微信技術在高校身份認證系統(tǒng)建設中的應用＊

王翔

(北京科技大學信息化建設與管理辦公室，北京 100085)

0 引言

通過使用現(xiàn)代信息技術構建信息化校園系統(tǒng)，可以有效提高校園管理能力、保證教學質量并增強科研水平，具有人工管理無法比擬的技術優(yōu)勢，我國各高校結合自身的管理和服務需求，利用先進的信息化技術開展高校信息化建設，實現(xiàn)從教學管理、科學研究到校園生活的一體化信息服務[1]。

目前，高校信息化建設已經由數(shù)字校園階段轉入智慧校園階段，而智慧校園的核心是通過將資源、應用等進行整合，提供面向師生的多種個性化服務，實現(xiàn)智慧化服務和管理，因此在智慧校園建設中，身份認證是一項基礎性功能，是提供個性化服務的支撐[2]。

郭利敏等[3]使用微信二維碼進行圖書館讀者身份的認證，采用微信開放平臺提供的接口實現(xiàn)了圖書館系統(tǒng)的身份認證。江超龍等[4]提出了一種基于移動終端的安全登錄系統(tǒng)，使用移動終端來掃描網頁上的動態(tài)二維碼實現(xiàn)認證。楊樹春[5]等將微信身份鑒權機制與掃碼登錄結合，設計了用掃碼認證即實現(xiàn)登錄第三方應用系統(tǒng)的模型。

1 現(xiàn)狀

在數(shù)字化校園建設的階段，各系統(tǒng)獨立進行身份認證的模式在便利性與安全性方面存在諸多問題[6]，統(tǒng)一身份認證平臺是數(shù)字化校園建設的一個基礎性平臺，得到了廣泛的應用。但是，隨著隱私數(shù)據保護越來越受到重視以及信息系統(tǒng)網絡安全要求的提高，傳統(tǒng)基于口令的身份認證已無法滿足智慧校園建設的需要，具體表現(xiàn)在如下方面。

⑴弱身份認證

傳統(tǒng)認證方式主要基于用戶名、密碼認證方式，現(xiàn)實應用中廣泛存在著弱口令、密碼泄漏等問題，存在著較大的安全風險，對于業(yè)務系統(tǒng)的數(shù)據資產、隱私信息、業(yè)務邏輯等造成了潛在的安全隱患，不能適應當前業(yè)務信息化、數(shù)據化、智慧化發(fā)展的需求。

⑵實現(xiàn)強身份認證代價較高

針對用戶名、密碼方式的弱點，盡管傳統(tǒng)身份認證已具備相應的解決方案，例如采用證書Key、提升密碼強度、定期更換密碼策略要求等，這些措施在一定程度上可以解決弱口令問題，但同時也增加了用戶的使用負擔，頻繁更換密碼會造成用戶忘記密碼，證書也存在攜帶不方便的問題等。

⑶身份認證與業(yè)務系統(tǒng)安全

目前學校系統(tǒng)架構體系中，身份認證系統(tǒng)通常只負責身份認證而不負責該身份的安全問題，也不負責與其他安全系統(tǒng)進行交互，造成了其他安全系統(tǒng)即使檢測到安全問題，也無法快速確認攻擊者信息，身份認證滯后于網絡攻擊與安全檢測，使攻擊者可以發(fā)起匿名攻擊嘗試。

⑷無法有效解決移動應用和公眾號等統(tǒng)一認證

傳統(tǒng)的身份認證平臺主要來自于整合PC 端系統(tǒng)的身份認證，實現(xiàn)用戶信息的統(tǒng)一認證、統(tǒng)一管理，對于移動互聯(lián)網應用中新興的應用如何實現(xiàn)統(tǒng)一身份管理，尚沒有很好的解決方案。

⑸無法解決智慧校園下的多場景應用

隨著智慧校園與物聯(lián)網技術的發(fā)展，門禁、簽到和支付等場景都需要聯(lián)網進行實時在線處理，這類的應用具有軟硬件結合的特點，是學校智慧應用的展現(xiàn)，而傳統(tǒng)的統(tǒng)一身份認證平臺主要滿足業(yè)務系統(tǒng)整合的需要，無法廣泛適應滿足這類智慧終端的身份驗證。

⑹業(yè)務系統(tǒng)集成統(tǒng)一身份認證困難

傳統(tǒng)統(tǒng)一身份認證的接入主要依賴業(yè)務系統(tǒng)接口的二次開發(fā)，學校系統(tǒng)數(shù)量眾多，運行平臺和開發(fā)語言等差異化明顯，而且業(yè)務系統(tǒng)的使用管理分散于各個業(yè)務部門，造成了開發(fā)接入的多重困難，耗費了大量的財力與物力。

2 基于微信的認證方案

2.1 認證原理

解決傳統(tǒng)身份認證問題主要從三個方面考慮：

⑴通過引入微信掃碼、刷碼和NFC 等交互認證方式，實現(xiàn)強身份認證，解決弱身份認證問題，同時兼顧易用性和普適性；

⑵通過整合身份認證與安全訪問控制機制，實現(xiàn)基于身份認證的安全機制，解決身份認證的同時，提升系統(tǒng)的安全性；

⑶兼顧考慮智慧校園場景下的移動應用、公眾號、智能硬件應用和傳統(tǒng)應用的身份認證方式，實現(xiàn)可集成多類應用的身份認證模式。

2.2 基于微信的強身份認證機制

隨著移動互聯(lián)網的發(fā)展，智能設備得到廣泛的應用，尤其是智能手機得到了廣泛的普及，使得基于智能移動終端設備的身份認證成為可能，而為了提供認證機制最大程度的普適性與易用性，基于智能手機進行身份認證能夠更好的滿足需求。移動互聯(lián)網的高速發(fā)展使得移動應用APP 得到了廣泛的使用，在微信平臺上研發(fā)建設身份認證的功能，有如下優(yōu)勢：

⑴微信普及率高，使用頻度高，使用門檻低；

⑵微信代表著用戶的好友等社交關系，更有微信支付等金融屬性，是個人身份信息的體現(xiàn)；

⑶微信平臺是個開放式平臺，基于該平臺開發(fā)的應用，能夠更好的得到普及和使用；

⑷微信自身具有較高的安全機制，例如綁定手機號、解鎖密碼等，有利于確保身份認證的安全性；

⑸微信掃碼與刷卡等功能的支持與集成，有利于實現(xiàn)與其他智能設備的配合，實現(xiàn)更為豐富的認證功能。

總體來說，基于微信進行身份認證充分考慮了應用普及、使用門檻、安全屬性和開發(fā)難易度等多方面因素，具備實現(xiàn)強身份認證的基礎。

2.3 身份認證與系統(tǒng)安全整合機制

基于微信認證的訪問是在用戶和業(yè)務系統(tǒng)之間增加了身份認證與代理網關的中間件產品，其中身份認證系統(tǒng)負責用戶的身份信息認證并頒發(fā)訪問通行證，而代理網關主要有三項工作：一是負責驗證通行證的有效性；二是與業(yè)務系統(tǒng)交換訪問者身份信息的合法性，如果業(yè)務系統(tǒng)不允許用戶訪問，用戶也會被阻止訪問；三是負責用戶與業(yè)務系統(tǒng)之間的通信中轉，全程校驗合法性并記錄訪問日志。上述過程的通俗解釋是：如果一個造訪者（用戶）要訪問某個被訪者（業(yè)務系統(tǒng)），首先在門崗（身份認證平臺）查驗其身份證合法性，并且門崗會與被訪者（業(yè)務系統(tǒng)）聯(lián)系確認造訪者（用戶）的真實性后再放行。

基于上述原理可以確定，相對于傳統(tǒng)模式，新的基于身份認證的安全訪問模式具有如下優(yōu)點：

⑴隔離機制，訪問用戶（黑客）與業(yè)務系統(tǒng)隔離，身份驗證通過之前，無法訪問到業(yè)務系統(tǒng)，消除了匿名攻擊的隱患和直接攻擊運行環(huán)境的可能性；

⑵強身份認證，身份認證系統(tǒng)使用基于微信的強身份認證機制，確保身份的合法性，降低了身份冒用的可能性；

⑶ 采用身份認證與業(yè)務系統(tǒng)認證雙重校驗的模式，具有更高的安全防護能力；

⑷全程具有帶身份標識的訪問日志，有利于日志回溯。

基于微信的強身份認證通過代理網關等整合機制，能有效解決傳統(tǒng)認證存在的弊端，在提升了身份認證普適性和易用性基礎上，有效的增強了集成業(yè)務系統(tǒng)的安全性。

3 基于微信認證的應用

校園微信認證是一個身份認證的綜合性平臺，主要包括四類子系統(tǒng)，分別為身份認證系統(tǒng)、集成網關類系統(tǒng)、身份應用類系統(tǒng)、平臺管理系統(tǒng)等，其中身份認證系統(tǒng)是整個平臺的基礎性系統(tǒng)，負責完成平臺人員身份的維護、校驗、集成等，并向其他應用或業(yè)務系統(tǒng)提供身份認證類API服務。身份認證系統(tǒng)可通過不同套件支持多類身份綁定方式；集成網關類系統(tǒng)主要用于整合現(xiàn)有的業(yè)務系統(tǒng)，實現(xiàn)掃碼登錄業(yè)務系統(tǒng)并提升業(yè)務系統(tǒng)的安全性；身份應用類系統(tǒng)主要是基于微信身份認證信息的擴展應用，如會議簽到、門禁和刷碼就餐等；微認證管理系統(tǒng)負責平臺管理運維工作，支持集成應用的管理、權限設置、日志追溯等相關功能，如圖1所示。

4 結束語

本文通過對高校信息化建設中身份認證的問題進行分析，提出了以基于微信平臺的統(tǒng)一身份認證系統(tǒng)建設方案，且該認證系統(tǒng)實現(xiàn)了與單點登錄系統(tǒng)[7]對接,經過在北京科技大學的實際建設使用，目前已經覆蓋了全體師生的身份認證場景，并接入了數(shù)十個教工和學生經常使用的業(yè)務系統(tǒng)，為師生員工登錄各類子系統(tǒng)辦理業(yè)務，尤其是移動辦公方面，極大便利了師生員工訪問學校各類信息化平臺和網絡資源，其安全性和易維護性也得到了驗證。