高校統(tǒng)一身份認證系統(tǒng)設計與實現

【摘要】? ? 隨著信息化的普及，高校已從數字化逐漸向智慧化轉變。人員的身份數據是高校信息發(fā)展中最重要的一環(huán)，如果人員信息管理不當，容易出現校園信息管理的混亂甚至帶來信息安全隱患。因此，需要一個便捷安全的身份認證平臺，來規(guī)范高校的人員管理，并對校內各應用系統(tǒng)進行整合。該方案作為校級公共平臺牢固信息發(fā)展的數據底座，對上層應用系統(tǒng)提供統(tǒng)一的身份認證服務。

【關鍵詞】? ? 身份認證? ? 身份管理? ? 認證管理? ? 多因素認證

引言：

近年來隨著互聯(lián)網的飛速發(fā)展，我國在不斷提升對網絡信息安全的重視。高校的網絡建設給校內師生提供了便捷高效的移動化辦公和智能化教學，給校園生活添加色彩的同時，來自校內校外的危險也不容忽視，稍有不慎黑客、木馬就會威脅到網絡的安全性[1]。其中，師生個人身份信息的安全問題尤為突出。部分網絡用戶在網絡訪問時缺乏隱私保護意識，將敏感信息暴露在互聯(lián)網上，導致個人信息泄露，嚴重威脅到師生的個人財產安全[2]。與此同時，形形色色應用系統(tǒng)的出現，記憶諸多用戶名密碼信息給師生帶來困擾。因此，建設一個統(tǒng)一的身份認證入口，打好高校未來信息化發(fā)展的基礎勢在必行。

一、業(yè)務功能設計

平臺整體架構設計如下圖1所示：

1.身份數據源。身份信息是高校信息化發(fā)展的基礎。用戶數據與數據中心同步，實現一數一源，保障身份數據的統(tǒng)一性、權威性、規(guī)范性，降低了身份數據維護的復雜度，所有應用系統(tǒng)只需維護一套身份數據。

2.業(yè)務系統(tǒng)。支持各種接入協(xié)議，既能兼容老舊系統(tǒng)，又符合當前網絡發(fā)展的趨勢，為應用系統(tǒng)提供豐富的選擇。接口接入、協(xié)議接入等多種方式以滿足可擴展性。訪問策略的管理，能夠從源頭進行安全管控，提供追蹤審計。

3.用戶。根據需求的差異，滿足系統(tǒng)管理員、教職工、學生等各方的需要。

4.認證。滿足當前師生的訴求，支持手機驗證碼、掃碼登錄等，以減少密碼記憶的困擾。兼容傳統(tǒng)的用戶名密碼以及當前主流的微信、釘釘等方式。增加密碼找回、解凍申請等渠道，滿足多樣化需求。

（一）數據同步

伴隨時代的發(fā)展，教育信息化也在持續(xù)推進，數據中心的建設已然被各高校視為重點項目，它將校園管理、科研發(fā)展、教育教學集成到一起，擔負起數據的采集、匯總、管理、服務等服務，將校園內各信息系統(tǒng)數據信息集中式存儲，并在此基礎上進行共享和交換[3]。數據才是智慧校園數字化建設的本質，數據質量情況的好壞，直接影響到學校數字化建設以及后續(xù)的發(fā)展[4]。

身份數據是數據中心的核心數據，身份數據的質量關系到應用系統(tǒng)的使用。將身份數據納入統(tǒng)一身份認證平臺，一定程度上降低了業(yè)務系統(tǒng)建設的復雜性。需要使用自動同步、手動同步等多種方式保障數據中心與同統(tǒng)一身份認證系統(tǒng)身份數據同步的及時性與安全性。

（二）應用支撐

OneID完美解決了用戶對身份管理的需求，統(tǒng)一身份認證系統(tǒng)是OneID的具體實現。該系統(tǒng)在提供身份鑒別的同時也完成了權限管控，用戶在該數字化模式的工作體系下，一處登錄即可實現多個應用系統(tǒng)的訪問，這也是統(tǒng)一身份認證系統(tǒng)的意義所在[5]。順應了師生對身份認證的需求，提升了師生的上網體驗。對高校內部的應用系統(tǒng)進行了整合，規(guī)范了各系統(tǒng)的用戶管理，支撐了高質量的應用系統(tǒng)建設。不僅可以實現用戶認證的統(tǒng)一管理，而且能夠將各個應用系統(tǒng)的認證進行統(tǒng)一管理，實現了校內信息資源的整合。同時，可以基于風險的認證機制，能實現訪問時間段、訪問地址、用戶以及行為等動態(tài)認證，進而實現風險與靈活性的平衡，為高校信息安全保駕護航。

（三）單點協(xié)議

考慮到高校發(fā)展過程中遺留的老舊系統(tǒng)，但是也需要適應信息化未來發(fā)展的方向，統(tǒng)一身份認證系統(tǒng)除支持 OAuth2.0、CAS 協(xié)議之外，也支持 SAML、表單提交、簡單代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各種單點登錄協(xié)議。一方面，可以覆蓋到B/S、C/S模式的應用系統(tǒng)的訪問權限管理，另一方面，也可以覆蓋到主機訪問權限、網絡訪問權限（包括上網行為認證、VPN使用、計費認證等）、數據庫訪問權限。

（四）多因素認證

隨著業(yè)務的發(fā)展，高校應用系統(tǒng)越來越多，種類也越來越復雜。因此，統(tǒng)一身份認證系統(tǒng)應當充分考慮到實際需要，提供多種類別的認證方式，在兼容原有基于靜態(tài)口令的認證方式的同時，還需要提供雙因子模式下的高強度認證，也需要集成指紋等基于生物特征的新型認證方式（如對財務系統(tǒng)可開啟基于口令疊加生物信息的多次認證）。用戶可根據自身需要進行個性化選擇，應用系統(tǒng)也可以根據項目特性選擇認證強度，對于安全性要求高的應用系統(tǒng)可基于認證鏈進行多層級認證。進而實現用戶認證的統(tǒng)一管理，為用戶提供統(tǒng)一的認證門戶，實現單點登錄方式快捷訪問校內的各類信息資源。

（五）身份周期管理

對教職工、學生進行完整的身份周期管理。管理教職工的入職、調崗、兼職、退休、返聘、離職等狀態(tài)，對學生的在校狀態(tài)進行實時監(jiān)控，包括：在校、休學、病退、離校等狀態(tài)。實現全生命周期閉環(huán)管理，用戶賬號可自動開通、變更和收回，同時對下游應用系統(tǒng)提供用戶主數據供給。通過為用戶提供自助式的密碼找回、賬號激活，可通過手機、郵箱、微信等方式進行密碼找回，減少對人工客服的需求。師生的狀態(tài)發(fā)生變動時，只需同步數據中心人員狀態(tài)相關數據，就能實現快速響應，及時將變化的信息傳遞給各應用系統(tǒng)，方便師生的管理。

二、技術實現

（一）Oauth

利用 OAuth2.0 授權協(xié)議原理，實現在統(tǒng)一用戶管理平臺中以 OAuth 協(xié)議的方式與應用系統(tǒng)之間的單點登錄功能。

OAuth訪問流程：

1.用戶訪問客戶端時，客戶端要求用戶進行授權。

2.用戶點擊同意操作后，授權客戶端。

3.客戶端獲取到授權后，將授權信息提交給認證服務器進行令牌的申請。

4.認證服務器解析信息后對客戶端完成認證后，驗證通過，進行令牌發(fā)放。

5.客戶端獲取到令牌后，向資源服務器發(fā)送獲取資源的申請。

6.資源服務器對令牌信息進行確認后，將對應的資源開放給客戶端。

（二）以CAS做為SSO的基本實現

SSO訪問控制流程：

1.服務訪問：客戶端請求對應用系統(tǒng)相應服務資源的訪問。

2.定向認證：客戶端將用戶的請求重定向到服務器端。

3.用戶認證：進行用戶的身份信息認證。

4.票據發(fā)放：服務器端隨機生成唯一的Service Ticket。

5.票據驗證：服務器端對接收到的Service Ticket進行票據合法性驗證，通過后，授權客戶端對服務資源的訪問。

6.用戶信息傳輸：服務器端驗證票據正常，將用戶的票據認證結果傳輸給客戶端。

在該協(xié)議中，所有與CAS的交互均采用安全套接層（Secure Sockets Layer，SSL）協(xié)議，確保Ticket的安全性。其中，CAS 客戶端與服務器端二者間基于票據的交互和驗證過程對使用者而言是透明的。

（三）安全機制

1. Kerberos認證模型。采用認證、SSO、開放授權協(xié)議，符合公認的Kerberos模型。

2. IP地址訪問控制。提供強大靈活的基于IP地址的訪問控制，根據實時需求對IP限制規(guī)則進行靈活配置，從而對非法用戶的訪問進行管控，保護內部敏感信息。

3.口令猜測鎖定。提供口令猜測鎖定功能，用戶連續(xù)3次輸入口令錯誤，系統(tǒng)將自動鎖定該IP地址，一段時間內不允許再登錄。

4.密碼加密。對用戶密碼采取加密存儲策略。

（四）搭建集群

通過微服務架構，采用分布式部署，如下圖4所示：

1.負載均衡：采用基于軟件的nginx技術進行請求分發(fā)。2.緩存：使用memcached或者redis進行數據緩存，緩解數據庫壓力。3.數據庫：使用關系型數據庫，進行雙機熱備，同時進行異地災備。

三、結束語

本文建設的統(tǒng)一身份認證平臺，是高校背景下的校級公共平臺，以人員身份數據為樞紐打通了從底層數據中心到上層應用系統(tǒng)的通道。平臺迎合了師生的對于信息系統(tǒng)易用性的需求，及時把握住了高校信息化的發(fā)展方向，使得高校的信息化建設更加安全、高效。系統(tǒng)提供的多因素認證的功能，滿足了各應用系統(tǒng)的對接需要。全方位的安全控制，也保護了師生的信息安全，避免個人隱私數據泄露，捍衛(wèi)了高校的網絡信息安全。

作者單位：郭俊? ? 武漢工程大學網絡信息中心

參? 考? 文? 獻

[1]李偉強.論高校校園網的網絡信息安全現狀問題[J].現代商貿工業(yè).2012（3）：240-241.

[2]王燕.網絡信息安全保護措施[J].造紙裝備及材料.2021（4）：71-73.

[3]王曉震，金培莉，陳瑛，宮旭，李海龍.高校數據中心數據安全風險分析及對策研究[J].北京聯(lián)合大學學報.2021（3）：53-59.

[4]李超.智慧校園背景下高校數據中心研究與實踐——以浙江師范大學為例[J].現代信息科技.2021（8）：195-198.

[5]陳胤梁，江峰，王莉.淺談基于用戶體驗的校園統(tǒng)一身份認證系統(tǒng)優(yōu)化.電腦知識與技術：學術版. 2021（9）：68-70