高校统一身份认证系统设计与实现

【摘要】    随着信息化的普及，高校已从数字化逐渐向智慧化转变。人员的身份数据是高校信息发展中最重要的一环，如果人员信息管理不当，容易出现校园信息管理的混乱甚至带来信息安全隐患。因此，需要一个便捷安全的身份认证平台，来规范高校的人员管理，并对校内各应用系统进行整合。该方案作为校级公共平台牢固信息发展的数据底座，对上层应用系统提供统一的身份认证服务。

【关键词】    身份认证    身份管理    认证管理    多因素认证

引言：

近年来随着互联网的飞速发展，我国在不断提升对网络信息安全的重视。高校的网络建设给校内师生提供了便捷高效的移动化办公和智能化教学，给校园生活添加色彩的同时，来自校内校外的危险也不容忽视，稍有不慎黑客、木马就会威胁到网络的安全性[1]。其中，师生个人身份信息的安全问题尤为突出。部分网络用户在网络访问时缺乏隐私保护意识，将敏感信息暴露在互联网上，导致个人信息泄露，严重威胁到师生的个人财产安全[2]。与此同时，形形色色应用系统的出现，记忆诸多用户名密码信息给师生带来困扰。因此，建设一个统一的身份认证入口，打好高校未来信息化发展的基础势在必行。

一、业务功能设计

平台整体架构设计如下图1所示：

1.身份数据源。身份信息是高校信息化发展的基础。用户数据与数据中心同步，实现一数一源，保障身份数据的统一性、权威性、规范性，降低了身份数据维护的复杂度，所有应用系统只需维护一套身份数据。

2.业务系统。支持各种接入协议，既能兼容老旧系统，又符合当前网络发展的趋势，为应用系统提供丰富的选择。接口接入、协议接入等多种方式以满足可扩展性。访问策略的管理，能够从源头进行安全管控，提供追踪审计。

3.用户。根据需求的差异，满足系统管理员、教职工、学生等各方的需要。

4.认证。满足当前师生的诉求，支持手机验证码、扫码登录等，以减少密码记忆的困扰。兼容传统的用户名密码以及当前主流的微信、钉钉等方式。增加密码找回、解冻申请等渠道，满足多样化需求。

（一）数据同步

伴随时代的发展，教育信息化也在持续推进，数据中心的建设已然被各高校视为重点项目，它将校园管理、科研发展、教育教学集成到一起，担负起数据的采集、汇总、管理、服务等服务，将校园内各信息系统数据信息集中式存储，并在此基础上进行共享和交换[3]。数据才是智慧校园数字化建设的本质，数据质量情况的好坏，直接影响到学校数字化建设以及后续的发展[4]。

身份数据是数据中心的核心数据，身份数据的质量关系到应用系统的使用。将身份数据纳入统一身份认证平台，一定程度上降低了业务系统建设的复杂性。需要使用自动同步、手动同步等多种方式保障数据中心与同统一身份认证系统身份数据同步的及时性与安全性。

（二）应用支撑

OneID完美解决了用户对身份管理的需求，统一身份认证系统是OneID的具体实现。该系统在提供身份鉴别的同时也完成了权限管控，用户在该数字化模式的工作体系下，一处登录即可实现多个应用系统的访问，这也是统一身份认证系统的意义所在[5]。顺应了师生对身份认证的需求，提升了师生的上网体验。对高校内部的应用系统进行了整合，规范了各系统的用户管理，支撑了高质量的应用系统建设。不仅可以实现用户认证的统一管理，而且能够将各个应用系统的认证进行统一管理，实现了校内信息资源的整合。同时，可以基于风险的认证机制，能实现访问时间段、访问地址、用户以及行为等动态认证，进而实现风险与灵活性的平衡，为高校信息安全保驾护航。

（三）单点协议

考虑到高校发展过程中遗留的老旧系统，但是也需要适应信息化未来发展的方向，统一身份认证系统除支持 OAuth2.0、CAS 协议之外，也支持 SAML、表单提交、简单代填、LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各种单点登录协议。一方面，可以覆盖到B/S、C/S模式的应用系统的访问权限管理，另一方面，也可以覆盖到主机访问权限、网络访问权限（包括上网行为认证、VPN使用、计费认证等）、数据库访问权限。

（四）多因素认证

随着业务的发展，高校应用系统越来越多，种类也越来越复杂。因此，统一身份认证系统应当充分考虑到实际需要，提供多种类别的认证方式，在兼容原有基于静态口令的认证方式的同时，还需要提供双因子模式下的高强度认证，也需要集成指纹等基于生物特征的新型认证方式（如对财务系统可开启基于口令叠加生物信息的多次认证）。用户可根据自身需要进行个性化选择，应用系统也可以根据项目特性选择认证强度，对于安全性要求高的应用系统可基于认证链进行多层级认证。进而实现用户认证的统一管理，为用户提供统一的认证门户，实现单点登录方式快捷访问校内的各类信息资源。

（五）身份周期管理

对教职工、学生进行完整的身份周期管理。管理教职工的入职、调岗、兼职、退休、返聘、离职等状态，对学生的在校状态进行实时监控，包括：在校、休学、病退、离校等状态。實现全生命周期闭环管理，用户账号可自动开通、变更和收回，同时对下游应用系统提供用户主数据供给。通过为用户提供自助式的密码找回、账号激活，可通过手机、邮箱、微信等方式进行密码找回，减少对人工客服的需求。师生的状态发生变动时，只需同步数据中心人员状态相关数据，就能实现快速响应，及时将变化的信息传递给各应用系统，方便师生的管理。

二、技术实现

（一）Oauth

利用 OAuth2.0 授权协议原理，实现在统一用户管理平台中以 OAuth 协议的方式与应用系统之间的单点登录功能。

OAuth访问流程：

1.用户访问客户端时，客户端要求用户进行授权。

2.用户点击同意操作后，授权客户端。

3.客户端获取到授权后，将授权信息提交给认证服务器进行令牌的申请。

4.认证服务器解析信息后对客户端完成认证后，验证通过，進行令牌发放。

5.客户端获取到令牌后，向资源服务器发送获取资源的申请。

6.资源服务器对令牌信息进行确认后，将对应的资源开放给客户端。

（二）以CAS做为SSO的基本实现

SSO访问控制流程：

1.服务访问：客户端请求对应用系统相应服务资源的访问。

2.定向认证：客户端将用户的请求重定向到服务器端。

3.用户认证：进行用户的身份信息认证。

4.票据发放：服务器端随机生成唯一的Service Ticket。

5.票据验证：服务器端对接收到的Service Ticket进行票据合法性验证，通过后，授权客户端对服务资源的访问。

6.用户信息传输：服务器端验证票据正常，将用户的票据认证结果传输给客户端。

在该协议中，所有与CAS的交互均采用安全套接层（Secure Sockets Layer，SSL）协议，确保Ticket的安全性。其中，CAS 客户端与服务器端二者间基于票据的交互和验证过程对使用者而言是透明的。

（三）安全机制

1. Kerberos认证模型。采用认证、SSO、开放授权协议，符合公认的Kerberos模型。

2. IP地址访问控制。提供强大灵活的基于IP地址的访问控制，根据实时需求对IP限制规则进行灵活配置，从而对非法用户的访问进行管控，保护内部敏感信息。

3.口令猜测锁定。提供口令猜测锁定功能，用户连续3次输入口令错误，系统将自动锁定该IP地址，一段时间内不允许再登录。

4.密码加密。对用户密码采取加密存储策略。

（四）搭建集群

通过微服务架构，采用分布式部署，如下图4所示：

1.负载均衡：采用基于软件的nginx技术进行请求分发。2.缓存：使用memcached或者redis进行数据缓存，缓解数据库压力。3.数据库：使用关系型数据库，进行双机热备，同时进行异地灾备。

三、结束语

本文建设的统一身份认证平台，是高校背景下的校级公共平台，以人员身份数据为枢纽打通了从底层数据中心到上层应用系统的通道。平台迎合了师生的对于信息系统易用性的需求，及时把握住了高校信息化的发展方向，使得高校的信息化建设更加安全、高效。系统提供的多因素认证的功能，满足了各应用系统的对接需要。全方位的安全控制，也保护了师生的信息安全，避免个人隐私数据泄露，捍卫了高校的网络信息安全。

作者单位：郭俊    武汉工程大学网络信息中心

参  考  文  献

[1]李伟强.论高校校园网的网络信息安全现状问题[J].现代商贸工业.2012（3）：240-241.

[2]王燕.网络信息安全保护措施[J].造纸装备及材料.2021（4）：71-73.

[3]王晓震，金培莉，陈瑛，宫旭，李海龙.高校数据中心数据安全风险分析及对策研究[J].北京联合大学学报.2021（3）：53-59.

[4]李超.智慧校园背景下高校数据中心研究与实践——以浙江师范大学为例[J].现代信息科技.2021（8）：195-198.

[5]陈胤梁，江峰，王莉.浅谈基于用户体验的校园统一身份认证系统优化.电脑知识与技术：学术版. 2021（9）：68-70