微信技術在高校身份認證系統建設中的應用＊

王翔

(北京科技大學信息化建設與管理辦公室，北京 100085)

0 引言

通過使用現代信息技術構建信息化校園系統，可以有效提高校園管理能力、保證教學質量并增強科研水平，具有人工管理無法比擬的技術優勢，我國各高校結合自身的管理和服務需求，利用先進的信息化技術開展高校信息化建設，實現從教學管理、科學研究到校園生活的一體化信息服務[1]。

目前，高校信息化建設已經由數字校園階段轉入智慧校園階段，而智慧校園的核心是通過將資源、應用等進行整合，提供面向師生的多種個性化服務，實現智慧化服務和管理，因此在智慧校園建設中，身份認證是一項基礎性功能，是提供個性化服務的支撐[2]。

郭利敏等[3]使用微信二維碼進行圖書館讀者身份的認證，采用微信開放平臺提供的接口實現了圖書館系統的身份認證。江超龍等[4]提出了一種基于移動終端的安全登錄系統，使用移動終端來掃描網頁上的動態二維碼實現認證。楊樹春[5]等將微信身份鑒權機制與掃碼登錄結合，設計了用掃碼認證即實現登錄第三方應用系統的模型。

1 現狀

在數字化校園建設的階段，各系統獨立進行身份認證的模式在便利性與安全性方面存在諸多問題[6]，統一身份認證平臺是數字化校園建設的一個基礎性平臺，得到了廣泛的應用。但是，隨著隱私數據保護越來越受到重視以及信息系統網絡安全要求的提高，傳統基于口令的身份認證已無法滿足智慧校園建設的需要，具體表現在如下方面。

⑴弱身份認證

傳統認證方式主要基于用戶名、密碼認證方式，現實應用中廣泛存在著弱口令、密碼泄漏等問題，存在著較大的安全風險，對于業務系統的數據資產、隱私信息、業務邏輯等造成了潛在的安全隱患，不能適應當前業務信息化、數據化、智慧化發展的需求。

⑵實現強身份認證代價較高

針對用戶名、密碼方式的弱點，盡管傳統身份認證已具備相應的解決方案，例如采用證書Key、提升密碼強度、定期更換密碼策略要求等，這些措施在一定程度上可以解決弱口令問題，但同時也增加了用戶的使用負擔，頻繁更換密碼會造成用戶忘記密碼，證書也存在攜帶不方便的問題等。

⑶身份認證與業務系統安全

目前學校系統架構體系中，身份認證系統通常只負責身份認證而不負責該身份的安全問題，也不負責與其他安全系統進行交互，造成了其他安全系統即使檢測到安全問題，也無法快速確認攻擊者信息，身份認證滯后于網絡攻擊與安全檢測，使攻擊者可以發起匿名攻擊嘗試。

⑷無法有效解決移動應用和公眾號等統一認證

傳統的身份認證平臺主要來自于整合PC 端系統的身份認證，實現用戶信息的統一認證、統一管理，對于移動互聯網應用中新興的應用如何實現統一身份管理，尚沒有很好的解決方案。

⑸無法解決智慧校園下的多場景應用

隨著智慧校園與物聯網技術的發展，門禁、簽到和支付等場景都需要聯網進行實時在線處理，這類的應用具有軟硬件結合的特點，是學校智慧應用的展現，而傳統的統一身份認證平臺主要滿足業務系統整合的需要，無法廣泛適應滿足這類智慧終端的身份驗證。

⑹業務系統集成統一身份認證困難

傳統統一身份認證的接入主要依賴業務系統接口的二次開發，學校系統數量眾多，運行平臺和開發語言等差異化明顯，而且業務系統的使用管理分散于各個業務部門，造成了開發接入的多重困難，耗費了大量的財力與物力。

2 基于微信的認證方案

2.1 認證原理

解決傳統身份認證問題主要從三個方面考慮：

⑴通過引入微信掃碼、刷碼和NFC 等交互認證方式，實現強身份認證，解決弱身份認證問題，同時兼顧易用性和普適性；

⑵通過整合身份認證與安全訪問控制機制，實現基于身份認證的安全機制，解決身份認證的同時，提升系統的安全性；

⑶兼顧考慮智慧校園場景下的移動應用、公眾號、智能硬件應用和傳統應用的身份認證方式，實現可集成多類應用的身份認證模式。

2.2 基于微信的強身份認證機制

隨著移動互聯網的發展，智能設備得到廣泛的應用，尤其是智能手機得到了廣泛的普及，使得基于智能移動終端設備的身份認證成為可能，而為了提供認證機制最大程度的普適性與易用性，基于智能手機進行身份認證能夠更好的滿足需求。移動互聯網的高速發展使得移動應用APP 得到了廣泛的使用，在微信平臺上研發建設身份認證的功能，有如下優勢：

⑴微信普及率高，使用頻度高，使用門檻低；

⑵微信代表著用戶的好友等社交關系，更有微信支付等金融屬性，是個人身份信息的體現；

⑶微信平臺是個開放式平臺，基于該平臺開發的應用，能夠更好的得到普及和使用；

⑷微信自身具有較高的安全機制，例如綁定手機號、解鎖密碼等，有利于確保身份認證的安全性；

⑸微信掃碼與刷卡等功能的支持與集成，有利于實現與其他智能設備的配合，實現更為豐富的認證功能。

總體來說，基于微信進行身份認證充分考慮了應用普及、使用門檻、安全屬性和開發難易度等多方面因素，具備實現強身份認證的基礎。

2.3 身份認證與系統安全整合機制

基于微信認證的訪問是在用戶和業務系統之間增加了身份認證與代理網關的中間件產品，其中身份認證系統負責用戶的身份信息認證并頒發訪問通行證，而代理網關主要有三項工作：一是負責驗證通行證的有效性；二是與業務系統交換訪問者身份信息的合法性，如果業務系統不允許用戶訪問，用戶也會被阻止訪問；三是負責用戶與業務系統之間的通信中轉，全程校驗合法性并記錄訪問日志。上述過程的通俗解釋是：如果一個造訪者（用戶）要訪問某個被訪者（業務系統），首先在門崗（身份認證平臺）查驗其身份證合法性，并且門崗會與被訪者（業務系統）聯系確認造訪者（用戶）的真實性后再放行。

基于上述原理可以確定，相對于傳統模式，新的基于身份認證的安全訪問模式具有如下優點：

⑴隔離機制，訪問用戶（黑客）與業務系統隔離，身份驗證通過之前，無法訪問到業務系統，消除了匿名攻擊的隱患和直接攻擊運行環境的可能性；

⑵強身份認證，身份認證系統使用基于微信的強身份認證機制，確保身份的合法性，降低了身份冒用的可能性；

⑶ 采用身份認證與業務系統認證雙重校驗的模式，具有更高的安全防護能力；

⑷全程具有帶身份標識的訪問日志，有利于日志回溯。

基于微信的強身份認證通過代理網關等整合機制，能有效解決傳統認證存在的弊端，在提升了身份認證普適性和易用性基礎上，有效的增強了集成業務系統的安全性。

3 基于微信認證的應用

校園微信認證是一個身份認證的綜合性平臺，主要包括四類子系統，分別為身份認證系統、集成網關類系統、身份應用類系統、平臺管理系統等，其中身份認證系統是整個平臺的基礎性系統，負責完成平臺人員身份的維護、校驗、集成等，并向其他應用或業務系統提供身份認證類API服務。身份認證系統可通過不同套件支持多類身份綁定方式；集成網關類系統主要用于整合現有的業務系統，實現掃碼登錄業務系統并提升業務系統的安全性；身份應用類系統主要是基于微信身份認證信息的擴展應用，如會議簽到、門禁和刷碼就餐等；微認證管理系統負責平臺管理運維工作，支持集成應用的管理、權限設置、日志追溯等相關功能，如圖1所示。

4 結束語

本文通過對高校信息化建設中身份認證的問題進行分析，提出了以基于微信平臺的統一身份認證系統建設方案，且該認證系統實現了與單點登錄系統[7]對接,經過在北京科技大學的實際建設使用，目前已經覆蓋了全體師生的身份認證場景，并接入了數十個教工和學生經常使用的業務系統，為師生員工登錄各類子系統辦理業務，尤其是移動辦公方面，極大便利了師生員工訪問學校各類信息化平臺和網絡資源，其安全性和易維護性也得到了驗證。