【摘要】? ? 隨著信息化的普及，高校已從數(shù)字化逐漸向智慧化轉(zhuǎn)變。人員的身份數(shù)據(jù)是高校信息發(fā)展中最重要的一環(huán)，如果人員信息管理不當(dāng)，容易出現(xiàn)校園信息管理的混亂甚至帶來(lái)信息安全隱患。因此，需要一個(gè)便捷安全的身份認(rèn)證平臺(tái)，來(lái)規(guī)范高校的人員管理，并對(duì)校內(nèi)各應(yīng)用系統(tǒng)進(jìn)行整合。該方案作為校級(jí)公共平臺(tái)牢固信息發(fā)展的數(shù)據(jù)底座，對(duì)上層應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證服務(wù)。

【關(guān)鍵詞】? ? 身份認(rèn)證? ? 身份管理? ? 認(rèn)證管理? ? 多因素認(rèn)證

引言：

近年來(lái)隨著互聯(lián)網(wǎng)的飛速發(fā)展，我國(guó)在不斷提升對(duì)網(wǎng)絡(luò)信息安全的重視。高校的網(wǎng)絡(luò)建設(shè)給校內(nèi)師生提供了便捷高效的移動(dòng)化辦公和智能化教學(xué)，給校園生活添加色彩的同時(shí)，來(lái)自校內(nèi)校外的危險(xiǎn)也不容忽視，稍有不慎黑客、木馬就會(huì)威脅到網(wǎng)絡(luò)的安全性[1]。其中，師生個(gè)人身份信息的安全問(wèn)題尤為突出。部分網(wǎng)絡(luò)用戶(hù)在網(wǎng)絡(luò)訪問(wèn)時(shí)缺乏隱私保護(hù)意識(shí)，將敏感信息暴露在互聯(lián)網(wǎng)上，導(dǎo)致個(gè)人信息泄露，嚴(yán)重威脅到師生的個(gè)人財(cái)產(chǎn)安全[2]。與此同時(shí)，形形色色應(yīng)用系統(tǒng)的出現(xiàn)，記憶諸多用戶(hù)名密碼信息給師生帶來(lái)困擾。因此，建設(shè)一個(gè)統(tǒng)一的身份認(rèn)證入口，打好高校未來(lái)信息化發(fā)展的基礎(chǔ)勢(shì)在必行。

一、業(yè)務(wù)功能設(shè)計(jì)

平臺(tái)整體架構(gòu)設(shè)計(jì)如下圖1所示：

1.身份數(shù)據(jù)源。身份信息是高校信息化發(fā)展的基礎(chǔ)。用戶(hù)數(shù)據(jù)與數(shù)據(jù)中心同步，實(shí)現(xiàn)一數(shù)一源，保障身份數(shù)據(jù)的統(tǒng)一性、權(quán)威性、規(guī)范性，降低了身份數(shù)據(jù)維護(hù)的復(fù)雜度，所有應(yīng)用系統(tǒng)只需維護(hù)一套身份數(shù)據(jù)。

2.業(yè)務(wù)系統(tǒng)。支持各種接入?yún)f(xié)議，既能兼容老舊系統(tǒng)，又符合當(dāng)前網(wǎng)絡(luò)發(fā)展的趨勢(shì)，為應(yīng)用系統(tǒng)提供豐富的選擇。接口接入、協(xié)議接入等多種方式以滿(mǎn)足可擴(kuò)展性。訪問(wèn)策略的管理，能夠從源頭進(jìn)行安全管控，提供追蹤審計(jì)。

3.用戶(hù)。根據(jù)需求的差異，滿(mǎn)足系統(tǒng)管理員、教職工、學(xué)生等各方的需要。

4.認(rèn)證。滿(mǎn)足當(dāng)前師生的訴求，支持手機(jī)驗(yàn)證碼、掃碼登錄等，以減少密碼記憶的困擾。兼容傳統(tǒng)的用戶(hù)名密碼以及當(dāng)前主流的微信、釘釘?shù)确绞健Ｔ黾用艽a找回、解凍申請(qǐng)等渠道，滿(mǎn)足多樣化需求。

（一）數(shù)據(jù)同步

伴隨時(shí)代的發(fā)展，教育信息化也在持續(xù)推進(jìn)，數(shù)據(jù)中心的建設(shè)已然被各高校視為重點(diǎn)項(xiàng)目，它將校園管理、科研發(fā)展、教育教學(xué)集成到一起，擔(dān)負(fù)起數(shù)據(jù)的采集、匯總、管理、服務(wù)等服務(wù)，將校園內(nèi)各信息系統(tǒng)數(shù)據(jù)信息集中式存儲(chǔ)，并在此基礎(chǔ)上進(jìn)行共享和交換[3]。數(shù)據(jù)才是智慧校園數(shù)字化建設(shè)的本質(zhì)，數(shù)據(jù)質(zhì)量情況的好壞，直接影響到學(xué)校數(shù)字化建設(shè)以及后續(xù)的發(fā)展[4]。

身份數(shù)據(jù)是數(shù)據(jù)中心的核心數(shù)據(jù)，身份數(shù)據(jù)的質(zhì)量關(guān)系到應(yīng)用系統(tǒng)的使用。將身份數(shù)據(jù)納入統(tǒng)一身份認(rèn)證平臺(tái)，一定程度上降低了業(yè)務(wù)系統(tǒng)建設(shè)的復(fù)雜性。需要使用自動(dòng)同步、手動(dòng)同步等多種方式保障數(shù)據(jù)中心與同統(tǒng)一身份認(rèn)證系統(tǒng)身份數(shù)據(jù)同步的及時(shí)性與安全性。

（二）應(yīng)用支撐

OneID完美解決了用戶(hù)對(duì)身份管理的需求，統(tǒng)一身份認(rèn)證系統(tǒng)是OneID的具體實(shí)現(xiàn)。該系統(tǒng)在提供身份鑒別的同時(shí)也完成了權(quán)限管控，用戶(hù)在該數(shù)字化模式的工作體系下，一處登錄即可實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)的訪問(wèn)，這也是統(tǒng)一身份認(rèn)證系統(tǒng)的意義所在[5]。順應(yīng)了師生對(duì)身份認(rèn)證的需求，提升了師生的上網(wǎng)體驗(yàn)。對(duì)高校內(nèi)部的應(yīng)用系統(tǒng)進(jìn)行了整合，規(guī)范了各系統(tǒng)的用戶(hù)管理，支撐了高質(zhì)量的應(yīng)用系統(tǒng)建設(shè)。不僅可以實(shí)現(xiàn)用戶(hù)認(rèn)證的統(tǒng)一管理，而且能夠?qū)⒏鱾€(gè)應(yīng)用系統(tǒng)的認(rèn)證進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)了校內(nèi)信息資源的整合。同時(shí)，可以基于風(fēng)險(xiǎn)的認(rèn)證機(jī)制，能實(shí)現(xiàn)訪問(wèn)時(shí)間段、訪問(wèn)地址、用戶(hù)以及行為等動(dòng)態(tài)認(rèn)證，進(jìn)而實(shí)現(xiàn)風(fēng)險(xiǎn)與靈活性的平衡，為高校信息安全保駕護(hù)航。

（三）單點(diǎn)協(xié)議

考慮到高校發(fā)展過(guò)程中遺留的老舊系統(tǒng)，但是也需要適應(yīng)信息化未來(lái)發(fā)展的方向，統(tǒng)一身份認(rèn)證系統(tǒng)除支持 OAuth2.0、CAS 協(xié)議之外，也支持 SAML、表單提交、簡(jiǎn)單代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各種單點(diǎn)登錄協(xié)議。一方面，可以覆蓋到B/S、C/S模式的應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限管理，另一方面，也可以覆蓋到主機(jī)訪問(wèn)權(quán)限、網(wǎng)絡(luò)訪問(wèn)權(quán)限（包括上網(wǎng)行為認(rèn)證、VPN使用、計(jì)費(fèi)認(rèn)證等）、數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。

（四）多因素認(rèn)證

隨著業(yè)務(wù)的發(fā)展，高校應(yīng)用系統(tǒng)越來(lái)越多，種類(lèi)也越來(lái)越復(fù)雜。因此，統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)當(dāng)充分考慮到實(shí)際需要，提供多種類(lèi)別的認(rèn)證方式，在兼容原有基于靜態(tài)口令的認(rèn)證方式的同時(shí)，還需要提供雙因子模式下的高強(qiáng)度認(rèn)證，也需要集成指紋等基于生物特征的新型認(rèn)證方式（如對(duì)財(cái)務(wù)系統(tǒng)可開(kāi)啟基于口令疊加生物信息的多次認(rèn)證）。用戶(hù)可根據(jù)自身需要進(jìn)行個(gè)性化選擇，應(yīng)用系統(tǒng)也可以根據(jù)項(xiàng)目特性選擇認(rèn)證強(qiáng)度，對(duì)于安全性要求高的應(yīng)用系統(tǒng)可基于認(rèn)證鏈進(jìn)行多層級(jí)認(rèn)證。進(jìn)而實(shí)現(xiàn)用戶(hù)認(rèn)證的統(tǒng)一管理，為用戶(hù)提供統(tǒng)一的認(rèn)證門(mén)戶(hù)，實(shí)現(xiàn)單點(diǎn)登錄方式快捷訪問(wèn)校內(nèi)的各類(lèi)信息資源。

（五）身份周期管理

對(duì)教職工、學(xué)生進(jìn)行完整的身份周期管理。管理教職工的入職、調(diào)崗、兼職、退休、返聘、離職等狀態(tài)，對(duì)學(xué)生的在校狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，包括：在校、休學(xué)、病退、離校等狀態(tài)。實(shí)現(xiàn)全生命周期閉環(huán)管理，用戶(hù)賬號(hào)可自動(dòng)開(kāi)通、變更和收回，同時(shí)對(duì)下游應(yīng)用系統(tǒng)提供用戶(hù)主數(shù)據(jù)供給。通過(guò)為用戶(hù)提供自助式的密碼找回、賬號(hào)激活，可通過(guò)手機(jī)、郵箱、微信等方式進(jìn)行密碼找回，減少對(duì)人工客服的需求。師生的狀態(tài)發(fā)生變動(dòng)時(shí)，只需同步數(shù)據(jù)中心人員狀態(tài)相關(guān)數(shù)據(jù)，就能實(shí)現(xiàn)快速響應(yīng)，及時(shí)將變化的信息傳遞給各應(yīng)用系統(tǒng)，方便師生的管理。

二、技術(shù)實(shí)現(xiàn)

（一）Oauth

利用 OAuth2.0 授權(quán)協(xié)議原理，實(shí)現(xiàn)在統(tǒng)一用戶(hù)管理平臺(tái)中以 OAuth 協(xié)議的方式與應(yīng)用系統(tǒng)之間的單點(diǎn)登錄功能。

OAuth訪問(wèn)流程：

1.用戶(hù)訪問(wèn)客戶(hù)端時(shí)，客戶(hù)端要求用戶(hù)進(jìn)行授權(quán)。

2.用戶(hù)點(diǎn)擊同意操作后，授權(quán)客戶(hù)端。

3.客戶(hù)端獲取到授權(quán)后，將授權(quán)信息提交給認(rèn)證服務(wù)器進(jìn)行令牌的申請(qǐng)。

4.認(rèn)證服務(wù)器解析信息后對(duì)客戶(hù)端完成認(rèn)證后，驗(yàn)證通過(guò)，進(jìn)行令牌發(fā)放。

5.客戶(hù)端獲取到令牌后，向資源服務(wù)器發(fā)送獲取資源的申請(qǐng)。

6.資源服務(wù)器對(duì)令牌信息進(jìn)行確認(rèn)后，將對(duì)應(yīng)的資源開(kāi)放給客戶(hù)端。

（二）以CAS做為SSO的基本實(shí)現(xiàn)

SSO訪問(wèn)控制流程：

1.服務(wù)訪問(wèn)：客戶(hù)端請(qǐng)求對(duì)應(yīng)用系統(tǒng)相應(yīng)服務(wù)資源的訪問(wèn)。

2.定向認(rèn)證：客戶(hù)端將用戶(hù)的請(qǐng)求重定向到服務(wù)器端。

3.用戶(hù)認(rèn)證：進(jìn)行用戶(hù)的身份信息認(rèn)證。

4.票據(jù)發(fā)放：服務(wù)器端隨機(jī)生成唯一的Service Ticket。

5.票據(jù)驗(yàn)證：服務(wù)器端對(duì)接收到的Service Ticket進(jìn)行票據(jù)合法性驗(yàn)證，通過(guò)后，授權(quán)客戶(hù)端對(duì)服務(wù)資源的訪問(wèn)。

6.用戶(hù)信息傳輸：服務(wù)器端驗(yàn)證票據(jù)正常，將用戶(hù)的票據(jù)認(rèn)證結(jié)果傳輸給客戶(hù)端。

在該協(xié)議中，所有與CAS的交互均采用安全套接層（Secure Sockets Layer，SSL）協(xié)議，確保Ticket的安全性。其中，CAS 客戶(hù)端與服務(wù)器端二者間基于票據(jù)的交互和驗(yàn)證過(guò)程對(duì)使用者而言是透明的。

（三）安全機(jī)制

1. Kerberos認(rèn)證模型。采用認(rèn)證、SSO、開(kāi)放授權(quán)協(xié)議，符合公認(rèn)的Kerberos模型。

2. IP地址訪問(wèn)控制。提供強(qiáng)大靈活的基于IP地址的訪問(wèn)控制，根據(jù)實(shí)時(shí)需求對(duì)IP限制規(guī)則進(jìn)行靈活配置，從而對(duì)非法用戶(hù)的訪問(wèn)進(jìn)行管控，保護(hù)內(nèi)部敏感信息。

3.口令猜測(cè)鎖定。提供口令猜測(cè)鎖定功能，用戶(hù)連續(xù)3次輸入口令錯(cuò)誤，系統(tǒng)將自動(dòng)鎖定該IP地址，一段時(shí)間內(nèi)不允許再登錄。

4.密碼加密。對(duì)用戶(hù)密碼采取加密存儲(chǔ)策略。

（四）搭建集群

通過(guò)微服務(wù)架構(gòu)，采用分布式部署，如下圖4所示：

1.負(fù)載均衡：采用基于軟件的nginx技術(shù)進(jìn)行請(qǐng)求分發(fā)。2.緩存：使用memcached或者redis進(jìn)行數(shù)據(jù)緩存，緩解數(shù)據(jù)庫(kù)壓力。3.數(shù)據(jù)庫(kù)：使用關(guān)系型數(shù)據(jù)庫(kù)，進(jìn)行雙機(jī)熱備，同時(shí)進(jìn)行異地災(zāi)備。

三、結(jié)束語(yǔ)

本文建設(shè)的統(tǒng)一身份認(rèn)證平臺(tái)，是高校背景下的校級(jí)公共平臺(tái)，以人員身份數(shù)據(jù)為樞紐打通了從底層數(shù)據(jù)中心到上層應(yīng)用系統(tǒng)的通道。平臺(tái)迎合了師生的對(duì)于信息系統(tǒng)易用性的需求，及時(shí)把握住了高校信息化的發(fā)展方向，使得高校的信息化建設(shè)更加安全、高效。系統(tǒng)提供的多因素認(rèn)證的功能，滿(mǎn)足了各應(yīng)用系統(tǒng)的對(duì)接需要。全方位的安全控制，也保護(hù)了師生的信息安全，避免個(gè)人隱私數(shù)據(jù)泄露，捍衛(wèi)了高校的網(wǎng)絡(luò)信息安全。

作者單位：郭俊? ? 武漢工程大學(xué)網(wǎng)絡(luò)信息中心

參? 考? 文? 獻(xiàn)

[1]李偉強(qiáng).論高校校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀問(wèn)題[J].現(xiàn)代商貿(mào)工業(yè).2012（3）：240-241.

[2]王燕.網(wǎng)絡(luò)信息安全保護(hù)措施[J].造紙裝備及材料.2021（4）：71-73.

[3]王曉震，金培莉，陳瑛，宮旭，李海龍.高校數(shù)據(jù)中心數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對(duì)策研究[J].北京聯(lián)合大學(xué)學(xué)報(bào).2021（3）：53-59.

[4]李超.智慧校園背景下高校數(shù)據(jù)中心研究與實(shí)踐——以浙江師范大學(xué)為例[J].現(xiàn)代信息科技.2021（8）：195-198.

[5]陳胤梁，江峰，王莉.淺談基于用戶(hù)體驗(yàn)的校園統(tǒng)一身份認(rèn)證系統(tǒng)優(yōu)化.電腦知識(shí)與技術(shù)：學(xué)術(shù)版. 2021（9）：68-70