高校數(shù)字證書統(tǒng)一身份認(rèn)證系統(tǒng)分析與應(yīng)用

黃海軍

（云南工商學(xué)院 云南 651700）

0 引言

傳統(tǒng)的高校校園網(wǎng)系統(tǒng)應(yīng)用中，普遍采用的身份認(rèn)證方式為“用戶名+靜態(tài)密碼”進(jìn)行驗證；管理員在用戶進(jìn)行相關(guān)應(yīng)用操作前，在應(yīng)用服務(wù)器中建立一個文件，該文件存儲了使用者的用戶名信息，并將對應(yīng)的密碼、應(yīng)用權(quán)限與用戶名進(jìn)行了綁定，當(dāng)用戶對應(yīng)用進(jìn)行操作時，應(yīng)用服務(wù)器要求使用者提交“用戶名+靜態(tài)密碼”，應(yīng)用服務(wù)器在收到認(rèn)證信息后，將認(rèn)證信息與存儲在服務(wù)器中的用戶信息進(jìn)行比對，以確認(rèn)該訪問者是否為合法用戶，擁有哪些訪問權(quán)限；認(rèn)證之后，根據(jù)認(rèn)證結(jié)果進(jìn)行對應(yīng)的下一步操作。

1 傳統(tǒng)的口令式身份認(rèn)證優(yōu)點(diǎn)及缺陷

傳統(tǒng)的口令式身份認(rèn)證的優(yōu)點(diǎn)是：一般常用的操作系統(tǒng)都能提供對口令認(rèn)證的支持，對一些小規(guī)模的、封閉的內(nèi)部系統(tǒng)來說，采用口令式認(rèn)證是一種低成本的解決方案；但是，口令式的身份認(rèn)證方式主要存在以下幾種缺陷：

使用時泄密：靜態(tài)密碼在使用時，可能在輸入過程中被窺視，也可能被“鍵盤鉤子”等木馬程序竊取。

傳輸過程泄密：在系統(tǒng)網(wǎng)絡(luò)中，口令文件是以明文方式傳輸?shù)模自趥鬏斶^程中被欄截，并分析破解。

密碼特征化泄密：許多用戶的密碼設(shè)置常用容易記憶的字段，如用戶的出生日期、電話號碼、姓名縮寫等。

密碼通用性泄密：為防止遺忘密碼或者在多種應(yīng)用中將密碼字段混淆，用戶可能在多種應(yīng)用系統(tǒng)（如：校園網(wǎng)系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)上銀行）中使用同一組靜態(tài)密碼；一旦有其中一個系統(tǒng)出現(xiàn)泄密，其他應(yīng)用系統(tǒng)的賬號也就存在危險。

可被暴力攻擊破解：不少用戶的靜態(tài)口令設(shè)置簡單，且長時間使用不進(jìn)行更改，讓黑客使用窮舉式暴力破解提供了可能。

在高校校園網(wǎng)內(nèi)自建CA認(rèn)證中心，能夠充分滿足校園網(wǎng)系統(tǒng)的身份認(rèn)證需求，提供足夠的安全認(rèn)證支持，還可以節(jié)約成本、便于管理和進(jìn)行擴(kuò)展。從長遠(yuǎn)來看，自建CA的成本遠(yuǎn)低于第三方CA提供相應(yīng)服務(wù)的成本。

高校校園網(wǎng)是網(wǎng)絡(luò)辦公系統(tǒng)中很有代表性的一種，有明確的可信任的應(yīng)用范圍和基本確定的使用者范圍，校園網(wǎng)自建的認(rèn)證中心就是該校園網(wǎng)系統(tǒng)的權(quán)威數(shù)字認(rèn)證中心。近幾年國內(nèi)教育界在這一領(lǐng)域的發(fā)展非常迅速，現(xiàn)在已經(jīng)有很多高校都開始設(shè)計并建立了自己的數(shù)字證書認(rèn)證中心，使得該技術(shù)逐漸走向成熟。在構(gòu)建適合校園的數(shù)字證書認(rèn)證系統(tǒng)時，系統(tǒng)的體系結(jié)構(gòu)是要重點(diǎn)考慮的。校園網(wǎng)是獨(dú)立的主體，其客戶和服務(wù)群體基本上都信任學(xué)校權(quán)威中心，身份確認(rèn)及授權(quán)均可最終由權(quán)威中心仲裁。在校園網(wǎng)系統(tǒng)中引入數(shù)字證書身份認(rèn)證系統(tǒng)，能夠解決當(dāng)前校園網(wǎng)系統(tǒng)中面臨的應(yīng)用安全性、完整性和保密性問題，還能提供應(yīng)用的強(qiáng)身份認(rèn)證及操作的不可否認(rèn)性。校園網(wǎng)身份認(rèn)證系統(tǒng)是建立數(shù)字化校園的堅實基礎(chǔ)，建立適用于校園網(wǎng)的身份認(rèn)證系統(tǒng)模型，必須充分考慮校園網(wǎng)的特殊環(huán)境及特殊需求。

2 數(shù)字證書在校園網(wǎng)中的應(yīng)用

云南工商學(xué)院目前使用的應(yīng)用系統(tǒng)通常有：OA系統(tǒng)、教學(xué)系統(tǒng)、財務(wù)系統(tǒng)、門戶系統(tǒng)、人事系統(tǒng)、學(xué)生工作管理、綜合教務(wù)、郵件系統(tǒng)、圖書管理等應(yīng)用系統(tǒng)。目前校園網(wǎng)系統(tǒng)釆用的為B/S模式，為了實現(xiàn)基于數(shù)字證書身份認(rèn)證功能在原有學(xué)院校園網(wǎng)系統(tǒng)中的應(yīng)用，需要進(jìn)行如下改造：

（1）在中心機(jī)房端，添加一臺物理獨(dú)立的服務(wù)器，將CA系統(tǒng)與校園網(wǎng)應(yīng)用系統(tǒng)設(shè)為物理獨(dú)立，作為身份認(rèn)證系統(tǒng)的信任基礎(chǔ)。

（2）在中心機(jī)房端，添加一臺服務(wù)器，用于存放 LDAP目錄服務(wù)系統(tǒng)，CA將用戶的證書過期列表（CRL）添加到LDAP中，供身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證時查詢。

（3）對目前存放用戶身份、口令等信息的服務(wù)器進(jìn)行改造，添加統(tǒng)一用戶管理系統(tǒng)，完成數(shù)字證書與原賬號的映像關(guān)系綁定，供身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證時查詢。

（4）添加身份認(rèn)證網(wǎng)關(guān)設(shè)備，網(wǎng)關(guān)與RA、LDAP、統(tǒng)一用戶管理系統(tǒng)直接連接，同時再對網(wǎng)關(guān)進(jìn)行注冊配置，添加如下信息：

①應(yīng)用登錄頁面的地址、端口等；

②網(wǎng)關(guān)需要向系統(tǒng)傳遞的信息進(jìn)行認(rèn)證。

（5）添加密碼機(jī)，對在各系統(tǒng)之間傳輸?shù)臄?shù)據(jù)、信息等進(jìn)行加密，確保數(shù)據(jù)傳輸?shù)陌踩?/p>

3 數(shù)字證書的獲得

學(xué)院外語系新招聘英語專業(yè)教師李某為例，為了能讓其使用校園網(wǎng)系統(tǒng)開展對應(yīng)的業(yè)務(wù)，需要為李某申請數(shù)字證書，讓她獲得登錄校園網(wǎng)應(yīng)用的唯一身份標(biāo)識。

管理員首先通過統(tǒng)一用戶管理系統(tǒng)，為李某釆集其原始信息，如：姓名、專業(yè)、身份、郵件地址等。

李某到本系的注冊中心（RA）提出數(shù)字證書申請，待審核通過后，RA將申請發(fā)送至CA。

管理員登陸CA，對RA發(fā)送的數(shù)字證書申請作出回應(yīng)，為申請者頒發(fā)數(shù)字證書，將用戶的證書文件交給李某；同時，將李某的證書信息添加到證書注銷列表（CRL）中，并將李某的證書公鑰也添加到LDAP目錄服務(wù)系統(tǒng)中。

李某此時即獲得了她在工商學(xué)院校園網(wǎng)中的業(yè)務(wù)身份，也是其唯一的應(yīng)用身份標(biāo)識。

4 數(shù)字證書統(tǒng)一身份驗證

李某在獲得數(shù)字證書后，進(jìn)入教學(xué)管理系統(tǒng)，修改學(xué)生考試成績，流程如下：

打開教學(xué)管理系統(tǒng)入口頁面，應(yīng)用服務(wù)器端檢測后發(fā)現(xiàn)，李某并未進(jìn)行登錄隨后對其訪問請求進(jìn)行重定向到身份認(rèn)證網(wǎng)關(guān)，并要求李某出示她的數(shù)字證；身份認(rèn)證網(wǎng)關(guān)在LDAP目錄系統(tǒng)的支持下，完成對李某證書有效性的驗證，驗證通過后，身份認(rèn)證網(wǎng)關(guān)從統(tǒng)一用戶管理系統(tǒng)中獲取她的賬號、權(quán)限、屬性信息等資料，并將驗證結(jié)果返回教學(xué)管理系統(tǒng)，同時給李某發(fā)放本次訪問的 Token；李某重新登錄教學(xué)管理系統(tǒng)，教學(xué)管理系統(tǒng)又將用戶所帶的 Token重定向到認(rèn)證網(wǎng)關(guān)，網(wǎng)關(guān)又對Token進(jìn)行驗證，判定用戶是否已經(jīng)通過身份認(rèn)證，并且具備訪問該應(yīng)用系統(tǒng)的權(quán)限，身份認(rèn)證網(wǎng)關(guān)將判定信息返回至教學(xué)管理系統(tǒng)，而后，李某便能登錄教學(xué)管理系統(tǒng)進(jìn)行操作；并且在此次驗證后，李某還能直接訪問其權(quán)限允許的各應(yīng)用系統(tǒng)，不再需要進(jìn)行登錄驗證。

為用戶以及信息系統(tǒng)服務(wù)器頒發(fā)數(shù)字證書，PKI/CA中心承擔(dān)起核對和驗證各網(wǎng)絡(luò)用戶方身份；頒發(fā)、維護(hù)和管理數(shù)字證書，提供數(shù)字證書及CRL查詢服務(wù)。基于數(shù)字證書建立統(tǒng)一身份認(rèn)證系統(tǒng)，用于財務(wù)系統(tǒng)、郵件系統(tǒng)、科研管理系統(tǒng)等校園核心應(yīng)用系統(tǒng)用戶進(jìn)行系統(tǒng)登錄時的強(qiáng)身份認(rèn)證、單點(diǎn)登錄、應(yīng)用級訪問控制等應(yīng)用安全加固功能。

5 總結(jié)

在高校校園網(wǎng)中建立一套安全防護(hù)系統(tǒng)為用戶提供統(tǒng)一、安全的身份認(rèn)證服務(wù)，并實現(xiàn)教學(xué)系統(tǒng)、人事系統(tǒng)、財務(wù)系統(tǒng)、綜合教務(wù)、多媒體資源、網(wǎng)絡(luò)教學(xué)、學(xué)生工作管理、郵件系統(tǒng)、ERP系統(tǒng)等業(yè)務(wù)系統(tǒng)單點(diǎn)登錄，讓用戶使用安全的身份登錄一次后就可以根據(jù)相關(guān)的策略訪問業(yè)務(wù)系統(tǒng)資源，不需要重新輸入業(yè)務(wù)系統(tǒng)用戶名/密碼等信息。并且業(yè)務(wù)系統(tǒng)都是獨(dú)立部署，并且運(yùn)行在不同的平臺上。因此，數(shù)字證書驗證系統(tǒng)確保高校校園網(wǎng)系統(tǒng)能夠獨(dú)立運(yùn)行的前提下解決統(tǒng)一身份認(rèn)證、單點(diǎn)登錄的問題。

[1]黃劍飛.LDAP在校園網(wǎng)統(tǒng)一身份認(rèn)證中的應(yīng)用[D].江工業(yè)大學(xué).2009.

[2]常潘.沈富可.于 LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的實現(xiàn)[J].算機(jī)工程.2007.

[3]段海新.校園網(wǎng)安全問題分析與對策[f].中國教育網(wǎng)絡(luò).2005.

[4]查貴庭，彭其軍，羅國富.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J].計算機(jī)應(yīng)用研究.2005.

[5]開澄.計算機(jī)密碼學(xué)——計算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].第二版.清華大學(xué)出版社.2007.

[6]湯彬，胡浩民，向玨良.基于PK1身份認(rèn)證技術(shù)的研究與實現(xiàn)[J].自動化儀表.2008.

[7]楊宇.基于PKI身份認(rèn)證系統(tǒng)的研究和實現(xiàn)[D].成都：電子科技大學(xué).2009.

[8]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA.電子工業(yè)出版社.2002.

[9]唐玲.數(shù)字證書系統(tǒng)的設(shè)計研究[D].合肥工業(yè)大學(xué).2004.

[10]楊波，王常吉，段海新.基于PKI/PMI的校園網(wǎng)安全單一登錄設(shè)計[J].計算機(jī)工程與應(yīng)用.2004.