王翔
(北京科技大学信息化建设与管理办公室,北京 100085)
通过使用现代信息技术构建信息化校园系统,可以有效提高校园管理能力、保证教学质量并增强科研水平,具有人工管理无法比拟的技术优势,我国各高校结合自身的管理和服务需求,利用先进的信息化技术开展高校信息化建设,实现从教学管理、科学研究到校园生活的一体化信息服务[1]。
目前,高校信息化建设已经由数字校园阶段转入智慧校园阶段,而智慧校园的核心是通过将资源、应用等进行整合,提供面向师生的多种个性化服务,实现智慧化服务和管理,因此在智慧校园建设中,身份认证是一项基础性功能,是提供个性化服务的支撑[2]。
郭利敏等[3]使用微信二维码进行图书馆读者身份的认证,采用微信开放平台提供的接口实现了图书馆系统的身份认证。江超龙等[4]提出了一种基于移动终端的安全登录系统,使用移动终端来扫描网页上的动态二维码实现认证。杨树春[5]等将微信身份鉴权机制与扫码登录结合,设计了用扫码认证即实现登录第三方应用系统的模型。
在数字化校园建设的阶段,各系统独立进行身份认证的模式在便利性与安全性方面存在诸多问题[6],统一身份认证平台是数字化校园建设的一个基础性平台,得到了广泛的应用。但是,随着隐私数据保护越来越受到重视以及信息系统网络安全要求的提高,传统基于口令的身份认证已无法满足智慧校园建设的需要,具体表现在如下方面。
⑴弱身份认证
传统认证方式主要基于用户名、密码认证方式,现实应用中广泛存在着弱口令、密码泄漏等问题,存在着较大的安全风险,对于业务系统的数据资产、隐私信息、业务逻辑等造成了潜在的安全隐患,不能适应当前业务信息化、数据化、智慧化发展的需求。
⑵实现强身份认证代价较高
针对用户名、密码方式的弱点,尽管传统身份认证已具备相应的解决方案,例如采用证书Key、提升密码强度、定期更换密码策略要求等,这些措施在一定程度上可以解决弱口令问题,但同时也增加了用户的使用负担,频繁更换密码会造成用户忘记密码,证书也存在携带不方便的问题等。
⑶身份认证与业务系统安全
目前学校系统架构体系中,身份认证系统通常只负责身份认证而不负责该身份的安全问题,也不负责与其他安全系统进行交互,造成了其他安全系统即使检测到安全问题,也无法快速确认攻击者信息,身份认证滞后于网络攻击与安全检测,使攻击者可以发起匿名攻击尝试。
⑷无法有效解决移动应用和公众号等统一认证
传统的身份认证平台主要来自于整合PC 端系统的身份认证,实现用户信息的统一认证、统一管理,对于移动互联网应用中新兴的应用如何实现统一身份管理,尚没有很好的解决方案。
⑸无法解决智慧校园下的多场景应用
随着智慧校园与物联网技术的发展,门禁、签到和支付等场景都需要联网进行实时在线处理,这类的应用具有软硬件结合的特点,是学校智慧应用的展现,而传统的统一身份认证平台主要满足业务系统整合的需要,无法广泛适应满足这类智慧终端的身份验证。
⑹业务系统集成统一身份认证困难
传统统一身份认证的接入主要依赖业务系统接口的二次开发,学校系统数量众多,运行平台和开发语言等差异化明显,而且业务系统的使用管理分散于各个业务部门,造成了开发接入的多重困难,耗费了大量的财力与物力。
解决传统身份认证问题主要从三个方面考虑:
⑴通过引入微信扫码、刷码和NFC 等交互认证方式,实现强身份认证,解决弱身份认证问题,同时兼顾易用性和普适性;
⑵通过整合身份认证与安全访问控制机制,实现基于身份认证的安全机制,解决身份认证的同时,提升系统的安全性;
⑶兼顾考虑智慧校园场景下的移动应用、公众号、智能硬件应用和传统应用的身份认证方式,实现可集成多类应用的身份认证模式。
随着移动互联网的发展,智能设备得到广泛的应用,尤其是智能手机得到了广泛的普及,使得基于智能移动终端设备的身份认证成为可能,而为了提供认证机制最大程度的普适性与易用性,基于智能手机进行身份认证能够更好的满足需求。移动互联网的高速发展使得移动应用APP 得到了广泛的使用,在微信平台上研发建设身份认证的功能,有如下优势:
⑴微信普及率高,使用频度高,使用门槛低;
⑵微信代表着用户的好友等社交关系,更有微信支付等金融属性,是个人身份信息的体现;
⑶微信平台是个开放式平台,基于该平台开发的应用,能够更好的得到普及和使用;
⑷微信自身具有较高的安全机制,例如绑定手机号、解锁密码等,有利于确保身份认证的安全性;
⑸微信扫码与刷卡等功能的支持与集成,有利于实现与其他智能设备的配合,实现更为丰富的认证功能。
总体来说,基于微信进行身份认证充分考虑了应用普及、使用门槛、安全属性和开发难易度等多方面因素,具备实现强身份认证的基础。
基于微信认证的访问是在用户和业务系统之间增加了身份认证与代理网关的中间件产品,其中身份认证系统负责用户的身份信息认证并颁发访问通行证,而代理网关主要有三项工作:一是负责验证通行证的有效性;二是与业务系统交换访问者身份信息的合法性,如果业务系统不允许用户访问,用户也会被阻止访问;三是负责用户与业务系统之间的通信中转,全程校验合法性并记录访问日志。上述过程的通俗解释是:如果一个造访者(用户)要访问某个被访者(业务系统),首先在门岗(身份认证平台)查验其身份证合法性,并且门岗会与被访者(业务系统)联系确认造访者(用户)的真实性后再放行。
基于上述原理可以确定,相对于传统模式,新的基于身份认证的安全访问模式具有如下优点:
⑴隔离机制,访问用户(黑客)与业务系统隔离,身份验证通过之前,无法访问到业务系统,消除了匿名攻击的隐患和直接攻击运行环境的可能性;
⑵强身份认证,身份认证系统使用基于微信的强身份认证机制,确保身份的合法性,降低了身份冒用的可能性;
⑶ 采用身份认证与业务系统认证双重校验的模式,具有更高的安全防护能力;
⑷全程具有带身份标识的访问日志,有利于日志回溯。
基于微信的强身份认证通过代理网关等整合机制,能有效解决传统认证存在的弊端,在提升了身份认证普适性和易用性基础上,有效的增强了集成业务系统的安全性。
校园微信认证是一个身份认证的综合性平台,主要包括四类子系统,分别为身份认证系统、集成网关类系统、身份应用类系统、平台管理系统等,其中身份认证系统是整个平台的基础性系统,负责完成平台人员身份的维护、校验、集成等,并向其他应用或业务系统提供身份认证类API服务。身份认证系统可通过不同套件支持多类身份绑定方式;集成网关类系统主要用于整合现有的业务系统,实现扫码登录业务系统并提升业务系统的安全性;身份应用类系统主要是基于微信身份认证信息的扩展应用,如会议签到、门禁和刷码就餐等;微认证管理系统负责平台管理运维工作,支持集成应用的管理、权限设置、日志追溯等相关功能,如图1所示。
本文通过对高校信息化建设中身份认证的问题进行分析,提出了以基于微信平台的统一身份认证系统建设方案,且该认证系统实现了与单点登录系统[7]对接,经过在北京科技大学的实际建设使用,目前已经覆盖了全体师生的身份认证场景,并接入了数十个教工和学生经常使用的业务系统,为师生员工登录各类子系统办理业务,尤其是移动办公方面,极大便利了师生员工访问学校各类信息化平台和网络资源,其安全性和易维护性也得到了验证。