摘要

  目前,高校信息化建设已经由数字校园阶段转入智慧校园阶段。智慧校园的核心是通过整合资源、应用等,面向师生提供个性化服务,实现智慧化服务和管理。整合应用平台提供个性化服务首先需要准确的身份识别,因此身份认证是基础性功能,属于智慧校园的基础支撑平台,是提供个性化服务的前提。基于智能手机的移动端身份认证将具备更好的安全性、适用性和易用性,能够更好地满足智慧校园建设背景下各类应用整合身份的需求[1]。 ...

  目前,高校信息化建设已经由数字校园阶段转入智慧校园阶段。智慧校园的核心是通过整合资源、应用等,面向师生提供个性化服务,实现智慧化服务和管理。整合应用平台提供个性化服务首先需要准确的身份识别,因此身份认证是基础性功能,属于智慧校园的基础支撑平台,是提供个性化服务的前提。基于智能手机的移动端身份认证将具备更好的安全性、适用性和易用性,能够更好地满足智慧校园建设背景下各类应用整合身份的需求[1]

  基于二维码扫码、NFC等的认证方式,既能满足传统的应用系统身份认证集成需求,又能涵盖新型智能应用,无需用户记忆密码,降低用户使用负担,大大提升安全性,真正做到“一部手机通行校园”。

高校信息系统认证现状

  高校在不同时期建立了功能各异的信息系统,如教务系统、人事管理系统、学生管理系统、财务系统等,同时也带来了诸多问题。

  首先,用户经常需要登录不同系统,用户名、密码较多,耗费时间且不方便。

  其次,传统业务系统访问模式下,用户都是直接访问,而网络中也可以部署防火墙、入侵检测等安全产品。这种模式下用户通常能够通过网络接触到业务系统运行的环境。

  例如:业务系统的服务器、操作系统、Web容器等,由于构成业务系统的基础环境通常由多层构成,任意一个构成部分出现漏洞都会导致业务系统产生安全隐患,所以业务系统通常需要消耗大量的开发与维护精力来进行安全防范,但此类安全防范通常都属于事后补漏,并不能有效预防安全问题。

  最后,高校随着移动业务无线应用的增多,逐步建立了众多移动业务应用系统,用户可使用移动终端访问系统进行业务操作。但在此过程中,同样也面临身份认证、安全传输、抗抵赖等安全问题,因此亟需整合此类独立运行、分散管理的移动信息系统的身份认证,实现传统业务和移动业务的统一联合认证。

校园微认证平台

  校园微认证平台,通过对基于微信的强身份认证方式与基于身份认证安全访问的控制机制的整合,加之与业务系统的集成,最终实现了利用用户微信进行校园通行身份认证的模式。

  强身份认证方式

  平台主要通过以下方式保障强身份认证:

  1.微信是绑定了手机号码等信息并经过实名校验的应用,自身具有金融级安全能力,平台可借助微信的安全性提升自身运行环境的安全性。

  2.二维码等信息采用一次一密机制,有效期不超过2分钟。

  3.传输全部采用SSL加密,有效避免中间人攻击。

  4.数据全部实现学校本地化存储,避免身份信息外泄。

  5.身份认证方式是通过不同的终端设备进行交叉认证,如扫码模式是通过手机端验证电脑上的系统,此类认证模式符合国家计算机三级等级防护安全要求。

  基于身份认证安全访问控制机制

  平台基于身份验证的访问机制工作过程如下:

  第一步,微认证系统向用户发送二维码;

  第二步,用户通过微信扫描二维码,并确认身份A;

  第三步,系统向用户下发一次性通行身份证P;

  第四步,用户凭一次性通行证P向代理网关请求访问业务系统;

  第五步,代理网关向身份系统验证通行证P;

  第六步,代理网关向业务系统确认身份证A的访问权限;

  第七步,代理网关发放会话通行证K,用户通过通行证K与业务系统之间建立访问通道,进入正常访问模式。

平台建设的关键技术

  校园微认证平台的实现,得益于以下关键技术:

  微信开放平台

  微信开放平台是微信程序的开放式接入平台,提供微信登录、分享、支付等相关服务。企业或组织可借助开放平台提供的接入API使用微信,并向用户提供移动端服务,充分发挥微信使用广泛、覆盖面大、操作简单等优势。

  微服务架构

  微服务架构可以理解为把一个大型的单个应用程序和服务,拆分为数个甚至数十个微服务,它可扩展单个组件而不是整个的应用程序堆栈,从而满足服务等级协议。围绕业务领域组件来创建应用,可以实现应用的独立开发、管理和迭代。

  反向代理技术

  反向代理方式是指以代理服务器来接受Internet上的连接请求,然后将请求转发给内部网络上的服务器,并将服务器上得到的结果返回给Internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

  同时,反向代理方式与包过滤方式或普通代理方式并无冲突,因此可以在防火墙设备中同时使用这两种方式,其中反向代理用于外部网络访问内部网络时,正向代理或包过滤方式用于拒绝其他外部访问,并提供内部网络对外部网络的访问能力。

系统建设目标

  通过建设校园微认证平台,广大师生通过扫码即可完成业务系统的登录认证,既能保障应用系统网络安全,又能大大减轻传统记忆密码的负担和对安全的担忧,极大方便用户对信息系统的使用。同时,平台预留整合门禁、签到、就餐等多种场景的身份认证需求,有助于实现一部智能手机畅行校园的愿景。

  此外,微认证平台整合了强身份认证及基于身份认证的网络访问安全控制机制,既能大大降低应用系统自身的安全风险,又能有效拓展信息系统的网络服务范围,使其不再局限于校园网内访问,更好应对校园移动互联网的快速发展,极大方便广大师生,提升服务品质。

  本方案还将在以下四个方面带来显著的经济效益:

  1.降低用户因密码丢失、被盗用等带来的经济损失风险;

  2.基于身份的安全访问控制机制,降低信息系统的安全维护成本,减少诸如VPN等网络产品的投入与维护;

  3.通过一款产品的实施整合业务系统、手机应用、线下门禁与就餐等多种场景身份认证需求,避免身份认证的复杂化,减少分散整合的投入;

  4.集成校园微认证后的信息化产品可通过互联网服务,提升信息系统的访问范围,降低信息系统访问的复杂度,有效提升工作效率。

  本文通过对高校信息化建设中身份认证问题的分析,提出了基于微信平台的统一身份认证系统建设方案。此方案在北京科技大学进行建设适用,主要建设了管理系统、微认证系统、安全代理网关和负载均衡消息系统,也实现了部分基于在校人员身份的扩展场景应用,如会议签到、门禁、扫码支付和消费码就餐等。

  目前,该系统已经覆盖了全体师生的身份认证场景,并接入了人事管理系统、财务系统、教务系统和科研系统等数十个教工和学生经常使用的业务系统,为师生员工登录各类子系统办理业务,尤其是在移动办公方面,提供了极大便利。

微服务的特征定义

  微服务是面向服务体系架构(SOA)的自然演进,但微服务与SOA有所不同。以下是微服务的一些特征定义:

  ■在一个微服务架构中,服务是小型、独立、低耦合的;

  ■每个微服务都是单独的代码库,可以由一个小的开发团队管理;

  ■每个微服务都可以独立部署。一个团队无需生成和发布整个应用程序,取而代之仅更新已有的服务即可;

  ■每个微服务只负责使自己的数据或外部状态持久化。这与传统的模型不同,传统的架构模型需要一个独立的代码层来处理数据持久化;微服务之间通过具有明确界限的API来彼此通信,每个微服务内部的实现细节由服务隐藏;服务之间无需共享相同的技术栈、代码库或框架。

  参考文献
  [1]曹岩.高校信息化建设与精细化管理的研究[J].中阿科技论坛(中英文),2022,(01):94-97.

  作者:王翔(北京科技大学信息化建设与管理办公室)
  责编:陈荣

中国教育信息订阅号二维码
中国教育信息微信服务号