劉劍鋒

摘要：該文從高校信息化建設(shè)的需求出發(fā)，分析為何要建設(shè)統(tǒng)一身份認證平臺。然后討論如何才能建設(shè)一個符合數(shù)字化校園建設(shè)和高校未來需求的統(tǒng)一身份認證平臺。

關(guān)鍵詞：統(tǒng)一身份認證平臺；數(shù)字化校園；網(wǎng)絡(luò)安全

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2012）32-7624-02

隨著中國高等教育全面走向信息化，數(shù)字化校園的概念已經(jīng)深入人心。而數(shù)字化校園的核心任務(wù)之一就是要實現(xiàn)統(tǒng)一身份認證?！敖y(tǒng)一身份認證是為了解決高等院校在權(quán)限管理過程中的共性問題，是集中管理高等院校資源訪問權(quán)限的認證方案，降低高等院校的權(quán)限管理及維護成本，具有良好擴充性和安全性的解決方案.”【１】現(xiàn)在越來越多的學(xué)校認識到，統(tǒng)一身份證平臺是高校信息化發(fā)展的一個基礎(chǔ)平臺，必須盡早建設(shè)。

1統(tǒng)一身份認證平臺的作用

1.1建設(shè)統(tǒng)一身份認證平臺的現(xiàn)實需求

目前高校在不同時期，有不同的部門已經(jīng)建立功能各異的信息系統(tǒng)，如教務(wù)系統(tǒng)、人事管理系統(tǒng)、學(xué)生管理系統(tǒng)、財務(wù)系統(tǒng)等等。這樣產(chǎn)生了很多問題：（1）用戶經(jīng)常需要登陸不同系統(tǒng)，記恨多用戶名、密碼，耗費時間并且不方便。（2）每套系統(tǒng)都要實現(xiàn)自己認證功能耗費軟硬件資源，安全也很難得到保證。（3）缺乏長遠的規(guī)劃和統(tǒng)一的技術(shù)標準，不利于新的新系統(tǒng)建設(shè)。所以建設(shè)一個統(tǒng)一的身份認證平臺，即用戶只要登陸一次，就可以根據(jù)自己的權(quán)限訪問所有的信息系統(tǒng)就成為信息化發(fā)展的一個重要方向。

1.2統(tǒng)一身份認證平臺的概念

為了保護前期的投資和不影響現(xiàn)有系統(tǒng)的正常使用，需要利用統(tǒng)一的技術(shù)架構(gòu)和標準，把現(xiàn)有的系統(tǒng)和資源進行有效整合，建立一個安全、可靠、統(tǒng)一的身份認證中心?！敖y(tǒng)一身份認證平臺是一個集中的用戶認證管理和集成環(huán)境！可管理和分發(fā)用戶的權(quán)限和身份，為不同的應(yīng)用系統(tǒng)提供用戶和權(quán)限管理。各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制！用戶數(shù)據(jù)庫資源統(tǒng)一保存在認證服務(wù)器中，從而簡化了應(yīng)用系統(tǒng)中用戶管理模塊的建設(shè)，使用戶在身份認證后無須在此登錄就可以接受校園網(wǎng)中其他信息服務(wù)系統(tǒng)提供的服務(wù)，實現(xiàn)了單點登錄和應(yīng)用漫游。”【２】

1.3統(tǒng)一身份認證平臺的建設(shè)方向

身份認證平臺的核心思想從方便用戶使用和保證系統(tǒng)整體安全性角度，基于校園網(wǎng)絡(luò)實現(xiàn)應(yīng)用系統(tǒng)用戶的集中統(tǒng)一認證。身份認證平臺不僅為各個業(yè)務(wù)系統(tǒng)提供用戶登陸的認證服務(wù)，還為各個系統(tǒng)自動的同步用戶的權(quán)限，用戶權(quán)限在一處改變后，自動在各個業(yè)務(wù)系統(tǒng)間同步。據(jù)以一個例子，有一名學(xué)生辦理退學(xué)手續(xù)，不再需要到各個部門排隊辦理。只需要到學(xué)工處完成手續(xù)后，學(xué)工處的老師將該學(xué)生的身份從“在校學(xué)生”改變成“畢業(yè)”，該同學(xué)一些列權(quán)限如在教務(wù)處的選課權(quán)限，在醫(yī)務(wù)室看病的權(quán)限，在體育館健身的權(quán)限，在圖書館的借書權(quán)限等，也都一并自動從“在校學(xué)生”變?yōu)椤爱厴I(yè)”，相關(guān)權(quán)限一并變更。

2統(tǒng)一身份認證平臺的設(shè)計方案

2.1需要實現(xiàn)的功能

“統(tǒng)一身份認證系統(tǒng)需要實現(xiàn)如下功能：全面擴展能力；單點登錄、單點管理；各系統(tǒng)

間用戶賬號整合；高安全性；安全傳輸；平臺獨立性；單一入口?！薄?】

2.1.1目錄服務(wù)

目錄服務(wù)是指將校內(nèi)的用戶，按照一定的層次結(jié)構(gòu)，以樹型目錄邏輯的方式加以收集和儲存，對用戶信息進行統(tǒng)一管理。

2.1.2用戶身份認證服務(wù)

用戶身份認證服務(wù)允許管理員方便地對各種規(guī)模的用戶集授權(quán)訪問或取消訪問授權(quán)。提供以下功能：

（1）用戶名/口令認證，對于通過計算機使用系統(tǒng)的用戶，如果該用戶是第一次進入或已超時時，系統(tǒng)將自動彈出用戶名和口令對話框，用戶正確輸入用戶名和口令后，就可以根據(jù)自己的權(quán)限訪問各個應(yīng)用系統(tǒng)的應(yīng)用和數(shù)據(jù)；

（2）數(shù)字證書認證，系統(tǒng)提供開放接口，可以擴展實現(xiàn)和包括CIA在內(nèi)的多種數(shù)據(jù)簽名的整合，實現(xiàn)根據(jù)用戶所提供的數(shù)字證書識別用戶身份，自動完成登錄，或根據(jù)安全策略再得到用戶密碼確認后完成登錄。

2.2統(tǒng)一身份認證平臺設(shè)計的關(guān)鍵技術(shù)

統(tǒng)一身份認證平臺需要為全校師生用戶提供唯一的數(shù)字身份，并能夠為全校各種應(yīng)用系統(tǒng)提供統(tǒng)一的身份認證服務(wù)實現(xiàn)單點登錄（SSO）機制，平臺采用的關(guān)機技術(shù)包括：

（1）LDAP技術(shù)，實現(xiàn)海量的基于LDAP目錄服務(wù)器的用戶數(shù)據(jù)存儲和管理功能，根據(jù)不同學(xué)校的規(guī)模能夠支持1萬到10萬的用戶，并在此規(guī)模下能夠提供不長于5秒鐘的用戶檢索效率。

（2）SSO技術(shù)，高效的支持SSO（單點登錄）的高性能身份認證服務(wù)，能夠支持包括學(xué)校選課、選宿舍等應(yīng)用的高并發(fā)訪問需求，配合用戶可接受的硬件平臺，能夠在一分鐘內(nèi)支持1000到10000用戶的并發(fā)認證要求。

（3）認證接口集成技術(shù)，基于認證接口的集成技術(shù)實現(xiàn)開放的支持不同開發(fā)語言、不同應(yīng)用服務(wù)器平臺實現(xiàn)的應(yīng)用系統(tǒng)的認證集成方式，不僅能夠支持Java語言實現(xiàn)的管理信息系統(tǒng)的的認證集成，還能夠解決基于PHP，ASP，.Net等其他語言開發(fā)的管理信息系統(tǒng)的認證集成。

（4）數(shù)字認證技術(shù)，提供多種模式的安全認證手段，不僅能夠支持常規(guī)的基于用戶名/密碼的認證方式，還提供基于CA技術(shù)或SmartCard技術(shù)認證方式的擴展接口。

2.3統(tǒng)一身份認證平臺的設(shè)計原則

（1）該平臺的用戶和權(quán)限完全由學(xué)校內(nèi)部自主管理，不受第三方控制；

（2）平臺的管理完全基于WEB界面，加密傳輸，隨時隨地可進行管理，方便安全；

（3）平臺采用LDAP存儲數(shù)據(jù)，數(shù)據(jù)結(jié)構(gòu)更適合學(xué)校應(yīng)用，認證速度更快；

（4）登陸路徑支持Internet、校園網(wǎng)、無線網(wǎng)接入系統(tǒng)；

（5）登陸方式支持用戶名/密碼登陸，同時提供CA認證和Smartcard認證的接口；

（6）用戶不慎遺失密碼時，可以自己通過輸入詳細的個人信息及密碼提示答案恢復(fù)密碼，從而降低了系統(tǒng)管理員的負擔；

（7）一個用戶可以在不同的系統(tǒng)中有不同的身份，用戶權(quán)限應(yīng)該根據(jù)用戶在不同子系統(tǒng)中的實際身份建立；

（8）平臺應(yīng)該采用雙機熱備模式，在一臺服務(wù)出現(xiàn)器宕機等故障，自動由另一臺服務(wù)器接管業(yè)務(wù)，不影響整個系統(tǒng)的正常運行；

3總結(jié)

構(gòu)建統(tǒng)一身份認證平臺是建設(shè)數(shù)字化校園的重要方面，關(guān)乎到數(shù)字化校園能否實現(xiàn)安全可靠、方便快捷、權(quán)限清晰的用戶管理模式。沒有統(tǒng)一身份認證，就沒有真正意義的數(shù)字化校園。

參考文獻：

[1]俞之杭，許飛.“數(shù)字化校園”的基礎(chǔ)核心——身份認證平臺的設(shè)計[J].華東交通大學(xué)學(xué)報，2004（8）：99-102.

[2]許楓.為校園網(wǎng)建立一個統(tǒng)一身份認證的平臺[J].福建電腦.2005（10）：155-156.

[3]劉海龍，苗斌，王妍.建立高校數(shù)字化校園統(tǒng)一身份認證平臺的構(gòu)想[J].光盤技術(shù)，2009（1）：67.