摘  要： 在對高校校園網統一身份認證安全需求進行分析的基礎上，提出基于角色的校園網統一身份認證解決方案，即在同一個身份認證系統中兼容三種改進的、具有不同強弱認證標準的認證機制。在大學校園網具體應用環境中，分析這一解決方案的系統開銷和網絡開銷，并與其安全性能分析相結合，找尋效率與安全性能的最佳平衡點。
關鍵詞： 統一身份認證；角色；口令認證；Kerberos；數字證書

    校園網統一身份認證系統是實現數字校園多應用系統集成的必要條件。如果在校園網統一身份認證系統中只使用某一種協議，會出現如下情況：或者效率較高，但安全性能卻不能滿足需求；或者能滿足安全需求，但系統開銷和網絡開銷又太大。因此，認證系統中身份認證方案的選取應當與具體應用環境有機結合，才能發揮其最佳效能。
1 基于角色的統一身份認證解決方案
    高校應用系統的使用者可以粗分為學生、普通教職員工和管理者。這三種角色對應用系統的訪問權限存在著明顯的差別，他們對身份認證也有著完全不同的安全需求。
    如果全面推行強身份認證機制，在獲取高安全性能的同時，必然存在實現復雜、系統要求高、所需的建設和維護費用高的缺點。若全面延用簡單身份認證機制，雖使用方便、實現簡單，但認證的安全性偏低。而如果在身份認證機制的選擇上采取折衷的方法，Kerberos身份認證機制似乎是一種不錯的選擇，但認證過程相對復雜，用戶量大時密鑰管理困難。
    本文提出一種基于角色的統一身份認證解決方案，即在同一個身份認證系統中兼容三種改進的、具有不同強弱認證標準的認證機制。
1.1 適用學生用戶的身份認證協議
    以學生為代表的用戶人數最多，且每年有大量的學生畢業離校，又有大量的新生入學，而學生用戶所使用的校園網服務除圖書借閱和選課系統外，多為信息瀏覽功能，即使口令泄露，造成的損失也比較小，不需要使用強認證標準。本文選用一種改進的基于挑戰／應答機制的動態口令認證機制來實現這一部分用戶的身份認證，其中隨機數技術的引進，使其安全性高于常用的動態口令認證、且具有額外開支小等優點，在實現通信雙方相互認證的同時還能夠完成雙方會話密鑰的協商。認證過程中所使用的標記及其含義如表1所示。改進動態口令的雙向身份認證過程如圖1所示。

1.2 適用教職員工用戶的身份認證協議
    以普通教職員工為代表的用戶群體，他們既是應用系統的信息生產者，也是應用系統的信息管理者，他們在使用各種應用系統時的權限應該比學生大，在身份認證安全性能上的要求也相對較高。本文選用一種改進的基于公鑰的Kerberos身份認證機制供此類用戶進行身份認證，其認證格式及過程如表2和圖2所示。

    其中隨機數技術替代時間戳，避免了網絡中時鐘難于同步帶來的問題，可以承受重放攻擊；采用基于公鑰的Kerberos認證，密鑰分發中心無需再管理認證服務器與各個被認證實體之間的秘密密鑰，大大降低了密鑰分發中心的運行、維護費用；非對稱加密體制的使用避免了口令猜測攻擊，進一步加強了認證系統的安全性。上述Kerberos認證機制的系統信息交換量雖然較大，但它部分地解決了傳統Kerberos認證協議的安全隱患，提供了相對較高的安全性能。而以教職員工為代表的用戶數目不過區區數千人，對這類用戶采用改進的基于公鑰Kerberos認證機制來保障認證的安全，在校園網絡中應用是可行的。
1.3 適用管理者用戶的雙因素身份認證
    第三類是要求使用強認證機制的校園網用戶群體，主要有各應用系統的管理人員、掌握學校電子簽章的主要負責人員等，他們所接觸的應用系統包含重要及敏感的數據信息，對身份認證的安全要求最高，應考慮使用基于數字證書和USB Key的雙因素強身份認證機制。其認證格式及過程如圖3所示。

   上述機制借鑒了Kerberos協議的有關票據的概念，具有Kerberos認證的一切優點，同時通過引入USB KEY、隨機數和公鑰密碼技術，實現雙向認證和統一認證，安全性和實用性得到較大的提高。同時，該群體的用戶數量最少，采用高強度的認證方式所需要的系統開銷和認證費用是必需的，也是可以承受的。
2 方案性能分析
    性能分析過程中所使用的縮寫：PKE，使用1 024 bit非對稱密鑰加密；PKD，使用1 024 bit非對稱密鑰解密；SKE，使用128 bit對稱密鑰加密或解密；Hash，使用安全散列算法計算信息摘要。分析過程中所使用的參數：公鑰，1 024 bit RSA密鑰；證書內容，1 536 bit；CA對證書的數字簽名，160 bit；身份ID，512 bit；用戶口令(對稱密鑰)，128 bit；隨機數，1 024 bit；隨機挑戰，128 bit；Adc，128 bit(IPV6)；RealmU，8 bit；LifeTime，24 bit。
2.1 三種認證協議效率對比
    根據本文所提出的三種認證協議的具體認證流程及其安全性分析，基于對稱密碼的動態口令認證協議、基于公鑰的Kerberos認證協議和基于數字證書認證協議所能提供的認證安全性能是依次遞增的。而表3的有關效率估算數據則表明：它們造成的網絡開銷依次成倍增長，系統開銷的增長則不止一倍。在基于數字證書認證協議中，客戶端和服務器之間的交互次數更是達到了6次之多。這還未把使用USB Key所造成的客戶端系統開銷及時延的因素考慮在內。

2.2 校園網統一身份認證具體案例性能分析
    校園網中三類角色的用戶數目呈數量級變化。在綜合性高校具體環境中，假定三類角色的用戶數量分別為100 000、3 000、100，平均每人每天登錄一次統一身份認證系統。
    綜合分析表4數據及相應安全性能，本文所提出的基于角色的統一身份認證解決方案為整個校園網所提供的認證安全性能接近于基于數字證書的認證協議，而它所需的系統開銷和網絡開銷則接近于基于對稱密碼的動態口令認證協議。說明這一解決方案能在安全性能與效率這一對矛盾體中取得較好的平衡。

   在實際應用中，認證方案的選擇應當從系統需求和認證機制的性能兩個方面來綜合考慮。本文所提出的統一身份認證解決方案在明顯提高認證安全性能的同時，又能有效地控制認證過程的系統開銷和網絡開銷，具有實際應用價值。
參考文獻
[1] 黃朝陽，徐穎.一種改進的基于挑戰-應答機制的動態口令認證方案[J].中國科技信息，2009(4)：103-105.
[2] 黃朝陽.一種實用的Kerberos雙因素統一身份認證方案[J].中國科技信息，2009(19)：109-110.
[3] 許學洋.數字化校園統一身份認證平臺的作用與實踐[J].中原工學院學報，2009，20(6)：72-75.
[4] 孫月洪.統一身份認證在數字化校園中的作用與實踐[J].廊坊師范學院學報，2009，9(2)：37-39.
[5] 梁飛鴿，方劉基，潘一楠.基于校園網平臺的統一身份認證系統設計[J].紹興文理學院學報，2007，27(10)：42-44.
[6] 李偉明.基于ECC的無線身份認證和密鑰協商協議[J].廣東公安科技，2003(2)：33-40.