劉劍鋒

摘要：該文從高校信息化建設(shè)的需求出發(fā)，分析為何要建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)。然后討論如何才能建設(shè)一個(gè)符合數(shù)字化校園建設(shè)和高校未來需求的統(tǒng)一身份認(rèn)證平臺(tái)。

關(guān)鍵詞：統(tǒng)一身份認(rèn)證平臺(tái)；數(shù)字化校園；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）32-7624-02

隨著中國(guó)高等教育全面走向信息化，數(shù)字化校園的概念已經(jīng)深入人心。而數(shù)字化校園的核心任務(wù)之一就是要實(shí)現(xiàn)統(tǒng)一身份認(rèn)證?！敖y(tǒng)一身份認(rèn)證是為了解決高等院校在權(quán)限管理過程中的共性問題，是集中管理高等院校資源訪問權(quán)限的認(rèn)證方案，降低高等院校的權(quán)限管理及維護(hù)成本，具有良好擴(kuò)充性和安全性的解決方案.”【１】現(xiàn)在越來越多的學(xué)校認(rèn)識(shí)到，統(tǒng)一身份證平臺(tái)是高校信息化發(fā)展的一個(gè)基礎(chǔ)平臺(tái)，必須盡早建設(shè)。

1統(tǒng)一身份認(rèn)證平臺(tái)的作用

1.1建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)的現(xiàn)實(shí)需求

目前高校在不同時(shí)期，有不同的部門已經(jīng)建立功能各異的信息系統(tǒng)，如教務(wù)系統(tǒng)、人事管理系統(tǒng)、學(xué)生管理系統(tǒng)、財(cái)務(wù)系統(tǒng)等等。這樣產(chǎn)生了很多問題：（1）用戶經(jīng)常需要登陸不同系統(tǒng)，記恨多用戶名、密碼，耗費(fèi)時(shí)間并且不方便。（2）每套系統(tǒng)都要實(shí)現(xiàn)自己認(rèn)證功能耗費(fèi)軟硬件資源，安全也很難得到保證。（3）缺乏長(zhǎng)遠(yuǎn)的規(guī)劃和統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，不利于新的新系統(tǒng)建設(shè)。所以建設(shè)一個(gè)統(tǒng)一的身份認(rèn)證平臺(tái)，即用戶只要登陸一次，就可以根據(jù)自己的權(quán)限訪問所有的信息系統(tǒng)就成為信息化發(fā)展的一個(gè)重要方向。

1.2統(tǒng)一身份認(rèn)證平臺(tái)的概念

為了保護(hù)前期的投資和不影響現(xiàn)有系統(tǒng)的正常使用，需要利用統(tǒng)一的技術(shù)架構(gòu)和標(biāo)準(zhǔn)，把現(xiàn)有的系統(tǒng)和資源進(jìn)行有效整合，建立一個(gè)安全、可靠、統(tǒng)一的身份認(rèn)證中心。“統(tǒng)一身份認(rèn)證平臺(tái)是一個(gè)集中的用戶認(rèn)證管理和集成環(huán)境！可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制！用戶數(shù)據(jù)庫資源統(tǒng)一保存在認(rèn)證服務(wù)器中，從而簡(jiǎn)化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)，使用戶在身份認(rèn)證后無須在此登錄就可以接受校園網(wǎng)中其他信息服務(wù)系統(tǒng)提供的服務(wù)，實(shí)現(xiàn)了單點(diǎn)登錄和應(yīng)用漫游?！薄荆病?/p>

1.3統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)方向

身份認(rèn)證平臺(tái)的核心思想從方便用戶使用和保證系統(tǒng)整體安全性角度，基于校園網(wǎng)絡(luò)實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶的集中統(tǒng)一認(rèn)證。身份認(rèn)證平臺(tái)不僅為各個(gè)業(yè)務(wù)系統(tǒng)提供用戶登陸的認(rèn)證服務(wù)，還為各個(gè)系統(tǒng)自動(dòng)的同步用戶的權(quán)限，用戶權(quán)限在一處改變后，自動(dòng)在各個(gè)業(yè)務(wù)系統(tǒng)間同步。據(jù)以一個(gè)例子，有一名學(xué)生辦理退學(xué)手續(xù)，不再需要到各個(gè)部門排隊(duì)辦理。只需要到學(xué)工處完成手續(xù)后，學(xué)工處的老師將該學(xué)生的身份從“在校學(xué)生”改變成“畢業(yè)”，該同學(xué)一些列權(quán)限如在教務(wù)處的選課權(quán)限，在醫(yī)務(wù)室看病的權(quán)限，在體育館健身的權(quán)限，在圖書館的借書權(quán)限等，也都一并自動(dòng)從“在校學(xué)生”變?yōu)椤爱厴I(yè)”，相關(guān)權(quán)限一并變更。

2統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)方案

2.1需要實(shí)現(xiàn)的功能

“統(tǒng)一身份認(rèn)證系統(tǒng)需要實(shí)現(xiàn)如下功能：全面擴(kuò)展能力；單點(diǎn)登錄、單點(diǎn)管理；各系統(tǒng)

間用戶賬號(hào)整合；高安全性；安全傳輸；平臺(tái)獨(dú)立性；單一入口。”【3】

2.1.1目錄服務(wù)

目錄服務(wù)是指將校內(nèi)的用戶，按照一定的層次結(jié)構(gòu)，以樹型目錄邏輯的方式加以收集和儲(chǔ)存，對(duì)用戶信息進(jìn)行統(tǒng)一管理。

2.1.2用戶身份認(rèn)證服務(wù)

用戶身份認(rèn)證服務(wù)允許管理員方便地對(duì)各種規(guī)模的用戶集授權(quán)訪問或取消訪問授權(quán)。提供以下功能：

（1）用戶名/口令認(rèn)證，對(duì)于通過計(jì)算機(jī)使用系統(tǒng)的用戶，如果該用戶是第一次進(jìn)入或已超時(shí)時(shí)，系統(tǒng)將自動(dòng)彈出用戶名和口令對(duì)話框，用戶正確輸入用戶名和口令后，就可以根據(jù)自己的權(quán)限訪問各個(gè)應(yīng)用系統(tǒng)的應(yīng)用和數(shù)據(jù)；

（2）數(shù)字證書認(rèn)證，系統(tǒng)提供開放接口，可以擴(kuò)展實(shí)現(xiàn)和包括CIA在內(nèi)的多種數(shù)據(jù)簽名的整合，實(shí)現(xiàn)根據(jù)用戶所提供的數(shù)字證書識(shí)別用戶身份，自動(dòng)完成登錄，或根據(jù)安全策略再得到用戶密碼確認(rèn)后完成登錄。

2.2統(tǒng)一身份認(rèn)證平臺(tái)設(shè)計(jì)的關(guān)鍵技術(shù)

統(tǒng)一身份認(rèn)證平臺(tái)需要為全校師生用戶提供唯一的數(shù)字身份，并能夠?yàn)槿８鞣N應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證服務(wù)實(shí)現(xiàn)單點(diǎn)登錄（SSO）機(jī)制，平臺(tái)采用的關(guān)機(jī)技術(shù)包括：

（1）LDAP技術(shù)，實(shí)現(xiàn)海量的基于LDAP目錄服務(wù)器的用戶數(shù)據(jù)存儲(chǔ)和管理功能，根據(jù)不同學(xué)校的規(guī)模能夠支持1萬到10萬的用戶，并在此規(guī)模下能夠提供不長(zhǎng)于5秒鐘的用戶檢索效率。

（2）SSO技術(shù)，高效的支持SSO（單點(diǎn)登錄）的高性能身份認(rèn)證服務(wù)，能夠支持包括學(xué)校選課、選宿舍等應(yīng)用的高并發(fā)訪問需求，配合用戶可接受的硬件平臺(tái)，能夠在一分鐘內(nèi)支持1000到10000用戶的并發(fā)認(rèn)證要求。

（3）認(rèn)證接口集成技術(shù)，基于認(rèn)證接口的集成技術(shù)實(shí)現(xiàn)開放的支持不同開發(fā)語言、不同應(yīng)用服務(wù)器平臺(tái)實(shí)現(xiàn)的應(yīng)用系統(tǒng)的認(rèn)證集成方式，不僅能夠支持Java語言實(shí)現(xiàn)的管理信息系統(tǒng)的的認(rèn)證集成，還能夠解決基于PHP，ASP，.Net等其他語言開發(fā)的管理信息系統(tǒng)的認(rèn)證集成。

（4）數(shù)字認(rèn)證技術(shù)，提供多種模式的安全認(rèn)證手段，不僅能夠支持常規(guī)的基于用戶名/密碼的認(rèn)證方式，還提供基于CA技術(shù)或SmartCard技術(shù)認(rèn)證方式的擴(kuò)展接口。

2.3統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)原則

（1）該平臺(tái)的用戶和權(quán)限完全由學(xué)校內(nèi)部自主管理，不受第三方控制；

（2）平臺(tái)的管理完全基于WEB界面，加密傳輸，隨時(shí)隨地可進(jìn)行管理，方便安全；

（3）平臺(tái)采用LDAP存儲(chǔ)數(shù)據(jù)，數(shù)據(jù)結(jié)構(gòu)更適合學(xué)校應(yīng)用，認(rèn)證速度更快；

（4）登陸路徑支持Internet、校園網(wǎng)、無線網(wǎng)接入系統(tǒng)；

（5）登陸方式支持用戶名/密碼登陸，同時(shí)提供CA認(rèn)證和Smartcard認(rèn)證的接口；

（6）用戶不慎遺失密碼時(shí)，可以自己通過輸入詳細(xì)的個(gè)人信息及密碼提示答案恢復(fù)密碼，從而降低了系統(tǒng)管理員的負(fù)擔(dān)；

（7）一個(gè)用戶可以在不同的系統(tǒng)中有不同的身份，用戶權(quán)限應(yīng)該根據(jù)用戶在不同子系統(tǒng)中的實(shí)際身份建立；

（8）平臺(tái)應(yīng)該采用雙機(jī)熱備模式，在一臺(tái)服務(wù)出現(xiàn)器宕機(jī)等故障，自動(dòng)由另一臺(tái)服務(wù)器接管業(yè)務(wù)，不影響整個(gè)系統(tǒng)的正常運(yùn)行；

3總結(jié)

構(gòu)建統(tǒng)一身份認(rèn)證平臺(tái)是建設(shè)數(shù)字化校園的重要方面，關(guān)乎到數(shù)字化校園能否實(shí)現(xiàn)安全可靠、方便快捷、權(quán)限清晰的用戶管理模式。沒有統(tǒng)一身份認(rèn)證，就沒有真正意義的數(shù)字化校園。

參考文獻(xiàn)：

[1]俞之杭，許飛.“數(shù)字化校園”的基礎(chǔ)核心——身份認(rèn)證平臺(tái)的設(shè)計(jì)[J].華東交通大學(xué)學(xué)報(bào)，2004（8）：99-102.

[2]許楓.為校園網(wǎng)建立一個(gè)統(tǒng)一身份認(rèn)證的平臺(tái)[J].福建電腦.2005（10）：155-156.

[3]劉海龍，苗斌，王妍.建立高校數(shù)字化校園統(tǒng)一身份認(rèn)證平臺(tái)的構(gòu)想[J].光盤技術(shù)，2009（1）：67.