摘 要：進(jìn)入21世紀(jì)，計(jì)算機(jī)移動(dòng)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各種應(yīng)用迅速走入人們的生活，用戶(hù)數(shù)量和應(yīng)用終端數(shù)量爆發(fā)式增長(zhǎng)，給高校的網(wǎng)絡(luò)建設(shè)工程提出了新的要求，應(yīng)用的安全和便捷性需求問(wèn)題引起了高度重視。各種各樣的應(yīng)用系統(tǒng)，復(fù)雜繁瑣的登錄確認(rèn)，權(quán)限認(rèn)證等問(wèn)題，迫切需要現(xiàn)代數(shù)字化校園集成各類(lèi)網(wǎng)絡(luò)資源，提高應(yīng)用效率，建議統(tǒng)一的門(mén)戶(hù)和統(tǒng)一的身份認(rèn)證系統(tǒng)。

關(guān)鍵詞：統(tǒng)一身份認(rèn)證；Kerberos Web Service單點(diǎn)登錄；輕量目錄訪(fǎng)問(wèn)協(xié)議

1 研究的背景和意義

進(jìn)入21世紀(jì)，計(jì)算機(jī)移動(dòng)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各種應(yīng)用迅速走入人們的生活，用戶(hù)數(shù)量和應(yīng)用終端數(shù)量爆發(fā)式增長(zhǎng)，給高校的網(wǎng)絡(luò)建設(shè)工程提出了新的要求，應(yīng)用的安全和便捷性需求問(wèn)題引起了必要的重視。各種各樣的應(yīng)用系統(tǒng)，復(fù)雜繁瑣的登錄確認(rèn)，權(quán)限認(rèn)證等問(wèn)題，迫切需要現(xiàn)代數(shù)字化校園集成各類(lèi)網(wǎng)絡(luò)資源，提高應(yīng)用效率，建議統(tǒng)一的門(mén)戶(hù)和統(tǒng)一的身份認(rèn)證系統(tǒng)。

數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的主要理念為集成各類(lèi)網(wǎng)絡(luò)應(yīng)用，建立統(tǒng)一門(mén)戶(hù)和和統(tǒng)一的認(rèn)證服務(wù)系統(tǒng)，實(shí)現(xiàn)使用唯一身份認(rèn)證信息登錄和權(quán)限區(qū)分。統(tǒng)一身份認(rèn)證的優(yōu)點(diǎn)其一是用戶(hù)只有一個(gè)登錄賬號(hào)，在使用中注冊(cè)、登錄和修改信息時(shí)比較方便；其二是對(duì)于系統(tǒng)來(lái)說(shuō)，可以避免各個(gè)應(yīng)用系統(tǒng)的重復(fù)開(kāi)發(fā)，統(tǒng)一數(shù)據(jù)庫(kù)實(shí)現(xiàn)數(shù)據(jù)共享，同時(shí)可以根據(jù)各個(gè)子系統(tǒng)的點(diǎn)擊率來(lái)優(yōu)化整個(gè)系統(tǒng)結(jié)構(gòu)。

當(dāng)前，國(guó)內(nèi)高等院校已基本建成數(shù)字化校園系統(tǒng)，一個(gè)安全、便捷、可靠的身份認(rèn)證系統(tǒng)是數(shù)字化校園應(yīng)用的熱點(diǎn)研究領(lǐng)域，也是實(shí)際應(yīng)用的必需。

2 高職院校網(wǎng)絡(luò)認(rèn)證管理需求分析

伴隨著近幾年網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，大部分高職院校建成了萬(wàn)兆級(jí)核心校園網(wǎng)絡(luò)，提供各種校園網(wǎng)絡(luò)所具備的電子郵箱、資產(chǎn)管理系統(tǒng)等服務(wù)，并利用無(wú)線(xiàn)AP覆蓋了整個(gè)校園。共享網(wǎng)絡(luò)資源，提供便捷服務(wù)，建成安全可靠的數(shù)字化平臺(tái)，是高職院校建設(shè)數(shù)字化校園的目的，然而這需要數(shù)字化校園網(wǎng)絡(luò)為學(xué)校的各類(lèi)用戶(hù)提供統(tǒng)一認(rèn)證管理的操作平臺(tái)。

要建成一個(gè)安全、便捷、可靠的身份認(rèn)證系統(tǒng)，首先要對(duì)高職院校的需求進(jìn)行分析。一般來(lái)說(shuō)，高職院校的需求可從以下一個(gè)方面進(jìn)行：網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)的需求、系統(tǒng)安全的需求、數(shù)據(jù)中心需求等。

從網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)需求的角度來(lái)說(shuō)，數(shù)值化校園統(tǒng)一身份認(rèn)證系統(tǒng)涉及全校資源共享和認(rèn)證管理，需要其具有功能豐富、操作簡(jiǎn)便的管理界面，穩(wěn)定、高效的運(yùn)行能力。面對(duì)校園內(nèi)各類(lèi)層次用戶(hù)的不同需求，一套安全、高效、易操作的統(tǒng)一身份認(rèn)證平臺(tái)，標(biāo)準(zhǔn)的用戶(hù)認(rèn)證借口，有助于提高系統(tǒng)的工作效率，減少網(wǎng)絡(luò)負(fù)荷，便于管理人員使用和維護(hù)整個(gè)系統(tǒng)。另外，可根據(jù)實(shí)際需求，在用戶(hù)認(rèn)證時(shí)使用端口綁定，實(shí)時(shí)監(jiān)控用戶(hù)的上網(wǎng)行為，確保校園網(wǎng)絡(luò)信息的安全。

從系統(tǒng)安全性需求的角度來(lái)說(shuō)，數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)平臺(tái)的安全是數(shù)字化校園建設(shè)的核心內(nèi)容之一。針對(duì)高職院校中較易發(fā)生的網(wǎng)絡(luò)安全事件，例如盜用IP地址、非法入侵、破解賬號(hào)密碼等，需要制定完善的網(wǎng)絡(luò)安全策略。用戶(hù)的上網(wǎng)行為，如登錄帳號(hào)、登錄時(shí)長(zhǎng)、接入?yún)^(qū)域、IP地址等有必要得到詳細(xì)的記錄和監(jiān)管。針對(duì)病毒和攻擊防護(hù)，應(yīng)采用諸如防DOS攻擊、加密算法、防源IP地址欺騙等軟、硬件結(jié)合的方式進(jìn)行多重防護(hù)。

從數(shù)據(jù)中心需求的角度來(lái)說(shuō)，數(shù)字化校園的數(shù)據(jù)中心有必要形成一個(gè)統(tǒng)一的平臺(tái)，由單一核心交換機(jī)傳輸所有數(shù)據(jù)，降低運(yùn)營(yíng)維護(hù)成本。較高的網(wǎng)絡(luò)訪(fǎng)問(wèn)速度和較快的存儲(chǔ)響應(yīng)速度應(yīng)得到重視，否則將影響數(shù)據(jù)中心的整體性能。對(duì)于數(shù)據(jù)中心存儲(chǔ)系統(tǒng)來(lái)說(shuō)，保障數(shù)據(jù)的安全可靠性是首要的任務(wù)，因此核心交換設(shè)備應(yīng)具備故障冗余能力和快速故障恢復(fù)能力，確保數(shù)據(jù)中心的安全可靠。另外出于管理的便捷性考慮，統(tǒng)一數(shù)字化校園的身份認(rèn)證系統(tǒng)也是必要的。

3 統(tǒng)一身份認(rèn)證系統(tǒng)的相關(guān)技術(shù)

所謂身份認(rèn)證是指根據(jù)用戶(hù)提供的信息判斷其正確性或者合法性的過(guò)程。用戶(hù)提供的認(rèn)證信息可以是用戶(hù)名、密碼，或者是指紋等。統(tǒng)一身份認(rèn)證是指在數(shù)字化校園網(wǎng)絡(luò)系統(tǒng)內(nèi)，各個(gè)不同的子系統(tǒng)采用同一個(gè)認(rèn)證信息來(lái)驗(yàn)證，其目的除了規(guī)范系統(tǒng)外，還可以避免用戶(hù)需記憶多種賬號(hào)密碼，防止遺忘等問(wèn)題。另外利用統(tǒng)一身份認(rèn)證系統(tǒng)，可以根據(jù)用戶(hù)的不同身份信息來(lái)決定用戶(hù)的訪(fǎng)問(wèn)權(quán)限。

作為數(shù)字校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)來(lái)說(shuō)，其相關(guān)的安全技術(shù)必須得到重視。要確保統(tǒng)一身份認(rèn)證的安全性，需要通過(guò)一些網(wǎng)絡(luò)安全技術(shù)來(lái)實(shí)現(xiàn)。常用的網(wǎng)絡(luò)安全技術(shù)包括加密技術(shù)、認(rèn)證技術(shù)、網(wǎng)絡(luò)安全協(xié)議等，如DES加密技術(shù)、安全套接字層（SSL）協(xié)議等。

統(tǒng)一身份認(rèn)證系統(tǒng)的相關(guān)技術(shù)種類(lèi)繁多，一般來(lái)說(shuō)，高職院校常采用第三方認(rèn)證協(xié)議Kerberos、單點(diǎn)登錄Single Sign On、輕量目錄訪(fǎng)問(wèn)協(xié)議LDAP、Web Services、SOAP等。在這里文章簡(jiǎn)單介紹一下單點(diǎn)登錄Single Sign On、輕量目錄訪(fǎng)問(wèn)協(xié)議LDAP和第三方認(rèn)證協(xié)議Kerberos。

單點(diǎn)登錄Single Sign On，是指當(dāng)用戶(hù)需要訪(fǎng)問(wèn)多個(gè)系統(tǒng)時(shí)，只需登錄初始訪(fǎng)問(wèn)的系統(tǒng)，系統(tǒng)驗(yàn)證通過(guò)后，就可訪(fǎng)問(wèn)該用戶(hù)授權(quán)范圍內(nèi)的相應(yīng)系統(tǒng)。單點(diǎn)登錄的優(yōu)點(diǎn)在于可以將多個(gè)系統(tǒng)分散的用戶(hù)集中管理，通過(guò)統(tǒng)一的身份信息配置不同的訪(fǎng)問(wèn)權(quán)限，有效提高系統(tǒng)的安全性和便捷性，從而提高工作效率。

輕量目錄訪(fǎng)問(wèn)協(xié)議LDAP是指在TCP/IP基礎(chǔ)上，定義一個(gè)相對(duì)簡(jiǎn)單的搜索和升級(jí)目錄服務(wù)的協(xié)議。LDAP可以提供較復(fù)雜的、多層次的訪(fǎng)問(wèn)控制或者ACI。這些訪(fǎng)問(wèn)可在服務(wù)器端進(jìn)行控制，比起在客戶(hù)端的控制，其相對(duì)更加安全、可靠。在LDAP下，用戶(hù)可以根據(jù)需要利用ACI控制對(duì)數(shù)據(jù)進(jìn)行讀和寫(xiě)。

第三方認(rèn)證協(xié)議Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其目標(biāo)是通過(guò)密鑰系統(tǒng)為C/S應(yīng)用程序提供有效的認(rèn)證服務(wù)。第三方認(rèn)證協(xié)議Kerberos的原理是假定網(wǎng)絡(luò)傳輸中傳輸?shù)臄?shù)據(jù)被允許自由讀取和修改，Kerberos作為第三方認(rèn)證，運(yùn)用傳統(tǒng)的密碼技術(shù)來(lái)對(duì)數(shù)據(jù)包進(jìn)行認(rèn)證，確保數(shù)據(jù)的真實(shí)有效。

Web Services是基于可編程web的應(yīng)用程序，具有平臺(tái)獨(dú)立、低賴(lài)合性、自包含的特點(diǎn)。其配置可使用開(kāi)放的XML來(lái)實(shí)現(xiàn)，主要用來(lái)開(kāi)發(fā)分布式的互操作的應(yīng)用程序。Web Service技術(shù)的運(yùn)用，可使不同機(jī)器上不同應(yīng)用軟件的互聯(lián)和集成的實(shí)現(xiàn)更加便捷。

4 統(tǒng)一身份認(rèn)證系統(tǒng)分析設(shè)計(jì)

統(tǒng)一身份認(rèn)證系統(tǒng)必須建立一個(gè)完整的用戶(hù)身份認(rèn)證體系，實(shí)現(xiàn)對(duì)用戶(hù)的統(tǒng)一授權(quán)、認(rèn)證、管理和單點(diǎn)登錄。根據(jù)數(shù)字化校園建設(shè)的要求，建設(shè)目標(biāo)如下：統(tǒng)一用戶(hù)認(rèn)證機(jī)制、提供集中、統(tǒng)一、高效的用戶(hù)管理、具有良好的平臺(tái)兼容性和良好的擴(kuò)展性、集成性以及高水平的安全性。

從系統(tǒng)功能的角度來(lái)說(shuō)，統(tǒng)一身份認(rèn)證系統(tǒng)可以分為兩大功能部分：身份認(rèn)證管理和權(quán)限控制管理。其中，身份認(rèn)證管理主要分為用戶(hù)登錄、用戶(hù)添加/刪除、用戶(hù)信息修改三個(gè)部分。權(quán)限控制管理主要分為兩塊內(nèi)容：業(yè)務(wù)系統(tǒng)權(quán)限分配和業(yè)務(wù)系統(tǒng)權(quán)限查詢(xún)。統(tǒng)一身份認(rèn)證系統(tǒng)通過(guò)對(duì)LDAP目錄服務(wù)器中的永和和應(yīng)用系統(tǒng)的用戶(hù)進(jìn)行各種操作來(lái)實(shí)現(xiàn)整個(gè)系統(tǒng)的運(yùn)作。

從系統(tǒng)邏輯分層角度來(lái)說(shuō)，統(tǒng)一身份認(rèn)證系統(tǒng)可分為數(shù)據(jù)層、基層層和應(yīng)用層。用戶(hù)使用用戶(hù)名和密碼由客戶(hù)端通過(guò)瀏覽器（基礎(chǔ)層）登陸統(tǒng)一身份認(rèn)證系統(tǒng)，應(yīng)用服務(wù)器（應(yīng)用層）接收訪(fǎng)問(wèn)申請(qǐng)并驗(yàn)證用戶(hù)名和密碼后將有效信息轉(zhuǎn)化為L(zhǎng)DAP目錄服務(wù)器格式向認(rèn)證服務(wù)器（數(shù)據(jù)層）驗(yàn)證用戶(hù)信息合法性，LDAP目錄服務(wù)器經(jīng)驗(yàn)證后將結(jié)果層層反饋到應(yīng)用服務(wù)器、基礎(chǔ)層的瀏覽器，合法用戶(hù)將進(jìn)行權(quán)限內(nèi)操作，反之亦然。

一般來(lái)說(shuō)，中等規(guī)模數(shù)字化校園系統(tǒng)常采用單點(diǎn)登錄模式，Kerberos協(xié)議是比較常見(jiàn)的方式之一。文章將以Kerberos協(xié)議為基礎(chǔ)。作為第三方認(rèn)證協(xié)議，Kerberos協(xié)議的密鑰分發(fā)中心在認(rèn)證過(guò)程中充當(dāng)中間人的角色，在這個(gè)認(rèn)證系統(tǒng)結(jié)構(gòu)中，由其發(fā)送的憑證票據(jù)是用戶(hù)用來(lái)訪(fǎng)問(wèn)相關(guān)服務(wù)的憑證，包含了用戶(hù)的基礎(chǔ)信息、加密密鑰和票據(jù)生成時(shí)間等重要信息。

根據(jù)對(duì)數(shù)字化校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)流程的設(shè)計(jì)思路，用戶(hù)初次訪(fǎng)問(wèn)應(yīng)用程序時(shí)，可能沒(méi)有憑證票據(jù)，因此瀏覽器會(huì)重新定向到統(tǒng)一身份認(rèn)證系統(tǒng)，用戶(hù)使用用戶(hù)名和密碼登陸后，重新生成新的憑證票據(jù)發(fā)送到認(rèn)證服務(wù)器和LDAP目錄服務(wù)器進(jìn)行驗(yàn)證，如果合法，認(rèn)證服務(wù)器將相關(guān)信息反饋到瀏覽器，瀏覽器保存后就可以利用此信息訪(fǎng)問(wèn)其它權(quán)限內(nèi)的應(yīng)用系統(tǒng)功能模塊。

對(duì)于權(quán)限控制管理來(lái)說(shuō)，一個(gè)用戶(hù)可以擁有多個(gè)角色，而不同角色擁有不同的權(quán)限。本系統(tǒng)可根據(jù)角色區(qū)分權(quán)限，利用LDAP目錄服務(wù)器完成用戶(hù)的信息、角色信息和對(duì)應(yīng)的權(quán)限管理。

輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議LDAP是一種另類(lèi)的數(shù)據(jù)庫(kù)，它可以存儲(chǔ)模式信息和訪(fǎng)問(wèn)信息。數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)采用LDAP目錄服務(wù)，可以快速有效地讀取用戶(hù)的基本信息，提高管理的效率，實(shí)現(xiàn)對(duì)用戶(hù)信息的高校管理，提高系統(tǒng)的整體性能。

在數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)中，還需設(shè)計(jì)添加、修改和刪除用戶(hù)的功能，當(dāng)用戶(hù)被添加時(shí)系統(tǒng)應(yīng)對(duì)用戶(hù)所擁有的角色分配權(quán)限。權(quán)限管理是統(tǒng)一身份認(rèn)證系統(tǒng)中很重要的一部分，其功能包括授權(quán)、監(jiān)督、管理及追溯等功能，確保系統(tǒng)的正常運(yùn)行。同樣系統(tǒng)也需要擁有權(quán)限的創(chuàng)建、修改和刪除的功能。

一般來(lái)說(shuō)，在統(tǒng)一身份認(rèn)證系統(tǒng)中，角色是替代用戶(hù)使用權(quán)限的實(shí)體，角色、用戶(hù)與權(quán)限可形成對(duì)應(yīng)關(guān)系。同一個(gè)用戶(hù)可擁有不同的角色，行使對(duì)應(yīng)的權(quán)限。

從硬件系統(tǒng)的角度來(lái)說(shuō)，硬件設(shè)計(jì)可分為用戶(hù)層、數(shù)據(jù)層和業(yè)務(wù)層。認(rèn)證服務(wù)器、LDAP目錄服務(wù)器和統(tǒng)一身份認(rèn)證系統(tǒng)均屬于數(shù)據(jù)層。

當(dāng)用戶(hù)瀏覽網(wǎng)頁(yè)時(shí)，Web服務(wù)器會(huì)在終端上保留一個(gè)cookie文件，通過(guò)此文件，用戶(hù)再次瀏覽此網(wǎng)站時(shí)能免去登陸密碼直接瀏覽。當(dāng)瀏覽器進(jìn)入Web頁(yè)面到關(guān)閉該Web頁(yè)面所經(jīng)過(guò)的時(shí)間，即指Session。一般來(lái)說(shuō)，cookie文件可作為服務(wù)器發(fā)送的令牌用，Session可作為發(fā)送的應(yīng)用程序的訪(fǎng)問(wèn)憑證使用。

針對(duì)各種各樣的應(yīng)用子系統(tǒng)來(lái)說(shuō)，統(tǒng)一身份認(rèn)證系統(tǒng)還需解決的一個(gè)問(wèn)題是需提供一個(gè)標(biāo)準(zhǔn)化的應(yīng)用程序接口以滿(mǎn)足各類(lèi)子系統(tǒng)的需求。通用安全服務(wù)應(yīng)用程序編程接口GSSAPI是一種較常用的應(yīng)用程序接口程序訪(fǎng)問(wèn)服務(wù)，其可與Kerberos是可兼容的。另外，通過(guò)可插入身份認(rèn)證模塊PAM來(lái)整合多個(gè)應(yīng)用程序編程接口認(rèn)證機(jī)制是常用的方法。

5 結(jié)束語(yǔ)

為了提高數(shù)字化校園系統(tǒng)的效率及安全性，高職院校需實(shí)現(xiàn)校園網(wǎng)的統(tǒng)一身份認(rèn)證。文章主要對(duì)統(tǒng)一身份認(rèn)證管理系統(tǒng)進(jìn)行闡述，根據(jù)一般高職院校的實(shí)際應(yīng)用需求，以單點(diǎn)登錄、第三方認(rèn)證Kerberos以及輕量級(jí)LDAP目錄訪(fǎng)問(wèn)協(xié)議為基礎(chǔ)，結(jié)合通用安全服務(wù)應(yīng)用程序接口GSSAPI和可插入身份認(rèn)證模塊PAM搭建完整的數(shù)字化校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)。后續(xù)如何適應(yīng)新的變化，如支付方式的改變，還有待進(jìn)一步完善。

參考文獻(xiàn)

[1]黃孌.校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].天津大學(xué)，2013.

[2]王瑋.數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2010.

[3]鄭煥.基于Web Services統(tǒng)一身份認(rèn)證系統(tǒng)研究[D].武漢理工大學(xué)，2007.

[4]賀甲寧.校園網(wǎng)環(huán)境下統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2015.

作者簡(jiǎn)介：楊夢(mèng)希（1981，09-），女，漢族，江蘇無(wú)錫人，本科，助理實(shí)驗(yàn)師，無(wú)錫商業(yè)職業(yè)技術(shù)學(xué)院，研究方向：網(wǎng)絡(luò)管理。