陳勇

三維認(rèn)證模型在高校信息化管理的應(yīng)用研究

陳勇

隨著學(xué)校信息化工作建設(shè)的不斷推進(jìn)，信息化辦公、信息化教學(xué)逐漸走入廣大教師員工和學(xué)生中，信息化和大學(xué)、教師、學(xué)生的辦公、教學(xué)、辦公等領(lǐng)域變得日益緊密。但是，對(duì)于認(rèn)證中的安全和便捷性問題研究變成一個(gè)難點(diǎn)和熱點(diǎn)，分析和總結(jié)了基于時(shí)間認(rèn)證等幾種認(rèn)證模式的特點(diǎn)，最終提出了一種基于身份、時(shí)間、地點(diǎn)的三維認(rèn)證模型，并將該模型應(yīng)用于學(xué)校信息化建設(shè)應(yīng)用中，特別是基于課表的無線網(wǎng)絡(luò)管理系統(tǒng)，提出了一種基于教師意愿的網(wǎng)絡(luò)管理流程，為高校信息化管理提供了思路。

信息化；校園；管理

0 引言

隨著校園信息化工作建設(shè)的不斷推進(jìn)，信息化辦公、信息化教學(xué)逐漸走入廣大教師員工和學(xué)生中，信息化和大學(xué)、教師、學(xué)生的辦公、教學(xué)、辦公等領(lǐng)域[1]變得日益緊密。信息化迎來大發(fā)展，學(xué)校網(wǎng)絡(luò)硬件和軟件逐步升級(jí)，無線進(jìn)一步擴(kuò)展，無線網(wǎng)絡(luò)走進(jìn)教室，無線網(wǎng)絡(luò)逐漸深入校園每一處，針對(duì)各種需求催生出各種信息化系統(tǒng)，學(xué)校信息化建設(shè)引來大發(fā)展的同時(shí)也面臨挑戰(zhàn)，校園網(wǎng)絡(luò)和信息安全問題，校園各種數(shù)字平臺(tái)信息系統(tǒng)集成對(duì)接問題，信息系統(tǒng)孤島問題，特別是學(xué)生賬號(hào)上網(wǎng)的精細(xì)化控制問題等諸多的因素限制了校園信息化統(tǒng)一深入建設(shè)，為深化無線網(wǎng)絡(luò)和學(xué)生課表的深層對(duì)接和管理[2-3]，本文提出一種基于上網(wǎng)時(shí)間、上網(wǎng)地點(diǎn)及上網(wǎng)身份的三維認(rèn)證管理系統(tǒng)，依據(jù)教師靈活控制上課時(shí)間內(nèi)允許學(xué)生上網(wǎng)與否來精細(xì)化控制特定課程特定的學(xué)生上網(wǎng)行為，將上課時(shí)間內(nèi)是否開通上網(wǎng)的權(quán)限交付給老師，讓無線網(wǎng)絡(luò)的管理權(quán)限下放到教學(xué)工作的主導(dǎo)者，提升了網(wǎng)絡(luò)精細(xì)化控制力度，改善了粗放似的信息管理制度，進(jìn)一步保障網(wǎng)絡(luò)認(rèn)證安全，促進(jìn)全校網(wǎng)絡(luò)穩(wěn)定，營造新型的無線網(wǎng)絡(luò)課堂下的教學(xué)互動(dòng)新模式[4-5]。

本文分別研究了基于身份認(rèn)證模型、時(shí)間認(rèn)證模型、地點(diǎn)認(rèn)證模型，通過對(duì)其不足進(jìn)行分析，確立了三維混合認(rèn)證模型，從而進(jìn)一步對(duì)上述模型進(jìn)行應(yīng)用研究，通過每種認(rèn)證模型的具體實(shí)現(xiàn)方法，證明其在應(yīng)用中的可行性，實(shí)現(xiàn)了數(shù)字校園認(rèn)證的可靠、安全、可審計(jì)等特點(diǎn)[5-6]。

本文利用三維認(rèn)證模型對(duì)數(shù)字校園內(nèi)的相關(guān)應(yīng)用進(jìn)行分析，設(shè)計(jì)并實(shí)現(xiàn)了校園網(wǎng)無線認(rèn)證系統(tǒng)、教學(xué)管理認(rèn)證系統(tǒng)等，實(shí)際應(yīng)用證明了三維認(rèn)證模型可以保證數(shù)字校園認(rèn)證的安全性，并依據(jù)該理論建立了一個(gè)基于身份、時(shí)間、地點(diǎn)的多維度的認(rèn)證系統(tǒng)，使師生可以更加方便、可靠的使用數(shù)字校園中的各項(xiàng)應(yīng)用。

1 學(xué)校網(wǎng)絡(luò)現(xiàn)狀和認(rèn)證需求

1.1 學(xué)校網(wǎng)絡(luò)架構(gòu)現(xiàn)狀

中國石油大學(xué)（華東）已經(jīng)建立了一套支持IPV4/IPV6協(xié)議的有線網(wǎng)全覆蓋，無線進(jìn)教室進(jìn)會(huì)議室進(jìn)圖書館進(jìn)學(xué)校重點(diǎn)公共區(qū)域，骨干千兆鏈路，部分核心達(dá)萬兆鏈路的校園網(wǎng)。青島校區(qū)承擔(dān)黃島區(qū)其他學(xué)校及教育行政部門的中國教育科研網(wǎng)絡(luò)接入。學(xué)校網(wǎng)絡(luò)約 23000處校園計(jì)算機(jī)網(wǎng)絡(luò)接點(diǎn)，遍布兩校區(qū)的所有辦公樓、教學(xué)樓、院系館、學(xué)生宿舍樓等。

目前學(xué)校網(wǎng)絡(luò)邏輯劃分為教學(xué)網(wǎng)、辦公網(wǎng)、學(xué)生網(wǎng)；按照傳輸介質(zhì)劃分有線網(wǎng)、無線網(wǎng)。辦公區(qū)有圖文中心、逸夫樓、工科樓、體育館、文理樓等5個(gè)大匯聚點(diǎn)，教學(xué)區(qū)有講堂群、文理樓機(jī)房、多媒體學(xué)習(xí)中心等3個(gè)大的匯聚點(diǎn)。學(xué)生網(wǎng)有學(xué)2、學(xué)13、學(xué)19、研2等4個(gè)大的匯聚點(diǎn)。無線網(wǎng)中涵蓋了學(xué)校所有教室，重要的公共場所，包括行政樓會(huì)議室、逸夫樓會(huì)議室、逸夫樓報(bào)告廳、圖書館、體育館及學(xué)校室外熱點(diǎn)區(qū)域等。

1.2 學(xué)校網(wǎng)絡(luò)認(rèn)證需求

目前數(shù)字校園的設(shè)計(jì)均是基于校內(nèi)教職工和學(xué)生的身份進(jìn)行身份認(rèn)證的，此外，隨著學(xué)校數(shù)字校園應(yīng)用建設(shè)的逐步深入，已經(jīng)建成的和將要建成的各種應(yīng)用系統(tǒng)存在不同的身份認(rèn)證方式，廣大師生用戶必須記憶不同的密碼和身份。

為了解決多賬戶問題，使老師和學(xué)生使用信息化校園應(yīng)用中的各個(gè)二級(jí)單位的應(yīng)用子系統(tǒng)，便要求學(xué)校建立一整套可登錄各個(gè)應(yīng)用系統(tǒng)可對(duì)接互動(dòng)的認(rèn)證模型，使廣大師生可以通過單點(diǎn)登錄的方式順利的使用學(xué)校內(nèi)各個(gè)應(yīng)用子系統(tǒng)，提升學(xué)校信息化應(yīng)用效率。

綜上所述，學(xué)校網(wǎng)絡(luò)認(rèn)證管理有如下認(rèn)證需求：

要對(duì)各個(gè)認(rèn)證系統(tǒng)做深入整合，包括校園網(wǎng)移動(dòng)組、校園網(wǎng)聯(lián)通組、校園網(wǎng)教育網(wǎng)組的認(rèn)證整成統(tǒng)一的認(rèn)證頁面、統(tǒng)一的賬號(hào)管理；

要對(duì)學(xué)生賬號(hào)做到基于地域的差異化認(rèn)證，做到在教學(xué)區(qū)域和宿舍區(qū)域不同的控制策略；

要對(duì)學(xué)生賬號(hào)做到基于時(shí)間的網(wǎng)絡(luò)權(quán)限控制，要依托上課時(shí)間，以任課老師為主體來決定特定的時(shí)間、特定的地點(diǎn)、特定的學(xué)生是否可以上網(wǎng)。

2 三維認(rèn)證模型架構(gòu)設(shè)計(jì)

2.1 基于時(shí)間的認(rèn)證模式

時(shí)間認(rèn)證模型一般有兩種實(shí)現(xiàn)方法：

第一種方法是將應(yīng)用啟用或者訪問的時(shí)間寫入數(shù)據(jù)庫，當(dāng)用戶訪問時(shí)，將現(xiàn)在時(shí)間和數(shù)據(jù)庫中的時(shí)間進(jìn)行對(duì)比，如果在允許的時(shí)間范圍內(nèi)則允許對(duì)現(xiàn)有程序進(jìn)行正常訪問，否則提醒用戶未在允許的訪問時(shí)間內(nèi)。

第二種方法是直接將程序停用，使得用戶無法訪問該程序，待時(shí)間到來時(shí)，再開放該程序的訪問，訪問時(shí)間結(jié)束后將程序移除。

第一種方法需要編程實(shí)現(xiàn)，實(shí)現(xiàn)較為復(fù)雜，好處是不需要人為控制，整體由程序控制，不會(huì)出現(xiàn)時(shí)間上的偏差，第二種方法需要人為控制，不需要程序，實(shí)現(xiàn)較為簡單，但是時(shí)間上控制會(huì)有偏差，對(duì)時(shí)間要求嚴(yán)格的不可以使用該方法。

2.2 基于混合認(rèn)證模式

在應(yīng)用中混合認(rèn)證模型是最常用的，而進(jìn)行混合認(rèn)證的時(shí)3種認(rèn)證方式是串行在整個(gè)認(rèn)證過程中，這種串行是沒有先后順序的，可以根據(jù)需要決定認(rèn)證的先后順序。此外，如果某一種認(rèn)證模型不需要的話，可以跳過，這不會(huì)影響到整個(gè)認(rèn)證過程如圖1所示：

圖1 混合認(rèn)證流程

通常在混合認(rèn)證中，會(huì)混合使用上述認(rèn)證方法，例如身份認(rèn)證會(huì)采用數(shù)據(jù)方式或者Ldap方式，時(shí)間認(rèn)證方式采用數(shù)據(jù)庫方式，地點(diǎn)認(rèn)證采用程序控制方式。通常會(huì)在每種認(rèn)證中選擇一種方式，很少在一種認(rèn)證中選擇多種認(rèn)證方式，因?yàn)榭刂撇缓脮?huì)導(dǎo)致數(shù)據(jù)沖突，從而產(chǎn)生數(shù)據(jù)錯(cuò)誤，使得用戶獲得錯(cuò)誤的信息

2.3 三維認(rèn)證模式設(shè)計(jì)

校園信息化系統(tǒng)中的統(tǒng)一身份認(rèn)證平臺(tái)主要是負(fù)責(zé)對(duì)門戶及各個(gè)應(yīng)用系統(tǒng)的身份和權(quán)限進(jìn)行設(shè)計(jì)和管理，通過該平臺(tái)可以保證各個(gè)應(yīng)用子系統(tǒng)可以基于統(tǒng)一的模式開發(fā)、集中的環(huán)境運(yùn)行，在運(yùn)行后可以進(jìn)行流暢的升級(jí)，這樣便降低了各個(gè)系統(tǒng)的運(yùn)行維護(hù)的成本。

通過認(rèn)證平臺(tái)的多角色的定義，使得校內(nèi)師生及相關(guān)人員可以通過身份認(rèn)證平臺(tái)獲得相應(yīng)的身份，并有系統(tǒng)為師生及相關(guān)人員定義相關(guān)的業(yè)務(wù)，同時(shí)將與該人員無關(guān)的業(yè)務(wù)屏蔽。而管理員可以根據(jù)要求賦予相應(yīng)人員的權(quán)限或者取消相應(yīng)人員的角色，這樣師生便可以在其所對(duì)應(yīng)的權(quán)限范圍內(nèi)獲得一定的數(shù)據(jù)以及指定的信息。

根據(jù)三維認(rèn)證模型對(duì)應(yīng)用進(jìn)行認(rèn)證設(shè)計(jì)，可以屏蔽與該應(yīng)用無關(guān)的人，也保證該應(yīng)用可以在合適的地點(diǎn)和適當(dāng)?shù)臅r(shí)間進(jìn)行認(rèn)證。通常的認(rèn)證模型主要是強(qiáng)調(diào)對(duì)人的認(rèn)證，即主要是人的身份是否正確，是不是應(yīng)該做相應(yīng)的操作，而認(rèn)證過程并不單單是對(duì)人的認(rèn)證的問題，對(duì)時(shí)間和地點(diǎn)的認(rèn)證也非常關(guān)鍵。例如教師上課便是這種三維認(rèn)證模型的具體表現(xiàn)，教師只能是教務(wù)處指定的教師在指定的時(shí)間到指定的教室內(nèi)去上課，這時(shí)就不能用簡單的對(duì)人的認(rèn)證方式了，而應(yīng)該采用這種三維的認(rèn)證模型來確定了。根據(jù)三維認(rèn)證模型會(huì)形成一個(gè)有認(rèn)證單元組成的認(rèn)證體的合集。即認(rèn)證集 Au（Authentication）等于身份S（Status）、時(shí)間T（Time）和地點(diǎn)P（Place）的合集，如公式1所示：

由式（1）可以看出，實(shí)際上一個(gè)認(rèn)證是由若干個(gè)認(rèn)證群體組成的，這里面可以根據(jù)時(shí)間、身份、地點(diǎn)進(jìn)行定義。這里面有3個(gè)比較特殊的情況：設(shè)定具有訪問權(quán)限則設(shè)定為true，否則為false。所有人都可以訪問該應(yīng)用，那么定義S= true；任意地點(diǎn)或者IP地址都可以訪問，那么定義P=true；任意時(shí)間可以訪問，那么定義T=true。

3 三維認(rèn)證模型在高校信息化建設(shè)中應(yīng)用

3.1 基于課表的三維模型管理流程

結(jié)合前面研究，在基于時(shí)間、地點(diǎn)、對(duì)象的三維認(rèn)證模型的架構(gòu)下，如果希望控制學(xué)生在教學(xué)樓內(nèi)上課時(shí)使用無線網(wǎng)，其相關(guān)的參數(shù)有身份認(rèn)證（即必須是本人的賬號(hào)才能登錄），時(shí)間（上課時(shí)間不允許使用），地點(diǎn)（教學(xué)樓內(nèi)），三者缺一不可如圖2所示：

圖2 與基于課表的無線網(wǎng)認(rèn)證流程圖

基于課表的無線網(wǎng)絡(luò)控制主要是通過將教務(wù)處的學(xué)生課程表與無線認(rèn)證系統(tǒng)的對(duì)接來實(shí)現(xiàn)的。具體的實(shí)現(xiàn)步驟如下：

第一步：定期同步教務(wù)處課表數(shù)據(jù)庫至認(rèn)證系統(tǒng)中；

第二步：定義每節(jié)課的起始時(shí)間；

第三步：在每節(jié)課的開始時(shí)判斷是否禁用該學(xué)生的賬號(hào)；

第四步：在每節(jié)課的結(jié)束時(shí)啟用被禁用學(xué)生的賬號(hào)。

3.2 基于教師意愿的三維模型管理流程

基于課表的無線網(wǎng)控制總流程為：

學(xué)生通過自己賬號(hào)登錄無線網(wǎng)，判斷課表內(nèi)是否有課，如果沒有課，通過認(rèn)證后使用無線網(wǎng)；

如果有課，判斷任課老師是否允許使用無線網(wǎng)，如果沒有定義，將按照默認(rèn)設(shè)置禁用該帳號(hào)；

如果教師定義其可以使用無線網(wǎng)，該學(xué)生可以在該教師上課期間使用，直至下課，或者重新定義不允許使用無線網(wǎng)；

下課后，允許正常認(rèn)證并使用無線網(wǎng)；下節(jié)課到來時(shí)，判斷該生是否有課，如果有課，根據(jù)課表和教師預(yù)定義來判斷是否允許使用無線網(wǎng)，如果不允許，則強(qiáng)制下線如圖3所示：

圖3 基于教師的無線認(rèn)證流程圖

3.3 實(shí)現(xiàn)效果圖

基于教師的無線認(rèn)證管理界面如圖4所示：

圖4 基于教師的無線認(rèn)證管理界面

僅當(dāng)有課教師才有權(quán)限登陸進(jìn)入該界面，界面中的管理對(duì)象是該任課老師的班級(jí)所在的同學(xué)。

依托三維認(rèn)證模型，該教師所擁有的權(quán)限是決定其所在班級(jí)擁有無限賬號(hào)的學(xué)生在其上課期間是否擁有上無線網(wǎng)的權(quán)限。若是其需要開通權(quán)限，基于三維認(rèn)證模型中的相關(guān)屬性如下：時(shí)間是則該任課老師在特定的上課時(shí)間內(nèi)；地點(diǎn)是無線網(wǎng)絡(luò)覆蓋下的教室；角色是該任課老師所任教的所有學(xué)生。依托三維模型對(duì)特定時(shí)間、特定地點(diǎn)及特定身份開通是否允許其上網(wǎng)的權(quán)限。

4 本文總結(jié)

本文針對(duì)校園網(wǎng)數(shù)字安全，特別是無線網(wǎng)絡(luò)認(rèn)證的多樣性需求，提出了一種基于時(shí)間、地點(diǎn)、人物的三維認(rèn)證模型，且將該模型深入推廣到其他信息系統(tǒng)的身份集成應(yīng)用中，為簡化認(rèn)證、安全認(rèn)證做了有益貢獻(xiàn)，確保校園信息化建設(shè)中信息系統(tǒng)集成的順利實(shí)施，確保對(duì)學(xué)生賬號(hào)的精細(xì)化控制，進(jìn)一步提升信息化辦公、信息化教學(xué)的效率。保證這些應(yīng)用可以在合適的地點(diǎn)、合適的時(shí)間利用合適的身份進(jìn)行可靠地認(rèn)證。除了保證可靠性，也要在設(shè)計(jì)上著重頁面的簡潔性與操作的方便性，提供操作者更好的用戶體驗(yàn)。

[1] 趙冶東.路由交換技術(shù)[M].北京:清華大學(xué)出版社,2011.

[2] Hill B. Cisco完全手冊[M].北京:電子工業(yè)出版社,2002.

[3] China Education and Research Network [EB/OL].1993.

[4] 張宏科. IP路由原理與技術(shù)[M].北京:清華大學(xué)出版社,2000.72-94.

[5] 胡國榮.數(shù)字視頻壓縮及其標(biāo)準(zhǔn)[M].北京:北京廣播學(xué)院出版社,1999.

[6] 沈蘭蓀,卓力,田棟,汪孔橋.視頻編碼與低速率傳輸[M].北京:電子工業(yè)出版社,2003.

The Usage of 3D M odel in App lication of the University Informatization M anagement

Chen Yong
(Internet and Education Technology Center, China University of Petroleum (East China), Qingdao 266580, China)

With the continuous progress of university informatization’s construction, informatization office, information teaching has gradually turned into the teachers’ staff and students, informationization and University, teachers, students, teaching office, office and other fields become increasingly closer. But for the safety and convenience of the certification to become a difficult and hot spot, this paper analyzes and summarizes the characteristics of several time certification based on patterns, finally presents the 3D authentication model, which based on the status, time place was applied to the construction of the school of information application, especially in w ireless network management system based on the schedule, proposed one kind based on the teachers' w illingness to network management process, and provides a way for the University Information Management.

Informatization; Campus; Management

TP393

A

2014.05.09）

陳勇（1968-），男，安徽省人，中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，主任，高級(jí)工程師，研究方向：校園網(wǎng)絡(luò)管理，青島，266580

1007-757X(2014)11-0058-03