校园统一身份认证系统的实现原理

本文将从最基础的概念和方法入手，对校园统一身份认证系统的实现原理进行概观性描述，即：以平实的语言讨论这一关键系统的实现原理，以形象的图形展现与之相关的技术处理流程。旨在为数字校园建设的决策层人士提供有效的务实参考。

应用系统的集成，是顶层设计的技术架构思路的重要内容。而应用系统的集成，是由3个功能系统协同工作而得以实现的，即：校园统一身份认证系统、校园统一信息门户系统、校园统一公共数据系统。

这三个系统是数字校园建设的基础内容之一，在很大程度上决定了数字校园建设的成败。而为了建设校园统一信息门户系统，必须满足相应的基础前提和支撑：建立完备的校园统一身份认证系统。

统一身份认证系统提供的服务功能是：

Ⅰ. 身份认证和统一管理功能：为每一用户提供统一的电子身份，对数字校园用户进行集中统一的管理；

Ⅱ. 单点登录（即SSO，Single Sign-On）功能：用户只需一次登录，就可直接访问已经授权的任何校园应用系统；

Ⅲ. 双向认证功能：在安全的认证协议支持下，在服务器和用户端之间实现双向认证。

简而言之，校园统一身份认证系统的功能是：在数字校园中实现单点登录功能，给所有校园应用系统提供全局统一的用户认证和用户管理等功能。

身份认证系统的关键意义

从应用系统的视角来看，用户登录身份认证系统是具有关键意义的，这是指：

（1）首要意义在于提供了现实世界中用户的身份认证信息，验证了现实世界中的用户与应用系统中的账户之间的映射关系。虽然不同的应用系统有各自的功能实现领域，但是，在资源存取和资源配置的决策上，都是通过身份认证这一核心功能才得以实现的。

（2）其次，身份认证系统的审核日志会记录相关的安全风险信息、用户身份认证信息，对保障应用系统的安全性具有重要作用。

身份认证系统的基本方法和实现要素

身份，是指客观世界中特定用户的唯一实体信息，这种实体信息在计算机应用领域同样是一种重要的信息资源。

认证，指的是以权威的手段对用户的身份信息加以验证。

身份认证系统的主要功能就是验证用户身份信息的准确有效性，杜绝没有经过授权的非法资源访问行为。

一、身份认证的基本方法

从广义的角度来看，身份认证的基本方法有三类：

（1）验证用户的关键个人信息

比如，验证用户的账号和相应密码，验证问题和回答的完整匹配。众所周知，这种方法，在软件应用系统中得到了极其广泛的应用。

（2）验证用户的唯一性私人物品

比如，身份证、银行卡、钥匙等物品。这种方法，在现实世界里常见，而在IT应用系统中，也有相应的等同物，即：由权威的CA机构（Certificate Authority，数字证书认证机构）颁发的数字证书。

X.509证书是事实上的数字证书标准格式，在绝大多数网络安全应用中得到了广泛的使用，X.509使用数字证书对身份验证的方法有3类，即：双向认证、单向认证、三向认证。由此，统一身份认证系统的双向认证功能得以实现，即：在安全的认证协议支持下，在服务器和用户端之间实现双向认证。具体实现方法，见本文最后一节所述。

（3）验证用户的唯一性生理特征信息

比如，指纹识别、视网膜识别、人脸识别等。

二、身份认证的实现要素

完全通过访问控制系统去实现身份认证是不可行的，一个完备的身份认证系统必须有效地集成如下的实现要素。

（1）身份验证功能

标识和鉴别登录用户的身份，以此，确保信息和数据来源的合法性，这也是身份认证系统的核心功能。

（2）数据的完整性

在信息和数据的传输和存储过程之中，确保其不会被未授权地篡改，或者，在其遭遇篡改后能被迅速地发现并处理。

（3）数据的有效性（可用性）

经过授权的实体可以按预先的权限设置而访问数据。

（4）数据的保密性

只有经过授权的实体才可以访问相关数据。

（5）不可抵赖性（不可否认性）

确保信息和数据的制造者和发送者无法拒绝其曾执行的行为。

统一身份认证系统的概念

统一身份认证系统，是一种用户身份认证集成管理系统，对用户进行身份认证、提供身份认证统一通行证和相应的授权，以此，建立所有关联应用系统的统一身份认证管理，确保用户信息认证的真实有效。

各关联应用系统都有相应的保存和访问权限管理功能，统一身份认证服务器和用户信息统一数据库协同工作，统一管理各子系统的用户身份认证。

在集成用户身份认证方面，统一身份认证系统有一系列规范的客户端，可以采用多种认证手段，比如：账号密码认证、数字证书认证、一卡通认证等。不同级别的用户有各自不同的安全等级，统一身份认证系统会采取相应的安全保障措施，比如，密保措施、数字证书验证等。

在集成应用系统功能方面，统一身份认证系统提供唯一的操作接口，而不同的应用系统则提供各自的操作接口，一榫一卯，各关联应用系统就与统一身份认证系统集成在一起了，在紧密集成结构的保障下，各关联应用系统的安全性得到了充分的保障。

统一身份认证系统的工作流程

统一身份认证系统的主要功能是：

（1）统一管理用户的身份验证

避免在多个应用系统中反复登录，创建统一的标准客户端登录操作界面，创建统一身份认证系统的全局账号与既有的各关联应用系统的局域账号之间的映射关系，实现各关联应用系统的统一身份认证。

（2）统一管理用户对各关联应用系统的访问权限。

统一身份认证系统的系统架构及其关键工作流程如下图所示：

如上图所示，说明如下：

（1）用户提交访问某个关联应用系统的请求；

（2）使用应用认证接口，通过安全的传输渠道，应用系统将用户的认证信息传递至统一身份认证系统，进行用户身份认证；

（3）用户信息经过统一身份认证系统的验证后，将生成一系列的具有唯一性的用户端认证信息，据此，用户获取对所有关联应用系统的访问权。

瀚睿达信息科技专注身份认证、IT运维管理、日志分析管理服务等。