统一身份认证在高职院校校园网络安全的应用研究

2017-04-15刘玮

数字技术与应用 2016年12期

刘玮

摘要：身份认证是保证系统安全的一种常见技术。随着高校校园网应用系统数量的增加，身份认证技术方案的设计综合考虑系统安全和用户访问体验。本文以某高职院校校园网为例，充分考虑校高职院校园网应用系统的现实需求，设计了一种基于“三层架构”的统一身份认证方案，对高职院校校园网络安全建设具有一定的参考意义。

关键词：校园网规划信息化

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2016）12-0195-01

引言

在高校校园网建设中，一个好的校园网络接入身份系统是指能够为广大师生提供安全、便捷的接入服务，主要表现三个方面：1）在具有多个校区的网络环境中，能够提供可靠的身份认证服务；2）支持多种认证方式，如支持用户漫游的分布认证、单点登陆认证等多种认证方式，用户无论身处哪个校区，都可以一次接入认证后即可访问校内多个业务系统；3）具备大量的认证用户并发访问认证服务器时系统查以自动调配内存资源的能力（即具备良好的负载均衡能力。随着我国高等职业院校的快速发展，各高职院校不断扩大招生规模，并启动新校区建设。各院校在统筹建设新、老校区网络建设时，也都在研究安全、可靠、负载性能好的身份认证系统。本论文以某高职院校为例，设计了一个基于“三层架构”的校园网身份认证系统，对高职院校开发校园网络身份认证系统具有一定的参考价值。

1 校园网身份认证相关技术

1.1 Kerberosy认证

Kerberosy认证是在上世纪90年代伴随万维网的出现而诞生的经典身份认证技术。它提供了一种利用认证服务器（AS）实现客户端（Client）和服务器端（Server）相互認证的经典思路；为解决一次授权即实现多服务器登陆的问题，Kerberosy认证引入了票据授权服务（TGS - Ticket Granting Service），省去了多次认证的时空开销。因此，Kerberosy认证包括认证服务器（AS），客户端（Client）和普通服务器（Server）、票据授权服务（TGS - Ticket Granting Service）四个角色。

1.2 LDAP：轻量级目录访问协议

轻量级目录访问协议，是一种跨平台的目录服务技术，位于TCP/IP协议的上层，提供标准的服务接口，因此具有平台无关性，采用树状模式存储目录信息，每一条目录信息基于条目（Entry），条目在目录全局中具有唯一的身份标识并包含属性信息（一般比较精短），方便快速检索条目信息。由于身份认证中传递的多数都为短文本（加密）信息，因此LDAP协议的特别适合身份认证的需求，此特性使其在各种身份认证技术中得到广泛应用。

1.3 ICE中间件

Ice是Internet Communications Engine的简称，是一种面向对象的中间件平台，支持面向对象的RPC编程，其最初的目的是为了提供类似CORBA技术的强大功能，又能消除CORBA技术的复杂性。该平台为构建面向对象的客户-服务器应用提供了工具、API和库支持。ICE平台内嵌负载均衡功能，对于分布大多个节点上的应用服务提供多种负载均衡方案，只需要通过XML配置文件即可完成负载均衡配置。配置项包括Type （负载均衡类型）、Sampling interval（负载信息收集间隙）、Number of replicas（返回给客户端的适配器个数）。

2 基于三层架构的校园网身份认证模型

2.1 统一身份认证集成中存在的突出问题

目前，统一身份认证主要有网关模型、代理模型、经纪人模型等三种模型。网关模型中所有的应用系统都放在认证系统之后，虽然提高了应用系统的安全性，但也导致部分对用户权限要求并不高的应用系统不能很好地被用户访问，比较典型的如各高校专门为学生下载视频资源搭建的FTP应用。因此网关模型对用户访问应用系统资源具有一定的制约性。代理模型是用户通过代理服务器访问不同的应用系统，用户的访问权限由代理服务器控制，但用户的登陆信息在本地存储，存在信息泄露的危险。经纪人模型不存在前两种模型的缺点，但需要生成电子身份标识，认证开销比较大，对认证服务器性能要求较高。

2.2 “三层架构”统一身份认证模型的提出

本文结合某高职院校网络实际，提出了一种基于“应用层、服务层、数据层”的三层统一身份认证模式，该模式结合了LDAP、Kerberosy认证、ICE中间件三种身份认证技术。具体模型结构如图1所示。

应用层主要是用户（Client）端向应用服务器（Service）发出访问请求，应用服务器在收到后，将用户身份信息，通过中间件认证接口发送到认证服务器层，认证服务层采用Kerberosy认证，验证通过的用户可获得数据资源访问授权，通过LDAP技术，实现用户要访问的数据资源目录与LDAP目录同步，减少用户资源访问等待时间。三层架构的优点显而易见，将认服服务器与应用服务器分开，用户不再直接访问认证服务器，减轻了认证服务器的压力；LADP同步技术提高了数据访问效率，提升了用户体验；三层架构更容易配置。

3 结语

本文主要结合某高职院校校园网身份认证的需求，介绍了统一身份身份认证的相关技术，提出了一种基于三层架构的统一身份认证技术，包括应用层、服务层、数据层，具有逻辑结构清晰、访问效率高、配置方便的明显优点。通过在某高职院校校园网统统一身份认证的应用，师生反映校园网登陆等待时间减少，资源访问更加高效，证实该方案对高职院校校园网统一身份证具有重要的参考意义。

参考文献

[1]周苏，王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设，2015.

[2]张志锋.浅议高职院校校园网络的设计与开发[J].数字技术与应用，2014.

[3]黄诚.浅析高职院校计算机网络安全管理系统的设计与研究[J].魅力中国，2016.