統一身份認證在高職院校校園網絡安全的應用研究

劉瑋

摘要：身份認證是保證系統安全的一種常見技術。隨著高校校園網應用系統數量的增加，身份認證技術方案的設計綜合考慮系統安全和用戶訪問體驗。本文以某高職院校校園網為例，充分考慮校高職院校園網應用系統的現實需求，設計了一種基于“三層架構”的統一身份認證方案，對高職院校校園網絡安全建設具有一定的參考意義。

關鍵詞：校園網 規劃 信息化

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416（2016）12-0195-01

引言

在高校校園網建設中，一個好的校園網絡接入身份系統是指能夠為廣大師生提供安全、便捷的接入服務，主要表現三個方面：1）在具有多個校區的網絡環境中，能夠提供可靠的身份認證服務；2）支持多種認證方式，如支持用戶漫游的分布認證、單點登陸認證等多種認證方式，用戶無論身處哪個校區，都可以一次接入認證后即可訪問校內多個業務系統；3）具備大量的認證用戶并發訪問認證服務器時系統查以自動調配內存資源的能力（即具備良好的負載均衡能力。隨著我國高等職業院校的快速發展，各高職院校不斷擴大招生規模，并啟動新校區建設。各院校在統籌建設新、老校區網絡建設時，也都在研究安全、可靠、負載性能好的身份認證系統。本論文以某高職院校為例，設計了一個基于“三層架構”的校園網身份認證系統，對高職院校開發校園網絡身份認證系統具有一定的參考價值。

1 校園網身份認證相關技術

1.1 Kerberosy認證

Kerberosy認證是在上世紀90年代伴隨萬維網的出現而誕生的經典身份認證技術。它提供了一種利用認證服務器（AS）實現客戶端（Client）和服務器端（Server）相互認證的經典思路；為解決一次授權即實現多服務器登陸的問題，Kerberosy認證引入了票據授權服務（TGS - Ticket Granting Service），省去了多次認證的時空開銷。因此，Kerberosy認證包括認證服務器（AS），客戶端（Client）和普通服務器（Server）、票據授權服務（TGS - Ticket Granting Service） 四個角色。

1.2 LDAP：輕量級目錄訪問協議

輕量級目錄訪問協議 ，是一種跨平臺的目錄服務技術，位于TCP/IP協議的上層，提供標準的服務接口，因此具有平臺無關性，采用樹狀模式存儲目錄信息，每一條目錄信息基于條目（Entry），條目在目錄全局中具有唯一的身份標識并包含屬性信息（一般比較精短），方便快速檢索條目信息。由于身份認證中傳遞的多數都為短文本（加密）信息，因此LDAP協議的特別適合身份認證的需求，此特性使其在各種身份認證技術中得到廣泛應用。

1.3 ICE中間件

Ice是Internet Communications Engine的簡稱，是一種面向對象的中間件平臺，支持面向對象的RPC編程，其最初的目的是為了提供類似CORBA技術的強大功能，又能消除CORBA技術的復雜性。該平臺為構建面向對象的客戶-服務器應用提供了工具、API和庫支持。ICE平臺內嵌負載均衡功能，對于分布大多個節點上的應用服務提供多種負載均衡方案，只需要通過XML配置文件即可完成負載均衡配置。配置項包括Type （負載均衡類型）、Sampling interval（負載信息收集間隙）、Number of replicas（返回給客戶端的適配器個數）。

2 基于三層架構的校園網身份認證模型

2.1 統一身份認證集成中存在的突出問題

目前，統一身份認證主要有網關模型、代理模型、經紀人模型等三種模型。網關模型中所有的應用系統都放在認證系統之后，雖然提高了應用系統的安全性，但也導致部分對用戶權限要求并不高的應用系統不能很好地被用戶訪問，比較典型的如各高校專門為學生下載視頻資源搭建的FTP應用。因此網關模型對用戶訪問應用系統資源具有一定的制約性。代理模型是用戶通過代理服務器訪問不同的應用系統，用戶的訪問權限由代理服務器控制，但用戶的登陸信息在本地存儲，存在信息泄露的危險。經紀人模型不存在前兩種模型的缺點，但需要生成電子身份標識，認證開銷比較大，對認證服務器性能要求較高。

2.2 “三層架構”統一身份認證模型的提出

本文結合某高職院校網絡實際，提出了一種基于“應用層、服務層、數據層”的三層統一身份認證模式，該模式結合了LDAP、Kerberosy認證、ICE中間件三種身份認證技術。具體模型結構如圖1所示。

應用層主要是用戶（Client）端向應用服務器（Service）發出訪問請求，應用服務器在收到后，將用戶身份信息，通過中間件認證接口發送到認證服務器層，認證服務層采用Kerberosy認證，驗證通過的用戶可獲得數據資源訪問授權，通過LDAP技術，實現用戶要訪問的數據資源目錄與LDAP目錄同步，減少用戶資源訪問等待時間。三層架構的優點顯而易見，將認服服務器與應用服務器分開，用戶不再直接訪問認證服務器，減輕了認證服務器的壓力；LADP同步技術提高了數據訪問效率，提升了用戶體驗；三層架構更容易配置。

3 結語

本文主要結合某高職院校校園網身份認證的需求，介紹了統一身份身份認證的相關技術，提出了一種基于三層架構的統一身份認證技術，包括應用層、服務層、數據層，具有邏輯結構清晰、訪問效率高、配置方便的明顯優點。通過在某高職院校校園網統統一身份認證的應用，師生反映校園網登陸等待時間減少，資源訪問更加高效，證實該方案對高職院校校園網統一身份證具有重要的參考意義。

參考文獻

[1]周蘇，王文.高職院校數字化校園的規劃及其網絡系統的設計[J].信息化建設，2015.

[2]張志鋒.淺議高職院校校園網絡的設計與開發[J].數字技術與應用，2014.

[3]黃誠.淺析高職院校計算機網絡安全管理系統的設計與研究[J].魅力中國，2016.