數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究

摘 要：進(jìn)入21世紀(jì)，計算機(jī)移動網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各種應(yīng)用迅速走入人們的生活，用戶數(shù)量和應(yīng)用終端數(shù)量爆發(fā)式增長，給高校的網(wǎng)絡(luò)建設(shè)工程提出了新的要求，應(yīng)用的安全和便捷性需求問題引起了高度重視。各種各樣的應(yīng)用系統(tǒng)，復(fù)雜繁瑣的登錄確認(rèn)，權(quán)限認(rèn)證等問題，迫切需要現(xiàn)代數(shù)字化校園集成各類網(wǎng)絡(luò)資源，提高應(yīng)用效率，建議統(tǒng)一的門戶和統(tǒng)一的身份認(rèn)證系統(tǒng)。

關(guān)鍵詞：統(tǒng)一身份認(rèn)證；Kerberos Web Service單點登錄；輕量目錄訪問協(xié)議

1 研究的背景和意義

進(jìn)入21世紀(jì)，計算機(jī)移動網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各種應(yīng)用迅速走入人們的生活，用戶數(shù)量和應(yīng)用終端數(shù)量爆發(fā)式增長，給高校的網(wǎng)絡(luò)建設(shè)工程提出了新的要求，應(yīng)用的安全和便捷性需求問題引起了必要的重視。各種各樣的應(yīng)用系統(tǒng)，復(fù)雜繁瑣的登錄確認(rèn)，權(quán)限認(rèn)證等問題，迫切需要現(xiàn)代數(shù)字化校園集成各類網(wǎng)絡(luò)資源，提高應(yīng)用效率，建議統(tǒng)一的門戶和統(tǒng)一的身份認(rèn)證系統(tǒng)。

數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的主要理念為集成各類網(wǎng)絡(luò)應(yīng)用，建立統(tǒng)一門戶和和統(tǒng)一的認(rèn)證服務(wù)系統(tǒng)，實現(xiàn)使用唯一身份認(rèn)證信息登錄和權(quán)限區(qū)分。統(tǒng)一身份認(rèn)證的優(yōu)點其一是用戶只有一個登錄賬號，在使用中注冊、登錄和修改信息時比較方便；其二是對于系統(tǒng)來說，可以避免各個應(yīng)用系統(tǒng)的重復(fù)開發(fā)，統(tǒng)一數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)共享，同時可以根據(jù)各個子系統(tǒng)的點擊率來優(yōu)化整個系統(tǒng)結(jié)構(gòu)。

當(dāng)前，國內(nèi)高等院校已基本建成數(shù)字化校園系統(tǒng)，一個安全、便捷、可靠的身份認(rèn)證系統(tǒng)是數(shù)字化校園應(yīng)用的熱點研究領(lǐng)域，也是實際應(yīng)用的必需。

2 高職院校網(wǎng)絡(luò)認(rèn)證管理需求分析

伴隨著近幾年網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，大部分高職院校建成了萬兆級核心校園網(wǎng)絡(luò)，提供各種校園網(wǎng)絡(luò)所具備的電子郵箱、資產(chǎn)管理系統(tǒng)等服務(wù)，并利用無線AP覆蓋了整個校園。共享網(wǎng)絡(luò)資源，提供便捷服務(wù)，建成安全可靠的數(shù)字化平臺，是高職院校建設(shè)數(shù)字化校園的目的，然而這需要數(shù)字化校園網(wǎng)絡(luò)為學(xué)校的各類用戶提供統(tǒng)一認(rèn)證管理的操作平臺。

要建成一個安全、便捷、可靠的身份認(rèn)證系統(tǒng)，首先要對高職院校的需求進(jìn)行分析。一般來說，高職院校的需求可從以下一個方面進(jìn)行：網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)的需求、系統(tǒng)安全的需求、數(shù)據(jù)中心需求等。

從網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)需求的角度來說，數(shù)值化校園統(tǒng)一身份認(rèn)證系統(tǒng)涉及全校資源共享和認(rèn)證管理，需要其具有功能豐富、操作簡便的管理界面，穩(wěn)定、高效的運行能力。面對校園內(nèi)各類層次用戶的不同需求，一套安全、高效、易操作的統(tǒng)一身份認(rèn)證平臺，標(biāo)準(zhǔn)的用戶認(rèn)證借口，有助于提高系統(tǒng)的工作效率，減少網(wǎng)絡(luò)負(fù)荷，便于管理人員使用和維護(hù)整個系統(tǒng)。另外，可根據(jù)實際需求，在用戶認(rèn)證時使用端口綁定，實時監(jiān)控用戶的上網(wǎng)行為，確保校園網(wǎng)絡(luò)信息的安全。

從系統(tǒng)安全性需求的角度來說，數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)平臺的安全是數(shù)字化校園建設(shè)的核心內(nèi)容之一。針對高職院校中較易發(fā)生的網(wǎng)絡(luò)安全事件，例如盜用IP地址、非法入侵、破解賬號密碼等，需要制定完善的網(wǎng)絡(luò)安全策略。用戶的上網(wǎng)行為，如登錄帳號、登錄時長、接入?yún)^(qū)域、IP地址等有必要得到詳細(xì)的記錄和監(jiān)管。針對病毒和攻擊防護(hù)，應(yīng)采用諸如防DOS攻擊、加密算法、防源IP地址欺騙等軟、硬件結(jié)合的方式進(jìn)行多重防護(hù)。

從數(shù)據(jù)中心需求的角度來說，數(shù)字化校園的數(shù)據(jù)中心有必要形成一個統(tǒng)一的平臺，由單一核心交換機(jī)傳輸所有數(shù)據(jù)，降低運營維護(hù)成本。較高的網(wǎng)絡(luò)訪問速度和較快的存儲響應(yīng)速度應(yīng)得到重視，否則將影響數(shù)據(jù)中心的整體性能。對于數(shù)據(jù)中心存儲系統(tǒng)來說，保障數(shù)據(jù)的安全可靠性是首要的任務(wù)，因此核心交換設(shè)備應(yīng)具備故障冗余能力和快速故障恢復(fù)能力，確保數(shù)據(jù)中心的安全可靠。另外出于管理的便捷性考慮，統(tǒng)一數(shù)字化校園的身份認(rèn)證系統(tǒng)也是必要的。

3 統(tǒng)一身份認(rèn)證系統(tǒng)的相關(guān)技術(shù)

所謂身份認(rèn)證是指根據(jù)用戶提供的信息判斷其正確性或者合法性的過程。用戶提供的認(rèn)證信息可以是用戶名、密碼，或者是指紋等。統(tǒng)一身份認(rèn)證是指在數(shù)字化校園網(wǎng)絡(luò)系統(tǒng)內(nèi)，各個不同的子系統(tǒng)采用同一個認(rèn)證信息來驗證，其目的除了規(guī)范系統(tǒng)外，還可以避免用戶需記憶多種賬號密碼，防止遺忘等問題。另外利用統(tǒng)一身份認(rèn)證系統(tǒng)，可以根據(jù)用戶的不同身份信息來決定用戶的訪問權(quán)限。

作為數(shù)字校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)來說，其相關(guān)的安全技術(shù)必須得到重視。要確保統(tǒng)一身份認(rèn)證的安全性，需要通過一些網(wǎng)絡(luò)安全技術(shù)來實現(xiàn)。常用的網(wǎng)絡(luò)安全技術(shù)包括加密技術(shù)、認(rèn)證技術(shù)、網(wǎng)絡(luò)安全協(xié)議等，如DES加密技術(shù)、安全套接字層（SSL）協(xié)議等。

統(tǒng)一身份認(rèn)證系統(tǒng)的相關(guān)技術(shù)種類繁多，一般來說，高職院校常采用第三方認(rèn)證協(xié)議Kerberos、單點登錄Single Sign On、輕量目錄訪問協(xié)議LDAP、Web Services、SOAP等。在這里文章簡單介紹一下單點登錄Single Sign On、輕量目錄訪問協(xié)議LDAP和第三方認(rèn)證協(xié)議Kerberos。

單點登錄Single Sign On，是指當(dāng)用戶需要訪問多個系統(tǒng)時，只需登錄初始訪問的系統(tǒng)，系統(tǒng)驗證通過后，就可訪問該用戶授權(quán)范圍內(nèi)的相應(yīng)系統(tǒng)。單點登錄的優(yōu)點在于可以將多個系統(tǒng)分散的用戶集中管理，通過統(tǒng)一的身份信息配置不同的訪問權(quán)限，有效提高系統(tǒng)的安全性和便捷性，從而提高工作效率。

輕量目錄訪問協(xié)議LDAP是指在TCP/IP基礎(chǔ)上，定義一個相對簡單的搜索和升級目錄服務(wù)的協(xié)議。LDAP可以提供較復(fù)雜的、多層次的訪問控制或者ACI。這些訪問可在服務(wù)器端進(jìn)行控制，比起在客戶端的控制，其相對更加安全、可靠。在LDAP下，用戶可以根據(jù)需要利用ACI控制對數(shù)據(jù)進(jìn)行讀和寫。

第三方認(rèn)證協(xié)議Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其目標(biāo)是通過密鑰系統(tǒng)為C/S應(yīng)用程序提供有效的認(rèn)證服務(wù)。第三方認(rèn)證協(xié)議Kerberos的原理是假定網(wǎng)絡(luò)傳輸中傳輸?shù)臄?shù)據(jù)被允許自由讀取和修改，Kerberos作為第三方認(rèn)證，運用傳統(tǒng)的密碼技術(shù)來對數(shù)據(jù)包進(jìn)行認(rèn)證，確保數(shù)據(jù)的真實有效。

Web Services是基于可編程web的應(yīng)用程序，具有平臺獨立、低賴合性、自包含的特點。其配置可使用開放的XML來實現(xiàn)，主要用來開發(fā)分布式的互操作的應(yīng)用程序。Web Service技術(shù)的運用，可使不同機(jī)器上不同應(yīng)用軟件的互聯(lián)和集成的實現(xiàn)更加便捷。

4 統(tǒng)一身份認(rèn)證系統(tǒng)分析設(shè)計

統(tǒng)一身份認(rèn)證系統(tǒng)必須建立一個完整的用戶身份認(rèn)證體系，實現(xiàn)對用戶的統(tǒng)一授權(quán)、認(rèn)證、管理和單點登錄。根據(jù)數(shù)字化校園建設(shè)的要求，建設(shè)目標(biāo)如下：統(tǒng)一用戶認(rèn)證機(jī)制、提供集中、統(tǒng)一、高效的用戶管理、具有良好的平臺兼容性和良好的擴(kuò)展性、集成性以及高水平的安全性。

從系統(tǒng)功能的角度來說，統(tǒng)一身份認(rèn)證系統(tǒng)可以分為兩大功能部分：身份認(rèn)證管理和權(quán)限控制管理。其中，身份認(rèn)證管理主要分為用戶登錄、用戶添加/刪除、用戶信息修改三個部分。權(quán)限控制管理主要分為兩塊內(nèi)容：業(yè)務(wù)系統(tǒng)權(quán)限分配和業(yè)務(wù)系統(tǒng)權(quán)限查詢。統(tǒng)一身份認(rèn)證系統(tǒng)通過對LDAP目錄服務(wù)器中的永和和應(yīng)用系統(tǒng)的用戶進(jìn)行各種操作來實現(xiàn)整個系統(tǒng)的運作。

從系統(tǒng)邏輯分層角度來說，統(tǒng)一身份認(rèn)證系統(tǒng)可分為數(shù)據(jù)層、基層層和應(yīng)用層。用戶使用用戶名和密碼由客戶端通過瀏覽器（基礎(chǔ)層）登陸統(tǒng)一身份認(rèn)證系統(tǒng)，應(yīng)用服務(wù)器（應(yīng)用層）接收訪問申請并驗證用戶名和密碼后將有效信息轉(zhuǎn)化為LDAP目錄服務(wù)器格式向認(rèn)證服務(wù)器（數(shù)據(jù)層）驗證用戶信息合法性，LDAP目錄服務(wù)器經(jīng)驗證后將結(jié)果層層反饋到應(yīng)用服務(wù)器、基礎(chǔ)層的瀏覽器，合法用戶將進(jìn)行權(quán)限內(nèi)操作，反之亦然。

一般來說，中等規(guī)模數(shù)字化校園系統(tǒng)常采用單點登錄模式，Kerberos協(xié)議是比較常見的方式之一。文章將以Kerberos協(xié)議為基礎(chǔ)。作為第三方認(rèn)證協(xié)議，Kerberos協(xié)議的密鑰分發(fā)中心在認(rèn)證過程中充當(dāng)中間人的角色，在這個認(rèn)證系統(tǒng)結(jié)構(gòu)中，由其發(fā)送的憑證票據(jù)是用戶用來訪問相關(guān)服務(wù)的憑證，包含了用戶的基礎(chǔ)信息、加密密鑰和票據(jù)生成時間等重要信息。

根據(jù)對數(shù)字化校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)流程的設(shè)計思路，用戶初次訪問應(yīng)用程序時，可能沒有憑證票據(jù)，因此瀏覽器會重新定向到統(tǒng)一身份認(rèn)證系統(tǒng)，用戶使用用戶名和密碼登陸后，重新生成新的憑證票據(jù)發(fā)送到認(rèn)證服務(wù)器和LDAP目錄服務(wù)器進(jìn)行驗證，如果合法，認(rèn)證服務(wù)器將相關(guān)信息反饋到瀏覽器，瀏覽器保存后就可以利用此信息訪問其它權(quán)限內(nèi)的應(yīng)用系統(tǒng)功能模塊。

對于權(quán)限控制管理來說，一個用戶可以擁有多個角色，而不同角色擁有不同的權(quán)限。本系統(tǒng)可根據(jù)角色區(qū)分權(quán)限，利用LDAP目錄服務(wù)器完成用戶的信息、角色信息和對應(yīng)的權(quán)限管理。

輕量級目錄訪問協(xié)議LDAP是一種另類的數(shù)據(jù)庫，它可以存儲模式信息和訪問信息。數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)采用LDAP目錄服務(wù)，可以快速有效地讀取用戶的基本信息，提高管理的效率，實現(xiàn)對用戶信息的高校管理，提高系統(tǒng)的整體性能。

在數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)中，還需設(shè)計添加、修改和刪除用戶的功能，當(dāng)用戶被添加時系統(tǒng)應(yīng)對用戶所擁有的角色分配權(quán)限。權(quán)限管理是統(tǒng)一身份認(rèn)證系統(tǒng)中很重要的一部分，其功能包括授權(quán)、監(jiān)督、管理及追溯等功能，確保系統(tǒng)的正常運行。同樣系統(tǒng)也需要擁有權(quán)限的創(chuàng)建、修改和刪除的功能。

一般來說，在統(tǒng)一身份認(rèn)證系統(tǒng)中，角色是替代用戶使用權(quán)限的實體，角色、用戶與權(quán)限可形成對應(yīng)關(guān)系。同一個用戶可擁有不同的角色，行使對應(yīng)的權(quán)限。

從硬件系統(tǒng)的角度來說，硬件設(shè)計可分為用戶層、數(shù)據(jù)層和業(yè)務(wù)層。認(rèn)證服務(wù)器、LDAP目錄服務(wù)器和統(tǒng)一身份認(rèn)證系統(tǒng)均屬于數(shù)據(jù)層。

當(dāng)用戶瀏覽網(wǎng)頁時，Web服務(wù)器會在終端上保留一個cookie文件，通過此文件，用戶再次瀏覽此網(wǎng)站時能免去登陸密碼直接瀏覽。當(dāng)瀏覽器進(jìn)入Web頁面到關(guān)閉該Web頁面所經(jīng)過的時間，即指Session。一般來說，cookie文件可作為服務(wù)器發(fā)送的令牌用，Session可作為發(fā)送的應(yīng)用程序的訪問憑證使用。

針對各種各樣的應(yīng)用子系統(tǒng)來說，統(tǒng)一身份認(rèn)證系統(tǒng)還需解決的一個問題是需提供一個標(biāo)準(zhǔn)化的應(yīng)用程序接口以滿足各類子系統(tǒng)的需求。通用安全服務(wù)應(yīng)用程序編程接口GSSAPI是一種較常用的應(yīng)用程序接口程序訪問服務(wù)，其可與Kerberos是可兼容的。另外，通過可插入身份認(rèn)證模塊PAM來整合多個應(yīng)用程序編程接口認(rèn)證機(jī)制是常用的方法。

5 結(jié)束語

為了提高數(shù)字化校園系統(tǒng)的效率及安全性，高職院校需實現(xiàn)校園網(wǎng)的統(tǒng)一身份認(rèn)證。文章主要對統(tǒng)一身份認(rèn)證管理系統(tǒng)進(jìn)行闡述，根據(jù)一般高職院校的實際應(yīng)用需求，以單點登錄、第三方認(rèn)證Kerberos以及輕量級LDAP目錄訪問協(xié)議為基礎(chǔ)，結(jié)合通用安全服務(wù)應(yīng)用程序接口GSSAPI和可插入身份認(rèn)證模塊PAM搭建完整的數(shù)字化校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)。后續(xù)如何適應(yīng)新的變化，如支付方式的改變，還有待進(jìn)一步完善。

參考文獻(xiàn)

[1]黃孌.校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)[D].天津大學(xué)，2013.

[2]王瑋.數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)[D].北京郵電大學(xué)，2010.

[3]鄭煥.基于Web Services統(tǒng)一身份認(rèn)證系統(tǒng)研究[D].武漢理工大學(xué)，2007.

[4]賀甲寧.校園網(wǎng)環(huán)境下統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實現(xiàn)[D].西安電子科技大學(xué)，2015.

作者簡介：楊夢希（1981，09-），女，漢族，江蘇無錫人，本科，助理實驗師，無錫商業(yè)職業(yè)技術(shù)學(xué)院，研究方向：網(wǎng)絡(luò)管理。