，給高校的網絡建設工程提出了新的要求，應用的安全和便捷性需求問題引起了高度重視。各種各樣的應用系統(tǒng)，復雜繁瑣的登錄確認，權限認證等問題，迫切需要現(xiàn)代數(shù)字化校園集成各類網絡資源，提高應用效率，建議統(tǒng)一的門戶和統(tǒng)一的身份認證系統(tǒng)。

關鍵詞：統(tǒng)一身份認證；Kerberos Web Service單點登錄；輕量目錄訪問協(xié)議

1 研究的背景和意義

進入21世紀，計算機移動網絡技術迅猛發(fā)展，各種應用迅速走入人們的生活，用戶數(shù)量和應用終端數(shù)量爆發(fā)式增長，給高校的網絡建設工程提出了新的要求，應用的安全和便捷性需求問題引起了必要的重視。各種各樣的應用系統(tǒng)，復雜繁瑣的登錄確認，權限認證等問題，迫切需要現(xiàn)代數(shù)字化校園集成各類網絡資源，提高應用效率，建議統(tǒng)一的門戶和統(tǒng)一的身份認證系統(tǒng)。

數(shù)字化校園統(tǒng)一身份認證系統(tǒng)的主要理念為集成各類網絡應用，建立統(tǒng)一門戶和和統(tǒng)一的認證服務系統(tǒng)，實現(xiàn)使用唯一身份認證信息登錄和權限區(qū)分。統(tǒng)一身份認證的優(yōu)點其一是用戶只有一個登錄賬號，在使用中注冊、登錄和修改信息時比較方便；其二是對于系統(tǒng)來說，可以避免各個應用系統(tǒng)的重復開發(fā)，統(tǒng)一數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)共享，同時可以根據(jù)各個子系統(tǒng)的點擊率來優(yōu)化整個系統(tǒng)結構。

當前，國內高等院校已基本建成數(shù)字化校園系統(tǒng)，一個安全、便捷、可靠的身份認證系統(tǒng)是數(shù)字化校園應用的熱點研究領域，也是實際應用的必需。

2 高職院校網絡認證管理需求分析

伴隨著近幾年網絡技術的飛速發(fā)展，大部分高職院校建成了萬兆級核心校園網絡，提供各種校園網絡所具備的電子郵箱、資產管理系統(tǒng)等服務，并利用無線AP覆蓋了整個校園。共享網絡資源，提供便捷服務，建成安全可靠的數(shù)字化平臺，是高職院校建設數(shù)字化校園的目的，然而這需要數(shù)字化校園網絡為學校的各類用戶提供統(tǒng)一認證管理的操作平臺。

要建成一個安全、便捷、可靠的身份認證系統(tǒng)，首先要對高職院校的需求進行分析。一般來說，高職院校的需求可從以下一個方面進行：網絡認證管理系統(tǒng)的需求、系統(tǒng)安全的需求、數(shù)據(jù)中心需求等。

從網絡認證管理系統(tǒng)需求的角度來說，數(shù)值化校園統(tǒng)一身份認證系統(tǒng)涉及全校資源共享和認證管理，需要其具有功能豐富、操作簡便的管理界面，穩(wěn)定、高效的運行能力。面對校園內各類層次用戶的不同需求，一套安全、高效、易操作的統(tǒng)一身份認證平臺，標準的用戶認證借口，有助于提高系統(tǒng)的工作效率，減少網絡負荷，便于管理人員使用和維護整個系統(tǒng)。另外，可根據(jù)實際需求，在用戶認證時使用端口綁定，實時監(jiān)控用戶的上網行為，確保校園網絡信息的安全。

從系統(tǒng)安全性需求的角度來說，數(shù)字化校園統(tǒng)一身份認證系統(tǒng)平臺的安全是數(shù)字化校園建設的核心內容之一。針對高職院校中較易發(fā)生的網絡安全事件，例如盜用IP地址、非法入侵、破解賬號密碼等，需要制定完善的網絡安全策略。用戶的上網行為，如登錄帳號、登錄時長、接入?yún)^(qū)域、IP地址等有必要得到詳細的記錄和監(jiān)管。針對病毒和攻擊防護，應采用諸如防DOS攻擊、加密算法、防源IP地址欺騙等軟、硬件結合的方式進行多重防護。

從數(shù)據(jù)中心需求的角度來說，數(shù)字化校園的數(shù)據(jù)中心有必要形成一個統(tǒng)一的平臺，由單一核心交換機傳輸所有數(shù)據(jù)，降低運營維護成本。較高的網絡訪問速度和較快的存儲響應速度應得到重視，否則將影響數(shù)據(jù)中心的整體性能。對于數(shù)據(jù)中心存儲系統(tǒng)來說，保障數(shù)據(jù)的安全可靠性是首要的任務，因此核心交換設備應具備故障冗余能力和快速故障恢復能力，確保數(shù)據(jù)中心的安全可靠。另外出于管理的便捷性考慮，統(tǒng)一數(shù)字化校園的身份認證系統(tǒng)也是必要的。

3 統(tǒng)一身份認證系統(tǒng)的相關技術

所謂身份認證是指根據(jù)用戶提供的信息判斷其正確性或者合法性的過程。用戶提供的認證信息可以是用戶名、密碼，或者是指紋等。統(tǒng)一身份認證是指在數(shù)字化校園網絡系統(tǒng)內，各個不同的子系統(tǒng)采用同一個認證信息來驗證，其目的除了規(guī)范系統(tǒng)外，還可以避免用戶需記憶多種賬號密碼，防止遺忘等問題。另外利用統(tǒng)一身份認證系統(tǒng)，可以根據(jù)用戶的不同身份信息來決定用戶的訪問權限。

作為數(shù)字校園網統(tǒng)一身份認證系統(tǒng)來說，其相關的安全技術必須得到重視。要確保統(tǒng)一身份認證的安全性，需要通過一些網絡安全技術來實現(xiàn)。常用的網絡安全技術包括加密技術、認證技術、網絡安全協(xié)議等，如DES加密技術、安全套接字層（SSL）協(xié)議等。

統(tǒng)一身份認證系統(tǒng)的相關技術種類繁多，一般來說，高職院校常采用第三方認證協(xié)議Kerberos、單點登錄Single Sign On、輕量目錄訪問協(xié)議LDAP、Web Services、SOAP等。在這里文章簡單介紹一下單點登錄Single Sign On、輕量目錄訪問協(xié)議LDAP和第三方認證協(xié)議Kerberos。

單點登錄Single Sign On，是指當用戶需要訪問多個系統(tǒng)時，只需登錄初始訪問的系統(tǒng)，系統(tǒng)驗證通過后，就可訪問該用戶授權范圍內的相應系統(tǒng)。單點登錄的優(yōu)點在于可以將多個系統(tǒng)分散的用戶集中管理，通過統(tǒng)一的身份信息配置不同的訪問權限，有效提高系統(tǒng)的安全性和便捷性，從而提高工作效率。

輕量目錄訪問協(xié)議LDAP是指在TCP/IP基礎上，定義一個相對簡單的搜索和升級目錄服務的協(xié)議。LDAP可以提供較復雜的、多層次的訪問控制或者ACI。這些訪問可在服務器端進行控制，比起在客戶端的控制，其相對更加安全、可靠。在LDAP下，用戶可以根據(jù)需要利用ACI控制對數(shù)據(jù)進行讀和寫。

第三方認證協(xié)議Kerberos是一種網絡認證協(xié)議，其目標是通過密鑰系統(tǒng)為C/S應用程序提供有效的認證服務。第三方認證協(xié)議Kerberos的原理是假定網絡傳輸中傳輸?shù)臄?shù)據(jù)被允許自由讀取和修改，Kerberos作為第三方認證，運用傳統(tǒng)的密碼技術來對數(shù)據(jù)包進行認證，確保數(shù)據(jù)的真實有效。

Web Services是基于可編程web的應用程序，具有平臺獨立、低賴合性、自包含的特點。其配置可使用開放的XML來實現(xiàn)，主要用來開發(fā)分布式的互操作的應用程序。Web Service技術的運用，可使不同機器上不同應用軟件的互聯(lián)和集成的實現(xiàn)更加便捷。

4 統(tǒng)一身份認證系統(tǒng)分析設計

統(tǒng)一身份認證系統(tǒng)必須建立一個完整的用戶身份認證體系，實現(xiàn)對用戶的統(tǒng)一授權、認證、管理和單點登錄。根據(jù)數(shù)字化校園建設的要求，建設目標如下：統(tǒng)一用戶認證機制、提供集中、統(tǒng)一、高效的用戶管理、具有良好的平臺兼容性和良好的擴展性、集成性以及高水平的安全性。

從系統(tǒng)功能的角度來說，統(tǒng)一身份認證系統(tǒng)可以分為兩大功能部分：身份認證管理和權限控制管理。其中，身份認證管理主要分為用戶登錄、用戶添加/刪除、用戶信息修改三個部分。權限控制管理主要分為兩塊內容：業(yè)務系統(tǒng)權限分配和業(yè)務系統(tǒng)權限查詢。統(tǒng)一身份認證系統(tǒng)通過對LDAP目錄服務器中的永和和應用系統(tǒng)的用戶進行各種操作來實現(xiàn)整個系統(tǒng)的運作。

從系統(tǒng)邏輯分層角度來說，統(tǒng)一身份認證系統(tǒng)可分為數(shù)據(jù)層、基層層和應用層。用戶使用用戶名和密碼由客戶端通過瀏覽器（基礎層）登陸統(tǒng)一身份認證系統(tǒng)，應用服務器（應用層）接收訪問申請并驗證用戶名和密碼后將有效信息轉化為LDAP目錄服務器格式向認證服務器（數(shù)據(jù)層）驗證用戶信息合法性，LDAP目錄服務器經驗證后將結果層層反饋到應用服務器、基礎層的瀏覽器，合法用戶將進行權限內操作，反之亦然。

一般來說，中等規(guī)模數(shù)字化校園系統(tǒng)常采用單點登錄模式，Kerberos協(xié)議是比較常見的方式之一。文章將以Kerberos協(xié)議為基礎。作為第三方認證協(xié)議，Kerberos協(xié)議的密鑰分發(fā)中心在認證過程中充當中間人的角色，在這個認證系統(tǒng)結構中，由其發(fā)送的憑證票據(jù)是用戶用來訪問相關服務的憑證，包含了用戶的基礎信息、加密密鑰和票據(jù)生成時間等重要信息。

根據(jù)對數(shù)字化校園網統(tǒng)一身份認證系統(tǒng)流程的設計思路，用戶初次訪問應用程序時，可能沒有憑證票據(jù)，因此瀏覽器會重新定向到統(tǒng)一身份認證系統(tǒng)，用戶使用用戶名和密碼登陸后，重新生成新的憑證票據(jù)發(fā)送到認證服務器和LDAP目錄服務器進行驗證，如果合法，認證服務器將相關信息反饋到瀏覽器，瀏覽器保存后就可以利用此信息訪問其它權限內的應用系統(tǒng)功能模塊。

對于權限控制管理來說，一個用戶可以擁有多個角色，而不同角色擁有不同的權限。本系統(tǒng)可根據(jù)角色區(qū)分權限，利用LDAP目錄服務器完成用戶的信息、角色信息和對應的權限管理。

輕量級目錄訪問協(xié)議LDAP是一種另類的數(shù)據(jù)庫，它可以存儲模式信息和訪問信息。數(shù)字化校園統(tǒng)一身份認證系統(tǒng)采用LDAP目錄服務，可以快速有效地讀取用戶的基本信息，提高管理的效率，實現(xiàn)對用戶信息的高校管理，提高系統(tǒng)的整體性能。

在數(shù)字化校園統(tǒng)一身份認證系統(tǒng)中，還需設計添加、修改和刪除用戶的功能，當用戶被添加時系統(tǒng)應對用戶所擁有的角色分配權限。權限管理是統(tǒng)一身份認證系統(tǒng)中很重要的一部分，其功能包括授權、監(jiān)督、管理及追溯等功能，確保系統(tǒng)的正常運行。同樣系統(tǒng)也需要擁有權限的創(chuàng)建、修改和刪除的功能。

一般來說，在統(tǒng)一身份認證系統(tǒng)中，角色是替代用戶使用權限的實體，角色、用戶與權限可形成對應關系。同一個用戶可擁有不同的角色，行使對應的權限。

從硬件系統(tǒng)的角度來說，硬件設計可分為用戶層、數(shù)據(jù)層和業(yè)務層。認證服務器、LDAP目錄服務器和統(tǒng)一身份認證系統(tǒng)均屬于數(shù)據(jù)層。

當用戶瀏覽網頁時，Web服務器會在終端上保留一個cookie文件，通過此文件，用戶再次瀏覽此網站時能免去登陸密碼直接瀏覽。當瀏覽器進入Web頁面到關閉該Web頁面所經過的時間，即指Session。一般來說，cookie文件可作為服務器發(fā)送的令牌用，Session可作為發(fā)送的應用程序的訪問憑證使用。

針對各種各樣的應用子系統(tǒng)來說，統(tǒng)一身份認證系統(tǒng)還需解決的一個問題是需提供一個標準化的應用程序接口以滿足各類子系統(tǒng)的需求。通用安全服務應用程序編程接口GSSAPI是一種較常用的應用程序接口程序訪問服務，其可與Kerberos是可兼容的。另外，通過可插入身份認證模塊PAM來整合多個應用程序編程接口認證機制是常用的方法。

5 結束語

為了提高數(shù)字化校園系統(tǒng)的效率及安全性，高職院校需實現(xiàn)校園網的統(tǒng)一身份認證。文章主要對統(tǒng)一身份認證管理系統(tǒng)進行闡述，根據(jù)一般高職院校的實際應用需求，以單點登錄、第三方認證Kerberos以及輕量級LDAP目錄訪問協(xié)議為基礎，結合通用安全服務應用程序接口GSSAPI和可插入身份認證模塊PAM搭建完整的數(shù)字化校園網統(tǒng)一身份認證系統(tǒng)。后續(xù)如何適應新的變化，如支付方式的改變，還有待進一步完善。

參考文獻

[1]黃孌.校園網統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].天津大學，2013.

[2]王瑋.數(shù)字化校園統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].北京郵電大學，2010.

[3]鄭煥.基于Web Services統(tǒng)一身份認證系統(tǒng)研究[D].武漢理工大學，2007.

[4]賀甲寧.校園網環(huán)境下統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].西安電子科技大學，2015.

作者簡介：楊夢希（1981，09-），女，漢族，江蘇無錫人，本科，助理實驗師，無錫商業(yè)職業(yè)技術學院，研究方向：網絡管理。