智慧校園統一身份認證技術分析與設計

湯羽佳

合肥職業技術學院，安徽 合肥 230000

近年來，社會體系逐漸向智慧化、科技化方向發展，如智慧城市、智慧交通等，此類基于網絡架構而實現的一體化運營機制，能極大提高整體系統的運作效率。智能化技術與校園體系的融合，建構以數據信息為基礎的智慧校園模式，可為校園網絡提供搭載平臺，依托于精密化的數字技術實現對傳統學生信息管理的優化。身份認證技術體系的建設可將學生與系統內的信息建立對接渠道，通過信息綁定達到對傳統的密碼登錄進行優化的目的。學生在進行系統登錄時，只需要進行身份認證便可將信息與數據框架內的各項節點進行自主關聯，且身份認證具有唯一性，可有效增強學生信息的安全性，并為校園數據信息管理工作的開展提供基礎保障。

1 校園內統一身份認證的重要性

身份認證是指對用戶的身份進行查驗，通過系統大數據內的比對，認證該用戶是否屬于合法狀態。一般來講，身份認證是一種對接類技術，只需用戶通過口令輸入，然后在系統的核驗下，最終確定用戶身份是否符合后續操控基準。在當前數字化運營模式中，身份認證決定著最終授權行為，即將用戶信息與資源信息進行匹配，以得出后續時間段內相關的訪問行為。

首先，身份認證平臺的建設可提高用戶的體驗度。傳統的校園信息系統中，受不同網絡架構的影響，教師、學生、教務人員等在異地登錄時需進行多次認證操作才可進入到系統中。如在此過程中用戶遺忘密碼，將在短時間內無法登錄系統，且需要經過較為繁雜的工序進行密碼找回，耗費大量時間資源。

其次，身份認證平臺的建設有助于提高校園信息管理質量。目前，學校依據專業學科、年級等建立單獨的信息管理機制，然而不同內容的信息在進行整合管理時，其內部管理機制將存在較大的差異性。如學校管理機制較為單一，將無法對現有的數據信息進行精細化管理。特別是對于校園網絡來講，單一網絡節點的設定屬于一種獨立機制，但各項內容間存在一定的聯動性，當主位管理與次位管理相沖突的話，則必然令整體管理造成相應的缺陷[1]。

最后，可拓展校園網絡的覆蓋面。受系統獨立運營機制的影響，內部數據信息無法進行聯動分析，即便是數據整合功能也只能單一化的在某一類信息框架下執行，這種運作機制可以降低數據信息的冗余概率，但同時也加大了系統運行的負擔。

2 智慧校園統一身份認證技術分析

智慧校園體系中，統一身份認證技術是將網絡架構中的節點信息與用戶身份信息進行捆綁，此類形式可以看成是區塊鏈技術的一個分支，但其技術本身具有一定的針對性。為確保整體系統運行的完整性，模塊設定、程序編寫等必須嚴格遵循校園網絡的信息管理架構，以此來提高校園信息化平臺的建設質量。

2.1 系統層次架構

統一身份認證系統層次架構一般可分為四類組成部分。第一，服務層。此類架構主要服務于數據庫系統，當用戶端發出相應的指令需求時，其進行需求響應并對用戶指令進行執行，可以將其看成是系統的服務端。第二，接口層。是服務層的上位承接系統，主要功能是對系統內的程序進行分析，并對服務器進行指令請求，此運行過程是搭載接口程序來完成的。第三，應用層。在數據分析后，應用層依據數據請求來判定信息所屬類型，并依據類型機制來分化出不同的指令，通過信息反饋與回傳，將指令傳輸到下位承接的對外層。第四，對外層。在接到上一應用層傳遞到的信息之后，將指令信息回傳到請求端，在信息載體的應用下，以Web、B/S 兩種模式向用戶進行相關信息展示。

與用戶相關聯的層次架構為應用對外層，即通過接口來實現信息模型的轉換，為用戶提高多元信息服務，令用戶可更加直觀的對下達指令，并了解指令執行所產生的實際效果[2]。

2.2 用戶管理

用戶管理系統是用戶指令下達的平臺，其也是信息授權的重要外顯形式，用戶管理系統分為三個模塊。第一，系統注冊模塊，其將新的應用系統進行數據分化，然后提出數據信息中的相關節點并建構到系統目標中。第二，用戶注冊模塊，其是用戶初始信息采集的部分，如用戶信息認證、信息更新、信息關聯等，也屬于信息整合的部分。在此模塊，為用戶關聯應用系統信息，建立相應的訪問權限。第三，權限管理模塊，其主要是將程序與用戶指令進行權限關聯，保證用戶在自身的功能設定下，可在最短時間內完成任務搜尋，以提高系統應用效率。

2.3 統一身份認證模式

統一身份認證是一種基于數字化信任機制來實現的，一般來講，其可分為兩種認證模式。第一，組建模式，其承接的是系統應用程序，在實際運行中，無需經歷自有數據庫的建設，內部賬號可與身份認證相協同。此類認證模式的工作程序為用戶→登錄界面→應用層→重定向服務信息→信息認證→信息校驗→信息注冊→信息反饋→認證通過→訪問權限→用戶，其屬于一個信息反饋認證機制，且存在一定的時間局限性。

第二，統一認證模式，運行程序為用戶→登錄界面→認證服務→訪問→應用層→信息反饋→信息授權→用戶，此類系統可為用戶與應用層直接搭載訪問渠道，減少服務信息環節。

3 智慧校園統一身份認證技術設計

3.1 目錄服務設計

目錄服務系統是為用戶提供各種目錄查詢的功能，是數據庫最重要的環節之一，是信息化實現的重要載體，在內部各類數據參數的核對與傳輸下，可令校園網絡內各類信息進行有序化操控，且可最大限度地保證數據信息統一性[3]。在進行目錄服務系統設定時，考慮到用戶、程序、服務之間的信息聯動關系，應在支持目標服務系統的目標樹中建立用戶信息模塊，如教務人員、教師、學生，在應用系統中為各類用戶信息設定單獨的名稱，并為應用系統提供網絡協議服務。在設定用戶相關的訪問權限時，由于數據信息本身屬于開源式傳輸，則必須利用ACL 來對內部數據信息進行有效控制，可通過文件后綴改變的形式或直接在平臺中運行ACL 指令進行系統實現，以更好地對內部信息進行控制。

3.2 應用程序架構

在應用程序設定中，用編程服務類WEB 為核心，其主要是由于系統內部的容錯機制較大，可有效避免多源信息所造成的耦合效用。同時WEB 可將不同程序進行整合與集成，其直接作為一個系統過渡體，不需要第三方軟件對信息進行轉換便可有效將內部信息進行關聯處理。在校園智慧網絡中，由于信息功能呈現出多元特性，如專業學科信息、考試信息、教務管理信息等，此類信息都具有獨立的服務框架，而采用WEB 則可精準地實現內部數據源的整合，為不同類別的程序、編程等建立一個融合環境，以此令系統更好的服務于認證技術中。

3.3 統一認證

統一認證系統中數據庫默認形式是將賬號與校園網絡中的數據信息進行關聯，確保用戶在執行不同的任務操控中可獲取相關訪問權限，此類設定是以應用程序為載體來實現的，以對用戶的各項指令及權限進行相關限定，確保用戶在一定時間段內進行各類信息訪問不再進行登錄操作。具體工作流程如圖1 所示，當用戶進行信息登錄時，會將訪問指令傳輸到應用程序中，然后應用程序對用戶信息進行驗證響應，查證用戶令牌的準確性，然后用戶將認證信息傳輸到程序內。此過程后，應用系統則將與用戶信息相關聯的各項服務類別進行標定與解密，并逐一與數據庫內的源信息進行比對，最后將信息反饋到認證系統中，并對應用系統下達訪問指令。

令牌加密、加密程序的設定如下：

（1）將SID、AU、TID、TS、LS、用戶名、用戶地址及一個隨機數字組合為一個字符串。

（2）服務器在對信息認證時，將字符串重新制定成一個具有固定長度信息的字符串（一般是以HSAH 函數為信息轉換載體）。

（3）將轉變過來的字符串進行單鑰賦值，然后進行DES 加密與字符標記，并利用系統內應用層的公鑰進行二次密鑰設定，得出加密數值X，將其記錄到令牌中。

圖1 認證系統圖示

3.4 系統認證拓撲結構

圖2 系統拓撲圖示

（4）應用服務器在進行信息轉換時，對X 值進行解讀，得到基于應用層的解密值A，認證服務器在對信息進行核驗時，利用反向解密機制，即將HASH函數對傳輸過來的密鑰數值進行解密運算，如最終數值與A 相同，則證明此類令牌為正確的。如數值出現錯誤，則證明該用戶不具備相關訪問權限。

智慧校園網絡中，統一身份認證具有單一性、獨立性，在設計系統核心平臺時，主要是實現集用戶管理、認證授權的，為第一時間確保用戶信息與系統內的數據可形成有效協同，需從用戶管理、認證授權等數據的結構為出發點，建立統一的認證接口，便于系統對大量的數據信息進行相關操控處理。本文設計中采用的是identity server 標識服務器為核心，建立一個命令接口，將接口與應用程序相連接，為用戶提供API 服務，以進行身份的統一認證。系統拓撲圖如圖2 所示，在運行過程中，客戶端通過服務器接口可更加精準地作用于各項數據業務系統中，當校園內人員進行身份認證后，其內部信息將同步傳輸到各模塊系統中，模塊系統在接收到數字信任協議后，將自動與該信任用戶相關聯的各項信息進行協議傳輸，以保證整體系統運行的完整性，為學生、教師以及教務人員等提供更為優質的服務。

4 結語

綜上所述，智慧校園統一身份認證系統是一種集安全技術、數字技術、網絡技術于一體的綜合化架構模式，在設計與實現過程中，需依據系統工作環境來設定正確的網絡層級結構，保證每一項應用程序可精準的執行用戶操控指令，令用戶信息與數據庫內的參數信息形成對接，以此來提高身份認證系統的運作質量。