亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        高校統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

        2022-03-23 13:20:32郭俊
        中國(guó)新通信 2022年2期
        關(guān)鍵詞:身份認(rèn)證

        【摘要】? ? 隨著信息化的普及,高校已從數(shù)字化逐漸向智慧化轉(zhuǎn)變。人員的身份數(shù)據(jù)是高校信息發(fā)展中最重要的一環(huán),如果人員信息管理不當(dāng),容易出現(xiàn)校園信息管理的混亂甚至帶來(lái)信息安全隱患。因此,需要一個(gè)便捷安全的身份認(rèn)證平臺(tái),來(lái)規(guī)范高校的人員管理,并對(duì)校內(nèi)各應(yīng)用系統(tǒng)進(jìn)行整合。該方案作為校級(jí)公共平臺(tái)牢固信息發(fā)展的數(shù)據(jù)底座,對(duì)上層應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證服務(wù)。

        【關(guān)鍵詞】? ? 身份認(rèn)證? ? 身份管理? ? 認(rèn)證管理? ? 多因素認(rèn)證

        引言:

        近年來(lái)隨著互聯(lián)網(wǎng)的飛速發(fā)展,我國(guó)在不斷提升對(duì)網(wǎng)絡(luò)信息安全的重視。高校的網(wǎng)絡(luò)建設(shè)給校內(nèi)師生提供了便捷高效的移動(dòng)化辦公和智能化教學(xué),給校園生活添加色彩的同時(shí),來(lái)自校內(nèi)校外的危險(xiǎn)也不容忽視,稍有不慎黑客、木馬就會(huì)威脅到網(wǎng)絡(luò)的安全性[1]。其中,師生個(gè)人身份信息的安全問(wèn)題尤為突出。部分網(wǎng)絡(luò)用戶(hù)在網(wǎng)絡(luò)訪問(wèn)時(shí)缺乏隱私保護(hù)意識(shí),將敏感信息暴露在互聯(lián)網(wǎng)上,導(dǎo)致個(gè)人信息泄露,嚴(yán)重威脅到師生的個(gè)人財(cái)產(chǎn)安全[2]。與此同時(shí),形形色色應(yīng)用系統(tǒng)的出現(xiàn),記憶諸多用戶(hù)名密碼信息給師生帶來(lái)困擾。因此,建設(shè)一個(gè)統(tǒng)一的身份認(rèn)證入口,打好高校未來(lái)信息化發(fā)展的基礎(chǔ)勢(shì)在必行。

        一、業(yè)務(wù)功能設(shè)計(jì)

        平臺(tái)整體架構(gòu)設(shè)計(jì)如下圖1所示:

        1.身份數(shù)據(jù)源。身份信息是高校信息化發(fā)展的基礎(chǔ)。用戶(hù)數(shù)據(jù)與數(shù)據(jù)中心同步,實(shí)現(xiàn)一數(shù)一源,保障身份數(shù)據(jù)的統(tǒng)一性、權(quán)威性、規(guī)范性,降低了身份數(shù)據(jù)維護(hù)的復(fù)雜度,所有應(yīng)用系統(tǒng)只需維護(hù)一套身份數(shù)據(jù)。

        2.業(yè)務(wù)系統(tǒng)。支持各種接入?yún)f(xié)議,既能兼容老舊系統(tǒng),又符合當(dāng)前網(wǎng)絡(luò)發(fā)展的趨勢(shì),為應(yīng)用系統(tǒng)提供豐富的選擇。接口接入、協(xié)議接入等多種方式以滿(mǎn)足可擴(kuò)展性。訪問(wèn)策略的管理,能夠從源頭進(jìn)行安全管控,提供追蹤審計(jì)。

        3.用戶(hù)。根據(jù)需求的差異,滿(mǎn)足系統(tǒng)管理員、教職工、學(xué)生等各方的需要。

        4.認(rèn)證。滿(mǎn)足當(dāng)前師生的訴求,支持手機(jī)驗(yàn)證碼、掃碼登錄等,以減少密碼記憶的困擾。兼容傳統(tǒng)的用戶(hù)名密碼以及當(dāng)前主流的微信、釘釘?shù)确绞健T黾用艽a找回、解凍申請(qǐng)等渠道,滿(mǎn)足多樣化需求。

        (一)數(shù)據(jù)同步

        伴隨時(shí)代的發(fā)展,教育信息化也在持續(xù)推進(jìn),數(shù)據(jù)中心的建設(shè)已然被各高校視為重點(diǎn)項(xiàng)目,它將校園管理、科研發(fā)展、教育教學(xué)集成到一起,擔(dān)負(fù)起數(shù)據(jù)的采集、匯總、管理、服務(wù)等服務(wù),將校園內(nèi)各信息系統(tǒng)數(shù)據(jù)信息集中式存儲(chǔ),并在此基礎(chǔ)上進(jìn)行共享和交換[3]。數(shù)據(jù)才是智慧校園數(shù)字化建設(shè)的本質(zhì),數(shù)據(jù)質(zhì)量情況的好壞,直接影響到學(xué)校數(shù)字化建設(shè)以及后續(xù)的發(fā)展[4]。

        身份數(shù)據(jù)是數(shù)據(jù)中心的核心數(shù)據(jù),身份數(shù)據(jù)的質(zhì)量關(guān)系到應(yīng)用系統(tǒng)的使用。將身份數(shù)據(jù)納入統(tǒng)一身份認(rèn)證平臺(tái),一定程度上降低了業(yè)務(wù)系統(tǒng)建設(shè)的復(fù)雜性。需要使用自動(dòng)同步、手動(dòng)同步等多種方式保障數(shù)據(jù)中心與同統(tǒng)一身份認(rèn)證系統(tǒng)身份數(shù)據(jù)同步的及時(shí)性與安全性。

        (二)應(yīng)用支撐

        OneID完美解決了用戶(hù)對(duì)身份管理的需求,統(tǒng)一身份認(rèn)證系統(tǒng)是OneID的具體實(shí)現(xiàn)。該系統(tǒng)在提供身份鑒別的同時(shí)也完成了權(quán)限管控,用戶(hù)在該數(shù)字化模式的工作體系下,一處登錄即可實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)的訪問(wèn),這也是統(tǒng)一身份認(rèn)證系統(tǒng)的意義所在[5]。順應(yīng)了師生對(duì)身份認(rèn)證的需求,提升了師生的上網(wǎng)體驗(yàn)。對(duì)高校內(nèi)部的應(yīng)用系統(tǒng)進(jìn)行了整合,規(guī)范了各系統(tǒng)的用戶(hù)管理,支撐了高質(zhì)量的應(yīng)用系統(tǒng)建設(shè)。不僅可以實(shí)現(xiàn)用戶(hù)認(rèn)證的統(tǒng)一管理,而且能夠?qū)⒏鱾€(gè)應(yīng)用系統(tǒng)的認(rèn)證進(jìn)行統(tǒng)一管理,實(shí)現(xiàn)了校內(nèi)信息資源的整合。同時(shí),可以基于風(fēng)險(xiǎn)的認(rèn)證機(jī)制,能實(shí)現(xiàn)訪問(wèn)時(shí)間段、訪問(wèn)地址、用戶(hù)以及行為等動(dòng)態(tài)認(rèn)證,進(jìn)而實(shí)現(xiàn)風(fēng)險(xiǎn)與靈活性的平衡,為高校信息安全保駕護(hù)航。

        (三)單點(diǎn)協(xié)議

        考慮到高校發(fā)展過(guò)程中遺留的老舊系統(tǒng),但是也需要適應(yīng)信息化未來(lái)發(fā)展的方向,統(tǒng)一身份認(rèn)證系統(tǒng)除支持 OAuth2.0、CAS 協(xié)議之外,也支持 SAML、表單提交、簡(jiǎn)單代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各種單點(diǎn)登錄協(xié)議。一方面,可以覆蓋到B/S、C/S模式的應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限管理,另一方面,也可以覆蓋到主機(jī)訪問(wèn)權(quán)限、網(wǎng)絡(luò)訪問(wèn)權(quán)限(包括上網(wǎng)行為認(rèn)證、VPN使用、計(jì)費(fèi)認(rèn)證等)、數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。

        (四)多因素認(rèn)證

        隨著業(yè)務(wù)的發(fā)展,高校應(yīng)用系統(tǒng)越來(lái)越多,種類(lèi)也越來(lái)越復(fù)雜。因此,統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)當(dāng)充分考慮到實(shí)際需要,提供多種類(lèi)別的認(rèn)證方式,在兼容原有基于靜態(tài)口令的認(rèn)證方式的同時(shí),還需要提供雙因子模式下的高強(qiáng)度認(rèn)證,也需要集成指紋等基于生物特征的新型認(rèn)證方式(如對(duì)財(cái)務(wù)系統(tǒng)可開(kāi)啟基于口令疊加生物信息的多次認(rèn)證)。用戶(hù)可根據(jù)自身需要進(jìn)行個(gè)性化選擇,應(yīng)用系統(tǒng)也可以根據(jù)項(xiàng)目特性選擇認(rèn)證強(qiáng)度,對(duì)于安全性要求高的應(yīng)用系統(tǒng)可基于認(rèn)證鏈進(jìn)行多層級(jí)認(rèn)證。進(jìn)而實(shí)現(xiàn)用戶(hù)認(rèn)證的統(tǒng)一管理,為用戶(hù)提供統(tǒng)一的認(rèn)證門(mén)戶(hù),實(shí)現(xiàn)單點(diǎn)登錄方式快捷訪問(wèn)校內(nèi)的各類(lèi)信息資源。

        (五)身份周期管理

        對(duì)教職工、學(xué)生進(jìn)行完整的身份周期管理。管理教職工的入職、調(diào)崗、兼職、退休、返聘、離職等狀態(tài),對(duì)學(xué)生的在校狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,包括:在校、休學(xué)、病退、離校等狀態(tài)。實(shí)現(xiàn)全生命周期閉環(huán)管理,用戶(hù)賬號(hào)可自動(dòng)開(kāi)通、變更和收回,同時(shí)對(duì)下游應(yīng)用系統(tǒng)提供用戶(hù)主數(shù)據(jù)供給。通過(guò)為用戶(hù)提供自助式的密碼找回、賬號(hào)激活,可通過(guò)手機(jī)、郵箱、微信等方式進(jìn)行密碼找回,減少對(duì)人工客服的需求。師生的狀態(tài)發(fā)生變動(dòng)時(shí),只需同步數(shù)據(jù)中心人員狀態(tài)相關(guān)數(shù)據(jù),就能實(shí)現(xiàn)快速響應(yīng),及時(shí)將變化的信息傳遞給各應(yīng)用系統(tǒng),方便師生的管理。

        二、技術(shù)實(shí)現(xiàn)

        (一)Oauth

        利用 OAuth2.0 授權(quán)協(xié)議原理,實(shí)現(xiàn)在統(tǒng)一用戶(hù)管理平臺(tái)中以 OAuth 協(xié)議的方式與應(yīng)用系統(tǒng)之間的單點(diǎn)登錄功能。

        OAuth訪問(wèn)流程:

        1.用戶(hù)訪問(wèn)客戶(hù)端時(shí),客戶(hù)端要求用戶(hù)進(jìn)行授權(quán)。

        2.用戶(hù)點(diǎn)擊同意操作后,授權(quán)客戶(hù)端。

        3.客戶(hù)端獲取到授權(quán)后,將授權(quán)信息提交給認(rèn)證服務(wù)器進(jìn)行令牌的申請(qǐng)。

        4.認(rèn)證服務(wù)器解析信息后對(duì)客戶(hù)端完成認(rèn)證后,驗(yàn)證通過(guò),進(jìn)行令牌發(fā)放。

        5.客戶(hù)端獲取到令牌后,向資源服務(wù)器發(fā)送獲取資源的申請(qǐng)。

        6.資源服務(wù)器對(duì)令牌信息進(jìn)行確認(rèn)后,將對(duì)應(yīng)的資源開(kāi)放給客戶(hù)端。

        (二)以CAS做為SSO的基本實(shí)現(xiàn)

        SSO訪問(wèn)控制流程:

        1.服務(wù)訪問(wèn):客戶(hù)端請(qǐng)求對(duì)應(yīng)用系統(tǒng)相應(yīng)服務(wù)資源的訪問(wèn)。

        2.定向認(rèn)證:客戶(hù)端將用戶(hù)的請(qǐng)求重定向到服務(wù)器端。

        3.用戶(hù)認(rèn)證:進(jìn)行用戶(hù)的身份信息認(rèn)證。

        4.票據(jù)發(fā)放:服務(wù)器端隨機(jī)生成唯一的Service Ticket。

        5.票據(jù)驗(yàn)證:服務(wù)器端對(duì)接收到的Service Ticket進(jìn)行票據(jù)合法性驗(yàn)證,通過(guò)后,授權(quán)客戶(hù)端對(duì)服務(wù)資源的訪問(wèn)。

        6.用戶(hù)信息傳輸:服務(wù)器端驗(yàn)證票據(jù)正常,將用戶(hù)的票據(jù)認(rèn)證結(jié)果傳輸給客戶(hù)端。

        在該協(xié)議中,所有與CAS的交互均采用安全套接層(Secure Sockets Layer,SSL)協(xié)議,確保Ticket的安全性。其中,CAS 客戶(hù)端與服務(wù)器端二者間基于票據(jù)的交互和驗(yàn)證過(guò)程對(duì)使用者而言是透明的。

        (三)安全機(jī)制

        1. Kerberos認(rèn)證模型。采用認(rèn)證、SSO、開(kāi)放授權(quán)協(xié)議,符合公認(rèn)的Kerberos模型。

        2. IP地址訪問(wèn)控制。提供強(qiáng)大靈活的基于IP地址的訪問(wèn)控制,根據(jù)實(shí)時(shí)需求對(duì)IP限制規(guī)則進(jìn)行靈活配置,從而對(duì)非法用戶(hù)的訪問(wèn)進(jìn)行管控,保護(hù)內(nèi)部敏感信息。

        3.口令猜測(cè)鎖定。提供口令猜測(cè)鎖定功能,用戶(hù)連續(xù)3次輸入口令錯(cuò)誤,系統(tǒng)將自動(dòng)鎖定該IP地址,一段時(shí)間內(nèi)不允許再登錄。

        4.密碼加密。對(duì)用戶(hù)密碼采取加密存儲(chǔ)策略。

        (四)搭建集群

        通過(guò)微服務(wù)架構(gòu),采用分布式部署,如下圖4所示:

        1.負(fù)載均衡:采用基于軟件的nginx技術(shù)進(jìn)行請(qǐng)求分發(fā)。2.緩存:使用memcached或者redis進(jìn)行數(shù)據(jù)緩存,緩解數(shù)據(jù)庫(kù)壓力。3.數(shù)據(jù)庫(kù):使用關(guān)系型數(shù)據(jù)庫(kù),進(jìn)行雙機(jī)熱備,同時(shí)進(jìn)行異地災(zāi)備。

        三、結(jié)束語(yǔ)

        本文建設(shè)的統(tǒng)一身份認(rèn)證平臺(tái),是高校背景下的校級(jí)公共平臺(tái),以人員身份數(shù)據(jù)為樞紐打通了從底層數(shù)據(jù)中心到上層應(yīng)用系統(tǒng)的通道。平臺(tái)迎合了師生的對(duì)于信息系統(tǒng)易用性的需求,及時(shí)把握住了高校信息化的發(fā)展方向,使得高校的信息化建設(shè)更加安全、高效。系統(tǒng)提供的多因素認(rèn)證的功能,滿(mǎn)足了各應(yīng)用系統(tǒng)的對(duì)接需要。全方位的安全控制,也保護(hù)了師生的信息安全,避免個(gè)人隱私數(shù)據(jù)泄露,捍衛(wèi)了高校的網(wǎng)絡(luò)信息安全。

        作者單位:郭俊? ? 武漢工程大學(xué)網(wǎng)絡(luò)信息中心

        參? 考? 文? 獻(xiàn)

        [1]李偉強(qiáng).論高校校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀問(wèn)題[J].現(xiàn)代商貿(mào)工業(yè).2012(3):240-241.

        [2]王燕.網(wǎng)絡(luò)信息安全保護(hù)措施[J].造紙裝備及材料.2021(4):71-73.

        [3]王曉震,金培莉,陳瑛,宮旭,李海龍.高校數(shù)據(jù)中心數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對(duì)策研究[J].北京聯(lián)合大學(xué)學(xué)報(bào).2021(3):53-59.

        [4]李超.智慧校園背景下高校數(shù)據(jù)中心研究與實(shí)踐——以浙江師范大學(xué)為例[J].現(xiàn)代信息科技.2021(8):195-198.

        [5]陳胤梁,江峰,王莉.淺談基于用戶(hù)體驗(yàn)的校園統(tǒng)一身份認(rèn)證系統(tǒng)優(yōu)化.電腦知識(shí)與技術(shù):學(xué)術(shù)版. 2021(9):68-70

        猜你喜歡
        身份認(rèn)證
        基于標(biāo)識(shí)的動(dòng)態(tài)口令系統(tǒng)
        軟件(2016年6期)2017-02-06 23:54:28
        云電子身份管理與認(rèn)證系統(tǒng)中的關(guān)鍵技術(shù)優(yōu)化改進(jìn)
        校園網(wǎng)云盤(pán)系統(tǒng)存在的安全問(wèn)題及對(duì)策
        基于指紋身份認(rèn)證的固定通信臺(tái)站干部跟班管理系統(tǒng)設(shè)計(jì)
        基于PKI與基于IBC的認(rèn)證技術(shù)比較
        基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的研究
        信息系統(tǒng)身份認(rèn)證的分析與研究
        Kerberos身份認(rèn)證協(xié)議的改進(jìn)
        科技視界(2016年11期)2016-05-23 08:31:38
        基于USB存儲(chǔ)設(shè)備的透明監(jiān)控系統(tǒng)
        科技視界(2016年9期)2016-04-26 12:25:25
        基于鼠標(biāo)行為的電子商務(wù)中用戶(hù)異常行為檢測(cè)
        久久99亚洲精品久久久久| 国产成社区在线视频观看| 成人全视频在线观看免费播放| 成人久久久精品乱码一区二区三区| 精品国产中文久久久免费| 97青草超碰久久国内精品91| 国产精品无码av无码| 专干老肥熟女视频网站300部| 军人粗大的内捧猛烈进出视频| 国产中文aⅴ在线| 日韩av一区二区在线观看| 国产精品日韩av一区二区| 丰满人妻猛进入中文字幕| 久久久久人妻一区二区三区| 亚洲啪啪综合av一区| 在线视频制服丝袜中文字幕| 黑丝美女喷水在线观看| 中文字幕日韩精品永久在线| 国产中文三级全黄| 国产精品久久久久电影网| 日本中文字幕一区二区高清在线| 亚洲中文字幕诱惑第一页| 熟女免费视频一区二区| 国产一区二区三区日韩精品| 久久久久久人妻毛片a片| 日本视频一区二区三区免费观看 | 日韩一区二区不卡av| 射进去av一区二区三区| 超碰97人人射妻| 欧美人与动牲猛交xxxxbbbb| 国产精品一区二区电影| 亚洲传媒av一区二区三区| 国产交换精品一区二区三区| 一边摸一边抽搐一进一出口述| 真人做爰片免费观看播放| 欧美 日韩 国产 成人 在线观看| 亚洲AV成人无码国产一区二区| 一区二区三区视频免费观看在线| 久久99精品久久久久久琪琪| 男人边吃奶边做好爽免费视频 | 狼人伊人影院在线观看国产|