智慧校園統(tǒng)一身份認證技術分析與設計

湯羽佳

合肥職業(yè)技術學院，安徽 合肥 230000

近年來，社會體系逐漸向智慧化、科技化方向發(fā)展，如智慧城市、智慧交通等，此類基于網(wǎng)絡架構而實現(xiàn)的一體化運營機制，能極大提高整體系統(tǒng)的運作效率。智能化技術與校園體系的融合，建構以數(shù)據(jù)信息為基礎的智慧校園模式，可為校園網(wǎng)絡提供搭載平臺，依托于精密化的數(shù)字技術實現(xiàn)對傳統(tǒng)學生信息管理的優(yōu)化。身份認證技術體系的建設可將學生與系統(tǒng)內的信息建立對接渠道，通過信息綁定達到對傳統(tǒng)的密碼登錄進行優(yōu)化的目的。學生在進行系統(tǒng)登錄時，只需要進行身份認證便可將信息與數(shù)據(jù)框架內的各項節(jié)點進行自主關聯(lián)，且身份認證具有唯一性，可有效增強學生信息的安全性，并為校園數(shù)據(jù)信息管理工作的開展提供基礎保障。

1 校園內統(tǒng)一身份認證的重要性

身份認證是指對用戶的身份進行查驗，通過系統(tǒng)大數(shù)據(jù)內的比對，認證該用戶是否屬于合法狀態(tài)。一般來講，身份認證是一種對接類技術，只需用戶通過口令輸入，然后在系統(tǒng)的核驗下，最終確定用戶身份是否符合后續(xù)操控基準。在當前數(shù)字化運營模式中，身份認證決定著最終授權行為，即將用戶信息與資源信息進行匹配，以得出后續(xù)時間段內相關的訪問行為。

首先，身份認證平臺的建設可提高用戶的體驗度。傳統(tǒng)的校園信息系統(tǒng)中，受不同網(wǎng)絡架構的影響，教師、學生、教務人員等在異地登錄時需進行多次認證操作才可進入到系統(tǒng)中。如在此過程中用戶遺忘密碼，將在短時間內無法登錄系統(tǒng)，且需要經過較為繁雜的工序進行密碼找回，耗費大量時間資源。

其次，身份認證平臺的建設有助于提高校園信息管理質量。目前，學校依據(jù)專業(yè)學科、年級等建立單獨的信息管理機制，然而不同內容的信息在進行整合管理時，其內部管理機制將存在較大的差異性。如學校管理機制較為單一，將無法對現(xiàn)有的數(shù)據(jù)信息進行精細化管理。特別是對于校園網(wǎng)絡來講，單一網(wǎng)絡節(jié)點的設定屬于一種獨立機制，但各項內容間存在一定的聯(lián)動性，當主位管理與次位管理相沖突的話，則必然令整體管理造成相應的缺陷[1]。

最后，可拓展校園網(wǎng)絡的覆蓋面。受系統(tǒng)獨立運營機制的影響，內部數(shù)據(jù)信息無法進行聯(lián)動分析，即便是數(shù)據(jù)整合功能也只能單一化的在某一類信息框架下執(zhí)行，這種運作機制可以降低數(shù)據(jù)信息的冗余概率，但同時也加大了系統(tǒng)運行的負擔。

2 智慧校園統(tǒng)一身份認證技術分析

智慧校園體系中，統(tǒng)一身份認證技術是將網(wǎng)絡架構中的節(jié)點信息與用戶身份信息進行捆綁，此類形式可以看成是區(qū)塊鏈技術的一個分支，但其技術本身具有一定的針對性。為確保整體系統(tǒng)運行的完整性，模塊設定、程序編寫等必須嚴格遵循校園網(wǎng)絡的信息管理架構，以此來提高校園信息化平臺的建設質量。

2.1 系統(tǒng)層次架構

統(tǒng)一身份認證系統(tǒng)層次架構一般可分為四類組成部分。第一，服務層。此類架構主要服務于數(shù)據(jù)庫系統(tǒng)，當用戶端發(fā)出相應的指令需求時，其進行需求響應并對用戶指令進行執(zhí)行，可以將其看成是系統(tǒng)的服務端。第二，接口層。是服務層的上位承接系統(tǒng)，主要功能是對系統(tǒng)內的程序進行分析，并對服務器進行指令請求，此運行過程是搭載接口程序來完成的。第三，應用層。在數(shù)據(jù)分析后，應用層依據(jù)數(shù)據(jù)請求來判定信息所屬類型，并依據(jù)類型機制來分化出不同的指令，通過信息反饋與回傳，將指令傳輸?shù)较挛怀薪拥膶ν鈱印５谒?，對外層。在接到上一應用層傳遞到的信息之后，將指令信息回傳到請求端，在信息載體的應用下，以Web、B/S 兩種模式向用戶進行相關信息展示。

與用戶相關聯(lián)的層次架構為應用對外層，即通過接口來實現(xiàn)信息模型的轉換，為用戶提高多元信息服務，令用戶可更加直觀的對下達指令，并了解指令執(zhí)行所產生的實際效果[2]。

2.2 用戶管理

用戶管理系統(tǒng)是用戶指令下達的平臺，其也是信息授權的重要外顯形式，用戶管理系統(tǒng)分為三個模塊。第一，系統(tǒng)注冊模塊，其將新的應用系統(tǒng)進行數(shù)據(jù)分化，然后提出數(shù)據(jù)信息中的相關節(jié)點并建構到系統(tǒng)目標中。第二，用戶注冊模塊，其是用戶初始信息采集的部分，如用戶信息認證、信息更新、信息關聯(lián)等，也屬于信息整合的部分。在此模塊，為用戶關聯(lián)應用系統(tǒng)信息，建立相應的訪問權限。第三，權限管理模塊，其主要是將程序與用戶指令進行權限關聯(lián)，保證用戶在自身的功能設定下，可在最短時間內完成任務搜尋，以提高系統(tǒng)應用效率。

2.3 統(tǒng)一身份認證模式

統(tǒng)一身份認證是一種基于數(shù)字化信任機制來實現(xiàn)的，一般來講，其可分為兩種認證模式。第一，組建模式，其承接的是系統(tǒng)應用程序，在實際運行中，無需經歷自有數(shù)據(jù)庫的建設，內部賬號可與身份認證相協(xié)同。此類認證模式的工作程序為用戶→登錄界面→應用層→重定向服務信息→信息認證→信息校驗→信息注冊→信息反饋→認證通過→訪問權限→用戶，其屬于一個信息反饋認證機制，且存在一定的時間局限性。

第二，統(tǒng)一認證模式，運行程序為用戶→登錄界面→認證服務→訪問→應用層→信息反饋→信息授權→用戶，此類系統(tǒng)可為用戶與應用層直接搭載訪問渠道，減少服務信息環(huán)節(jié)。

3 智慧校園統(tǒng)一身份認證技術設計

3.1 目錄服務設計

目錄服務系統(tǒng)是為用戶提供各種目錄查詢的功能，是數(shù)據(jù)庫最重要的環(huán)節(jié)之一，是信息化實現(xiàn)的重要載體，在內部各類數(shù)據(jù)參數(shù)的核對與傳輸下，可令校園網(wǎng)絡內各類信息進行有序化操控，且可最大限度地保證數(shù)據(jù)信息統(tǒng)一性[3]。在進行目錄服務系統(tǒng)設定時，考慮到用戶、程序、服務之間的信息聯(lián)動關系，應在支持目標服務系統(tǒng)的目標樹中建立用戶信息模塊，如教務人員、教師、學生，在應用系統(tǒng)中為各類用戶信息設定單獨的名稱，并為應用系統(tǒng)提供網(wǎng)絡協(xié)議服務。在設定用戶相關的訪問權限時，由于數(shù)據(jù)信息本身屬于開源式傳輸，則必須利用ACL 來對內部數(shù)據(jù)信息進行有效控制，可通過文件后綴改變的形式或直接在平臺中運行ACL 指令進行系統(tǒng)實現(xiàn)，以更好地對內部信息進行控制。

3.2 應用程序架構

在應用程序設定中，用編程服務類WEB 為核心，其主要是由于系統(tǒng)內部的容錯機制較大，可有效避免多源信息所造成的耦合效用。同時WEB 可將不同程序進行整合與集成，其直接作為一個系統(tǒng)過渡體，不需要第三方軟件對信息進行轉換便可有效將內部信息進行關聯(lián)處理。在校園智慧網(wǎng)絡中，由于信息功能呈現(xiàn)出多元特性，如專業(yè)學科信息、考試信息、教務管理信息等，此類信息都具有獨立的服務框架，而采用WEB 則可精準地實現(xiàn)內部數(shù)據(jù)源的整合，為不同類別的程序、編程等建立一個融合環(huán)境，以此令系統(tǒng)更好的服務于認證技術中。

3.3 統(tǒng)一認證

統(tǒng)一認證系統(tǒng)中數(shù)據(jù)庫默認形式是將賬號與校園網(wǎng)絡中的數(shù)據(jù)信息進行關聯(lián)，確保用戶在執(zhí)行不同的任務操控中可獲取相關訪問權限，此類設定是以應用程序為載體來實現(xiàn)的，以對用戶的各項指令及權限進行相關限定，確保用戶在一定時間段內進行各類信息訪問不再進行登錄操作。具體工作流程如圖1 所示，當用戶進行信息登錄時，會將訪問指令傳輸?shù)綉贸绦蛑?，然后應用程序對用戶信息進行驗證響應，查證用戶令牌的準確性，然后用戶將認證信息傳輸?shù)匠绦騼取４诉^程后，應用系統(tǒng)則將與用戶信息相關聯(lián)的各項服務類別進行標定與解密，并逐一與數(shù)據(jù)庫內的源信息進行比對，最后將信息反饋到認證系統(tǒng)中，并對應用系統(tǒng)下達訪問指令。

令牌加密、加密程序的設定如下：

（1）將SID、AU、TID、TS、LS、用戶名、用戶地址及一個隨機數(shù)字組合為一個字符串。

（2）服務器在對信息認證時，將字符串重新制定成一個具有固定長度信息的字符串（一般是以HSAH 函數(shù)為信息轉換載體）。

（3）將轉變過來的字符串進行單鑰賦值，然后進行DES 加密與字符標記，并利用系統(tǒng)內應用層的公鑰進行二次密鑰設定，得出加密數(shù)值X，將其記錄到令牌中。

圖1 認證系統(tǒng)圖示

3.4 系統(tǒng)認證拓撲結構

圖2 系統(tǒng)拓撲圖示

（4）應用服務器在進行信息轉換時，對X 值進行解讀，得到基于應用層的解密值A，認證服務器在對信息進行核驗時，利用反向解密機制，即將HASH函數(shù)對傳輸過來的密鑰數(shù)值進行解密運算，如最終數(shù)值與A 相同，則證明此類令牌為正確的。如數(shù)值出現(xiàn)錯誤，則證明該用戶不具備相關訪問權限。

智慧校園網(wǎng)絡中，統(tǒng)一身份認證具有單一性、獨立性，在設計系統(tǒng)核心平臺時，主要是實現(xiàn)集用戶管理、認證授權的，為第一時間確保用戶信息與系統(tǒng)內的數(shù)據(jù)可形成有效協(xié)同，需從用戶管理、認證授權等數(shù)據(jù)的結構為出發(fā)點，建立統(tǒng)一的認證接口，便于系統(tǒng)對大量的數(shù)據(jù)信息進行相關操控處理。本文設計中采用的是identity server 標識服務器為核心，建立一個命令接口，將接口與應用程序相連接，為用戶提供API 服務，以進行身份的統(tǒng)一認證。系統(tǒng)拓撲圖如圖2 所示，在運行過程中，客戶端通過服務器接口可更加精準地作用于各項數(shù)據(jù)業(yè)務系統(tǒng)中，當校園內人員進行身份認證后，其內部信息將同步傳輸?shù)礁髂K系統(tǒng)中，模塊系統(tǒng)在接收到數(shù)字信任協(xié)議后，將自動與該信任用戶相關聯(lián)的各項信息進行協(xié)議傳輸，以保證整體系統(tǒng)運行的完整性，為學生、教師以及教務人員等提供更為優(yōu)質的服務。

4 結語

綜上所述，智慧校園統(tǒng)一身份認證系統(tǒng)是一種集安全技術、數(shù)字技術、網(wǎng)絡技術于一體的綜合化架構模式，在設計與實現(xiàn)過程中，需依據(jù)系統(tǒng)工作環(huán)境來設定正確的網(wǎng)絡層級結構，保證每一項應用程序可精準的執(zhí)行用戶操控指令，令用戶信息與數(shù)據(jù)庫內的參數(shù)信息形成對接，以此來提高身份認證系統(tǒng)的運作質量。