高校統(tǒng)一身份認證系統(tǒng)設(shè)計與實現(xiàn)

【摘要】? ? 隨著信息化的普及，高校已從數(shù)字化逐漸向智慧化轉(zhuǎn)變。人員的身份數(shù)據(jù)是高校信息發(fā)展中最重要的一環(huán)，如果人員信息管理不當，容易出現(xiàn)校園信息管理的混亂甚至帶來信息安全隱患。因此，需要一個便捷安全的身份認證平臺，來規(guī)范高校的人員管理，并對校內(nèi)各應(yīng)用系統(tǒng)進行整合。該方案作為校級公共平臺牢固信息發(fā)展的數(shù)據(jù)底座，對上層應(yīng)用系統(tǒng)提供統(tǒng)一的身份認證服務(wù)。

【關(guān)鍵詞】? ? 身份認證? ? 身份管理? ? 認證管理? ? 多因素認證

引言：

近年來隨著互聯(lián)網(wǎng)的飛速發(fā)展，我國在不斷提升對網(wǎng)絡(luò)信息安全的重視。高校的網(wǎng)絡(luò)建設(shè)給校內(nèi)師生提供了便捷高效的移動化辦公和智能化教學，給校園生活添加色彩的同時，來自校內(nèi)校外的危險也不容忽視，稍有不慎黑客、木馬就會威脅到網(wǎng)絡(luò)的安全性[1]。其中，師生個人身份信息的安全問題尤為突出。部分網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)訪問時缺乏隱私保護意識，將敏感信息暴露在互聯(lián)網(wǎng)上，導致個人信息泄露，嚴重威脅到師生的個人財產(chǎn)安全[2]。與此同時，形形色色應(yīng)用系統(tǒng)的出現(xiàn)，記憶諸多用戶名密碼信息給師生帶來困擾。因此，建設(shè)一個統(tǒng)一的身份認證入口，打好高校未來信息化發(fā)展的基礎(chǔ)勢在必行。

一、業(yè)務(wù)功能設(shè)計

平臺整體架構(gòu)設(shè)計如下圖1所示：

1.身份數(shù)據(jù)源。身份信息是高校信息化發(fā)展的基礎(chǔ)。用戶數(shù)據(jù)與數(shù)據(jù)中心同步，實現(xiàn)一數(shù)一源，保障身份數(shù)據(jù)的統(tǒng)一性、權(quán)威性、規(guī)范性，降低了身份數(shù)據(jù)維護的復雜度，所有應(yīng)用系統(tǒng)只需維護一套身份數(shù)據(jù)。

2.業(yè)務(wù)系統(tǒng)。支持各種接入?yún)f(xié)議，既能兼容老舊系統(tǒng)，又符合當前網(wǎng)絡(luò)發(fā)展的趨勢，為應(yīng)用系統(tǒng)提供豐富的選擇。接口接入、協(xié)議接入等多種方式以滿足可擴展性。訪問策略的管理，能夠從源頭進行安全管控，提供追蹤審計。

3.用戶。根據(jù)需求的差異，滿足系統(tǒng)管理員、教職工、學生等各方的需要。

4.認證。滿足當前師生的訴求，支持手機驗證碼、掃碼登錄等，以減少密碼記憶的困擾。兼容傳統(tǒng)的用戶名密碼以及當前主流的微信、釘釘?shù)确绞?。增加密碼找回、解凍申請等渠道，滿足多樣化需求。

（一）數(shù)據(jù)同步

伴隨時代的發(fā)展，教育信息化也在持續(xù)推進，數(shù)據(jù)中心的建設(shè)已然被各高校視為重點項目，它將校園管理、科研發(fā)展、教育教學集成到一起，擔負起數(shù)據(jù)的采集、匯總、管理、服務(wù)等服務(wù)，將校園內(nèi)各信息系統(tǒng)數(shù)據(jù)信息集中式存儲，并在此基礎(chǔ)上進行共享和交換[3]。數(shù)據(jù)才是智慧校園數(shù)字化建設(shè)的本質(zhì)，數(shù)據(jù)質(zhì)量情況的好壞，直接影響到學校數(shù)字化建設(shè)以及后續(xù)的發(fā)展[4]。

身份數(shù)據(jù)是數(shù)據(jù)中心的核心數(shù)據(jù)，身份數(shù)據(jù)的質(zhì)量關(guān)系到應(yīng)用系統(tǒng)的使用。將身份數(shù)據(jù)納入統(tǒng)一身份認證平臺，一定程度上降低了業(yè)務(wù)系統(tǒng)建設(shè)的復雜性。需要使用自動同步、手動同步等多種方式保障數(shù)據(jù)中心與同統(tǒng)一身份認證系統(tǒng)身份數(shù)據(jù)同步的及時性與安全性。

（二）應(yīng)用支撐

OneID完美解決了用戶對身份管理的需求，統(tǒng)一身份認證系統(tǒng)是OneID的具體實現(xiàn)。該系統(tǒng)在提供身份鑒別的同時也完成了權(quán)限管控，用戶在該數(shù)字化模式的工作體系下，一處登錄即可實現(xiàn)多個應(yīng)用系統(tǒng)的訪問，這也是統(tǒng)一身份認證系統(tǒng)的意義所在[5]。順應(yīng)了師生對身份認證的需求，提升了師生的上網(wǎng)體驗。對高校內(nèi)部的應(yīng)用系統(tǒng)進行了整合，規(guī)范了各系統(tǒng)的用戶管理，支撐了高質(zhì)量的應(yīng)用系統(tǒng)建設(shè)。不僅可以實現(xiàn)用戶認證的統(tǒng)一管理，而且能夠?qū)⒏鱾€應(yīng)用系統(tǒng)的認證進行統(tǒng)一管理，實現(xiàn)了校內(nèi)信息資源的整合。同時，可以基于風險的認證機制，能實現(xiàn)訪問時間段、訪問地址、用戶以及行為等動態(tài)認證，進而實現(xiàn)風險與靈活性的平衡，為高校信息安全保駕護航。

（三）單點協(xié)議

考慮到高校發(fā)展過程中遺留的老舊系統(tǒng)，但是也需要適應(yīng)信息化未來發(fā)展的方向，統(tǒng)一身份認證系統(tǒng)除支持 OAuth2.0、CAS 協(xié)議之外，也支持 SAML、表單提交、簡單代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各種單點登錄協(xié)議。一方面，可以覆蓋到B/S、C/S模式的應(yīng)用系統(tǒng)的訪問權(quán)限管理，另一方面，也可以覆蓋到主機訪問權(quán)限、網(wǎng)絡(luò)訪問權(quán)限（包括上網(wǎng)行為認證、VPN使用、計費認證等）、數(shù)據(jù)庫訪問權(quán)限。

（四）多因素認證

隨著業(yè)務(wù)的發(fā)展，高校應(yīng)用系統(tǒng)越來越多，種類也越來越復雜。因此，統(tǒng)一身份認證系統(tǒng)應(yīng)當充分考慮到實際需要，提供多種類別的認證方式，在兼容原有基于靜態(tài)口令的認證方式的同時，還需要提供雙因子模式下的高強度認證，也需要集成指紋等基于生物特征的新型認證方式（如對財務(wù)系統(tǒng)可開啟基于口令疊加生物信息的多次認證）。用戶可根據(jù)自身需要進行個性化選擇，應(yīng)用系統(tǒng)也可以根據(jù)項目特性選擇認證強度，對于安全性要求高的應(yīng)用系統(tǒng)可基于認證鏈進行多層級認證。進而實現(xiàn)用戶認證的統(tǒng)一管理，為用戶提供統(tǒng)一的認證門戶，實現(xiàn)單點登錄方式快捷訪問校內(nèi)的各類信息資源。

（五）身份周期管理

對教職工、學生進行完整的身份周期管理。管理教職工的入職、調(diào)崗、兼職、退休、返聘、離職等狀態(tài)，對學生的在校狀態(tài)進行實時監(jiān)控，包括：在校、休學、病退、離校等狀態(tài)。實現(xiàn)全生命周期閉環(huán)管理，用戶賬號可自動開通、變更和收回，同時對下游應(yīng)用系統(tǒng)提供用戶主數(shù)據(jù)供給。通過為用戶提供自助式的密碼找回、賬號激活，可通過手機、郵箱、微信等方式進行密碼找回，減少對人工客服的需求。師生的狀態(tài)發(fā)生變動時，只需同步數(shù)據(jù)中心人員狀態(tài)相關(guān)數(shù)據(jù)，就能實現(xiàn)快速響應(yīng)，及時將變化的信息傳遞給各應(yīng)用系統(tǒng)，方便師生的管理。

二、技術(shù)實現(xiàn)

（一）Oauth

利用 OAuth2.0 授權(quán)協(xié)議原理，實現(xiàn)在統(tǒng)一用戶管理平臺中以 OAuth 協(xié)議的方式與應(yīng)用系統(tǒng)之間的單點登錄功能。

OAuth訪問流程：

1.用戶訪問客戶端時，客戶端要求用戶進行授權(quán)。

2.用戶點擊同意操作后，授權(quán)客戶端。

3.客戶端獲取到授權(quán)后，將授權(quán)信息提交給認證服務(wù)器進行令牌的申請。

4.認證服務(wù)器解析信息后對客戶端完成認證后，驗證通過，進行令牌發(fā)放。

5.客戶端獲取到令牌后，向資源服務(wù)器發(fā)送獲取資源的申請。

6.資源服務(wù)器對令牌信息進行確認后，將對應(yīng)的資源開放給客戶端。

（二）以CAS做為SSO的基本實現(xiàn)

SSO訪問控制流程：

1.服務(wù)訪問：客戶端請求對應(yīng)用系統(tǒng)相應(yīng)服務(wù)資源的訪問。

2.定向認證：客戶端將用戶的請求重定向到服務(wù)器端。

3.用戶認證：進行用戶的身份信息認證。

4.票據(jù)發(fā)放：服務(wù)器端隨機生成唯一的Service Ticket。

5.票據(jù)驗證：服務(wù)器端對接收到的Service Ticket進行票據(jù)合法性驗證，通過后，授權(quán)客戶端對服務(wù)資源的訪問。

6.用戶信息傳輸：服務(wù)器端驗證票據(jù)正常，將用戶的票據(jù)認證結(jié)果傳輸給客戶端。

在該協(xié)議中，所有與CAS的交互均采用安全套接層（Secure Sockets Layer，SSL）協(xié)議，確保Ticket的安全性。其中，CAS 客戶端與服務(wù)器端二者間基于票據(jù)的交互和驗證過程對使用者而言是透明的。

（三）安全機制

1. Kerberos認證模型。采用認證、SSO、開放授權(quán)協(xié)議，符合公認的Kerberos模型。

2. IP地址訪問控制。提供強大靈活的基于IP地址的訪問控制，根據(jù)實時需求對IP限制規(guī)則進行靈活配置，從而對非法用戶的訪問進行管控，保護內(nèi)部敏感信息。

3.口令猜測鎖定。提供口令猜測鎖定功能，用戶連續(xù)3次輸入口令錯誤，系統(tǒng)將自動鎖定該IP地址，一段時間內(nèi)不允許再登錄。

4.密碼加密。對用戶密碼采取加密存儲策略。

（四）搭建集群

通過微服務(wù)架構(gòu)，采用分布式部署，如下圖4所示：

1.負載均衡：采用基于軟件的nginx技術(shù)進行請求分發(fā)。2.緩存：使用memcached或者redis進行數(shù)據(jù)緩存，緩解數(shù)據(jù)庫壓力。3.數(shù)據(jù)庫：使用關(guān)系型數(shù)據(jù)庫，進行雙機熱備，同時進行異地災(zāi)備。

三、結(jié)束語

本文建設(shè)的統(tǒng)一身份認證平臺，是高校背景下的校級公共平臺，以人員身份數(shù)據(jù)為樞紐打通了從底層數(shù)據(jù)中心到上層應(yīng)用系統(tǒng)的通道。平臺迎合了師生的對于信息系統(tǒng)易用性的需求，及時把握住了高校信息化的發(fā)展方向，使得高校的信息化建設(shè)更加安全、高效。系統(tǒng)提供的多因素認證的功能，滿足了各應(yīng)用系統(tǒng)的對接需要。全方位的安全控制，也保護了師生的信息安全，避免個人隱私數(shù)據(jù)泄露，捍衛(wèi)了高校的網(wǎng)絡(luò)信息安全。

作者單位：郭俊? ? 武漢工程大學網(wǎng)絡(luò)信息中心

參? 考? 文? 獻

[1]李偉強.論高校校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀問題[J].現(xiàn)代商貿(mào)工業(yè).2012（3）：240-241.

[2]王燕.網(wǎng)絡(luò)信息安全保護措施[J].造紙裝備及材料.2021（4）：71-73.

[3]王曉震，金培莉，陳瑛，宮旭，李海龍.高校數(shù)據(jù)中心數(shù)據(jù)安全風險分析及對策研究[J].北京聯(lián)合大學學報.2021（3）：53-59.

[4]李超.智慧校園背景下高校數(shù)據(jù)中心研究與實踐——以浙江師范大學為例[J].現(xiàn)代信息科技.2021（8）：195-198.

[5]陳胤梁，江峰，王莉.淺談基于用戶體驗的校園統(tǒng)一身份認證系統(tǒng)優(yōu)化.電腦知識與技術(shù)：學術(shù)版. 2021（9）：68-70