48
I
nternet  Technology
互联网+技术
引言:
近年来随着互联网的飞速发展,我国在不断提升对网络信息安全的重视。高校的网络建设给校内师生提供了便捷高效的移动化办公和智能化教学,给校园生活添加彩的同时,来自校内校外的危险也不容忽视,稍有不慎黑客、木马就会威胁到网络的安全性[1]
。其中,师生个人身份信息的安全问题尤为突出。部分网络用户在网络访问时缺乏隐私保护意识,将敏感信息暴露在互联网上,导致个人信息泄露,严重威胁到师生的个人财产安全[2]。与此同时,形形应用系统的出现,记忆诸多用户名密码信息给师生带来困扰。因此,建设一个统一的身份认证入口,打好高校未来信息化发展的基础势在必行。
一、业务功能设计
平台整体架构设计如下图1所示:
图 1    统一身份认证平台整体架构图
1.身份数据源。身份信息是高校信息化发展的基础。用户数据与数据中心同步,实现一数一源,保障身份数据的统一性、权威性、规范性,降低了身份数据维护的复杂度,所有应用系统只需维护一套身份数据。
2.业务系统。支持各种接入协议,既能兼容老旧系统,又符合当前网络发展的趋势,为应用系统提供丰富的选择。接口接入、协议接入等多种方式以满足可扩展性。访问策略的管理,能够从源头进行安全管控,提供追踪审计。
3.用户。根据需求的差异,满足系统管理员、教职工、学生等各方的需要。
4.认证。满足当前师生的诉求,支持手机验证码、扫码登录等,以减少密码记忆的困扰。兼容传统的用户名密码以
高校统一身份认证系统设计与实现
文|郭俊
【摘要】    随着信息化的普及,高校已从数字化逐渐向智慧化转变。人员的身份数据是高校信息发展中最重要的一环,如果人员信息管理不当,容易出现校园信息管理的混乱甚至带来信息安全隐患。因此,需要一个便捷安全的身份认证平台,来规范高校的人员管理,并对校内各应用系统进行整合。该方案作为校级公共平台牢固信息发展的数据底座,对上层应用系统提供统一的身份认证服务。【关键词】    身份认证    身份管理    认证管理    多因素认证
及当前主流的、钉钉等方式。增加密码回、解冻申请等渠道,满足多样化需求。
(一)数据同步微软数据库认证
伴随时代的发展,教育信息化也在持续推进,数据中心的建设已然被各高校视为重点项目,它将校园管理、科研发展、教育教学集成到一起,担负起数据的采集、汇总、管理、服务等服务,将校园内各信息系统数据信息集中式存储,并在此基础上进行共享和交换[3]。数据才是智慧校园数字化建设的本质,数据质量情况的好坏,直接影响到学校数字化建设以及后续的发展[4]。
身份数据是数据中心的核心数据,身份数据的质量关系到应用系统的使用。将身份数据纳入统一身份认证平台,一定程度上降低了业务系统建设的复杂性。需要使用自动同步、手动同步等多种方式保障数据中心与同统一身份认证系统身份数据同步的及时性与安全性。
(二)应用支撑
OneID 完美解决了用户对身份管理的需求,统一身份认证系统是OneID 的具体实现。该系统在提供身份鉴别的同时也完成了权限管控,用户在该数字化模式的工作体系下,一处登录即可实现多个应用系统的访问,这也是统一身份认证系统的意义所在[5]。顺应了师生对身份认证的需求,提升了师生的上网体验。对高校内部的应用系统进行了整合,规范了各系统的用户管理,支撑了高质量的应用系统建设。不仅可以实现用户认证的统一管理,而且能够将各个应用系统的认证进行统一管理,实现了校内信息资源的整合。同时,可以基于风险的认证机制,能实现访问时间段、访问地址、用
户以及行为等动态认证,进而实现风险与灵活性的平衡,为高校信息安全保驾护航。
(三)单点协议
考虑到高校发展过程中遗留的老旧系统,但是也需要适应信息化未来发展的方向,统一身份认证系统除支持 OAuth2.0、CAS 协议之外,也支持 SAML、表单提交、简单代填、LDAP、cookie 令牌、接口方式、NTLM、JWT、OIDC 等各种单点登录协议。一方面,可以覆盖到B/S、C/S 模式的应用系统的访问权限管理,另一方面,也可以覆盖到主机访问权限、网络访问权限(包括上网行为认证、VPN 使用、计费认证等)
、数据库访问权限。
(四)多因素认证
随着业务的发展,高校应用系统越来越多,种类也越来
49
I
nternet  Technology
互联网+技术
问。
2.定向认证:客户端将用户的请求重定向到服务器端。
3.用户认证:进行用户的身份信息认证。
4.票据发放:服务器端随机生成唯一的Service Ticket。
5.票据验证:服务器端对接收到的Service Ticket 进行票据合法性验证,通过后,授权客户端对服务资源的访问。
6.用户信息传输:服务器端验证票据正常,将用户的票据认证结果传输给客户端。
在该协议中,所有与CAS 的交互均采用安全套接层(Secure Sockets Layer,SSL)协议,确保Ticket 的安全性。其中,CAS 客户端与服务器端二者间基于票据的交互和验证过程对使用者而言是透明的。
图 3    SSO 访问控制流程
(三)安全机制
1. Kerberos 认证模型。采用认证、SSO、开放授权协议,符合公认的Kerberos 模型。
2. IP 地址访问控制。提供强大灵活的基于IP 地址的访问控制,根据实时需求对IP 限制规则进行灵活配置,从而对非法用户的访问进行管控,保护内部敏感信息。
3.口令猜测锁定。提供口令猜测锁定功能,用户连续3次输入口令错误,系统将自动锁定该IP 地址,一段时间内不允许再登录。
4.密码加密。对用户密码采取加密存储策略。(四)搭建集
通过微服务架构,采用分布式部署,如下图4所示:
图 4    统一身份认证系统部署图
(下转49页)
越复杂。因此,统一身份认证系统应当充分考虑到实际需要,提供多种类别的认证方式,在兼容原有基于静态口令的认证方式的同时,还需要提供双因子模式下的高强度认证,也需要集成指纹等基于生物特征的新型认证方式(如对财务系统可开启基于口令叠加生物信息的多次认证)。用户可根据自身需要进行个性化选择,应用系统也可以根据项目特性选择认证强度,对于安全性要求高的应用系统可基于认证链进行多层级认证。进而实现用户认证的统一管理,为用户提供统一的认证门户,实现单点登录方式快捷访问校内的各类信息资源。
(五)身份周期管理
对教职工、学生进行完整的身份周期管理。管理教职工的入职、调岗、兼职、退休、返聘、离职等状态,对学生的在校状态进行实时监控,包括:在校、休学、病退、离校等状态。实现全生命周期闭环管理,用户账号可自动开通、变更和收回,同时对下游应用系统提供用户主数据供给。通过为用户提供自助式的密码回、账号激活,可通过手机、邮箱、等方式进行密码回,减少对人工客服的需求。师生的状态发生变动时,只需同步数据中心人员状态相关数据,就能实现快速响应,及时将变化的信息传递给各应用系统,方便师生的管理。
二、技术实现
(一)Oauth
利用 OAuth2.0 授权协议原理,实现在统一用户管理平台中以 OAuth 协议的方式与应用系统之间的单点登录功能。
图 2    OAuth 访问流程
OAuth 访问流程:
1.用户访问客户端时,客户端要求用户进行授权。
2.用户点击同意操作后,授权客户端。
3.客户端获取到授权后,将授权信息提交给认证服务器进行令牌的申请。
4.认证服务器解析信息后对客户端完成认证后,验证通过,进行令牌发放。
5.客户端获取到令牌后,向资源服务器发送获取资源的申请。
6.资源服务器对令牌信息进行确认后,将对应的资源开放给客户端。
(二)以CAS 做为SSO 的基本实现SSO 访问控制流程:
1.
服务访问:客户端请求对应用系统相应服务资源的访
50
I
nternet  Technology
互联网+技术
(上接49页)
1.负载均衡:采用基于软件的nginx 技术进行请求分发。
2.缓存:使用memcached 或者redis 进行数据缓存,缓解数据库压力。
3.数据库:使用关系型数据库,进行双机热备,同时进行异地灾备。
三、结束语
本文建设的统一身份认证平台,是高校背景下的校级公共平台,以人员身份数据为枢纽打通了从底层数据中心到上
层应用系统的通道。平台迎合了师生的对于信息系统易用性的需求,及时把握住了高校信息化的发展方向,使得高校的信息化建设更加安全、高效。系统提供的多因素认证的功能,满足了各应用系统的对接需要。全方位的安全控制,也保护了师生的信息安全,避免个人隐私数据泄露,捍卫了高校的网络信息安全。
作者单位:郭俊    武汉工程大学网络信息中心
参  考  文  献
[1]李伟强.论高校校园网的网络信息安全现状问题[J].现代商贸工业.2012(3):240-241.[2]王燕.网络信息安全保护措施[J].造纸装备及材料.2021(4):71-73.
[3]王晓震,金培莉,陈瑛,宫旭,李海龙.高校数据中心数据安全风险分析及对策研究[J].北京联合大学学报.2021(3):53-59.[4]李超.智慧校园背景下高校数据中心研究与实践——以浙江师范大学为例[J].现代信息科技.2021(8):195-198.[5]陈胤梁,江峰,王莉.浅谈基于用户体验的校园统一身份认证系统优化.电脑知识与技术:学术版. 2021(9):68-70
引言:
第五代无线通信网络 (5G)需要低延迟、高可靠性、用户的大规模连接性,并在资源分配方面提高公平性
[1]
。NOMA 维护了用户的公平性,同时为频谱稀缺问题提供最佳解决方案。此外,在下行链路NOMA 中,在发射机处执行叠加编码,而在接收机处执行串行干扰消除(Successive Interference Cancellation,SIC),将不同用户的信号分离、解调。因此,NOMA 提高了系统的频谱效率和性能[2],是5G 网络中最有前途和最重要的技术。
一、系统模型
假设我们的模型是一个单单天线系统,共有N 个用户,K 个子信道。系统总带宽为B ,将总带宽平均分给K 个子信道,则每个信道的带宽为B /K 。让第n 个用户占据第k 个信道,n ∈(1,N ),k ∈(1,K ) 。向每个子信道上发送分配在该子信道上的用户的NOMA 叠加信号。由NOMA 协议可以得到,发射端,从发送到第n 个用户的叠加信号y 1为:
吕雨桐(1988.02.26-),男,汉族,吉林,硕士,工程师,研究方向:电子与通信工程。
5G 通信网络中基于BAT 算法的NOMA 系统功率分配方法
文|吕雨桐
【摘要】
由于无线通信系统中频谱资源的稀缺性,优化资源分配的需求日益增加。非正交多址接入(Non-orthogonal multiple
access,NOMA)被认为是第五代移动通信网络(5G)的一种理想的多址方案,其特点是频 谱效率高,容量大,能为用户灵活的配置无线资源。本文提出一种NOMA 系统下的资源分配方案,目的是使系统的吞吐量最大化。将资源分配问题分成两个子问题:用户信道分配问题和功率分配问题,提出一种基于BAT 算法的最优功率分配方案。将提出的方案与基于粒子优化的功率分配方案和随机功率分配方案进行了比较。仿真结果表明,我们提出的方案在提高小区吞吐量方面表现更优。【关键词】    5G    NOMA    信道分配    BAT 算法    功率分配
(1)
图1    系统模型图
其中,假设子信道k 上分配的用户数为M k ,由发射

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。