刘 波，廖 娟，李松波

（四川广播电视大学，成都 610073）

云环境下校园网统一身份认证与授权策略研究

刘 波，廖 娟，李松波

（四川广播电视大学，成都 610073）

云计算技术使数字化校园呈现出高可用性和高扩展性特征。为解决云环境下入网认证与教学系统的统一身份问题，设计了基于校园云平台的统一身份认证及授权模型。通过锐捷入网认证三方接口开发了统一身份接口、授权策略和安全审计等中间件，在松耦合模式下与教学系统认证集成，解决了统一身份认证与系统授权问题；为访问日志库和审计规制提供了行为安全判定。

身份认证；访问控制；行为审计；单点登录

0 引言

近年来，随着信息技术和通信技术的高速发展，校园网正逐步呈现云端化、移动化和支持服务一体化等新特征。校园云环境是指利用网络虚拟化、服务器虚拟化和存储虚拟化等云计算技术，综合学校教学资源、教学管理和学生服务等教学系统，为教师和学生提供数字一体化服务。在《中华人民共和国网络安全法》第二十四条和第二十一条分别规定，“……支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”；“……按照规定留存相关的网络日志不少于六个月……”[1]。指出关键信息基础设施要实施重点保护。因此，在校园云平台的建设规划中，统一身份认证和单点登录是所有网络层和服务层的关键技术之一。

1 智慧校园建设现状和难点

1.1 智慧校园建设现状

高校信息化建设经历了三个阶段：首先是校园网互联，解决了校园网络物理链路，逐步建设有独立的教学管理系统；第二阶段是数字化校园建设，通过统一身份认证和单点登录技术，将校园内的管理系统和教学系统通过多种接口耦合，为师生提供统一门户；第三阶段是云环境下智慧校园建设，涵盖网络基础设施和教学系统的综合集成。当前，信息化校园建设从基础网络建设和孤立应用的构建，逐渐向集成的全局教学系统转变，而新的智慧校园是包括基础网络层、教学平台、系列化智慧服务在内的综合性校园生态，以云计算为核心、以高性能的宽带网络统一承载，向师生提供协同应用、深度融合的综合信息服务。

1.2 智慧校园建设难点

数字化校园应用系统随着当前的业务需求驱动而建设，对未来长期发展考虑不足；各种业务系统独立部署，互联互通标准化程度低；基础网络存在集成及优化的压力。

在数字化校园建设中，统一身份认证是包含了多类教学系统，采用多种软件接口实现数据层的用户信息基础数据统一。刘辉等利用开源软件CAS所实现的简易单点登录系统，解决了局域网多应用系统的用户集中管理与认证，使得用户输入一次用户名和密码便可访问多个Web应用[2]。崔晶重点阐述了Ticket的概念，使用开放的OpenLDAP构建身份认证系统，利用Struts和Spring框架进行开发，在统一身份验证平台上实现了统筹管理多类别账号信息[3]。殷娜提出了统一身份认证平台体系结构模型，利用目录服务技术实现对用户信息的快速查找，利用CAS实现用户的认证并登录，使得多应用系统可以方便切换[4]。袁海峰基于SAML的单点登录机制，使用认证服务、用户服务和应用系统Filter三层功能设计，给出了高校统一身份认证平台的体系架构[5]。从以上文献看出：校园统一身份认证在松耦合的系统设计下，通过集中用户身份代理提交解决不了多套用户体系的难题；而利用CAS和OpenLDAP软件构建的身份认证体系能解决伪单点登录问题，但对当前校园云平台统一身份认证和授权未提供合理的解决方案。

在校园云的建设中，陈萱华等分析跨域单点登录应有的基本功能，利用WebService技术封装原有系统和构建身份映射功能，使原有系统与新系统的认证实现无缝对接，采用多种措施实现了云环境下跨域跨平台的集中认证[6]。李港在FreeIPA安全组件和OpenStack基础上，提出一种私有云的身份管理方案，实现身份认证、授权和数据集中管理与审计[7]。上述文献利用WebService提供用户身份接口，实现教学系统间的松散耦合，可解决商业软件和自建软件的统一身份验证。而智慧校园或校园云的建设规划中，统一身份认证不仅服务于教学系统层，还包括了网络基础设施层。接入校园网的方式有有线、无线和VPN等多种方式，如何集成网络基础设施提供的入网认证和教学系统层的身份认证，利用多种软硬件接口实现网络层和数据层的用户基础数据统一，以实施用户行为授权的管理和安全审计，是当前云环境下实施统一身份认证和单点登录亟待解决的难题之一。

2 云用户行为授权方式

2.1 用户行为需求

在校园云规划初期，单点登录系统通过集中管理多套教学系统的用户验证方式能在形式上解决“信息孤岛”问题，但当用户信息需要变动时，这种伪单点登录就带来了身份验证和系统安全等系列问题。在校园云进化到智慧校园时代，通过嵌入系统的身份认证技术（API接口或WebService接口）能有效集成教学系统，形成统一的用户身份体系。但为保持用户的Ticket状态，需要安装多个插件，对应用的环境配置和信息安全要求较高。

当前基于云环境下的智慧校园建设中，校园网的用户行为有着新的需求。从面向对象来看：学生希望能通过Wifi和BLE等接入校园学习和生活服务；教师希望不用安装太多插件或系统配置，能方便地在校园内外进行教学和科研活动；管理人员希望尽可能保存访问安全日志，保障信息安全与事后安全审计。从使用范围来看：用户能在校园网外与校园网内有相同的服务，这就要求VPN登录与校园网用户体系的融合。在实施云用户统一身份认证过程中，有 Broker-Based、Agent-Based、Token-Based和 Gateway-Based等多种模型，分别有集中管理、三方认证、代理认证或应用网关等特征[8]。在高校云用户验证中，有的是通过硬件的物理信息来获取用户身份信息，也有的是通过安装认证软件通过用户身份验证；其入网认证采取硬件支持、软件通过的模式，而教学系统通过单建的统一用户进行身份认证。因此，云环境下的校园用户存在着两套身份体系，用户需要进行多种身份切换，也为网内实施用户行为统一授权和管理带来了极大不便，必须开发基于入网身份和教学系统统一的身份体系和认证技术。

2.2 用户访问控制

访问控制是指用户在云环境中访问教学系统需完成的权限策略，包括工作流或资源操作。在统一身份认证的基础上，用户能在教学系统和统一身份平台之间建立可信关系，使任何未通过统一身份认证的用户不能访问教学系统，在基于Token-Based的模型下甚至不能有效打开教学系统的链接或接口[8]。

用户通过统一身份认证访问可信教学业务系统，需要进行系统访问授权。当教学系统的数量较少时，可以通过自主访问控制（Discretionary access control，DAC）、强制访问控制（Mandatory access control，MAC）来构建访问控制模型[9]，但在大量教学系统和众多微程序的应用前提下，需用基于角色的访问控制（Role based access control，RBAC）或基于上下文的访问控制（Context based access control，CBAC）等构造权限体系[9-10]。无论利用哪种访问控制方式，均称为教学系统的集中授权模式。

校园云环境下教学系统内部功能授权可通过集中授权和分散授权两种策略实施[8，11]。集中授权策略中，单点登录门户和教学系统权限由身份认证和代理者共同完成；在分散授权策略中，教学系统权限仅由该系统本身控制，两种策略实质上均是基于用户认证统一认证和集中管理。校园云体系中的教学系统存在大量的授权行为和策略，集中实施会造成授权访问的巨大I/O吞吐量。本文采用基于RBAC的统一认证分散权限管理模式，仅需要嵌入部分接口程序代码，不需调整教学系统内部权限，可降低开发成本和开发时间。

3 校园云环境下统一身份认证及授权策略

构建基于校园云平台的统一身份认证及授权模型（Unified identity authentication and authorization model，UIAAM）需解决两个方面的问题：首先是支持网络基础设施架构的身份认证一体化平台，该平台支持多种入网身份认证手段，目前在高校中运用锐捷SAM软硬一体化解决方案较为普遍；其次是在入网认证的基础上进行身份识别和权限策略，同时基于统一身份认证开发身份管理、授权体系和行为安全审计。如图1所示，本文设计的模型由四部分构成：用户通过WIFI、蓝牙或VPN等方式接入校园网；中间件提供认证及授权服务；数据库及SAM提供入网硬件服务和审计日志；校园教育云平台为学校师生提供教学信息服务。

图1 校园云身份认证及授权模型

3.1 网络层SAM WebService接口

锐捷SAM是基于网络基础设施的一种入网身份认证软件，支持有线、无线网络、WEB、802.1X、PPPoE、IPoE等认证方式，能有效地在网络访问层进行身份准入，为系统开发人员提供第三方编程接口。利用其四种功能：WebService接口、数据导出接口、SAMSPI接口和存储过程接口，为业务系统提供基于HTTP协议的远程调用接口，但开发客户端需调用专用的动态库（C/C++）或jar文件（Java）[12]。

SAM提供了用户管理操作相关的数据结构和接口函数，在校园云环境下，通过入网身份关键字和接口可以获取用户身份认证信息，同时与教学系统进行松耦合，完成教学系统的身份识别，减少授权实施的硬件身份和软件身份统一的问题。如表1中开发接口关键定义了统一身份接口中间件、业务系统使用接口和网络运维接口，表中灰色部分定义表示仅对管理和运维有限度开放。

统一身份接口中间件SamWebService是对锐捷SAM第三方接口进行封装，如图1可分别构建轻量级用户信息库、用户访问日志库和统一身份接口及授权平台，为教学系统提供身份认证、用户同步、安全审计和授权策略等功能，教学系统可灵活实施网络身份识别或业务身份识别。由于其用户信息保存在统一用户信息库中，实现了校园网内外物理用户与逻辑用户的身份统一。在教学系统开发中，基于多种中间件接口方便运用在B/S或C/S模式中，同时支持.NET、PHP和C#多种开发环境，也支持身份信息的手动同步和信息变更相互推送。

3.2 身份管理及授权策略中间件

针对校外公网用户和VPN用户，模型UIAAM在SSO的基础上，将不同类型用户在LDAP身份信息库中进行标准统一，身份库架设在应用防火墙内且仅允许授信系统间访问，做到身份信息在校园云平台间的统一认证及安全隔离。

为达到整体模型的松耦合模式，模型单独构建了授权策略库，与身份信息库隔离，在与教学系统进行松耦合基础上采取分散授权模式。表2中提供了常见的基于角色的RBAC WebService中间件，用于软件系统注册、授权和撤销等操作，同时提供统一身份平台与软件系统间互信验证和用户访问系统日志，要求用户必须通过SSO授权而非直接访问教学系统。统一身份平台与教学系统间的Token-ring通过动态字符、时间戳、机器码和信息系统共同生产，用于两者互访的两次握手验证，避免通过非法途径访问非授权教学系统。

3.3 用户行为安全审计

模型UIAAM构架有独立的行为日志库，在SamWebService的统一身份接口、教学业务系统接口、运维接口、RbacWebService中间件和安全审计接口中均设计了用户行为日志收集，通过行为安全接口主动写入用户登录、教学系统间授权和教学系统内操作等安全日志，利用统一的日志接口构建用户标准行为记录，在统一身份管理平台中通过自定义的规制自动审核用户行为，或通过手工关键字方式查找用户行为进行访问判定分析。表2关键功能中设计有Ldap条目管理及同步、安全日志查询、制定安全日志规制和安全日志自动审计等接口。

表1 统一身份接口关键功能定义描述

表2 用户行为关键功能定义描述

4 结束语

模型UIAAM满足当前智慧校园的建设规划，利用位于网络访问层的锐捷SAM三方接口开发了统一身份认证接口、业务系统使用接口和授权策略接口，能有效解决硬件入网身份与教学业务系统身份统一问题，而RbacWebService接口严控统一身份平台与系统间的互信握手过程，其多个中间件接口记录行为日志可进行安全审计，使得基于松耦合的模型整体安全得以保证。通过测试，锐捷SAM三方接口能提供1K左右的并发，且本模型能通过多机分布处理提供更高的并发能力。下一步的工作主要是解决在校园外无插件的统一身份信息安全保存的问题，为用户行为提供权限快速缓存及判定机制。

［1］中国人大网.中华人民共和国网络安全法［EB/OL］.（2016-11-07）［2017-04-05］.http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

［2］刘辉，黄伟亮.一个简易单点登录系统的构建与实现［J］.河北软件职业技术学院学报，2013（3）：58-60.

［3］崔晶.统一身份认证系统的设计与实现［J］.天津职业院校联合学报，2014（4）：119-122.

［4］殷娜.数字化校园统一身份认证平台的构建［J］.计算机技术与发展，2014（8）：139-142.

［5］袁海峰.统一身份认证平台在高校信息化建设中的应用研究［J］.信息安全与技术，2015（8）：75-77.

［6］陈萱华，林淑玲，杨玲.云环境下跨域单点登录解决方案［J］.现代电子技术，2015（2）：49-52.

［7］李港.私有云环境下身份管理技术研究与实现［J］.北京电子科技学院学报，2014（12）：38-42.

［8］焦敬宽.青年创业服务支持平台统一认证授权关键技术研究与设计［D］.青岛：中国海洋大学，2013：38-40.

［9］R.S.Sandu，E.J.Loyne，et al.Role-Based Access Control Models［J］.IEEE Computer，1996（29）：38-47.

［10］周铜.CBAC访问控制技术［J］.中州大学学报，2003（2）：125-126.

［11］陈鸿.数字校园统一身份认证系统的研究与实现［D］.成都：电子科技大学，2008：42-44.

［12］锐捷网络.SAM+认证计费管理平台［EB/OL］.（2014-11-27）［2017-04-05］.http：//www.ruijie.com.cn/cp/yyxt-yygl/samx-jr.

Research on Unified Identity Authentication and Authorization Strategy of Campus Network in Cloud Environment

LIU Bo，LIAO Juan，LI Song-bo

（Sichuan Radio and TV University,Chengdu 610073,China）

Cloud computing brings high availability and high scalability to digital campus.In order to solve the problem of network authentication and teaching system in cloud environment,we designed a unified identity authentication and authorization model based on campus cloud platform.Through the three parties authentication Ruijie interface,the unified identity interface,authorization and security audit Middleware are developed,it is integrated with teaching system certification integration in loose coupling mode,and the unified identity authentication and system authorization strategy are solved.The access log database and audit rules provide the behavior security determination,which is helpful to the following study of the unified user identity in public network.

identity authentication;access control;behavior audit;single sign-on

TP393.08

A

1673-2022（2017）03-0004-04

2017－07－17

2017年成都哲学社会科学规划项目（2017R08）；2016年国家教育部重点课题（DCA160258）

刘波（1977-），男，四川渠县人，副教授，硕士，研究方向为信息安全和远程教育技术；廖娟（1973-），女，四川成都人，高级工程师，研究方向为管理信息系统；李松波（1978-），男，河南杞县人，高级工程师，硕士，研究方向为职业技术教育。