高校数字证书统一身份认证系统分析与应用

黄海军

（云南工商学院 云南 651700）

0 引言

传统的高校校园网系统应用中，普遍采用的身份认证方式为“用户名+静态密码”进行验证；管理员在用户进行相关应用操作前，在应用服务器中建立一个文件，该文件存储了使用者的用户名信息，并将对应的密码、应用权限与用户名进行了绑定，当用户对应用进行操作时，应用服务器要求使用者提交“用户名+静态密码”，应用服务器在收到认证信息后，将认证信息与存储在服务器中的用户信息进行比对，以确认该访问者是否为合法用户，拥有哪些访问权限；认证之后，根据认证结果进行对应的下一步操作。

1 传统的口令式身份认证优点及缺陷

传统的口令式身份认证的优点是：一般常用的操作系统都能提供对口令认证的支持，对一些小规模的、封闭的内部系统来说，采用口令式认证是一种低成本的解决方案；但是，口令式的身份认证方式主要存在以下几种缺陷：

使用时泄密：静态密码在使用时，可能在输入过程中被窥视，也可能被“键盘钩子”等木马程序窃取。

传输过程泄密：在系统网络中，口令文件是以明文方式传输的，易在传输过程中被栏截，并分析破解。

密码特征化泄密：许多用户的密码设置常用容易记忆的字段，如用户的出生日期、电话号码、姓名缩写等。

密码通用性泄密：为防止遗忘密码或者在多种应用中将密码字段混淆，用户可能在多种应用系统（如：校园网系统、电子邮件系统、网上银行）中使用同一组静态密码；一旦有其中一个系统出现泄密，其他应用系统的账号也就存在危险。

可被暴力攻击破解：不少用户的静态口令设置简单，且长时间使用不进行更改，让黑客使用穷举式暴力破解提供了可能。

在高校校园网内自建CA认证中心，能够充分满足校园网系统的身份认证需求，提供足够的安全认证支持，还可以节约成本、便于管理和进行扩展。从长远来看，自建CA的成本远低于第三方CA提供相应服务的成本。

高校校园网是网络办公系统中很有代表性的一种，有明确的可信任的应用范围和基本确定的使用者范围，校园网自建的认证中心就是该校园网系统的权威数字认证中心。近几年国内教育界在这一领域的发展非常迅速，现在已经有很多高校都开始设计并建立了自己的数字证书认证中心，使得该技术逐渐走向成熟。在构建适合校园的数字证书认证系统时，系统的体系结构是要重点考虑的。校园网是独立的主体，其客户和服务群体基本上都信任学校权威中心，身份确认及授权均可最终由权威中心仲裁。在校园网系统中引入数字证书身份认证系统，能够解决当前校园网系统中面临的应用安全性、完整性和保密性问题，还能提供应用的强身份认证及操作的不可否认性。校园网身份认证系统是建立数字化校园的坚实基础，建立适用于校园网的身份认证系统模型，必须充分考虑校园网的特殊环境及特殊需求。

2 数字证书在校园网中的应用

云南工商学院目前使用的应用系统通常有：OA系统、教学系统、财务系统、门户系统、人事系统、学生工作管理、综合教务、邮件系统、图书管理等应用系统。目前校园网系统釆用的为B/S模式，为了实现基于数字证书身份认证功能在原有学院校园网系统中的应用，需要进行如下改造：

（1）在中心机房端，添加一台物理独立的服务器，将CA系统与校园网应用系统设为物理独立，作为身份认证系统的信任基础。

（2）在中心机房端，添加一台服务器，用于存放 LDAP目录服务系统，CA将用户的证书过期列表（CRL）添加到LDAP中，供身份认证网关进行身份认证时查询。

（3）对目前存放用户身份、口令等信息的服务器进行改造，添加统一用户管理系统，完成数字证书与原账号的映像关系绑定，供身份认证网关进行身份认证时查询。

（4）添加身份认证网关设备，网关与RA、LDAP、统一用户管理系统直接连接，同时再对网关进行注册配置，添加如下信息：

①应用登录页面的地址、端口等；

②网关需要向系统传递的信息进行认证。

（5）添加密码机，对在各系统之间传输的数据、信息等进行加密，确保数据传输的安全。

3 数字证书的获得

学院外语系新招聘英语专业教师李某为例，为了能让其使用校园网系统开展对应的业务，需要为李某申请数字证书，让她获得登录校园网应用的唯一身份标识。

管理员首先通过统一用户管理系统，为李某釆集其原始信息，如：姓名、专业、身份、邮件地址等。

李某到本系的注册中心（RA）提出数字证书申请，待审核通过后，RA将申请发送至CA。

管理员登陆CA，对RA发送的数字证书申请作出回应，为申请者颁发数字证书，将用户的证书文件交给李某；同时，将李某的证书信息添加到证书注销列表（CRL）中，并将李某的证书公钥也添加到LDAP目录服务系统中。

李某此时即获得了她在工商学院校园网中的业务身份，也是其唯一的应用身份标识。

4 数字证书统一身份验证

李某在获得数字证书后，进入教学管理系统，修改学生考试成绩，流程如下：

打开教学管理系统入口页面，应用服务器端检测后发现，李某并未进行登录随后对其访问请求进行重定向到身份认证网关，并要求李某出示她的数字证；身份认证网关在LDAP目录系统的支持下，完成对李某证书有效性的验证，验证通过后，身份认证网关从统一用户管理系统中获取她的账号、权限、属性信息等资料，并将验证结果返回教学管理系统，同时给李某发放本次访问的 Token；李某重新登录教学管理系统，教学管理系统又将用户所带的 Token重定向到认证网关，网关又对Token进行验证，判定用户是否已经通过身份认证，并且具备访问该应用系统的权限，身份认证网关将判定信息返回至教学管理系统，而后，李某便能登录教学管理系统进行操作；并且在此次验证后，李某还能直接访问其权限允许的各应用系统，不再需要进行登录验证。

为用户以及信息系统服务器颁发数字证书，PKI/CA中心承担起核对和验证各网络用户方身份；颁发、维护和管理数字证书，提供数字证书及CRL查询服务。基于数字证书建立统一身份认证系统，用于财务系统、邮件系统、科研管理系统等校园核心应用系统用户进行系统登录时的强身份认证、单点登录、应用级访问控制等应用安全加固功能。

5 总结

在高校校园网中建立一套安全防护系统为用户提供统一、安全的身份认证服务，并实现教学系统、人事系统、财务系统、综合教务、多媒体资源、网络教学、学生工作管理、邮件系统、ERP系统等业务系统单点登录，让用户使用安全的身份登录一次后就可以根据相关的策略访问业务系统资源，不需要重新输入业务系统用户名/密码等信息。并且业务系统都是独立部署，并且运行在不同的平台上。因此，数字证书验证系统确保高校校园网系统能够独立运行的前提下解决统一身份认证、单点登录的问题。

[1]黄剑飞.LDAP在校园网统一身份认证中的应用[D].江工业大学.2009.

[2]常潘.沈富可.于 LDAP的校园网统一身份认证的实现[J].算机工程.2007.

[3]段海新.校园网安全问题分析与对策[f].中国教育网络.2005.

[4]查贵庭，彭其军，罗国富.校园网安全威胁及安全系统构建[J].计算机应用研究.2005.

[5]开澄.计算机密码学——计算机网络中的数据保密与安全[M].第二版.清华大学出版社.2007.

[6]汤彬，胡浩民，向珏良.基于PK1身份认证技术的研究与实现[J].自动化仪表.2008.

[7]杨宇.基于PKI身份认证系统的研究和实现[D].成都：电子科技大学.2009.

[8]关振胜.公钥基础设施PKI与认证机构CA.电子工业出版社.2002.

[9]唐玲.数字证书系统的设计研究[D].合肥工业大学.2004.

[10]杨波，王常吉，段海新.基于PKI/PMI的校园网安全单一登录设计[J].计算机工程与应用.2004.