统一身份认证技术在职校校园网中应用.doc

统一身份认证技术在职校校园网中应用 　　【摘 要】中等专业学校常用的身份认证技术认证强度薄弱，易受到非法用户的攻击，实现集中认证的统一身份认证服务的重要意义日渐凸显，而且在身份认证和集中认证的基础上实现单点登录功能，已经成为目前中等专业学校中应用系统的发展方向。因此统一身份认证在中等专业学校安全系统中的地位极其重要，认证强度需要得到进一步提高。 【关键词】校园网 统一身份认证 单点登录 一、校园网身份认证安全需求分析 （一）校园网身份认证的安全需求 中等专业学校应用系统中存在如下的使用者，领导、系统管理员、教职员工、学生等。系统管理员负责对应用系统的管理，包括用户管理、权限分配、应用系统维护等管理工作；领导包括各级部门的主管领导，他们有权访问重要信息内容，诸如财务状况以及学校的各项事务等很多敏感信息；教职员工是应用系统的信息管理者，负责信息的收集、整理和发布，执行应用系统中规定的工作流程，也可以说他们是应用系统的信息生产者；学生大多数是信息的浏览者，在某些应用系统中，学生也是信息生产者，如选课系统、图书借阅系统。这三种角色对应用系统的访问权限存在着明显的差别，他们对身份认证也有着完全不同的安全需求。 再者，中等专业学校校园网络更有着自己的特殊性：用户层次和计算机水平比较高，年龄结构相对偏轻，好奇心强，富于钻研精神和创造性，因此，网络的安全问题更为突出；校园网络环境相对开放，用户可通过有线局域网和无线局域网等多种方式接入数字校园网络，这无疑增加了安全隐患；用户基数大、数量多，对不同的应用系统具有不同的使用权限，从而在登录时对身份认证机制具有不同的安全需求；随着每年毕业生离校、新生入学，有相当大的用户流动性。 面对上述客观情况，如果对所有的校园网用户都采用强制身份认证机制（如基于数字证书的公共密钥认证机制），无疑是非常安全的一种方式，但是其实现十分复杂，对系统要求高，所需的建设和维护费用相当可观，在整个校园网范围推广应用是不适合的。若对所有的校园网用户采用简单身份认证机制（如基于口令的认证），虽有使用方便、实现简单的好处，又恐怕用户身份认证的安全性能达不到要求，特别是用户具有访问包含重要信息和敏感信息的应用系统的权限时，往往对身份认证机制有较高的安全性能要求。而如果在身份认证机制的选择上采取折中的方法，Kerberos身份认证机制似乎是一种不错的选择。Kerberos机制可以实现对于不同应用系统的统一认证，但认证过程相对复杂，用户量大时密钥管理困难，系统信息交换量大，也存在一定的缺点，而且在满足不同用户对身份认证的不同安全需求上，有点对上不足对下有余的感觉。 针对中等专业学校校园网的用户众多且对身份认证安全性能的需求存在明显区别这一具体情况，笔者提出在校园网统一身份认证服务中兼容三种不同强弱认证标准的认证机制，从而找寻到身份认证安全性能与效率及认证所需费用的平衡点。 （二）系统的设计思想 通过对校园网的服务现状分析，尤其是有关安全需求的分析，充分说明了建立校园网统一身份认证服务的必要性和可行性。以下从技术角度提出统一身份认证服务的几个设计原则： 首先，作为网络安全解决方案的一个组成部分，设计时，一方面要了解现有的系统，现有的系统是在不同的时间伴随着不同的技术背景建立起来的，有各种互异的运行平台和体系结构，而且也投入了大量的资金及人力物力，所以要保护现有的投资。现有的各应用系统往往都已经处于稳定运行期，统一身份认证系统的实现应该对各应用系统的登录认证体系冲击最小，各应用系统原有的登录流程依然可用，避免系统做大规模的变动；另一方面，系统要有可扩展性和可集成性，不仅要支持现有的应用，而且要能集成不带身份认证和用户管理的新应用系统，各应用系统之间应该是松散耦合的，且要具备灵活方便的使用模式。 统一身份认证作为网络安全体系的第一道屏障，它提供的用户认证和授权信息是其他安全应用系统所必需的重要资料。因此，作为一个中间环节，如何实现它和其他应用系统的有效集成是问题的关键所在。Web Services服务体系提供了一个有效的实现框架。由于Web服务固有的技术特点，利用Web服务体系，可以简单地实现各个系统之间的无缝整合，其完好的封装性、松散耦合、高度可集成性和简单性正适合于旧系统的整合和新系统的集成。 其次，从安全方面来考虑，由于用户登录方式的多样性，如通过不同的用户端或浏览器方式，不同角色的用户具有不同访问权限，从而需要相应安全级别的身份认证机制以适应其安全需求，所以设计时要提供某些不同安全级别的认证方式。 再次，从性能上考虑，由于LDAP服务器的特点和优势，LDAP目录服务器适合读密集型的数据，这使得读取速度比关系型数据库快一个数量级，能有效减少系统资源的消耗，提高