统一身份认证技术在职校校园网中的应用

统一身份认证技术在职校校园网中的应用

作者：邵鹏飞

来源：《江苏教育·职业教育》2013年第12期

【摘 要】中等专业学校常用的身份认证技术认证强度薄弱，易受到非法用户的攻击，实现集中认证的统一身份认证服务的重要意义日渐凸显，而且在身份认证和集中认证的基础上实现单点登录功能，已经成为目前中等专业学校中应用系统的发展方向。因此统一身份认证在中等专业学校安全系统中的地位极其重要，认证强度需要得到进一步提高。 【关键词】校园网 统一身份认证 单点登录 一、校园网身份认证安全需求分析 （一）校园网身份认证的安全需求

中等专业学校应用系统中存在如下的使用者，领导、系统管理员、教职员工、学生等。系统管理员负责对应用系统的管理，包括用户管理、权限分配、应用系统维护等管理工作；领导包括各级部门的主管领导，他们有权访问重要信息内容，诸如财务状况以及学校的各项事务等很多敏感信息；教职员工是应用系统的信息管理者，负责信息的收集、整理和发布，执行应用系统中规定的工作流程，也可以说他们是应用系统的信息生产者；学生大多数是信息的浏览者，在某些应用系统中，学生也是信息生产者，如选课系统、图书借阅系统。这三种角色对应用系统的访问权限存在着明显的差别，他们对身份认证也有着完全不同的安全需求。 再者，中等专业学校校园网络更有着自己的特殊性：用户层次和计算机水平比较高，年龄结构相对偏轻，好奇心强，富于钻研精神和创造性，因此，网络的安全问题更为突出；校园网络环境相对开放，用户可通过有线局域网和无线局域网等多种方式接入数字校园网络，这无疑增加了安全隐患；用户基数大、数量多，对不同的应用系统具有不同的使用权限，从而在登录时对身份认证机制具有不同的安全需求；随着每年毕业生离校、新生入学，有相当大的用户流动性。

面对上述客观情况，如果对所有的校园网用户都采用强制身份认证机制（如基于数字证书的公共密钥认证机制），无疑是非常安全的一种方式，但是其实现十分复杂，对系统要求高，所需的建设和维护费用相当可观，在整个校园网范围推广应用是不适合的。若对所有的校园网用户采用简单身份认证机制（如基于口令的认证），虽有使用方便、实现简单的好处，又恐怕用户身份认证的安全性能达不到要求，特别是用户具有访问包含重要信息和敏感信息的应用系统的权限时，往往对身份认证机制有较高的安全性能要求。而如果在身份认证机制的选择上采取折中的方法，Kerberos身份认证机制似乎是一种不错的选择。Kerberos机制可以实现对于不同应用系统的统一认证，但认证过程相对复杂，用户量大时密钥管理困难，系统信息交换量

龙源期刊网 http://www.qikan.com.cn

大，也存在一定的缺点，而且在满足不同用户对身份认证的不同安全需求上，有点对上不足对下有余的感觉。

针对中等专业学校校园网的用户众多且对身份认证安全性能的需求存在明显区别这一具体情况，笔者提出在校园网统一身份认证服务中兼容三种不同强弱认证标准的认证机制，从而找寻到身份认证安全性能与效率及认证所需费用的平衡点。 （二）系统的设计思想

通过对校园网的服务现状分析，尤其是有关安全需求的分析，充分说明了建立校园网统一身份认证服务的必要性和可行性。以下从技术角度提出统一身份认证服务的几个设计原则： 首先，作为网络安全解决方案的一个组成部分，设计时，一方面要了解现有的系统，现有的系统是在不同的时间伴随着不同的技术背景建立起来的，有各种互异的运行平台和体系结构，而且也投入了大量的资金及人力物力，所以要保护现有的投资。现有的各应用系统往往都已经处于稳定运行期，统一身份认证系统的实现应该对各应用系统的登录认证体系冲击最小，各应用系统原有的登录流程依然可用，避免系统做大规模的变动；另一方面，系统要有可扩展性和可集成性，不仅要支持现有的应用，而且要能集成不带身份认证和用户管理的新应用系统，各应用系统之间应该是松散耦合的，且要具备灵活方便的使用模式。

统一身份认证作为网络安全体系的第一道屏障，它提供的用户认证和授权信息是其他安全应用系统所必需的重要资料。因此，作为一个中间环节，如何实现它和其他应用系统的有效集成是问题的关键所在。Web Services服务体系提供了一个有效的实现框架。由于Web服务固有的技术特点，利用Web服务体系，可以简单地实现各个系统之间的无缝整合，其完好的封装性、松散耦合、高度可集成性和简单性正适合于旧系统的整合和新系统的集成。

其次，从安全方面来考虑，由于用户登录方式的多样性，如通过不同的用户端或浏览器方式，不同角色的用户具有不同访问权限，从而需要相应安全级别的身份认证机制以适应其安全需求，所以设计时要提供某些不同安全级别的认证方式。

再次，从性能上考虑，由于LDAP服务器的特点和优势，LDAP目录服务器适合读密集型的数据，这使得读取速度比关系型数据库快一个数量级，能有效减少系统资源的消耗，提高系统的响应速度，所以可以考虑使用LDAP服务器存储用户账号信息、数字证书等数据。 二、双因素身份认证机制的实现

目前，利用证书的认证，即服务器使用证书证明自身的身份比较普通；用户端的认证如果都使用证书进行验证，系统的开销较大，费用较高。采用对称密钥作为认证的手段，代价较小，系统的安全性也可以得到基本的保障，比较适用于对认证安全需求不高的学生用户。 主要改进点：

龙源期刊网 http://www.qikan.com.cn

（一）用户端使用用户的身份标识、用户的固定口令以及用户生成的随机数生成一次性口令，但是这个口令并不以明文方式传输，而是作为一次性会话密钥。服务器端同样也生成一个自己的一次性会话密钥，这两个会话密钥用来加密认证过程发送的消息，所以用户的固定口令以及一次性口令都没有在通信线路上明文传输，除了用户，任何人包括服务器都不知道用户的固定口令，因此可以很好地保护用户的固定口令。

（二）实现用户端和服务器端双向认证。一次完整的身份认证过程中，用户端和服务器都各自生成一个随机数，并各自保存。用户端把自己的随机数以服务器知道的一次性口令进行加密，传送给服务器，服务器能够解密获得用户的随机数，并把获得的随机数以用户端知道的一次性口令加密，传送给用户端。如果用户端解密得到的随机数和用户端自己保存的随机数一样，则服务器的身份得到验证。这就是用户端验证服务器身份的过程，反之服务器验证用户端身份的过程也类似。

（三）实现通信双方协商密钥。用户端和服务器可以相互交换随机数，然后把双方都知道的用户端身份标识、用户固定口令、用户端随机数、服务器随机数这四个值连接后，进行Hash函数运算。把运算结果作为用户端和服务器的临时会话密钥，从而完成了通信双方的密钥协商。

随着校园网应用资源的不断增加，在身份认证和集中认证的基础上实现单点登录功能，已经成为目前中等专业学校中应用系统的发展方向。因此统一身份认证在中等专业学校安全系统中的地位极其重要，其当前的认证强度需要得到进一步提高。■ （作者单位：江苏省江阴中等专业学校） 文摘

依托“名师工作室”的教师网络学习模式探讨 一、网络学习中存在的问题

调查中发现在拥有丰富资源和较完善的技术条件下，教师对网络学习的利用率和参与的热情并不高。教师之间实现“交互”的质量与我们试图搭建的“学习共同体”相差甚远。同时，在调查中发现，教师对于“基于网络的教师培训模式”的认同度仅为23%，基于网络的教师培训形式也受到了学校领导者的许多质疑。 二、依托“名师工作室”的网络学习策略

（一）以“事件”作为学习活动的载体。将现实中的名师工作室作为依托，借助网络将其扩展成一个学习实践共同体。名师与青年教师之间进行知识的共享需要在交流、协作和“做中学”的过程中完成。这个过程就是一个“事件”，“事件”的中心就是指导。被指导教师在实践方面通过与他人进行日常、持续和个人间的相互作用而获益。

龙源期刊网 http://www.qikan.com.cn

（二）以实践性课程材料作为教师学习内容。课程材料是教师教学内容的载体，实践性课程材料是将新课程改革相关的理念嵌入到教师教学材料中，并把新课改要求的技能分布到教师每天的教学活动中。它不仅为教师提供了多种有效的教学方法，也为教师的学习和实践提供支持。

（三）学习支持。在网络学习环境下，由于个人信息素养和技术等方面的原因，学习者很容易产生孤独感和无助感而放弃继续学习。在这种情况下，学习支持成为决定学习成败的关键因素。

（王水玉、刘学伟 《当代教育科学》2011年第14期）