摘  要： 在對高校校園網(wǎng)統(tǒng)一身份認證安全需求進行分析的基礎上,，提出基于角色的校園網(wǎng)統(tǒng)一身份認證解決方案,，即在同一個身份認證系統(tǒng)中兼容三種改進的、具有不同強弱認證標準的認證機制,。在大學校園網(wǎng)具體應用環(huán)境中,，分析這一解決方案的系統(tǒng)開銷和網(wǎng)絡開銷，并與其安全性能分析相結(jié)合,，找尋效率與安全性能的最佳平衡點,。
關(guān)鍵詞： 統(tǒng)一身份認證；角色,；口令認證,；Kerberos；數(shù)字證書

    校園網(wǎng)統(tǒng)一身份認證系統(tǒng)是實現(xiàn)數(shù)字校園多應用系統(tǒng)集成的必要條件,。如果在校園網(wǎng)統(tǒng)一身份認證系統(tǒng)中只使用某一種協(xié)議,，會出現(xiàn)如下情況：或者效率較高，但安全性能卻不能滿足需求,；或者能滿足安全需求,，但系統(tǒng)開銷和網(wǎng)絡開銷又太大。因此,，認證系統(tǒng)中身份認證方案的選取應當與具體應用環(huán)境有機結(jié)合,，才能發(fā)揮其最佳效能。
1 基于角色的統(tǒng)一身份認證解決方案
    高校應用系統(tǒng)的使用者可以粗分為學生,、普通教職員工和管理者,。這三種角色對應用系統(tǒng)的訪問權(quán)限存在著明顯的差別，他們對身份認證也有著完全不同的安全需求,。
    如果全面推行強身份認證機制,，在獲取高安全性能的同時，必然存在實現(xiàn)復雜,、系統(tǒng)要求高,、所需的建設和維護費用高的缺點。若全面延用簡單身份認證機制,，雖使用方便,、實現(xiàn)簡單,，但認證的安全性偏低。而如果在身份認證機制的選擇上采取折衷的方法,，Kerberos身份認證機制似乎是一種不錯的選擇,，但認證過程相對復雜，用戶量大時密鑰管理困難,。
    本文提出一種基于角色的統(tǒng)一身份認證解決方案,，即在同一個身份認證系統(tǒng)中兼容三種改進的、具有不同強弱認證標準的認證機制,。
1.1 適用學生用戶的身份認證協(xié)議
    以學生為代表的用戶人數(shù)最多,，且每年有大量的學生畢業(yè)離校，又有大量的新生入學,，而學生用戶所使用的校園網(wǎng)服務除圖書借閱和選課系統(tǒng)外,，多為信息瀏覽功能，即使口令泄露,，造成的損失也比較小,，不需要使用強認證標準。本文選用一種改進的基于挑戰(zhàn)／應答機制的動態(tài)口令認證機制來實現(xiàn)這一部分用戶的身份認證,，其中隨機數(shù)技術(shù)的引進,，使其安全性高于常用的動態(tài)口令認證、且具有額外開支小等優(yōu)點,，在實現(xiàn)通信雙方相互認證的同時還能夠完成雙方會話密鑰的協(xié)商,。認證過程中所使用的標記及其含義如表1所示。改進動態(tài)口令的雙向身份認證過程如圖1所示,。

1.2 適用教職員工用戶的身份認證協(xié)議
    以普通教職員工為代表的用戶群體，他們既是應用系統(tǒng)的信息生產(chǎn)者,，也是應用系統(tǒng)的信息管理者,，他們在使用各種應用系統(tǒng)時的權(quán)限應該比學生大，在身份認證安全性能上的要求也相對較高,。本文選用一種改進的基于公鑰的Kerberos身份認證機制供此類用戶進行身份認證,，其認證格式及過程如表2和圖2所示。

    其中隨機數(shù)技術(shù)替代時間戳,，避免了網(wǎng)絡中時鐘難于同步帶來的問題,，可以承受重放攻擊；采用基于公鑰的Kerberos認證,，密鑰分發(fā)中心無需再管理認證服務器與各個被認證實體之間的秘密密鑰,，大大降低了密鑰分發(fā)中心的運行、維護費用,；非對稱加密體制的使用避免了口令猜測攻擊,，進一步加強了認證系統(tǒng)的安全性,。上述Kerberos認證機制的系統(tǒng)信息交換量雖然較大，但它部分地解決了傳統(tǒng)Kerberos認證協(xié)議的安全隱患,，提供了相對較高的安全性能,。而以教職員工為代表的用戶數(shù)目不過區(qū)區(qū)數(shù)千人，對這類用戶采用改進的基于公鑰Kerberos認證機制來保障認證的安全,，在校園網(wǎng)絡中應用是可行的,。
1.3 適用管理者用戶的雙因素身份認證
    第三類是要求使用強認證機制的校園網(wǎng)用戶群體，主要有各應用系統(tǒng)的管理人員,、掌握學校電子簽章的主要負責人員等,，他們所接觸的應用系統(tǒng)包含重要及敏感的數(shù)據(jù)信息，對身份認證的安全要求最高,，應考慮使用基于數(shù)字證書和USB Key的雙因素強身份認證機制,。其認證格式及過程如圖3所示。

   上述機制借鑒了Kerberos協(xié)議的有關(guān)票據(jù)的概念,，具有Kerberos認證的一切優(yōu)點,，同時通過引入USB KEY、隨機數(shù)和公鑰密碼技術(shù),，實現(xiàn)雙向認證和統(tǒng)一認證,，安全性和實用性得到較大的提高。同時,，該群體的用戶數(shù)量最少,，采用高強度的認證方式所需要的系統(tǒng)開銷和認證費用是必需的，也是可以承受的,。
2 方案性能分析
    性能分析過程中所使用的縮寫：PKE,，使用1 024 bit非對稱密鑰加密；PKD,，使用1 024 bit非對稱密鑰解密,；SKE，使用128 bit對稱密鑰加密或解密,；Hash,，使用安全散列算法計算信息摘要。分析過程中所使用的參數(shù)：公鑰,，1 024 bit RSA密鑰,；證書內(nèi)容，1 536 bit,；CA對證書的數(shù)字簽名,，160 bit；身份ID,，512 bit,；用戶口令(對稱密鑰),，128 bit；隨機數(shù),，1 024 bit,；隨機挑戰(zhàn)，128 bit,；Adc,，128 bit(IPV6)；RealmU,，8 bit,；LifeTime，24 bit,。
2.1 三種認證協(xié)議效率對比
    根據(jù)本文所提出的三種認證協(xié)議的具體認證流程及其安全性分析,，基于對稱密碼的動態(tài)口令認證協(xié)議、基于公鑰的Kerberos認證協(xié)議和基于數(shù)字證書認證協(xié)議所能提供的認證安全性能是依次遞增的,。而表3的有關(guān)效率估算數(shù)據(jù)則表明：它們造成的網(wǎng)絡開銷依次成倍增長,，系統(tǒng)開銷的增長則不止一倍。在基于數(shù)字證書認證協(xié)議中,，客戶端和服務器之間的交互次數(shù)更是達到了6次之多,。這還未把使用USB Key所造成的客戶端系統(tǒng)開銷及時延的因素考慮在內(nèi)。

2.2 校園網(wǎng)統(tǒng)一身份認證具體案例性能分析
    校園網(wǎng)中三類角色的用戶數(shù)目呈數(shù)量級變化,。在綜合性高校具體環(huán)境中,，假定三類角色的用戶數(shù)量分別為100 000、3 000,、100,，平均每人每天登錄一次統(tǒng)一身份認證系統(tǒng)。
    綜合分析表4數(shù)據(jù)及相應安全性能,，本文所提出的基于角色的統(tǒng)一身份認證解決方案為整個校園網(wǎng)所提供的認證安全性能接近于基于數(shù)字證書的認證協(xié)議,，而它所需的系統(tǒng)開銷和網(wǎng)絡開銷則接近于基于對稱密碼的動態(tài)口令認證協(xié)議。說明這一解決方案能在安全性能與效率這一對矛盾體中取得較好的平衡,。

   在實際應用中，認證方案的選擇應當從系統(tǒng)需求和認證機制的性能兩個方面來綜合考慮,。本文所提出的統(tǒng)一身份認證解決方案在明顯提高認證安全性能的同時,，又能有效地控制認證過程的系統(tǒng)開銷和網(wǎng)絡開銷，具有實際應用價值,。
參考文獻
[1] 黃朝陽,，徐穎.一種改進的基于挑戰(zhàn)-應答機制的動態(tài)口令認證方案[J].中國科技信息，2009(4)：103-105.
[2] 黃朝陽.一種實用的Kerberos雙因素統(tǒng)一身份認證方案[J].中國科技信息,，2009(19)：109-110.
[3] 許學洋.數(shù)字化校園統(tǒng)一身份認證平臺的作用與實踐[J].中原工學院學報,，2009,，20(6)：72-75.
[4] 孫月洪.統(tǒng)一身份認證在數(shù)字化校園中的作用與實踐[J].廊坊師范學院學報，2009,，9(2)：37-39.
[5] 梁飛鴿,，方劉基，潘一楠.基于校園網(wǎng)平臺的統(tǒng)一身份認證系統(tǒng)設計[J].紹興文理學院學報,，2007,，27(10)：42-44.
[6] 李偉明.基于ECC的無線身份認證和密鑰協(xié)商協(xié)議[J].廣東公安科技，2003(2)：33-40.