摘  要  随着数字化校园建设的逐步深入，办公系统、人事系统、财务系统、科研系统等应用系统也随之增加。但这些应用系统各自保存一套不同的用户身份认证方式，这一方面影响了用户使用的效率，同时也给校园管理系统协调各应用系统带来了极大地困难，给整个系统带来了很多不安全隐患。本文介绍的数字化校园统一身份认证系统的目的就是要解决不同的应用系统用户名和口令不统一的问题。    关键词  数字化校园；身份认证；数字网络 

1  数字化校园

    数字化校园的概念最早出现于1990年，由美国克莱蒙特大学教授凯尼斯·格林(Kenneth Green)发起并主持的一项大型科研项目“信息化校园计划”(The Campus Computing Project)。到1998年1月31日，美国前副总统戈尔(AL G0RE) 最先提出“数字地球”的概念，由此引出了“数字城市”、“数字校园”等各种概念。    数字化校园是数字化、信息化、智能化的统一，它在网络和数字化信息的基础上，利用机技术、网络技术和通讯技术对校园办公系统、人事系统、财务系统、科研系统以及设备管理系统等信息资源进行统一规划、统一管理，在传统校园基础上构建了一个数字化空间，使这些信息资源能够有序地运转，更好地为教学、科研、管理和生活服务。    随着信息网络技术的，信息网在逐渐的庞大，同时作为中心的大学对数字化校园网的建设也加紧了步伐。从一定意义上讲，校园网的建设是衡量一个高校综合实力的重要标志。学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心成星型分布，如图1所示。图1    建设数字化校园目的就是充分利用现代信息技术，提高信息利用效率，提高学校教学、办公管理的水平，实现学校信息化管理，为此在数字化校园的建设中使用统一接口、统一信息服务平台、统一身份认证系统的结合的显得尤为重要。建立统一身份认证系统，对用户的身份集中统一管理，保证用户身份的惟一性、真实性与权威性，大大提高了数字化校园应用系统的安全性。

2  统一身份认证系统

2.1  存在问题

    所谓身份认证，就是判断一个用户是否为合法用户的处理过程。而统一身份认证是针对统一网络不同应用系统而言，采用统一的用户电子身份判断用户的合法性。    数字化校园网络中各个应用系统完成的服务功能各不相同，有些应用系统具有较高的独立性，如财务系统，有些应用系统需要协同合作完成某个特定任务，如教学系统、教务系统等。由于这些应用系统彼此之间是松耦合的，各应用系统的建立没有遵循统一的数据标准，数据格式也各不相同，系统间无法实现有效的数据共享，于是便形成了网络环境下的信息孤岛。对于需要使用多个不同应用系统的用户来说，如果各系统各自存储管理一份不同的身份认证方式，用户就需要记忆多个不同的密码和身份，并且用户在进入不同的应用系统时需要进行多次登录。这不仅给用户也给系统管理带来了极大地不便。     随着现在信息技术的发展，校园网络提供的信息服务质量的提升，对信息安全性的要求也越来越高。同时对用户的身份认证、权限管理的要求相应地提高。原来各个应用系统各自为政的身份认证的方式难以达到这个要求。这就必须要有一个统一的、高安全性和高可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理，保证各应用系统基于统一的模式、集中的环境开发与升级，一方面降低了系统整体运行的维护成本，另一方面保证了整个校园系统能够随着平台的升级而同步升级，方便使用和管理，也保证了整个系统的先进性与安全性。

2.2  统一身份认证结构图

    统一身份认证系统，在统一门户和信息服务平台的基础上提供统一的用户管理、用户认证及安全保障服务，通过一个统一的应用系统用户管理接口，实现用户认证的统一集中化管理，做到真正意义上的集中认证。统一身份认证系统结构图如图2所示。图2    统一门户是数字化校园的总入口，各类用户通过门户进入高校应用系统，用户的信息管理采用集中式或分布式，对一个中央用户资料数据库进行统一管理。系统管理员可以将访问权限下放到各个级，通过管理权限的下放分派，就无须通过一个统一的窗口，可以简化应用系统用户管理模块的建设规模，可以快速实现对用户资料的更新，减少用户管理的工作量。用户通过认证系统就可以获得与其身份相对应的信息与服务。

2.3  用户认证服务

    统一身份认证系统采用的应用模式是统一认证模式，它是以统一身份认证服务为核心的服务模式。统一身份认证服务负责管理和分发用户的权限和身份，为不同的应用系统提供用户和权限管理服务。通过统一身份认证系统提供的用户统一的登录界面，在完成身份认证后无须再次登录就可以使用所有支持统一身份认证服务的其它信息服务系统提供的服务。统一身份认证服务流程如图3所示。图3    (1)用户访问应用服务器A。    (2)应用服务器通过统一认证接口，经过安全认证通道重定向至统一认证服务器。    (3)IE自动访问统一认证服务器的登录页面。    (4)未注册的用户在登录页面进行注册，信息将同时保存在认证服务期的用户信息数据库中统一保存，注册成功后用户输入自己的用户名和密码进行登录。    (5)统一认证服务器自动创建一个cookie，并提供用户的数字身份访问某个支持统一身份认证服务的应用系统。    (6)应用系统使用用户登录的数字身份核实用户身份的合法性，防止非法用户登录。    验证代码如下：    regist(ID，PW)；    if(ID) exit；     else        regist(ID，PW)->DB(ID，E_PW)；        app(URL，K)->AS；        U(ID，PW)->app；        app(U(ID，PW，T)，URL)->AS；        check(PW)；          if(true)            AS(H(U(ID，PW，T)，URL，K))；            AS(T，URL，K))->U；            U(H(U(ID，PW，T)，URL，K))；            if(AS(H(U(ID，PW，T)，URL，K))== U(H(U(ID，PW，T)，URL，K)))            Ok!；            Else            Exit；    (1)用户登录前进行注册，用户的身份标志为用户名ID和用户口令PW。    (2)在用户信息数据库中检查用户身份标志，若ID已经存在，则返回信息要求用户重新注册。    (3)将用户身份标志ID和口令PW存入信息数据库。为保证用户身份的安全性，在用户信息数据库中，不直接存取用户口令，而是采用CM加密体制进行加密后的密文。加密后的用户口令表示为E_PW。    (4)同时将各应用系统的URL和私钥K存储在认证服务器管理的应用服务数据库中 。    (5)用户登录后，应用系统将重定向至统一认证服务器，提取加密的用户口令，进行解密后与用户输入的口令进行对比，核实用户的身份。    (6)在认证服务器端生成用户身份标志ID，口令PW，登录时间T，应用服务器的URL以及解密密钥K的哈希函数值，同时将T，URL，K发送到客户端。    (7)用户端通过AS发来的T，URL，K，以及自己的身份标志，也生成一个哈希函数值。    (8)比较AS 和U两端的哈希函数值，如果相等则通过认证，否则，认证失败。

3  结论

    在当今信息化、智能化、数字化的校园的建设时代，传统的校园网络中的各个应用系统的独立已经大大的滞后校园信息化建设的，如何保证用户身份的惟一、资源的共享和数据的安全越来越重要，校园网络统一身份认证系统便成为数字化校园建设最为重要的环节。本文所介绍的基于数字化校园门户的统一身份认证系统具有良好的惟一性、可靠性和安全性，统一用户管理及认证服务系统为数字化校园的建设提供了有力的支持。当今的校园信息化建设正处于一个重要的阶段，随着技术的发展与网络建设的逐步深入，校园一卡通也迈步发展，基于校园信息化建设的身份认证技术必将逐渐完善而走向成熟。

[1]曹艳，王昊.高校信息管理系统中统一身份认证系统设计.南昌高专学报，2006，10[2]李蔚.数字校园统一身份认证系统的实现.科技资讯，2006，NO.20[3]胡心公，刘建民，东江宏，马玉贞.校园网络统一身份认证系统的结构及其应用.河南科技，2006，2[4]邓志宏，蔡海滨，蔡悦华.基于数字化校园门户的分布式身份认证系统研究.机工程与设计，2005，8[5]刘锋，吴华光.数字校园统一身份认证系统的研究.南工科技，2005，4[6]D lange，T Chang.IBM Aglets Workbench Programming Mobile Agents in Java[EB/OL].White Paper.IBM Corporation. http：//aglets.Trl.ibm.co.jp/white paper.htm.2004．