摘 要：在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，建設(shè)數(shù)字化和智慧化校園的步伐不斷推進(jìn)，于是各種基于校園網(wǎng)的應(yīng)用層出不窮，然而在不同應(yīng)用“百家爭鳴”的表面之下卻也有著很多弊端，比如應(yīng)用更新不及時(shí)、維護(hù)不及時(shí)、惡性漏洞多、每一個(gè)應(yīng)用都需要頻繁的登錄驗(yàn)證等缺點(diǎn)，其中最令用戶頭痛的則是不同應(yīng)用需要頻繁登錄驗(yàn)證的問題，這不符合智慧校園的要求。因此，建立一個(gè)統(tǒng)一的身份驗(yàn)證系統(tǒng)，對(duì)用戶進(jìn)行統(tǒng)一的管理、身份驗(yàn)證和授權(quán)，避免用戶頻繁的登錄認(rèn)證是建設(shè)智慧校園的一項(xiàng)重要的內(nèi)容。

關(guān)鍵詞：智慧校園；統(tǒng)一身份認(rèn)證；技術(shù)分析

1 背景

智慧校園是校園數(shù)字化的一種高度發(fā)展的形式，或者說智慧校園與數(shù)字化校園在本質(zhì)上沒有區(qū)別，都是利用互聯(lián)網(wǎng)技術(shù)對(duì)處于校園網(wǎng)的人進(jìn)行統(tǒng)一的管理，因此派生了許多基于校園網(wǎng)方便師生的應(yīng)用。雖然這些應(yīng)用基于校園網(wǎng)，但是其本質(zhì)依舊是一個(gè)個(gè)獨(dú)立的系統(tǒng)，并且這些系統(tǒng)的管理員之間互不信任，因此就會(huì)出現(xiàn)面對(duì)不同應(yīng)用用戶得記憶不同的賬號(hào)和密碼，造成了在使用應(yīng)用時(shí)的頻繁登錄與認(rèn)證。比如在某高校，學(xué)生登錄個(gè)人信息系統(tǒng)用的是自己的學(xué)號(hào)與密碼A，學(xué)生登錄學(xué)校圖書館時(shí)用的是自己的學(xué)號(hào)與密碼B，學(xué)生用校園網(wǎng)上網(wǎng)時(shí)用的是自己的學(xué)號(hào)與密碼C，雖然賬號(hào)均為學(xué)生本人的學(xué)號(hào)，但是，密碼卻有三個(gè)，增加了記憶量，有的學(xué)校甚至在這些平臺(tái)的登錄上讓用戶使用不同的賬號(hào)密碼，也就是說雖然學(xué)校的個(gè)人查詢信息平臺(tái)、圖書館首頁都是基于校園網(wǎng)而建立，但是相關(guān)的數(shù)據(jù)卻互不通用，這不僅不能體現(xiàn)數(shù)字化校園給人帶來的便利性，而且還會(huì)增加維護(hù)的困難，因此建立一個(gè)統(tǒng)一的管理、身份認(rèn)證和授權(quán)的平臺(tái)，使得用戶可以使用一套賬號(hào)密碼“一鍵登錄”一切基于校園網(wǎng)而建立的應(yīng)用。

有人會(huì)有疑問，這些應(yīng)用都用一套賬號(hào)密碼登錄難道不會(huì)增加自身信息被盜取的危險(xiǎn)？這種擔(dān)心不是沒有根據(jù)的，在多個(gè)應(yīng)用使用相同的賬號(hào)和密碼確實(shí)會(huì)增加賬號(hào)被盜取的風(fēng)險(xiǎn)，但是那是基于這些應(yīng)用沒有一個(gè)統(tǒng)一的數(shù)據(jù)庫而言，而建立統(tǒng)一驗(yàn)證系統(tǒng)的本質(zhì)即是建立一個(gè)總的用戶數(shù)據(jù)庫。

2 認(rèn)證機(jī)制分類

2.1 用戶口令認(rèn)證

用戶口令認(rèn)證是一種早期的認(rèn)證機(jī)制，一般用于早期的電腦系統(tǒng)中，現(xiàn)今也常用于某些對(duì)于安全性要求不高的系統(tǒng)中，比如Windows中的用戶登錄，pc的開機(jī)口令，Linux系統(tǒng)的用戶登錄等。其驗(yàn)證過程為，當(dāng)遇到需要驗(yàn)證用戶身份的操作時(shí)，用戶輸入相應(yīng)口令，若用戶輸入的口令與系統(tǒng)中儲(chǔ)存的口令一致時(shí)則通過驗(yàn)證，反之則拒絕用戶的操作。但是其存在以下缺點(diǎn)：（1）驗(yàn)證方式簡單容易被破解；（2）易被病毒截取口令；（3）口令泄露后用戶不能及時(shí)察覺。

2.2 挑戰(zhàn)-應(yīng)答的認(rèn)證

挑戰(zhàn)-應(yīng)答模式的作用過程為，當(dāng)遇到需要認(rèn)證用戶的身份時(shí)，服務(wù)器會(huì)發(fā)送一串隨機(jī)字符給用戶，用戶根據(jù)字符做出相應(yīng)的回答然后將回答返回到服務(wù)器，若回答的結(jié)果與服務(wù)器結(jié)果相一致則用戶通過驗(yàn)證，反之則終止操作或繼續(xù)發(fā)送字符直到用戶返回正確的結(jié)果。

該機(jī)制可以看作是口令認(rèn)證的升級(jí)版，但是該機(jī)制因每次認(rèn)證時(shí)都會(huì)發(fā)送不同的字符，因而不容易被攻擊者破解，因此具有很高的安全性，但是用于每次驗(yàn)證時(shí)口令都是隨機(jī)的，因而會(huì)浪費(fèi)掉用戶大量的時(shí)間。

2.3 Kerberos認(rèn)證

Kerberos是一種認(rèn)證協(xié)議，該協(xié)議的認(rèn)證過程不依賴傳統(tǒng)的主機(jī)操作系統(tǒng)的認(rèn)證，亦不必基于對(duì)主機(jī)地址的信任，更不要求任一在網(wǎng)絡(luò)上的主機(jī)都是安全的，該協(xié)議假定在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包都是可以被任意讀取、修改和擴(kuò)充的。

Kerberos對(duì)信息進(jìn)行的加密方式為對(duì)密鑰加密，因此該認(rèn)證方式提供了一個(gè)具有較高安全性的用戶身份認(rèn)證方式，其基本內(nèi)容是，只要能夠?qū)π畔⑦M(jìn)行正確解密的即是合法用戶，用戶在訪問應(yīng)用的服務(wù)器之前會(huì)先訪問Kerberos（第三方）服務(wù)器以獲取訪問許可證。

該認(rèn)證的運(yùn)行環(huán)境可分為以下三部分：（1）密鑰的分配中心：此

部分含有全部的用戶賬號(hào)信息，是整個(gè)系統(tǒng)的核心之處，并且提供兩部分的服務(wù)，認(rèn)證服務(wù)（Authentication Server， AS），以及票據(jù)授權(quán)服務(wù)（Ticket Granting Service， TGS）。（2）Kerberos的應(yīng)用服務(wù)器：此部分用于接受用戶的操作請(qǐng)求，驗(yàn)證用戶，并且為合法用戶提供相應(yīng)的服務(wù)。（3）Kerberos的工作站：這部分的功能是將用戶的登錄時(shí)的密碼轉(zhuǎn)為該用戶的長期密鑰（秘密密鑰）。

該認(rèn)證方式的過程為：（1）用戶A向AS做出要訪問TGS的請(qǐng)求。（2）AS收到該請(qǐng)求并從用戶的口令中導(dǎo)出密鑰K-A進(jìn)行加密，加密后只有用戶能夠解答。而后，向用戶做出應(yīng)答，內(nèi)容包括：證明用戶A身份的ID-tgs，A與TGS間會(huì)話所使用的密鑰K-A-tgs，時(shí)間戳TS2，以及AS發(fā)放的Ticket-tgs（票據(jù)許可票據(jù)）。（3）A收到Ticket-tgs后，會(huì)向TGS發(fā)送請(qǐng)求，請(qǐng)求訪問應(yīng)用服務(wù)器服務(wù)。之后TGS使用K-tgs解密，導(dǎo)出用戶A與自己會(huì)話使用的K-A-tgs，而后TGS進(jìn)行數(shù)據(jù)比對(duì)確認(rèn)A的身份。（4）TGS向A發(fā)出應(yīng)答，應(yīng)答內(nèi)容為服務(wù)器X的身份ID-X，以及服務(wù)器與用戶會(huì)話使用的K-A-X，服務(wù)許可票據(jù)Ticker-X。（5）A向服務(wù)器X出示認(rèn)證符和服務(wù)許可票據(jù)，服務(wù)器解密票據(jù)后得密鑰，利用該密鑰確認(rèn)A的身份。（6）最后服務(wù)器向A證明自己的身份。

由此可見，kerberos認(rèn)證方式在于其能將用戶的數(shù)據(jù)集中管理，是一種互相認(rèn)證的機(jī)制，這可以大幅度服務(wù)器的維護(hù)成本。而且這種認(rèn)證是雙向的，不僅服務(wù)器要驗(yàn)證用戶的身份，服務(wù)器還要向用戶證明自己的身份。這樣每次的密鑰都不一樣，因此可以防止非法服務(wù)器進(jìn)行攻擊。所以校園統(tǒng)一身份認(rèn)證的認(rèn)證機(jī)制采用kerberos認(rèn)證較為適合。

3 其他框架

3.1 目錄以及目錄服務(wù)

目錄服務(wù)即是按照樹形信息組織方式來實(shí)現(xiàn)信息的管理和服務(wù)接口一種方式，所以目錄服務(wù)是一種管理的工具也是用戶的最終工具。在目錄服務(wù)期間用戶與服務(wù)器能夠互相驗(yàn)證對(duì)方的身份。

3.2 Web Services

Web service是一種架構(gòu)在XML技術(shù)基礎(chǔ)上的程序集成技術(shù)，構(gòu)筑Web service的主要技術(shù)為XML（可擴(kuò)展標(biāo)記語言）、SOPA（簡單對(duì)象訪問協(xié)議）、服務(wù)描述語言（WSDL）、統(tǒng)一描述、UDDI（發(fā)現(xiàn)和集成規(guī)范）。利用web service在各種異構(gòu)平臺(tái)的基礎(chǔ)上搭建一個(gè)通用的平臺(tái)。

3.3 Protal技術(shù)

由于在校園應(yīng)用中有不同的操作系統(tǒng)、不同的數(shù)據(jù)庫以及不同的開發(fā)平臺(tái)，在建設(shè)智慧校園時(shí)應(yīng)當(dāng)使用一個(gè)統(tǒng)一的展現(xiàn)平臺(tái)，而且還能夠?yàn)橛脩籼峁┒ㄖ频哪芰?。而Protal技術(shù)即提供了這樣一個(gè)平臺(tái)，利用Protal技術(shù)可以實(shí)現(xiàn)的功能有：（1）內(nèi)容聚合；（2）視圖定制；（3）單點(diǎn)登錄；（4）個(gè)性化服務(wù)；（5）可管理可配置等。

4 結(jié)束語

統(tǒng)一身份認(rèn)證系統(tǒng)是建設(shè)智慧校園的重要部分，利用統(tǒng)一身份認(rèn)證系統(tǒng)，用戶可以不必記憶大量的賬號(hào)和密碼，可以用一個(gè)賬號(hào)密碼進(jìn)行各個(gè)應(yīng)用的登錄，由于各應(yīng)用服務(wù)器共同使用了一個(gè)數(shù)據(jù)庫因此，可以大大降低服務(wù)器的維護(hù)成本，并且由于采用了互相認(rèn)證的方式能夠大大減少服務(wù)器被攻擊的幾率，而且統(tǒng)一認(rèn)證系統(tǒng)比傳統(tǒng)的認(rèn)證系統(tǒng)顯得更為可靠可以大幅度降低信息被盜用的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]王瑋.數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2010.

[2]陳鴻.數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].電子科技大學(xué)，2013.

[3]王靜然.結(jié)合人臉識(shí)別和RFID卡的考生身份認(rèn)證系統(tǒng)的研究[D].太原理工大學(xué)，2013.

作者簡介：狄宏林（1979-），男，吉林省延吉市人，本科，講師，畢業(yè)于吉林大學(xué)，就職于東莞市廣播電視大學(xué)，研究方向：數(shù)據(jù)挖掘、大數(shù)據(jù)分析。