高校统一身份认证系统设计与实现

admin管理员组

文章数量:1530842

2024年4月28日发(作者：)

I

互联网+技术

nternet Technology

高校统一身份认证系统设计与实现

文|郭俊

【摘要】 随着信息化的普及，高校已从数字化逐渐向智慧化转变。人员的身份数据是高校信息发展中最重要的一环，如果人员信息

管理不当，容易出现校园信息管理的混乱甚至带来信息安全隐患。因此，需要一个便捷安全的身份认证平台，来规范高校的人员管理，

并对校内各应用系统进行整合。该方案作为校级公共平台牢固信息发展的数据底座，对上层应用系统提供统一的身份认证服务。

【关键词】 身份认证 身份管理 认证管理 多因素认证

引言：

近年来随着互联网的飞速发展，我国在不断提升对网络

信息安全的重视。高校的网络建设给校内师生提供了便捷高

效的移动化办公和智能化教学，给校园生活添加色彩的同时，

来自校内校外的危险也不容忽视，稍有不慎黑客、木马就会

威胁到网络的安全性

。其中，师生个人身份信息的安全问

题尤为突出。部分网络用户在网络访问时缺乏隐私保护意识，

将敏感信息暴露在互联网上，导致个人信息泄露，严重威胁

到师生的个人财产安全

[2]

。与此同时，形形色色应用系统的

出现，记忆诸多用户名密码信息给师生带来困扰。因此，建

设一个统一的身份认证入口，打好高校未来信息化发展的基

础势在必行。

一、业务功能设计

平台整体架构设计如下图１所示：

[1]

及当前主流的微信、钉钉等方式。增加密码找回、解冻申请

等渠道，满足多样化需求。

（一）数据同步

伴随时代的发展，教育信息化也在持续推进，数据中心

的建设已然被各高校视为重点项目，它将校园管理、科研发

展、教育教学集成到一起，担负起数据的采集、汇总、管理、

服务等服务，将校园内各信息系统数据信息集中式存储，并

在此基础上进行共享和交换

[3]

。数据才是智慧校园数字化建

设的本质,数据质量情况的好坏，直接影响到学校数字化建

设以及后续的发展

[4]

。

身份数据是数据中心的核心数据，身份数据的质量关系

到应用系统的使用。将身份数据纳入统一身份认证平台，一

定程度上降低了业务系统建设的复杂性。需要使用自动同步、

手动同步等多种方式保障数据中心与同统一身份认证系统身

份数据同步的及时性与安全性。

（二）应用支撑

OneID完美解决了用户对身份管理的需求，统一身份认

证系统是OneID的具体实现。该系统在提供身份鉴别的同时

也完成了权限管控，用户在该数字化模式的工作体系下，一

处登录即可实现多个应用系统的访问，这也是统一身份认证

系统的意义所在

[5]

。顺应了师生对身份认证的需求，提升了

师生的上网体验。对高校内部的应用系统进行了整合，规范

了各系统的用户管理，支撑了高质量的应用系统建设。不仅

可以实现用户认证的统一管理，而且能够将各个应用系统的

认证进行统一管理，实现了校内信息资源的整合。同时，可

以基于风险的认证机制，能实现访问时间段、访问地址、用

图 1 统一身份认证平台整体架构图

1.身份数据源。身份信息是高校信息化发展的基础。用

户数据与数据中心同步，实现一数一源，保障身份数据的统

一性、权威性、规范性，降低了身份数据维护的复杂度，所

有应用系统只需维护一套身份数据。

2.业务系统。支持各种接入协议，既能兼容老旧系统，

又符合当前网络发展的趋势，为应用系统提供丰富的选择。

接口接入、协议接入等多种方式以满足可扩展性。访问策略

的管理，能够从源头进行安全管控，提供追踪审计。

3.用户。根据需求的差异，满足系统管理员、教职工、

学生等各方的需要。

4.认证。满足当前师生的诉求，支持手机验证码、扫码

登录等，以减少密码记忆的困扰。兼容传统的用户名密码以

户以及行为等动态认证，进而实现风险与灵活性的平衡，为

高校信息安全保驾护航。

（三）单点协议

考虑到高校发展过程中遗留的老旧系统，但是也需

要适应信息化未来发展的方向，统一身份认证系统除支持

OAuth2.0、CAS 协议之外，也支持 SAML、表单提交、简单代填、

LDAP、cookie令牌、接口方式、NTLM、JWT、OIDC 等各种

单点登录协议。一方面，可以覆盖到B/S、C/S模式的应用系

统的访问权限管理，另一方面，也可以覆盖到主机访问权限、

网络访问权限（包括上网行为认证、VPN使用、计费认证等）、

数据库访问权限。

（四）多因素认证

随着业务的发展，高校应用系统越来越多，种类也越来

48

越复杂。因此，统一身份认证系统应当充分考虑到实际需要，

提供多种类别的认证方式，在兼容原有基于静态口令的认证

方式的同时，还需要提供双因子模式下的高强度认证，也需

要集成指纹等基于生物特征的新型认证方式（如对财务系统

可开启基于口令叠加生物信息的多次认证）。用户可根据自

身需要进行个性化选择，应用系统也可以根据项目特性选择

认证强度，对于安全性要求高的应用系统可基于认证链进行

多层级认证。进而实现用户认证的统一管理，为用户提供统

一的认证门户，实现单点登录方式快捷访问校内的各类信息

资源。

（五）身份周期管理

对教职工、学生进行完整的身份周期管理。管理教职工

的入职、调岗、兼职、退休、返聘、离职等状态，对学生的

在校状态进行实时监控，包括：在校、休学、病退、离校等

状态。实现全生命周期闭环管理，用户账号可自动开通、变

更和收回，同时对下游应用系统提供用户主数据供给。通过

为用户提供自助式的密码找回、账号激活，可通过手机、邮

箱、微信等方式进行密码找回，减少对人工客服的需求。师

生的状态发生变动时，只需同步数据中心人员状态相关数据，

就能实现快速响应，及时将变化的信息传递给各应用系统，

方便师生的管理。

二、技术实现

（一）Oauth

利用 OAuth2.0 授权协议原理，实现在统一用户管理平

台中以 OAuth 协议的方式与应用系统之间的单点登录功能。

图 2 OAuth访问流程

OAuth访问流程：

1.用户访问客户端时，客户端要求用户进行授权。

2.用户点击同意操作后，授权客户端。

3.客户端获取到授权后，将授权信息提交给认证服务器

进行令牌的申请。

4.认证服务器解析信息后对客户端完成认证后，验证通

过，进行令牌发放。

5.客户端获取到令牌后，向资源服务器发送获取资源的

申请。

6.资源服务器对令牌信息进行确认后，将对应的资源开

放给客户端。

（二）以CAS做为SSO的基本实现

SSO访问控制流程：

1.服务访问：客户端请求对应用系统相应服务资源的访

I

互联网+技术

nternet Technology

问。

2.定向认证：客户端将用户的请求重定向到服务器端。

3.用户认证：进行用户的身份信息认证。

4.票据发放：服务器端随机生成唯一的Service Ticket。

5.票据验证：服务器端对接收到的Service Ticket进行票

据合法性验证，通过后，授权客户端对服务资源的访问。

6.用户信息传输：服务器端验证票据正常，将用户的票

据认证结果传输给客户端。

在该协议中，所有与CAS的交互均采用安全套接层

(Secure Sockets Layer,SSL)协议，确保Ticket的安全性。其中，

CAS 客户端与服务器端二者间基于票据的交互和验证过程对

使用者而言是透明的。

图 3 SSO访问控制流程

（三）安全机制

1. Kerberos认证模型。采用认证、SSO、开放授权协议，

符合公认的Kerberos模型。

2. IP地址访问控制。提供强大灵活的基于IP地址的访

问控制，根据实时需求对IP限制规则进行灵活配置，从而

对非法用户的访问进行管控，保护内部敏感信息。

3.口令猜测锁定。提供口令猜测锁定功能，用户连续3

次输入口令错误，系统将自动锁定该IP地址，一段时间内

不允许再登录。

4.密码加密。对用户密码采取加密存储策略。

（四）搭建集群

通过微服务架构，采用分布式部署，如下图4所示：

图 4 统一身份认证系统部署图

（下转49页）

49

I

互联网+技术

nternet Technology

5G通信网络中基于BAT算法的

NOMA系统功率分配方法

文|吕雨桐

【摘要】 由于无线通信系统中频谱资源的稀缺性，优化资源分配的需求日益增加。非正交多址接入(Non-orthogonal multiple

access，NOMA)被认为是第五代移动通信网络(5G)的一种理想的多址方案，其特点是频 谱效率高，容量大，能为用户灵活的配置

无线资源。本文提出一种NOMA系统下的资源分配方案，目的是使系统的吞吐量最大化。将资源分配问题分成两个子问题：用户信

道分配问题和功率分配问题，提出一种基于BAT算法的最优功率分配方案。将提出的方案与基于粒子群优化的功率分配方案和随机

功率分配方案进行了比较。仿真结果表明，我们提出的方案在提高小区吞吐量方面表现更优。

【关键词】 5G NOMA 信道分配 BAT算法 功率分配

引言：

第五代无线通信网络 (5G)需要低延迟、高可靠性、用户

的大规模连接性，并在资源分配方面提高公平性

。NOMA

维护了用户的公平性，同时为频谱稀缺问题提供最佳解决方

案。此外，在下行链路NOMA中，在发射机处执行叠加编

码，而在接收机处执行串行干扰消除（Successive Interference

Cancellation，SIC），将不同用户的信号分离、解调。因此，

NOMA提高了系统的频谱效率和性能

[2]

，是5G网络中最有

前途和最重要的技术。

一、系统模型

假设我们的模型是一个单基站单天线系统，共有

N

个用

户，

K

个子信道。系统总带宽为

B

，将总带宽平均分给

K

个

子信道，则每个信道的带宽为

B

/

K

。让第

n

个用户占据第

k

个信道，

n

∈

(1,

N

)，

k

∈

(1,

K

) 。基站向每个子信道上发送

分配在该子信道上的用户的NOMA叠加信号。由NOMA协

议可以得到，发射端，从基站发送到第

n

个用户的叠加信号

y

1

为：

[1]

(1)

图1 系统模型图

其中，假设子信道

k

上分配的用户数为

M

k

，由基站发射

吕雨桐（1988.02.26-），男，汉族，吉林，硕士，工程师，研究方向：电子与通信工程。

（上接49页）

1.负载均衡：采用基于软件的nginx技术进行请求分发。

2.缓存：使用memcached或者redis进行数据缓存，缓解数

据库压力。3.数据库：使用关系型数据库，进行双机热备，

同时进行异地灾备。

三、结束语

本文建设的统一身份认证平台，是高校背景下的校级公

共平台，以人员身份数据为枢纽打通了从底层数据中心到上

层应用系统的通道。平台迎合了师生的对于信息系统易用性

的需求，及时把握住了高校信息化的发展方向，使得高校的

信息化建设更加安全、高效。系统提供的多因素认证的功能，

满足了各应用系统的对接需要。全方位的安全控制，也保护

了师生的信息安全，避免个人隐私数据泄露，捍卫了高校的

网络信息安全。

作者单位：郭俊 武汉工程大学网络信息中心

参 考 文 献

[1]李伟强.论高校校园网的网络信息安全现状问题[J].现代商贸工业.2012(3):240-241.

[2]王燕.网络信息安全保护措施[J].造纸装备及材料.2021(4):71-73.

[3]王晓震,金培莉,陈瑛,宫旭,李海龙.高校数据中心数据安全风险分析及对策研究[J].北京联合大学学报.2021(3):53-59.

[4]李超.智慧校园背景下高校数据中心研究与实践——以浙江师范大学为例[J].现代信息科技.2021(8):195-198.

[5]陈胤梁,江峰,王莉.浅谈基于用户体验的校园统一身份认证系统优化.电脑知识与技术：学术版. 2021(9):68-70

50

本文标签： 认证系统身份用户进行