项目应用背景
近年来,涉及校园的各种安全事件屡屡发生,使得主管部门和学校对校园的安全重视程度空前提高。对于中国的家长们来说,子女的教育、安全、健康等问题,总有操不完的心。如何确保学校、学生的人身财产安全,方便学校统一管理,既让家长们放心,又可以降低管理成本提高教学效率,是摆在教育主管单位和学校面前的新课题。有没有简单易行高效便捷的管理方式呢?贵州黔西一中在全校范围内采用西奥科技RFID综合解决方案起到了事半功倍的效果,值得众多学校借鉴。
贵州黔西一中是一所历史悠久的学校,1963年以来一直被列为省属重点中学。现为贵州省中小学管理协会理事单位、贵州省级示范性中学。学校师资力量雄厚。曾先后得到香港实业家邵逸夫、台湾万德禄等10位台港企业家捐赠,修建了“逸夫教学楼”和“黔台实验楼”。
项目需求解析
随着信息化的迅猛发展,学校不断增加基于 Internet/Intranet 的业务系统,如资源系统, 教务系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,则提出了新的更高要求。
学校希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的统一身份认证和单点登录系统。该系统具备如下特点:
统一身份认证
对于有多个业务系统应用需求的学校,需要配置一套统一的身份认证系统,以实现集中统一的身份认证, 并减少整个系统的成本。
单点登录
用户只需登录一次,即可通过统一身份单点登录平台访问后台的多个应用系统,无需重新登录后台的各个应用系统。
用户数据交换
校园一卡通除了确保基本功能正常使用外,还需要配合系统集成方完成用户数据交换功能。
角色访问控制
根据用户的角色来控制应用的访问权限。
Web界面管理
系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使 用HTTPS安全地进行管理。
方案实施
1)身份认证和单点登录系统
通过实施统一身份认证和单点登录系统,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性。
统一身份认证和单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。统一身份认证和单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。
系统结构图
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:
身份认证中心;
存储企业用户目录,完成对用户身份、组织机构等信息的统一管理;
授权和访问管理系统;
用户的授权、角色分配;
用户授权信息的自动同步;
身份认证服务;
身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求;
身份认证服务完成对用户身份的认证和角色的转换;
用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;
用户身份认证和单点登录过程中所需证书的签发;
我们基于统一身份认证和单点登录业务的需求,设计了两种认证方式,一种是基于CAS单点登录认证方式,此种方式是基于https协议的,是目前国际上较为安全的认证方式(信息传递加密);但是由于目前校园中基于https协议的应用系统相对比较少,因此单一的使用CAS单点登录方案,不能满足校园单点登录的需求。为此我们设计了HCA(自定义名称)单点登录认证方式,此方式是基于http+明码+签名的方式认证,能实现所有基于http协议应用系统的单点登录功能利用系统提供的安全保障和信息服务,共享安全优势。
2)基础数据管理
基于统一身份认证和单点登录,我们首先需要统一用户及组织机构的相关信息。
A 用户信息
以学校的权威信息为标准(如:数字化校园系统中用户信息),作为原始数据将其导入到统一身份认证平台,然后由平台将相应的信息推送到已集成的其他应用系统(通过接口实现)。这里我们把数字化校园系统的用户管理功能作为统一的用户管理功能,当用户信息发生变更时,统一身份认证平台可以自动获取变更的信息并将其推送到相应的其他应用系统中(通过接口实现),从而实现用户信息的统一管理。
B 组织机构信息
以学校的权威信息为标准,作为原始数据将其导入到统一身份认证平台,然后由平台将相应的信息推送到已集成的其他应用系统(通过接口实现)。这里我们把统一身份认证平台的组织机构管理功能为统一的组织机构管理功能,当组织机构发生变更时,统一身份认证平台会自动将变更的信息推送到相应的其他的应用系统中(通过接口实现)。从而实现组织机构信息的统一管理。
3)角色和权限管理
角色和权限管理,统一身份认证平台中管理员可以按用户的身份、职能等进行角色的划分,并能够为不同的角色授予相应的权限。同时还可以通过为注册应用系统授予来完成权限设置。
4)应用管理
待集成的应用系统,需要在统一身份认证平台中做应用注册,以便于应用系统的身份的验证和用户权限的设置。
注册信息需要第三方公司提供,如:应用系统的名称、编码、基地址、RAS公钥(基于http协议的应用系统)
5)安全通道
提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
实施效果
西奥科技RFID综合解决方案有机的将校门监控、周边防范、教学区监控、户外活动区监控和巡更人员的巡逻签卡制融为一体,可有效防范校外人员入校滋事,让所有学生享受开心快乐的校园生活。
校园一卡通所构建的完善的门禁、考勤、消费、监控、消防报警等系统,让老师和学校管理更加省心省力。智能设备的应用,不仅大大提高了校园管理效果和校园安全系数,也大幅度降低了行政管理成本和人力资源浪费,事半功倍。