陈勇

三维认证模型在高校信息化管理的应用研究

陈勇

随着学校信息化工作建设的不断推进，信息化办公、信息化教学逐渐走入广大教师员工和学生中，信息化和大学、教师、学生的办公、教学、办公等领域变得日益紧密。但是，对于认证中的安全和便捷性问题研究变成一个难点和热点，分析和总结了基于时间认证等几种认证模式的特点，最终提出了一种基于身份、时间、地点的三维认证模型，并将该模型应用于学校信息化建设应用中，特别是基于课表的无线网络管理系统，提出了一种基于教师意愿的网络管理流程，为高校信息化管理提供了思路。

信息化；校园；管理

0 引言

随着校园信息化工作建设的不断推进，信息化办公、信息化教学逐渐走入广大教师员工和学生中，信息化和大学、教师、学生的办公、教学、办公等领域[1]变得日益紧密。信息化迎来大发展，学校网络硬件和软件逐步升级，无线进一步扩展，无线网络走进教室，无线网络逐渐深入校园每一处，针对各种需求催生出各种信息化系统，学校信息化建设引来大发展的同时也面临挑战，校园网络和信息安全问题，校园各种数字平台信息系统集成对接问题，信息系统孤岛问题，特别是学生账号上网的精细化控制问题等诸多的因素限制了校园信息化统一深入建设，为深化无线网络和学生课表的深层对接和管理[2-3]，本文提出一种基于上网时间、上网地点及上网身份的三维认证管理系统，依据教师灵活控制上课时间内允许学生上网与否来精细化控制特定课程特定的学生上网行为，将上课时间内是否开通上网的权限交付给老师，让无线网络的管理权限下放到教学工作的主导者，提升了网络精细化控制力度，改善了粗放似的信息管理制度，进一步保障网络认证安全，促进全校网络稳定，营造新型的无线网络课堂下的教学互动新模式[4-5]。

本文分别研究了基于身份认证模型、时间认证模型、地点认证模型，通过对其不足进行分析，确立了三维混合认证模型，从而进一步对上述模型进行应用研究，通过每种认证模型的具体实现方法，证明其在应用中的可行性，实现了数字校园认证的可靠、安全、可审计等特点[5-6]。

本文利用三维认证模型对数字校园内的相关应用进行分析，设计并实现了校园网无线认证系统、教学管理认证系统等，实际应用证明了三维认证模型可以保证数字校园认证的安全性，并依据该理论建立了一个基于身份、时间、地点的多维度的认证系统，使师生可以更加方便、可靠的使用数字校园中的各项应用。

1 学校网络现状和认证需求

1.1 学校网络架构现状

中国石油大学（华东）已经建立了一套支持IPV4/IPV6协议的有线网全覆盖，无线进教室进会议室进图书馆进学校重点公共区域，骨干千兆链路，部分核心达万兆链路的校园网。青岛校区承担黄岛区其他学校及教育行政部门的中国教育科研网络接入。学校网络约 23000处校园计算机网络接点，遍布两校区的所有办公楼、教学楼、院系馆、学生宿舍楼等。

目前学校网络逻辑划分为教学网、办公网、学生网；按照传输介质划分有线网、无线网。办公区有图文中心、逸夫楼、工科楼、体育馆、文理楼等5个大汇聚点，教学区有讲堂群、文理楼机房、多媒体学习中心等3个大的汇聚点。学生网有学2、学13、学19、研2等4个大的汇聚点。无线网中涵盖了学校所有教室，重要的公共场所，包括行政楼会议室、逸夫楼会议室、逸夫楼报告厅、图书馆、体育馆及学校室外热点区域等。

1.2 学校网络认证需求

目前数字校园的设计均是基于校内教职工和学生的身份进行身份认证的，此外，随着学校数字校园应用建设的逐步深入，已经建成的和将要建成的各种应用系统存在不同的身份认证方式，广大师生用户必须记忆不同的密码和身份。

为了解决多账户问题，使老师和学生使用信息化校园应用中的各个二级单位的应用子系统，便要求学校建立一整套可登录各个应用系统可对接互动的认证模型，使广大师生可以通过单点登录的方式顺利的使用学校内各个应用子系统，提升学校信息化应用效率。

综上所述，学校网络认证管理有如下认证需求：

要对各个认证系统做深入整合，包括校园网移动组、校园网联通组、校园网教育网组的认证整成统一的认证页面、统一的账号管理；

要对学生账号做到基于地域的差异化认证，做到在教学区域和宿舍区域不同的控制策略；

要对学生账号做到基于时间的网络权限控制，要依托上课时间，以任课老师为主体来决定特定的时间、特定的地点、特定的学生是否可以上网。

2 三维认证模型架构设计

2.1 基于时间的认证模式

时间认证模型一般有两种实现方法：

第一种方法是将应用启用或者访问的时间写入数据库，当用户访问时，将现在时间和数据库中的时间进行对比，如果在允许的时间范围内则允许对现有程序进行正常访问，否则提醒用户未在允许的访问时间内。

第二种方法是直接将程序停用，使得用户无法访问该程序，待时间到来时，再开放该程序的访问，访问时间结束后将程序移除。

第一种方法需要编程实现，实现较为复杂，好处是不需要人为控制，整体由程序控制，不会出现时间上的偏差，第二种方法需要人为控制，不需要程序，实现较为简单，但是时间上控制会有偏差，对时间要求严格的不可以使用该方法。

2.2 基于混合认证模式

在应用中混合认证模型是最常用的，而进行混合认证的时3种认证方式是串行在整个认证过程中，这种串行是没有先后顺序的，可以根据需要决定认证的先后顺序。此外，如果某一种认证模型不需要的话，可以跳过，这不会影响到整个认证过程如图1所示：

图1 混合认证流程

通常在混合认证中，会混合使用上述认证方法，例如身份认证会采用数据方式或者Ldap方式，时间认证方式采用数据库方式，地点认证采用程序控制方式。通常会在每种认证中选择一种方式，很少在一种认证中选择多种认证方式，因为控制不好会导致数据冲突，从而产生数据错误，使得用户获得错误的信息

2.3 三维认证模式设计

校园信息化系统中的统一身份认证平台主要是负责对门户及各个应用系统的身份和权限进行设计和管理，通过该平台可以保证各个应用子系统可以基于统一的模式开发、集中的环境运行，在运行后可以进行流畅的升级，这样便降低了各个系统的运行维护的成本。

通过认证平台的多角色的定义，使得校内师生及相关人员可以通过身份认证平台获得相应的身份，并有系统为师生及相关人员定义相关的业务，同时将与该人员无关的业务屏蔽。而管理员可以根据要求赋予相应人员的权限或者取消相应人员的角色，这样师生便可以在其所对应的权限范围内获得一定的数据以及指定的信息。

根据三维认证模型对应用进行认证设计，可以屏蔽与该应用无关的人，也保证该应用可以在合适的地点和适当的时间进行认证。通常的认证模型主要是强调对人的认证，即主要是人的身份是否正确，是不是应该做相应的操作，而认证过程并不单单是对人的认证的问题，对时间和地点的认证也非常关键。例如教师上课便是这种三维认证模型的具体表现，教师只能是教务处指定的教师在指定的时间到指定的教室内去上课，这时就不能用简单的对人的认证方式了，而应该采用这种三维的认证模型来确定了。根据三维认证模型会形成一个有认证单元组成的认证体的合集。即认证集 Au（Authentication）等于身份S（Status）、时间T（Time）和地点P（Place）的合集，如公式1所示：

由式（1）可以看出，实际上一个认证是由若干个认证群体组成的，这里面可以根据时间、身份、地点进行定义。这里面有3个比较特殊的情况：设定具有访问权限则设定为true，否则为false。所有人都可以访问该应用，那么定义S= true；任意地点或者IP地址都可以访问，那么定义P=true；任意时间可以访问，那么定义T=true。

3 三维认证模型在高校信息化建设中应用

3.1 基于课表的三维模型管理流程

结合前面研究，在基于时间、地点、对象的三维认证模型的架构下，如果希望控制学生在教学楼内上课时使用无线网，其相关的参数有身份认证（即必须是本人的账号才能登录），时间（上课时间不允许使用），地点（教学楼内），三者缺一不可如图2所示：

图2 与基于课表的无线网认证流程图

基于课表的无线网络控制主要是通过将教务处的学生课程表与无线认证系统的对接来实现的。具体的实现步骤如下：

第一步：定期同步教务处课表数据库至认证系统中；

第二步：定义每节课的起始时间；

第三步：在每节课的开始时判断是否禁用该学生的账号；

第四步：在每节课的结束时启用被禁用学生的账号。

3.2 基于教师意愿的三维模型管理流程

基于课表的无线网控制总流程为：

学生通过自己账号登录无线网，判断课表内是否有课，如果没有课，通过认证后使用无线网；

如果有课，判断任课老师是否允许使用无线网，如果没有定义，将按照默认设置禁用该帐号；

如果教师定义其可以使用无线网，该学生可以在该教师上课期间使用，直至下课，或者重新定义不允许使用无线网；

下课后，允许正常认证并使用无线网；下节课到来时，判断该生是否有课，如果有课，根据课表和教师预定义来判断是否允许使用无线网，如果不允许，则强制下线如图3所示：

图3 基于教师的无线认证流程图

3.3 实现效果图

基于教师的无线认证管理界面如图4所示：

图4 基于教师的无线认证管理界面

仅当有课教师才有权限登陆进入该界面，界面中的管理对象是该任课老师的班级所在的同学。

依托三维认证模型，该教师所拥有的权限是决定其所在班级拥有无限账号的学生在其上课期间是否拥有上无线网的权限。若是其需要开通权限，基于三维认证模型中的相关属性如下：时间是则该任课老师在特定的上课时间内；地点是无线网络覆盖下的教室；角色是该任课老师所任教的所有学生。依托三维模型对特定时间、特定地点及特定身份开通是否允许其上网的权限。

4 本文总结

本文针对校园网数字安全，特别是无线网络认证的多样性需求，提出了一种基于时间、地点、人物的三维认证模型，且将该模型深入推广到其他信息系统的身份集成应用中，为简化认证、安全认证做了有益贡献，确保校园信息化建设中信息系统集成的顺利实施，确保对学生账号的精细化控制，进一步提升信息化办公、信息化教学的效率。保证这些应用可以在合适的地点、合适的时间利用合适的身份进行可靠地认证。除了保证可靠性，也要在设计上着重页面的简洁性与操作的方便性，提供操作者更好的用户体验。

[1] 赵冶东.路由交换技术[M].北京:清华大学出版社,2011.

[2] Hill B. Cisco完全手册[M].北京:电子工业出版社,2002.

[3] China Education and Research Network [EB/OL].1993.

[4] 张宏科. IP路由原理与技术[M].北京:清华大学出版社,2000.72-94.

[5] 胡国荣.数字视频压缩及其标准[M].北京:北京广播学院出版社,1999.

[6] 沈兰荪,卓力,田栋,汪孔桥.视频编码与低速率传输[M].北京:电子工业出版社,2003.

The Usage of 3D M odel in App lication of the University Informatization M anagement

Chen Yong
(Internet and Education Technology Center, China University of Petroleum (East China), Qingdao 266580, China)

With the continuous progress of university informatization’s construction, informatization office, information teaching has gradually turned into the teachers’ staff and students, informationization and University, teachers, students, teaching office, office and other fields become increasingly closer. But for the safety and convenience of the certification to become a difficult and hot spot, this paper analyzes and summarizes the characteristics of several time certification based on patterns, finally presents the 3D authentication model, which based on the status, time place was applied to the construction of the school of information application, especially in w ireless network management system based on the schedule, proposed one kind based on the teachers' w illingness to network management process, and provides a way for the University Information Management.

Informatization; Campus; Management

TP393

A

2014.05.09）

陈勇（1968-），男，安徽省人，中国石油大学（华东）网络及教育技术中心，主任，高级工程师，研究方向：校园网络管理，青岛，266580

1007-757X(2014)11-0058-03