劉瑋

摘要：身份認(rèn)證是保證系統(tǒng)安全的一種常見(jiàn)技術(shù)。隨著高校校園網(wǎng)應(yīng)用系統(tǒng)數(shù)量的增加，身份認(rèn)證技術(shù)方案的設(shè)計(jì)綜合考慮系統(tǒng)安全和用戶訪問(wèn)體驗(yàn)。本文以某高職院校校園網(wǎng)為例，充分考慮校高職院校園網(wǎng)應(yīng)用系統(tǒng)的現(xiàn)實(shí)需求，設(shè)計(jì)了一種基于“三層架構(gòu)”的統(tǒng)一身份認(rèn)證方案，對(duì)高職院校校園網(wǎng)絡(luò)安全建設(shè)具有一定的參考意義。

關(guān)鍵詞：校園網(wǎng) 規(guī)劃 信息化

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）12-0195-01

引言

在高校校園網(wǎng)建設(shè)中，一個(gè)好的校園網(wǎng)絡(luò)接入身份系統(tǒng)是指能夠?yàn)閺V大師生提供安全、便捷的接入服務(wù)，主要表現(xiàn)三個(gè)方面：1）在具有多個(gè)校區(qū)的網(wǎng)絡(luò)環(huán)境中，能夠提供可靠的身份認(rèn)證服務(wù)；2）支持多種認(rèn)證方式，如支持用戶漫游的分布認(rèn)證、單點(diǎn)登陸認(rèn)證等多種認(rèn)證方式，用戶無(wú)論身處哪個(gè)校區(qū)，都可以一次接入認(rèn)證后即可訪問(wèn)校內(nèi)多個(gè)業(yè)務(wù)系統(tǒng)；3）具備大量的認(rèn)證用戶并發(fā)訪問(wèn)認(rèn)證服務(wù)器時(shí)系統(tǒng)查以自動(dòng)調(diào)配內(nèi)存資源的能力（即具備良好的負(fù)載均衡能力。隨著我國(guó)高等職業(yè)院校的快速發(fā)展，各高職院校不斷擴(kuò)大招生規(guī)模，并啟動(dòng)新校區(qū)建設(shè)。各院校在統(tǒng)籌建設(shè)新、老校區(qū)網(wǎng)絡(luò)建設(shè)時(shí)，也都在研究安全、可靠、負(fù)載性能好的身份認(rèn)證系統(tǒng)。本論文以某高職院校為例，設(shè)計(jì)了一個(gè)基于“三層架構(gòu)”的校園網(wǎng)身份認(rèn)證系統(tǒng)，對(duì)高職院校開(kāi)發(fā)校園網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)具有一定的參考價(jià)值。

1 校園網(wǎng)身份認(rèn)證相關(guān)技術(shù)

1.1 Kerberosy認(rèn)證

Kerberosy認(rèn)證是在上世紀(jì)90年代伴隨萬(wàn)維網(wǎng)的出現(xiàn)而誕生的經(jīng)典身份認(rèn)證技術(shù)。它提供了一種利用認(rèn)證服務(wù)器（AS）實(shí)現(xiàn)客戶端（Client）和服務(wù)器端（Server）相互認(rèn)證的經(jīng)典思路；為解決一次授權(quán)即實(shí)現(xiàn)多服務(wù)器登陸的問(wèn)題，Kerberosy認(rèn)證引入了票據(jù)授權(quán)服務(wù)（TGS - Ticket Granting Service），省去了多次認(rèn)證的時(shí)空開(kāi)銷(xiāo)。因此，Kerberosy認(rèn)證包括認(rèn)證服務(wù)器（AS），客戶端（Client）和普通服務(wù)器（Server）、票據(jù)授權(quán)服務(wù)（TGS - Ticket Granting Service） 四個(gè)角色。

1.2 LDAP：輕量級(jí)目錄訪問(wèn)協(xié)議

輕量級(jí)目錄訪問(wèn)協(xié)議 ，是一種跨平臺(tái)的目錄服務(wù)技術(shù)，位于TCP/IP協(xié)議的上層，提供標(biāo)準(zhǔn)的服務(wù)接口，因此具有平臺(tái)無(wú)關(guān)性，采用樹(shù)狀模式存儲(chǔ)目錄信息，每一條目錄信息基于條目（Entry），條目在目錄全局中具有唯一的身份標(biāo)識(shí)并包含屬性信息（一般比較精短），方便快速檢索條目信息。由于身份認(rèn)證中傳遞的多數(shù)都為短文本（加密）信息，因此LDAP協(xié)議的特別適合身份認(rèn)證的需求，此特性使其在各種身份認(rèn)證技術(shù)中得到廣泛應(yīng)用。

1.3 ICE中間件

Ice是Internet Communications Engine的簡(jiǎn)稱，是一種面向?qū)ο蟮闹虚g件平臺(tái)，支持面向?qū)ο蟮腞PC編程，其最初的目的是為了提供類似CORBA技術(shù)的強(qiáng)大功能，又能消除CORBA技術(shù)的復(fù)雜性。該平臺(tái)為構(gòu)建面向?qū)ο蟮目蛻?服務(wù)器應(yīng)用提供了工具、API和庫(kù)支持。ICE平臺(tái)內(nèi)嵌負(fù)載均衡功能，對(duì)于分布大多個(gè)節(jié)點(diǎn)上的應(yīng)用服務(wù)提供多種負(fù)載均衡方案，只需要通過(guò)XML配置文件即可完成負(fù)載均衡配置。配置項(xiàng)包括Type （負(fù)載均衡類型）、Sampling interval（負(fù)載信息收集間隙）、Number of replicas（返回給客戶端的適配器個(gè)數(shù)）。

2 基于三層架構(gòu)的校園網(wǎng)身份認(rèn)證模型

2.1 統(tǒng)一身份認(rèn)證集成中存在的突出問(wèn)題

目前，統(tǒng)一身份認(rèn)證主要有網(wǎng)關(guān)模型、代理模型、經(jīng)紀(jì)人模型等三種模型。網(wǎng)關(guān)模型中所有的應(yīng)用系統(tǒng)都放在認(rèn)證系統(tǒng)之后，雖然提高了應(yīng)用系統(tǒng)的安全性，但也導(dǎo)致部分對(duì)用戶權(quán)限要求并不高的應(yīng)用系統(tǒng)不能很好地被用戶訪問(wèn)，比較典型的如各高校專門(mén)為學(xué)生下載視頻資源搭建的FTP應(yīng)用。因此網(wǎng)關(guān)模型對(duì)用戶訪問(wèn)應(yīng)用系統(tǒng)資源具有一定的制約性。代理模型是用戶通過(guò)代理服務(wù)器訪問(wèn)不同的應(yīng)用系統(tǒng)，用戶的訪問(wèn)權(quán)限由代理服務(wù)器控制，但用戶的登陸信息在本地存儲(chǔ)，存在信息泄露的危險(xiǎn)。經(jīng)紀(jì)人模型不存在前兩種模型的缺點(diǎn)，但需要生成電子身份標(biāo)識(shí)，認(rèn)證開(kāi)銷(xiāo)比較大，對(duì)認(rèn)證服務(wù)器性能要求較高。

2.2 “三層架構(gòu)”統(tǒng)一身份認(rèn)證模型的提出

本文結(jié)合某高職院校網(wǎng)絡(luò)實(shí)際，提出了一種基于“應(yīng)用層、服務(wù)層、數(shù)據(jù)層”的三層統(tǒng)一身份認(rèn)證模式，該模式結(jié)合了LDAP、Kerberosy認(rèn)證、ICE中間件三種身份認(rèn)證技術(shù)。具體模型結(jié)構(gòu)如圖1所示。

應(yīng)用層主要是用戶（Client）端向應(yīng)用服務(wù)器（Service）發(fā)出訪問(wèn)請(qǐng)求，應(yīng)用服務(wù)器在收到后，將用戶身份信息，通過(guò)中間件認(rèn)證接口發(fā)送到認(rèn)證服務(wù)器層，認(rèn)證服務(wù)層采用Kerberosy認(rèn)證，驗(yàn)證通過(guò)的用戶可獲得數(shù)據(jù)資源訪問(wèn)授權(quán)，通過(guò)LDAP技術(shù)，實(shí)現(xiàn)用戶要訪問(wèn)的數(shù)據(jù)資源目錄與LDAP目錄同步，減少用戶資源訪問(wèn)等待時(shí)間。三層架構(gòu)的優(yōu)點(diǎn)顯而易見(jiàn)，將認(rèn)服服務(wù)器與應(yīng)用服務(wù)器分開(kāi)，用戶不再直接訪問(wèn)認(rèn)證服務(wù)器，減輕了認(rèn)證服務(wù)器的壓力；LADP同步技術(shù)提高了數(shù)據(jù)訪問(wèn)效率，提升了用戶體驗(yàn)；三層架構(gòu)更容易配置。

3 結(jié)語(yǔ)

本文主要結(jié)合某高職院校校園網(wǎng)身份認(rèn)證的需求，介紹了統(tǒng)一身份身份認(rèn)證的相關(guān)技術(shù)，提出了一種基于三層架構(gòu)的統(tǒng)一身份認(rèn)證技術(shù)，包括應(yīng)用層、服務(wù)層、數(shù)據(jù)層，具有邏輯結(jié)構(gòu)清晰、訪問(wèn)效率高、配置方便的明顯優(yōu)點(diǎn)。通過(guò)在某高職院校校園網(wǎng)統(tǒng)統(tǒng)一身份認(rèn)證的應(yīng)用，師生反映校園網(wǎng)登陸等待時(shí)間減少，資源訪問(wèn)更加高效，證實(shí)該方案對(duì)高職院校校園網(wǎng)統(tǒng)一身份證具有重要的參考意義。

參考文獻(xiàn)

[1]周蘇，王文.高職院校數(shù)字化校園的規(guī)劃及其網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)[J].信息化建設(shè)，2015.

[2]張志鋒.淺議高職院校校園網(wǎng)絡(luò)的設(shè)計(jì)與開(kāi)發(fā)[J].數(shù)字技術(shù)與應(yīng)用，2014.

[3]黃誠(chéng).淺析高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與研究[J].魅力中國(guó)，2016.