• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      高校統(tǒng)一身份認證系統(tǒng)設(shè)計與實現(xiàn)

      2022-03-23 13:20:32郭俊
      中國新通信 2022年2期
      關(guān)鍵詞:身份認證

      【摘要】? ? 隨著信息化的普及,高校已從數(shù)字化逐漸向智慧化轉(zhuǎn)變。人員的身份數(shù)據(jù)是高校信息發(fā)展中最重要的一環(huán),如果人員信息管理不當,容易出現(xiàn)校園信息管理的混亂甚至帶來信息安全隱患。因此,需要一個便捷安全的身份認證平臺,來規(guī)范高校的人員管理,并對校內(nèi)各應(yīng)用系統(tǒng)進行整合。該方案作為校級公共平臺牢固信息發(fā)展的數(shù)據(jù)底座,對上層應(yīng)用系統(tǒng)提供統(tǒng)一的身份認證服務(wù)。

      【關(guān)鍵詞】? ? 身份認證? ? 身份管理? ? 認證管理? ? 多因素認證

      引言:

      近年來隨著互聯(lián)網(wǎng)的飛速發(fā)展,我國在不斷提升對網(wǎng)絡(luò)信息安全的重視。高校的網(wǎng)絡(luò)建設(shè)給校內(nèi)師生提供了便捷高效的移動化辦公和智能化教學,給校園生活添加色彩的同時,來自校內(nèi)校外的危險也不容忽視,稍有不慎黑客、木馬就會威脅到網(wǎng)絡(luò)的安全性[1]。其中,師生個人身份信息的安全問題尤為突出。部分網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)訪問時缺乏隱私保護意識,將敏感信息暴露在互聯(lián)網(wǎng)上,導致個人信息泄露,嚴重威脅到師生的個人財產(chǎn)安全[2]。與此同時,形形色色應(yīng)用系統(tǒng)的出現(xiàn),記憶諸多用戶名密碼信息給師生帶來困擾。因此,建設(shè)一個統(tǒng)一的身份認證入口,打好高校未來信息化發(fā)展的基礎(chǔ)勢在必行。

      一、業(yè)務(wù)功能設(shè)計

      平臺整體架構(gòu)設(shè)計如下圖1所示:

      1.身份數(shù)據(jù)源。身份信息是高校信息化發(fā)展的基礎(chǔ)。用戶數(shù)據(jù)與數(shù)據(jù)中心同步,實現(xiàn)一數(shù)一源,保障身份數(shù)據(jù)的統(tǒng)一性、權(quán)威性、規(guī)范性,降低了身份數(shù)據(jù)維護的復雜度,所有應(yīng)用系統(tǒng)只需維護一套身份數(shù)據(jù)。

      2.業(yè)務(wù)系統(tǒng)。支持各種接入?yún)f(xié)議,既能兼容老舊系統(tǒng),又符合當前網(wǎng)絡(luò)發(fā)展的趨勢,為應(yīng)用系統(tǒng)提供豐富的選擇。接口接入、協(xié)議接入等多種方式以滿足可擴展性。訪問策略的管理,能夠從源頭進行安全管控,提供追蹤審計。

      3.用戶。根據(jù)需求的差異,滿足系統(tǒng)管理員、教職工、學生等各方的需要。

      4.認證。滿足當前師生的訴求,支持手機驗證碼、掃碼登錄等,以減少密碼記憶的困擾。兼容傳統(tǒng)的用戶名密碼以及當前主流的微信、釘釘?shù)确绞?。增加密碼找回、解凍申請等渠道,滿足多樣化需求。

      (一)數(shù)據(jù)同步

      伴隨時代的發(fā)展,教育信息化也在持續(xù)推進,數(shù)據(jù)中心的建設(shè)已然被各高校視為重點項目,它將校園管理、科研發(fā)展、教育教學集成到一起,擔負起數(shù)據(jù)的采集、匯總、管理、服務(wù)等服務(wù),將校園內(nèi)各信息系統(tǒng)數(shù)據(jù)信息集中式存儲,并在此基礎(chǔ)上進行共享和交換[3]。數(shù)據(jù)才是智慧校園數(shù)字化建設(shè)的本質(zhì),數(shù)據(jù)質(zhì)量情況的好壞,直接影響到學校數(shù)字化建設(shè)以及后續(xù)的發(fā)展[4]。

      身份數(shù)據(jù)是數(shù)據(jù)中心的核心數(shù)據(jù),身份數(shù)據(jù)的質(zhì)量關(guān)系到應(yīng)用系統(tǒng)的使用。將身份數(shù)據(jù)納入統(tǒng)一身份認證平臺,一定程度上降低了業(yè)務(wù)系統(tǒng)建設(shè)的復雜性。需要使用自動同步、手動同步等多種方式保障數(shù)據(jù)中心與同統(tǒng)一身份認證系統(tǒng)身份數(shù)據(jù)同步的及時性與安全性。

      (二)應(yīng)用支撐

      OneID完美解決了用戶對身份管理的需求,統(tǒng)一身份認證系統(tǒng)是OneID的具體實現(xiàn)。該系統(tǒng)在提供身份鑒別的同時也完成了權(quán)限管控,用戶在該數(shù)字化模式的工作體系下,一處登錄即可實現(xiàn)多個應(yīng)用系統(tǒng)的訪問,這也是統(tǒng)一身份認證系統(tǒng)的意義所在[5]。順應(yīng)了師生對身份認證的需求,提升了師生的上網(wǎng)體驗。對高校內(nèi)部的應(yīng)用系統(tǒng)進行了整合,規(guī)范了各系統(tǒng)的用戶管理,支撐了高質(zhì)量的應(yīng)用系統(tǒng)建設(shè)。不僅可以實現(xiàn)用戶認證的統(tǒng)一管理,而且能夠?qū)⒏鱾€應(yīng)用系統(tǒng)的認證進行統(tǒng)一管理,實現(xiàn)了校內(nèi)信息資源的整合。同時,可以基于風險的認證機制,能實現(xiàn)訪問時間段、訪問地址、用戶以及行為等動態(tài)認證,進而實現(xiàn)風險與靈活性的平衡,為高校信息安全保駕護航。

      (三)單點協(xié)議

      考慮到高校發(fā)展過程中遺留的老舊系統(tǒng),但是也需要適應(yīng)信息化未來發(fā)展的方向,統(tǒng)一身份認證系統(tǒng)除支持 OAuth2.0、CAS 協(xié)議之外,也支持 SAML、表單提交、簡單代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各種單點登錄協(xié)議。一方面,可以覆蓋到B/S、C/S模式的應(yīng)用系統(tǒng)的訪問權(quán)限管理,另一方面,也可以覆蓋到主機訪問權(quán)限、網(wǎng)絡(luò)訪問權(quán)限(包括上網(wǎng)行為認證、VPN使用、計費認證等)、數(shù)據(jù)庫訪問權(quán)限。

      (四)多因素認證

      隨著業(yè)務(wù)的發(fā)展,高校應(yīng)用系統(tǒng)越來越多,種類也越來越復雜。因此,統(tǒng)一身份認證系統(tǒng)應(yīng)當充分考慮到實際需要,提供多種類別的認證方式,在兼容原有基于靜態(tài)口令的認證方式的同時,還需要提供雙因子模式下的高強度認證,也需要集成指紋等基于生物特征的新型認證方式(如對財務(wù)系統(tǒng)可開啟基于口令疊加生物信息的多次認證)。用戶可根據(jù)自身需要進行個性化選擇,應(yīng)用系統(tǒng)也可以根據(jù)項目特性選擇認證強度,對于安全性要求高的應(yīng)用系統(tǒng)可基于認證鏈進行多層級認證。進而實現(xiàn)用戶認證的統(tǒng)一管理,為用戶提供統(tǒng)一的認證門戶,實現(xiàn)單點登錄方式快捷訪問校內(nèi)的各類信息資源。

      (五)身份周期管理

      對教職工、學生進行完整的身份周期管理。管理教職工的入職、調(diào)崗、兼職、退休、返聘、離職等狀態(tài),對學生的在校狀態(tài)進行實時監(jiān)控,包括:在校、休學、病退、離校等狀態(tài)。實現(xiàn)全生命周期閉環(huán)管理,用戶賬號可自動開通、變更和收回,同時對下游應(yīng)用系統(tǒng)提供用戶主數(shù)據(jù)供給。通過為用戶提供自助式的密碼找回、賬號激活,可通過手機、郵箱、微信等方式進行密碼找回,減少對人工客服的需求。師生的狀態(tài)發(fā)生變動時,只需同步數(shù)據(jù)中心人員狀態(tài)相關(guān)數(shù)據(jù),就能實現(xiàn)快速響應(yīng),及時將變化的信息傳遞給各應(yīng)用系統(tǒng),方便師生的管理。

      二、技術(shù)實現(xiàn)

      (一)Oauth

      利用 OAuth2.0 授權(quán)協(xié)議原理,實現(xiàn)在統(tǒng)一用戶管理平臺中以 OAuth 協(xié)議的方式與應(yīng)用系統(tǒng)之間的單點登錄功能。

      OAuth訪問流程:

      1.用戶訪問客戶端時,客戶端要求用戶進行授權(quán)。

      2.用戶點擊同意操作后,授權(quán)客戶端。

      3.客戶端獲取到授權(quán)后,將授權(quán)信息提交給認證服務(wù)器進行令牌的申請。

      4.認證服務(wù)器解析信息后對客戶端完成認證后,驗證通過,進行令牌發(fā)放。

      5.客戶端獲取到令牌后,向資源服務(wù)器發(fā)送獲取資源的申請。

      6.資源服務(wù)器對令牌信息進行確認后,將對應(yīng)的資源開放給客戶端。

      (二)以CAS做為SSO的基本實現(xiàn)

      SSO訪問控制流程:

      1.服務(wù)訪問:客戶端請求對應(yīng)用系統(tǒng)相應(yīng)服務(wù)資源的訪問。

      2.定向認證:客戶端將用戶的請求重定向到服務(wù)器端。

      3.用戶認證:進行用戶的身份信息認證。

      4.票據(jù)發(fā)放:服務(wù)器端隨機生成唯一的Service Ticket。

      5.票據(jù)驗證:服務(wù)器端對接收到的Service Ticket進行票據(jù)合法性驗證,通過后,授權(quán)客戶端對服務(wù)資源的訪問。

      6.用戶信息傳輸:服務(wù)器端驗證票據(jù)正常,將用戶的票據(jù)認證結(jié)果傳輸給客戶端。

      在該協(xié)議中,所有與CAS的交互均采用安全套接層(Secure Sockets Layer,SSL)協(xié)議,確保Ticket的安全性。其中,CAS 客戶端與服務(wù)器端二者間基于票據(jù)的交互和驗證過程對使用者而言是透明的。

      (三)安全機制

      1. Kerberos認證模型。采用認證、SSO、開放授權(quán)協(xié)議,符合公認的Kerberos模型。

      2. IP地址訪問控制。提供強大靈活的基于IP地址的訪問控制,根據(jù)實時需求對IP限制規(guī)則進行靈活配置,從而對非法用戶的訪問進行管控,保護內(nèi)部敏感信息。

      3.口令猜測鎖定。提供口令猜測鎖定功能,用戶連續(xù)3次輸入口令錯誤,系統(tǒng)將自動鎖定該IP地址,一段時間內(nèi)不允許再登錄。

      4.密碼加密。對用戶密碼采取加密存儲策略。

      (四)搭建集群

      通過微服務(wù)架構(gòu),采用分布式部署,如下圖4所示:

      1.負載均衡:采用基于軟件的nginx技術(shù)進行請求分發(fā)。2.緩存:使用memcached或者redis進行數(shù)據(jù)緩存,緩解數(shù)據(jù)庫壓力。3.數(shù)據(jù)庫:使用關(guān)系型數(shù)據(jù)庫,進行雙機熱備,同時進行異地災(zāi)備。

      三、結(jié)束語

      本文建設(shè)的統(tǒng)一身份認證平臺,是高校背景下的校級公共平臺,以人員身份數(shù)據(jù)為樞紐打通了從底層數(shù)據(jù)中心到上層應(yīng)用系統(tǒng)的通道。平臺迎合了師生的對于信息系統(tǒng)易用性的需求,及時把握住了高校信息化的發(fā)展方向,使得高校的信息化建設(shè)更加安全、高效。系統(tǒng)提供的多因素認證的功能,滿足了各應(yīng)用系統(tǒng)的對接需要。全方位的安全控制,也保護了師生的信息安全,避免個人隱私數(shù)據(jù)泄露,捍衛(wèi)了高校的網(wǎng)絡(luò)信息安全。

      作者單位:郭俊? ? 武漢工程大學網(wǎng)絡(luò)信息中心

      參? 考? 文? 獻

      [1]李偉強.論高校校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀問題[J].現(xiàn)代商貿(mào)工業(yè).2012(3):240-241.

      [2]王燕.網(wǎng)絡(luò)信息安全保護措施[J].造紙裝備及材料.2021(4):71-73.

      [3]王曉震,金培莉,陳瑛,宮旭,李海龍.高校數(shù)據(jù)中心數(shù)據(jù)安全風險分析及對策研究[J].北京聯(lián)合大學學報.2021(3):53-59.

      [4]李超.智慧校園背景下高校數(shù)據(jù)中心研究與實踐——以浙江師范大學為例[J].現(xiàn)代信息科技.2021(8):195-198.

      [5]陳胤梁,江峰,王莉.淺談基于用戶體驗的校園統(tǒng)一身份認證系統(tǒng)優(yōu)化.電腦知識與技術(shù):學術(shù)版. 2021(9):68-70

      猜你喜歡
      身份認證
      基于標識的動態(tài)口令系統(tǒng)
      軟件(2016年6期)2017-02-06 23:54:28
      云電子身份管理與認證系統(tǒng)中的關(guān)鍵技術(shù)優(yōu)化改進
      校園網(wǎng)云盤系統(tǒng)存在的安全問題及對策
      基于指紋身份認證的固定通信臺站干部跟班管理系統(tǒng)設(shè)計
      基于PKI與基于IBC的認證技術(shù)比較
      基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究
      信息系統(tǒng)身份認證的分析與研究
      Kerberos身份認證協(xié)議的改進
      科技視界(2016年11期)2016-05-23 08:31:38
      基于USB存儲設(shè)備的透明監(jiān)控系統(tǒng)
      科技視界(2016年9期)2016-04-26 12:25:25
      基于鼠標行為的電子商務(wù)中用戶異常行為檢測
      来安县| 和平区| 黄石市| 古田县| 女性| 沅江市| 靖宇县| 舞钢市| 都江堰市| 白城市| 郴州市| 汝阳县| 沅江市| 萨嘎县| 广水市| 绥德县| 凌云县| 锦州市| 策勒县| 柘荣县| 句容市| 肥西县| 基隆市| 灵川县| 抚宁县| 龙泉市| 宜州市| 沙田区| 容城县| 宜兴市| 板桥市| 曲麻莱县| 诸暨市| 大连市| 垣曲县| 扎兰屯市| 丹江口市| 连山| 靖远县| 平江县| 清水河县|