智慧校園統(tǒng)一身份認證技術分析

摘 要：在互聯(lián)網(wǎng)技術高速發(fā)展的今天，建設數(shù)字化和智慧化校園的步伐不斷推進，于是各種基于校園網(wǎng)的應用層出不窮，然而在不同應用“百家爭鳴”的表面之下卻也有著很多弊端，比如應用更新不及時、維護不及時、惡性漏洞多、每一個應用都需要頻繁的登錄驗證等缺點，其中最令用戶頭痛的則是不同應用需要頻繁登錄驗證的問題，這不符合智慧校園的要求。因此，建立一個統(tǒng)一的身份驗證系統(tǒng)，對用戶進行統(tǒng)一的管理、身份驗證和授權，避免用戶頻繁的登錄認證是建設智慧校園的一項重要的內(nèi)容。

關鍵詞：智慧校園；統(tǒng)一身份認證；技術分析

1 背景

智慧校園是校園數(shù)字化的一種高度發(fā)展的形式，或者說智慧校園與數(shù)字化校園在本質(zhì)上沒有區(qū)別，都是利用互聯(lián)網(wǎng)技術對處于校園網(wǎng)的人進行統(tǒng)一的管理，因此派生了許多基于校園網(wǎng)方便師生的應用。雖然這些應用基于校園網(wǎng)，但是其本質(zhì)依舊是一個個獨立的系統(tǒng)，并且這些系統(tǒng)的管理員之間互不信任，因此就會出現(xiàn)面對不同應用用戶得記憶不同的賬號和密碼，造成了在使用應用時的頻繁登錄與認證。比如在某高校，學生登錄個人信息系統(tǒng)用的是自己的學號與密碼A，學生登錄學校圖書館時用的是自己的學號與密碼B，學生用校園網(wǎng)上網(wǎng)時用的是自己的學號與密碼C，雖然賬號均為學生本人的學號，但是，密碼卻有三個，增加了記憶量，有的學校甚至在這些平臺的登錄上讓用戶使用不同的賬號密碼，也就是說雖然學校的個人查詢信息平臺、圖書館首頁都是基于校園網(wǎng)而建立，但是相關的數(shù)據(jù)卻互不通用，這不僅不能體現(xiàn)數(shù)字化校園給人帶來的便利性，而且還會增加維護的困難，因此建立一個統(tǒng)一的管理、身份認證和授權的平臺，使得用戶可以使用一套賬號密碼“一鍵登錄”一切基于校園網(wǎng)而建立的應用。

有人會有疑問，這些應用都用一套賬號密碼登錄難道不會增加自身信息被盜取的危險？這種擔心不是沒有根據(jù)的，在多個應用使用相同的賬號和密碼確實會增加賬號被盜取的風險，但是那是基于這些應用沒有一個統(tǒng)一的數(shù)據(jù)庫而言，而建立統(tǒng)一驗證系統(tǒng)的本質(zhì)即是建立一個總的用戶數(shù)據(jù)庫。

2 認證機制分類

2.1 用戶口令認證

用戶口令認證是一種早期的認證機制，一般用于早期的電腦系統(tǒng)中，現(xiàn)今也常用于某些對于安全性要求不高的系統(tǒng)中，比如Windows中的用戶登錄，pc的開機口令，Linux系統(tǒng)的用戶登錄等。其驗證過程為，當遇到需要驗證用戶身份的操作時，用戶輸入相應口令，若用戶輸入的口令與系統(tǒng)中儲存的口令一致時則通過驗證，反之則拒絕用戶的操作。但是其存在以下缺點：（1）驗證方式簡單容易被破解；（2）易被病毒截取口令；（3）口令泄露后用戶不能及時察覺。

2.2 挑戰(zhàn)-應答的認證

挑戰(zhàn)-應答模式的作用過程為，當遇到需要認證用戶的身份時，服務器會發(fā)送一串隨機字符給用戶，用戶根據(jù)字符做出相應的回答然后將回答返回到服務器，若回答的結果與服務器結果相一致則用戶通過驗證，反之則終止操作或繼續(xù)發(fā)送字符直到用戶返回正確的結果。

該機制可以看作是口令認證的升級版，但是該機制因每次認證時都會發(fā)送不同的字符，因而不容易被攻擊者破解，因此具有很高的安全性，但是用于每次驗證時口令都是隨機的，因而會浪費掉用戶大量的時間。

2.3 Kerberos認證

Kerberos是一種認證協(xié)議，該協(xié)議的認證過程不依賴傳統(tǒng)的主機操作系統(tǒng)的認證，亦不必基于對主機地址的信任，更不要求任一在網(wǎng)絡上的主機都是安全的，該協(xié)議假定在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包都是可以被任意讀取、修改和擴充的。

Kerberos對信息進行的加密方式為對密鑰加密，因此該認證方式提供了一個具有較高安全性的用戶身份認證方式，其基本內(nèi)容是，只要能夠對信息進行正確解密的即是合法用戶，用戶在訪問應用的服務器之前會先訪問Kerberos（第三方）服務器以獲取訪問許可證。

該認證的運行環(huán)境可分為以下三部分：（1）密鑰的分配中心：此

部分含有全部的用戶賬號信息，是整個系統(tǒng)的核心之處，并且提供兩部分的服務，認證服務（Authentication Server， AS），以及票據(jù)授權服務（Ticket Granting Service， TGS）。（2）Kerberos的應用服務器：此部分用于接受用戶的操作請求，驗證用戶，并且為合法用戶提供相應的服務。（3）Kerberos的工作站：這部分的功能是將用戶的登錄時的密碼轉為該用戶的長期密鑰（秘密密鑰）。

該認證方式的過程為：（1）用戶A向AS做出要訪問TGS的請求。（2）AS收到該請求并從用戶的口令中導出密鑰K-A進行加密，加密后只有用戶能夠解答。而后，向用戶做出應答，內(nèi)容包括：證明用戶A身份的ID-tgs，A與TGS間會話所使用的密鑰K-A-tgs，時間戳TS2，以及AS發(fā)放的Ticket-tgs（票據(jù)許可票據(jù)）。（3）A收到Ticket-tgs后，會向TGS發(fā)送請求，請求訪問應用服務器服務。之后TGS使用K-tgs解密，導出用戶A與自己會話使用的K-A-tgs，而后TGS進行數(shù)據(jù)比對確認A的身份。（4）TGS向A發(fā)出應答，應答內(nèi)容為服務器X的身份ID-X，以及服務器與用戶會話使用的K-A-X，服務許可票據(jù)Ticker-X。（5）A向服務器X出示認證符和服務許可票據(jù)，服務器解密票據(jù)后得密鑰，利用該密鑰確認A的身份。（6）最后服務器向A證明自己的身份。

由此可見，kerberos認證方式在于其能將用戶的數(shù)據(jù)集中管理，是一種互相認證的機制，這可以大幅度服務器的維護成本。而且這種認證是雙向的，不僅服務器要驗證用戶的身份，服務器還要向用戶證明自己的身份。這樣每次的密鑰都不一樣，因此可以防止非法服務器進行攻擊。所以校園統(tǒng)一身份認證的認證機制采用kerberos認證較為適合。

3 其他框架

3.1 目錄以及目錄服務

目錄服務即是按照樹形信息組織方式來實現(xiàn)信息的管理和服務接口一種方式，所以目錄服務是一種管理的工具也是用戶的最終工具。在目錄服務期間用戶與服務器能夠互相驗證對方的身份。

3.2 Web Services

Web service是一種架構在XML技術基礎上的程序集成技術，構筑Web service的主要技術為XML（可擴展標記語言）、SOPA（簡單對象訪問協(xié)議）、服務描述語言（WSDL）、統(tǒng)一描述、UDDI（發(fā)現(xiàn)和集成規(guī)范）。利用web service在各種異構平臺的基礎上搭建一個通用的平臺。

3.3 Protal技術

由于在校園應用中有不同的操作系統(tǒng)、不同的數(shù)據(jù)庫以及不同的開發(fā)平臺，在建設智慧校園時應當使用一個統(tǒng)一的展現(xiàn)平臺，而且還能夠為用戶提供定制的能力。而Protal技術即提供了這樣一個平臺，利用Protal技術可以實現(xiàn)的功能有：（1）內(nèi)容聚合；（2）視圖定制；（3）單點登錄；（4）個性化服務；（5）可管理可配置等。

4 結束語

統(tǒng)一身份認證系統(tǒng)是建設智慧校園的重要部分，利用統(tǒng)一身份認證系統(tǒng)，用戶可以不必記憶大量的賬號和密碼，可以用一個賬號密碼進行各個應用的登錄，由于各應用服務器共同使用了一個數(shù)據(jù)庫因此，可以大大降低服務器的維護成本，并且由于采用了互相認證的方式能夠大大減少服務器被攻擊的幾率，而且統(tǒng)一認證系統(tǒng)比傳統(tǒng)的認證系統(tǒng)顯得更為可靠可以大幅度降低信息被盜用的風險。

參考文獻

[1]王瑋.數(shù)字化校園統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].北京郵電大學，2010.

[2]陳鴻.數(shù)字校園統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].電子科技大學，2013.

[3]王靜然.結合人臉識別和RFID卡的考生身份認證系統(tǒng)的研究[D].太原理工大學，2013.

作者簡介：狄宏林（1979-），男，吉林省延吉市人，本科，講師，畢業(yè)于吉林大學，就職于東莞市廣播電視大學，研究方向：數(shù)據(jù)挖掘、大數(shù)據(jù)分析。