智慧校園統(tǒng)一身份認(rèn)證技術(shù)分析與設(shè)計(jì)

湯羽佳

合肥職業(yè)技術(shù)學(xué)院，安徽 合肥 230000

近年來，社會(huì)體系逐漸向智慧化、科技化方向發(fā)展，如智慧城市、智慧交通等，此類基于網(wǎng)絡(luò)架構(gòu)而實(shí)現(xiàn)的一體化運(yùn)營(yíng)機(jī)制，能極大提高整體系統(tǒng)的運(yùn)作效率。智能化技術(shù)與校園體系的融合，建構(gòu)以數(shù)據(jù)信息為基礎(chǔ)的智慧校園模式，可為校園網(wǎng)絡(luò)提供搭載平臺(tái)，依托于精密化的數(shù)字技術(shù)實(shí)現(xiàn)對(duì)傳統(tǒng)學(xué)生信息管理的優(yōu)化。身份認(rèn)證技術(shù)體系的建設(shè)可將學(xué)生與系統(tǒng)內(nèi)的信息建立對(duì)接渠道，通過信息綁定達(dá)到對(duì)傳統(tǒng)的密碼登錄進(jìn)行優(yōu)化的目的。學(xué)生在進(jìn)行系統(tǒng)登錄時(shí)，只需要進(jìn)行身份認(rèn)證便可將信息與數(shù)據(jù)框架內(nèi)的各項(xiàng)節(jié)點(diǎn)進(jìn)行自主關(guān)聯(lián)，且身份認(rèn)證具有唯一性，可有效增強(qiáng)學(xué)生信息的安全性，并為校園數(shù)據(jù)信息管理工作的開展提供基礎(chǔ)保障。

1 校園內(nèi)統(tǒng)一身份認(rèn)證的重要性

身份認(rèn)證是指對(duì)用戶的身份進(jìn)行查驗(yàn)，通過系統(tǒng)大數(shù)據(jù)內(nèi)的比對(duì)，認(rèn)證該用戶是否屬于合法狀態(tài)。一般來講，身份認(rèn)證是一種對(duì)接類技術(shù)，只需用戶通過口令輸入，然后在系統(tǒng)的核驗(yàn)下，最終確定用戶身份是否符合后續(xù)操控基準(zhǔn)。在當(dāng)前數(shù)字化運(yùn)營(yíng)模式中，身份認(rèn)證決定著最終授權(quán)行為，即將用戶信息與資源信息進(jìn)行匹配，以得出后續(xù)時(shí)間段內(nèi)相關(guān)的訪問行為。

首先，身份認(rèn)證平臺(tái)的建設(shè)可提高用戶的體驗(yàn)度。傳統(tǒng)的校園信息系統(tǒng)中，受不同網(wǎng)絡(luò)架構(gòu)的影響，教師、學(xué)生、教務(wù)人員等在異地登錄時(shí)需進(jìn)行多次認(rèn)證操作才可進(jìn)入到系統(tǒng)中。如在此過程中用戶遺忘密碼，將在短時(shí)間內(nèi)無法登錄系統(tǒng)，且需要經(jīng)過較為繁雜的工序進(jìn)行密碼找回，耗費(fèi)大量時(shí)間資源。

其次，身份認(rèn)證平臺(tái)的建設(shè)有助于提高校園信息管理質(zhì)量。目前，學(xué)校依據(jù)專業(yè)學(xué)科、年級(jí)等建立單獨(dú)的信息管理機(jī)制，然而不同內(nèi)容的信息在進(jìn)行整合管理時(shí)，其內(nèi)部管理機(jī)制將存在較大的差異性。如學(xué)校管理機(jī)制較為單一，將無法對(duì)現(xiàn)有的數(shù)據(jù)信息進(jìn)行精細(xì)化管理。特別是對(duì)于校園網(wǎng)絡(luò)來講，單一網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)定屬于一種獨(dú)立機(jī)制，但各項(xiàng)內(nèi)容間存在一定的聯(lián)動(dòng)性，當(dāng)主位管理與次位管理相沖突的話，則必然令整體管理造成相應(yīng)的缺陷[1]。

最后，可拓展校園網(wǎng)絡(luò)的覆蓋面。受系統(tǒng)獨(dú)立運(yùn)營(yíng)機(jī)制的影響，內(nèi)部數(shù)據(jù)信息無法進(jìn)行聯(lián)動(dòng)分析，即便是數(shù)據(jù)整合功能也只能單一化的在某一類信息框架下執(zhí)行，這種運(yùn)作機(jī)制可以降低數(shù)據(jù)信息的冗余概率，但同時(shí)也加大了系統(tǒng)運(yùn)行的負(fù)擔(dān)。

2 智慧校園統(tǒng)一身份認(rèn)證技術(shù)分析

智慧校園體系中，統(tǒng)一身份認(rèn)證技術(shù)是將網(wǎng)絡(luò)架構(gòu)中的節(jié)點(diǎn)信息與用戶身份信息進(jìn)行捆綁，此類形式可以看成是區(qū)塊鏈技術(shù)的一個(gè)分支，但其技術(shù)本身具有一定的針對(duì)性。為確保整體系統(tǒng)運(yùn)行的完整性，模塊設(shè)定、程序編寫等必須嚴(yán)格遵循校園網(wǎng)絡(luò)的信息管理架構(gòu)，以此來提高校園信息化平臺(tái)的建設(shè)質(zhì)量。

2.1 系統(tǒng)層次架構(gòu)

統(tǒng)一身份認(rèn)證系統(tǒng)層次架構(gòu)一般可分為四類組成部分。第一，服務(wù)層。此類架構(gòu)主要服務(wù)于數(shù)據(jù)庫(kù)系統(tǒng)，當(dāng)用戶端發(fā)出相應(yīng)的指令需求時(shí)，其進(jìn)行需求響應(yīng)并對(duì)用戶指令進(jìn)行執(zhí)行，可以將其看成是系統(tǒng)的服務(wù)端。第二，接口層。是服務(wù)層的上位承接系統(tǒng)，主要功能是對(duì)系統(tǒng)內(nèi)的程序進(jìn)行分析，并對(duì)服務(wù)器進(jìn)行指令請(qǐng)求，此運(yùn)行過程是搭載接口程序來完成的。第三，應(yīng)用層。在數(shù)據(jù)分析后，應(yīng)用層依據(jù)數(shù)據(jù)請(qǐng)求來判定信息所屬類型，并依據(jù)類型機(jī)制來分化出不同的指令，通過信息反饋與回傳，將指令傳輸?shù)较挛怀薪拥膶?duì)外層。第四，對(duì)外層。在接到上一應(yīng)用層傳遞到的信息之后，將指令信息回傳到請(qǐng)求端，在信息載體的應(yīng)用下，以Web、B/S 兩種模式向用戶進(jìn)行相關(guān)信息展示。

與用戶相關(guān)聯(lián)的層次架構(gòu)為應(yīng)用對(duì)外層，即通過接口來實(shí)現(xiàn)信息模型的轉(zhuǎn)換，為用戶提高多元信息服務(wù)，令用戶可更加直觀的對(duì)下達(dá)指令，并了解指令執(zhí)行所產(chǎn)生的實(shí)際效果[2]。

2.2 用戶管理

用戶管理系統(tǒng)是用戶指令下達(dá)的平臺(tái)，其也是信息授權(quán)的重要外顯形式，用戶管理系統(tǒng)分為三個(gè)模塊。第一，系統(tǒng)注冊(cè)模塊，其將新的應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)分化，然后提出數(shù)據(jù)信息中的相關(guān)節(jié)點(diǎn)并建構(gòu)到系統(tǒng)目標(biāo)中。第二，用戶注冊(cè)模塊，其是用戶初始信息采集的部分，如用戶信息認(rèn)證、信息更新、信息關(guān)聯(lián)等，也屬于信息整合的部分。在此模塊，為用戶關(guān)聯(lián)應(yīng)用系統(tǒng)信息，建立相應(yīng)的訪問權(quán)限。第三，權(quán)限管理模塊，其主要是將程序與用戶指令進(jìn)行權(quán)限關(guān)聯(lián)，保證用戶在自身的功能設(shè)定下，可在最短時(shí)間內(nèi)完成任務(wù)搜尋，以提高系統(tǒng)應(yīng)用效率。

2.3 統(tǒng)一身份認(rèn)證模式

統(tǒng)一身份認(rèn)證是一種基于數(shù)字化信任機(jī)制來實(shí)現(xiàn)的，一般來講，其可分為兩種認(rèn)證模式。第一，組建模式，其承接的是系統(tǒng)應(yīng)用程序，在實(shí)際運(yùn)行中，無需經(jīng)歷自有數(shù)據(jù)庫(kù)的建設(shè)，內(nèi)部賬號(hào)可與身份認(rèn)證相協(xié)同。此類認(rèn)證模式的工作程序?yàn)橛脩簟卿浗缑妗鷳?yīng)用層→重定向服務(wù)信息→信息認(rèn)證→信息校驗(yàn)→信息注冊(cè)→信息反饋→認(rèn)證通過→訪問權(quán)限→用戶，其屬于一個(gè)信息反饋認(rèn)證機(jī)制，且存在一定的時(shí)間局限性。

第二，統(tǒng)一認(rèn)證模式，運(yùn)行程序?yàn)橛脩簟卿浗缑妗J(rèn)證服務(wù)→訪問→應(yīng)用層→信息反饋→信息授權(quán)→用戶，此類系統(tǒng)可為用戶與應(yīng)用層直接搭載訪問渠道，減少服務(wù)信息環(huán)節(jié)。

3 智慧校園統(tǒng)一身份認(rèn)證技術(shù)設(shè)計(jì)

3.1 目錄服務(wù)設(shè)計(jì)

目錄服務(wù)系統(tǒng)是為用戶提供各種目錄查詢的功能，是數(shù)據(jù)庫(kù)最重要的環(huán)節(jié)之一，是信息化實(shí)現(xiàn)的重要載體，在內(nèi)部各類數(shù)據(jù)參數(shù)的核對(duì)與傳輸下，可令校園網(wǎng)絡(luò)內(nèi)各類信息進(jìn)行有序化操控，且可最大限度地保證數(shù)據(jù)信息統(tǒng)一性[3]。在進(jìn)行目錄服務(wù)系統(tǒng)設(shè)定時(shí)，考慮到用戶、程序、服務(wù)之間的信息聯(lián)動(dòng)關(guān)系，應(yīng)在支持目標(biāo)服務(wù)系統(tǒng)的目標(biāo)樹中建立用戶信息模塊，如教務(wù)人員、教師、學(xué)生，在應(yīng)用系統(tǒng)中為各類用戶信息設(shè)定單獨(dú)的名稱，并為應(yīng)用系統(tǒng)提供網(wǎng)絡(luò)協(xié)議服務(wù)。在設(shè)定用戶相關(guān)的訪問權(quán)限時(shí)，由于數(shù)據(jù)信息本身屬于開源式傳輸，則必須利用ACL 來對(duì)內(nèi)部數(shù)據(jù)信息進(jìn)行有效控制，可通過文件后綴改變的形式或直接在平臺(tái)中運(yùn)行ACL 指令進(jìn)行系統(tǒng)實(shí)現(xiàn)，以更好地對(duì)內(nèi)部信息進(jìn)行控制。

3.2 應(yīng)用程序架構(gòu)

在應(yīng)用程序設(shè)定中，用編程服務(wù)類WEB 為核心，其主要是由于系統(tǒng)內(nèi)部的容錯(cuò)機(jī)制較大，可有效避免多源信息所造成的耦合效用。同時(shí)WEB 可將不同程序進(jìn)行整合與集成，其直接作為一個(gè)系統(tǒng)過渡體，不需要第三方軟件對(duì)信息進(jìn)行轉(zhuǎn)換便可有效將內(nèi)部信息進(jìn)行關(guān)聯(lián)處理。在校園智慧網(wǎng)絡(luò)中，由于信息功能呈現(xiàn)出多元特性，如專業(yè)學(xué)科信息、考試信息、教務(wù)管理信息等，此類信息都具有獨(dú)立的服務(wù)框架，而采用WEB 則可精準(zhǔn)地實(shí)現(xiàn)內(nèi)部數(shù)據(jù)源的整合，為不同類別的程序、編程等建立一個(gè)融合環(huán)境，以此令系統(tǒng)更好的服務(wù)于認(rèn)證技術(shù)中。

3.3 統(tǒng)一認(rèn)證

統(tǒng)一認(rèn)證系統(tǒng)中數(shù)據(jù)庫(kù)默認(rèn)形式是將賬號(hào)與校園網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)，確保用戶在執(zhí)行不同的任務(wù)操控中可獲取相關(guān)訪問權(quán)限，此類設(shè)定是以應(yīng)用程序?yàn)檩d體來實(shí)現(xiàn)的，以對(duì)用戶的各項(xiàng)指令及權(quán)限進(jìn)行相關(guān)限定，確保用戶在一定時(shí)間段內(nèi)進(jìn)行各類信息訪問不再進(jìn)行登錄操作。具體工作流程如圖1 所示，當(dāng)用戶進(jìn)行信息登錄時(shí)，會(huì)將訪問指令傳輸?shù)綉?yīng)用程序中，然后應(yīng)用程序?qū)τ脩粜畔⑦M(jìn)行驗(yàn)證響應(yīng)，查證用戶令牌的準(zhǔn)確性，然后用戶將認(rèn)證信息傳輸?shù)匠绦騼?nèi)。此過程后，應(yīng)用系統(tǒng)則將與用戶信息相關(guān)聯(lián)的各項(xiàng)服務(wù)類別進(jìn)行標(biāo)定與解密，并逐一與數(shù)據(jù)庫(kù)內(nèi)的源信息進(jìn)行比對(duì)，最后將信息反饋到認(rèn)證系統(tǒng)中，并對(duì)應(yīng)用系統(tǒng)下達(dá)訪問指令。

令牌加密、加密程序的設(shè)定如下：

（1）將SID、AU、TID、TS、LS、用戶名、用戶地址及一個(gè)隨機(jī)數(shù)字組合為一個(gè)字符串。

（2）服務(wù)器在對(duì)信息認(rèn)證時(shí)，將字符串重新制定成一個(gè)具有固定長(zhǎng)度信息的字符串（一般是以HSAH 函數(shù)為信息轉(zhuǎn)換載體）。

（3）將轉(zhuǎn)變過來的字符串進(jìn)行單鑰賦值，然后進(jìn)行DES 加密與字符標(biāo)記，并利用系統(tǒng)內(nèi)應(yīng)用層的公鑰進(jìn)行二次密鑰設(shè)定，得出加密數(shù)值X，將其記錄到令牌中。

圖1 認(rèn)證系統(tǒng)圖示

3.4 系統(tǒng)認(rèn)證拓?fù)浣Y(jié)構(gòu)

圖2 系統(tǒng)拓?fù)鋱D示

（4）應(yīng)用服務(wù)器在進(jìn)行信息轉(zhuǎn)換時(shí)，對(duì)X 值進(jìn)行解讀，得到基于應(yīng)用層的解密值A(chǔ)，認(rèn)證服務(wù)器在對(duì)信息進(jìn)行核驗(yàn)時(shí)，利用反向解密機(jī)制，即將HASH函數(shù)對(duì)傳輸過來的密鑰數(shù)值進(jìn)行解密運(yùn)算，如最終數(shù)值與A 相同，則證明此類令牌為正確的。如數(shù)值出現(xiàn)錯(cuò)誤，則證明該用戶不具備相關(guān)訪問權(quán)限。

智慧校園網(wǎng)絡(luò)中，統(tǒng)一身份認(rèn)證具有單一性、獨(dú)立性，在設(shè)計(jì)系統(tǒng)核心平臺(tái)時(shí)，主要是實(shí)現(xiàn)集用戶管理、認(rèn)證授權(quán)的，為第一時(shí)間確保用戶信息與系統(tǒng)內(nèi)的數(shù)據(jù)可形成有效協(xié)同，需從用戶管理、認(rèn)證授權(quán)等數(shù)據(jù)的結(jié)構(gòu)為出發(fā)點(diǎn)，建立統(tǒng)一的認(rèn)證接口，便于系統(tǒng)對(duì)大量的數(shù)據(jù)信息進(jìn)行相關(guān)操控處理。本文設(shè)計(jì)中采用的是identity server 標(biāo)識(shí)服務(wù)器為核心，建立一個(gè)命令接口，將接口與應(yīng)用程序相連接，為用戶提供API 服務(wù)，以進(jìn)行身份的統(tǒng)一認(rèn)證。系統(tǒng)拓?fù)鋱D如圖2 所示，在運(yùn)行過程中，客戶端通過服務(wù)器接口可更加精準(zhǔn)地作用于各項(xiàng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)中，當(dāng)校園內(nèi)人員進(jìn)行身份認(rèn)證后，其內(nèi)部信息將同步傳輸?shù)礁髂K系統(tǒng)中，模塊系統(tǒng)在接收到數(shù)字信任協(xié)議后，將自動(dòng)與該信任用戶相關(guān)聯(lián)的各項(xiàng)信息進(jìn)行協(xié)議傳輸，以保證整體系統(tǒng)運(yùn)行的完整性，為學(xué)生、教師以及教務(wù)人員等提供更為優(yōu)質(zhì)的服務(wù)。

4 結(jié)語

綜上所述，智慧校園統(tǒng)一身份認(rèn)證系統(tǒng)是一種集安全技術(shù)、數(shù)字技術(shù)、網(wǎng)絡(luò)技術(shù)于一體的綜合化架構(gòu)模式，在設(shè)計(jì)與實(shí)現(xiàn)過程中，需依據(jù)系統(tǒng)工作環(huán)境來設(shè)定正確的網(wǎng)絡(luò)層級(jí)結(jié)構(gòu)，保證每一項(xiàng)應(yīng)用程序可精準(zhǔn)的執(zhí)行用戶操控指令，令用戶信息與數(shù)據(jù)庫(kù)內(nèi)的參數(shù)信息形成對(duì)接，以此來提高身份認(rèn)證系統(tǒng)的運(yùn)作質(zhì)量。