智慧校园统一身份认证技术分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇智慧校园统一身份认证技术分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:在互联网技术高速发展的今天,建设数字化和智慧化校园的步伐不断推进,于是各种基于校园网的应用层出不穷,然而在不同应用“百家争鸣”的表面之下却也有着很多弊端,比如应用更新不及时、维护不及时、恶性漏洞多、每一个应用都需要频繁的登录验证等缺点,其中最令用户头痛的则是不同应用需要频繁登录验证的问题,这不符合智慧校园的要求。因此,建立一个统一的身份验证系统,对用户进行统一的管理、身份验证和授权,避免用户频繁的登录认证是建设智慧校园的一项重要的内容。
1 背景
智慧校园是校园数字化的一种高度发展的形式,或者说智慧校园与数字化校园在本质上没有区别,都是利用互联网技术对处于校园网的人进行统一的管理,因此派生了许多基于校园网方便师生的应用。虽然这些应用基于校园网,但是其本质依旧是一个个独立的系统,并且这些系统的管理员之间互不信任,因此就会出现面对不同应用用户得记忆不同的账号和密码,造成了在使用应用时的频繁登录与认证。比如在某高校,学生登录个人信息系统用的是自己的学号与密码A,学生登录学校图书馆时用的是自己的学号与密码B,学生用校园网上网时用的是自己的学号与密码C,虽然账号均为学生本人的学号,但是,密码却有三个,增加了记忆量,有的学校甚至在这些平台的登录上让用户使用不同的账号密码,也就是说虽然学校的个人查询信息平台、图书馆首页都是基于校园网而建立,但是相关的数据却互不通用,这不仅不能体现数字化校园给人带来的便利性,而且还会增加维护的困难,因此建立一个统一的管理、身份认证和授权的平台,使得用户可以使用一套账号密码“一键登录”一切基于校园网而建立的应用。
有人会有疑问,这些应用都用一套账号密码登录难道不会增加自身信息被盗取的危险?这种担心不是没有根据的,在多个应用使用相同的账号和密码确实会增加账号被盗取的风险,但是那是基于这些应用没有一个统一的数据库而言,而建立统一验证系统的本质即是建立一个总的用户数据库。
2 认证机制分类
2.1 用户口令认证
用户口令认证是一种早期的认证机制,一般用于早期的电脑系统中,现今也常用于某些对于安全性要求不高的系统中,比如Windows中的用户登录,pc的开机口令,Linux系统的用户登录等。其验证过程为,当遇到需要验证用户身份的操作时,用户输入相应口令,若用户输入的口令与系统中储存的口令一致时则通过验证,反之则拒绝用户的操作。但是其存在以下缺点:(1)验证方式简单容易被破解;(2)易被病毒截取口令;(3)口令泄露后用户不能及时察觉。
2.2 挑战-应答的认证
挑战-应答模式的作用过程为,当遇到需要认证用户的身份时,服务器会发送一串随机字符给用户,用户根据字符做出相应的回答然后将回答返回到服务器,若回答的结果与服务器结果相一致则用户通过验证,反之则终止操作或继续发送字符直到用户返回正确的结果。
该机制可以看作是口令认证的升级版,但是该机制因每次认证时都会发送不同的字符,因而不容易被攻击者破解,因此具有很高的安全性,但是用于每次验证时口令都是随机的,因而会浪费掉用户大量的时间。
2.3 Kerberos认证
Kerberos是一种认证协议,该协议的认证过程不依赖传统的主机操作系统的认证,亦不必基于对主机地址的信任,更不要求任一在网络上的主机都是安全的,该协议假定在网络上传输的数据包都是可以被任意读取、修改和扩充的。
Kerberos对信息进行的加密方式为对密钥加密,因此该认证方式提供了一个具有较高安全性的用户身份认证方式,其基本内容是,只要能够对信息进行正确解密的即是合法用户,用户在访问应用的服务器之前会先访问Kerberos(第三方)服务器以获取访问许可证。
该认证的运行环境可分为以下三部分:(1)密钥的分配中心:此
部分含有全部的用户账号信息,是整个系统的核心之处,并且提供两部分的服务,认证服务(Authentication Server, AS),以及票据授权服务(Ticket Granting Service, TGS)。(2)Kerberos的应用服务器:此部分用于接受用户的操作请求,验证用户,并且为合法用户提供相应的服务。(3)Kerberos的工作站:这部分的功能是将用户的登录时的密码转为该用户的长期密钥(秘密密钥)。
该认证方式的过程为:(1)用户A向AS做出要访问TGS的请求。(2)AS收到该请求并从用户的口令中导出密钥K-A进行加密,加密后只有用户能够解答。而后,向用户做出应答,内容包括:证明用户A身份的ID-tgs,A与TGS间会话所使用的密钥K-A-tgs,时间戳TS2,以及AS发放的Ticket-tgs(票据许可票据)。(3)A收到Ticket-tgs后,会向TGS发送请求,请求访问应用服务器服务。之后TGS使用K-tgs解密,导出用户A与自己会话使用的K-A-tgs,而后TGS进行数据比对确认A的身份。(4)TGS向A发出应答,应答内容为服务器X的身份ID-X,以及服务器与用户会话使用的K-A-X,服务许可票据Ticker-X。(5)A向服务器X出示认证符和服务许可票据,服务器解密票据后得密钥,利用该密钥确认A的身份。(6)最后服务器向A证明自己的身份。
由此可见,kerberos认证方式在于其能将用户的数据集中管理,是一种互相认证的机制,这可以大幅度服务器的维护成本。而且这种认证是双向的,不仅服务器要验证用户的身份,服务器还要向用户证明自己的身份。这样每次的密钥都不一样,因此可以防止非法服务器进行攻击。所以校园统一身份认证的认证机制采用kerberos认证较为适合。
3 其他框架
3.1 目录以及目录服务
目录服务即是按照树形信息组织方式来实现信息的管理和服务接口一种方式,所以目录服务是一种管理的工具也是用户的最终工具。在目录服务期间用户与服务器能够互相验证对方的身份。
3.2 Web Services
Web service是一种架构在XML技术基础上的程序集成技术,构筑Web service的主要技术为XML(可扩展标记语言)、SOPA(简单对象访问协议)、服务描述语言(WSDL)、统一描述、UDDI(发现和集成规范)。利用web service在各种异构平台的基础上搭建一个通用的平台。
3.3 Protal技术
由于在校园应用中有不同的操作系统、不同的数据库以及不同的开发平台,在建设智慧校园时应当使用一个统一的展现平台,而且还能够为用户提供定制的能力。而Protal技术即提供了这样一个平台,利用Protal技术可以实现的功能有:(1)内容聚合;(2)视图定制;(3)单点登录;(4)个性化服务;(5)可管理可配置等。
4 结束语
统一身份认证系统是建设智慧校园的重要部分,利用统一身份认证系统,用户可以不必记忆大量的账号和密码,可以用一个账号密码进行各个应用的登录,由于各应用服务器共同使用了一个数据库因此,可以大大降低服务器的维护成本,并且由于采用了互相认证的方式能够大大减少服务器被攻击的几率,而且统一认证系统比传统的认证系统显得更为可靠可以大幅度降低信息被盗用的风险。
参考文献
[1]王玮.数字化校园统一身份认证系统的研究与实现[D].北京邮电大学,2010.
[2]陈鸿.数字校园统一身份认证系统的研究与实现[D].电子科技大学,2013.
[3]王静然.结合人脸识别和RFID卡的考生身份认证系统的研究[D].太原理工大学,2013.
作者简介:狄宏林(1979-),男,吉林省延吉市人,本科,讲师,毕业于吉林大学,就职于东莞市广播电视大学,研究方向:数据挖掘、大数据分析。