淺談基于用戶體驗的校園統一身份認證系統優化

陳胤梁 江峰 王莉

摘要：針對提升用戶對統一認證系統使用滿意度的問題，提出了運行原型法開發方法，通過收集校園用戶在試運行階段過程中的體驗反饋信息，在符合數據安全架構的標準下，對校園統一身份認證系統實施優化和完善的方法。該方法適合高校中相似項目建設場景，較好地解決了在確保數據安全的前提下，使安全性和可用性兩種指標在最終成品系統上體現較好平衡狀態的問題

關鍵詞： 統一身份認證; 數據安全; 用戶體驗; 優化; 原型法

中圖分類號：TP311.1文獻標識碼：A

文章編號：1009-3044（2021）09-0068-03

開放科學（資源服務）標識碼（OSID）：

Optimization of Campus Unified Identity Authentication System Based on User Experience

CHEN Yin-liang1，2，JIANG Feng1，2，WANG Li2

（1.Health School Attached to Shanghai University of Medicine & Health Sciences， Shanghai 200237， China; 2.Shanghai University of Medicine & Health Sciences， Shanghai 201318， China）

Abstract：Aiming at the problem of improving users' satisfaction with the unified authentication system， this paper puts forward the development method of operation prototype method. By collecting the experience feedback information of campus users in the trial operation stage， it optimizes and improves the campus unified identity authentication system under the standard of data security architecture. This method is suitable for similar project construction scenarios in Colleges and universities， and solves the problem of better balance between security and availability indicators in the final product system on the premise of ensuring data security

Key words：unified identity authentication; data security; user experience; optimization; prototype method

1引言

近些年來，各高校信息化發展迅猛，傳統手工工作已大部分被信息化系統取代，大量的信息管理系統隨之涌現，繼而產生了數據孤島，數據壁壘等問題的出現。為了解決這些問題，在數據層面數據倉庫、數據平臺、數據中臺等一個個數據整合建設概念不斷興起。2019年阿里提出了One ID（一個用戶賬號）、One Data（一個數據平臺）、One Service（一個業務平臺）服務體系。統一身份認證系統就是典型符合OneID這一概念的產物，它結合了身份鑒別和授權控制這兩塊功能，為用戶提供一個在數字化工作體系中，跨越系統、領域和服務，一次登錄可訪問多個系統的安全、便利工作方式，這就是統一身份認證最核心的作用。目前統一身份系統在各高校智慧校園、一網通辦等建設中，成為一項不可或缺的“標配”系統。但是其所處的復雜工作場景也注定了建設的難度，和獲得用戶接受、認可的重要性。

借鑒、利用用戶的體驗來協助開發和優化完善軟件系統，一直以來都是軟件開發工程中慣用的手段之一。用戶體驗反映了用戶通過親身參與軟件系統進行交互后，所表現出的習慣、意見、喜好或所關注的問題等。通過對用戶體驗信息的收集，運用（諸如定類、定距、定順、定比例等）分析方法，真實反映用戶對系統的真實感觀和需求，為系統的改進提出具有建設性意義的意見，既方便了開發者適時了解系統當下開發階段成果是否符合用戶確切期望和實際需求，又可達到及時中止開發中錯誤的延續，降低開發風險的效果，是提升用戶滿意度的高效手段之一。特別是在采用系統原型法開發的方法中，用戶對于每一個階段的系統原型的真實體驗可作為開發者在后續調整建設的重要參考依據。

2系統分析——以上海健康醫學院統一身份認證系統為例

上海健康醫學院統一身份認證系統（一期）建設完成于2016年，系統當時采用（B/S模式），解決了用戶一次登錄認證系統后可通過單點登錄的方式，可訪問與其對接的10多個業務系統，其方便的使用方式當時受到了單位中大多數用戶的歡迎。早期系統只面向于PC端開發，支持CAS和LDAP協議，對來訪的用戶只是提供了用戶名/口令這一種認證方式;安全性方面只提供了密碼在數據庫中加密保存等簡單功能，系統整體功能較為簡易。

然而，經過多年的使用逐漸發現原有系統無論從功能上還是從安全方面已不適合于當下軟件的發展趨勢，與人們的日常使用習慣相悖。隨著移動端通信的興起，更為便捷的、不受地域影響等優點使得移動端上的微信認證、人臉識別等身份認證方式被人們所接受。據此，學校在去年啟動了統一身份認證系統的二期項目建設，力求建設一套具有更強功能、更高安全性、更易使用的新的身份認證系統，新系統需要滿足同時支持Web瀏覽器和移動端App應用兩種客戶端認證類型。兩期項目主要建設內容對比情況，見表1。

由于二期建設內容是在一期系統的基礎上對其功能性擴展和安全性的強化。根據以上建設特點，后經過詳細評估后認為采用原型法開發方法更為適宜。整個建設過程分為兩個周期，第一個周期為系統初始原型開發階段，第二個周期為試用完善期。在完成初始系統原型開發期后將其提供給用戶，分別進行兩個階段的原型試用完善期，通過在每個階段中收集的各類用戶（綜合運用定類、定比例方法，將所有有效調研、反饋意見樣本的對應用戶對象總結歸納為三類，分別為教師、學生、系統管理人員）的相關體驗、反饋經過分析有針對性地進行改進和完善系統，提升用戶使用滿意度。

在整個完善周期中，收集到了大量的用戶反饋信息，有出于自身習慣的原因，有出于自身業務的需求，也有出于安全管理的因素，可謂琳瑯滿目、應有盡有。這些難題千絲萬縷，只有先行理清脈絡，經提煉分析，著重應對，才有可能真正解決。在下節中將著重挑選完善期里兩個階段中收集的具有代表性的用戶體驗反饋內容進行闡述，并輔以解決思路，希望給后續相同項目的建設者提供一點參考。

3系統優化方案

在項目的第一個周期中，完成了基于原有系統優先改進后的新系統初期原型，其改進的內容包含：用戶名/口令功能中增加了驗證碼功能;密碼提升為8位，啟用數字、特殊符號、大小寫字母組成的強密碼規則，首次登錄必須修改密碼;增加問答形式的密碼找回功能，問答題為連續3道;升級原有支持認證協議版本，增加OAuth2協議支持;傳輸協議改為HTTPS等多項功能點，隨后新系統原型進入了試用完善期繼續優化。整個試用完善期的共分為二個階段。

3.1第一階段優化——習慣和安全的平衡

網絡攻擊是目前所有網絡化應用軟件都會碰到的難題，不法分子會利用一起漏洞來攻擊軟件，以達到竊取，毀壞、篡改數據的目的，故而這對系統在建設立項時對系統的安全性提出了必要的建設要求。早期的系統版本由于未啟用驗證碼功能，故易受到持續性的網絡暴力攻擊，最終造成了訪問異常和密碼被破解等嚴重的安全事故。特別是在改版前期中的幾次安全周期檢測中原有舊版的系統未經受住以暴力破解、密碼猜測、滲透等攻擊形式的檢查手段。故在前期原型中增加了驗證碼功能、密碼找回功能等。

其間主要接到用戶反饋對象為教師和學生，紛紛以自身的實際試用體驗提出了多條反饋，其最多反饋次數的內容見表2。

通過對用戶體驗反饋內容的分析，發現其問題發生的主要原因是，更多位數、更復雜度密碼自然而然地造成了用戶易遺忘密碼現象，為應對此問題，原型中已經增設了密碼找回功能，但是以預設3道問答題的形式，的密碼找回功能，又會出現有個別用戶設置答案過于簡單，易被通過密碼猜測的攻擊形式所破解攻破，造成了數據泄露的風險。故為有效解決此問題的思路，可思考通過引入新的登錄方式來回避以上問題，如通過現下流行的移動端上第三方認證的方式，如QQ、微信企業號、支付寶等軟件。

手動輸入用戶名和密碼是現今最為常用的登錄方式，這種方式的優點是操作簡單方便，然而缺點也很明顯抗持續性網絡攻擊能力很弱，特別像暴力破解等攻擊方式。故往往需要通過附加驗證碼、驗證圖形等方式來提升用戶訪問安全性，但驗證碼的加入又增加再次提升了登錄操作的復雜性。

基于上述的用戶體驗分析，對初始系統原型進行了如下改進：

1）取消問答式找回密碼功能，盡量減少輸入窗口，減少暴力攻擊途徑

2）口令驗證碼初次不顯示，預設驗證失敗3次數后驗證碼顯示

3）通過比較選擇通過學校原有微信企業號端，提供二維碼和微信驗證碼方式的登錄方法

3.2第二階段優化——賬戶管理的深層優化

在完成第一階段的改進工作后，繼續進行第二階段的優化工作，其間主要接到用戶反饋對象為教師、學生和系統管理人員，具體內容見表3。

根據第二階段收集的用戶體驗反饋信息分析，發現其主要意見集中在賬戶的管理上。在所有碰到的問題中最麻煩就要屬弱口令問題及其由此衍生的一系列安全隱患問題和賬戶管理問題。

系統管理人員在對系統賬戶整理時，通過安全檢查發現，原系統賬戶中因存在大量的弱口令賬戶，隨著賬戶遷移的進行該隱患被遺傳了下來。雖然此問題的解決方法并不復雜（只需制定新密碼規則，對所有賬戶口令進行初始化工作），但是由于用戶數眾多其實施解決方案帶來了大量工作量，并引發新的后續問題。同時在通過全部初始化賬號密碼解決弱口令問題后，開發者又發現了新問題。在對賬戶修復后的二次檢查過程中，發現了這樣一批用戶——不活躍賬號，主要表現為默認密碼不及時登錄修改，甚至長期不登錄認證系統。該類賬戶具有極大隱患，由于默認密碼命名規則通常是以學號、身份證號等常用基本信息再附加特殊一段字符來生成的，并且學校一般以通知、文件等形式對所有用戶進行統一的告知，這很大概率的造成命名規則的外泄。一旦攻擊者獲取規則和一些基礎信息后，便可輕易攻破認證系統。故而用戶應當盡早對修改默認密碼，才能獲得有效的賬號安全保護。

簡單的應對辦法就是周期性批量修改默認密碼，然后這種方法工作量很大，且會對正常使用的用戶造成不必要的反復修改等麻煩，而不活躍的賬戶仍會出現不去登錄修改。針對此情況，結合用戶體驗和賬戶安全的需求，決定采用通過對技術和用戶引導相結合的思路來解決。一方面建設賬戶活躍度檢測技術，通過制定活躍度認定參數，設定不活躍賬戶的封禁標準，降低不安全賬戶數。另一方面加強用戶的安全意識教育，最終達到人機相結合的安全防護標準。

基于上述的用戶體驗分析，對初始系統原型進行了如下改進：

1）制作簡潔明了的登錄教程手冊向所有用戶提供，加強相關安全的教育和宣傳。

2）按用戶習慣調整口令式登錄方式為默認首選方式。

3）通知各系統管理員或公司進行管理員賬戶整改。

4）增加賬戶活躍檢測功能模塊，自動化對地活躍賬戶進行封禁。

4 結論

通過后半段試用完善期基于用戶體驗的大量優化和完善工作，新統一身份系統無論在功能上還是安全性都有了很大的提升，在正式上線后也，得到了學校大多數用戶們的認可。對于用戶的關注，也收獲了用戶的高滿意度。

隨著5G時代的到來，大量輕量化、移動端應用不斷出現，認證系統也必將隨著這一趨勢進行發展以承載學校未來的信息化發展建設需要。

參考文獻：

[1] 鄭云文.數據安全架構設計與實戰[M].北京：機械工業出版社，2019.

[2] 李燁.基于多應用系統下統一用戶認證的研究與實現[J].網絡安全技術與應用，2019（12）：26-29.

[3] 黃美東.基于LDAP與Kerberos協議的統一認證系統研究與設計[D].上海：上海交通大學，2009.

[4] 呂忠亭，崔巍，劉洋，等.高職院校智慧校園統一身份認證技術分析[J].計算機與網絡，2020，46（21）：69-72.

[5] 許為.三論以用戶為中心的設計：智能時代的用戶體驗和創新設計方法[J].應用心理學，2019，25（1）：3-17.

[6] 劉岳山.“互聯網+”環境下智慧校園數據安全治理[J].網絡安全技術與應用，2020（6）：105-106.

[7] 姜文，劉立康.軟件原型系統在軟件項目開發中的應用[J].計算機技術與發展，2019，29（4）：110-115.

[8] 孫溢，呂鑫.基于用戶體驗的旅游App設計——以途+旅行App為例[J].科學技術創新，2021（3）：94-95.

[9] 林錦屏，艾玉娟，鐘竺君，等.在校大學生旅游網絡平臺體驗滿意度研究——基于模糊綜合評價法[J/OL].資源開發與市場：1-15[2021-01-26].http：//kns.cnki.net/kcms/detail/51.1448.N.20210120.1728.016.html.

[10] 樂海平.基于微信企業號的高校移動服務平臺建設[J].教育教學論壇，2020（47）：15-16.

[11] 朱博昌.基于OAuth2.0協議的授權登錄國內應用現狀研究[J].現代信息科技，2019，3（20）：151-154.

【通聯編輯：代影】