項目應用背景

　　近年來，涉及校園的各種安全事件屢屢發(fā)生，使得主管部門和學校對校園的安全重視程度空前提高。對于中國的家長們來說，子女的教育、安全、健康等問題，總有操不完的心。如何確保學校、學生的人身財產安全，方便學校統一管理，既讓家長們放心，又可以降低管理成本提高教學效率，是擺在教育主管單位和學校面前的新課題。有沒有簡單易行高效便捷的管理方式呢?貴州黔西一中在全校范圍內采用西奧科技RFID綜合解決方案起到了事半功倍的效果，值得眾多學校借鑒。

　　貴州黔西一中是一所歷史悠久的學校，1963年以來一直被列為省屬重點中學?，F為貴州省中小學管理協會理事單位、貴州省級示范性中學。學校師資力量雄厚。曾先后得到香港實業(yè)家邵逸夫、臺灣萬德祿等10位臺港企業(yè)家捐贈，修建了“逸夫教學樓”和“黔臺實驗樓”。

　　項目需求解析

　　隨著信息化的迅猛發(fā)展，學校不斷增加基于 Internet/Intranet 的業(yè)務系統，如資源系統， 教務系統等。系統的業(yè)務性質，一般都要求實現用戶管理、身份認證、授權等必不可少的安全措施;而新系統的涌現，在與已有系統的集成或融合上，特別是針對相同的用戶群，則提出了新的更高要求。

　　學校希望為用戶提供統一的信息資源認證訪問入口，建立統一的、基于角色的和個性化的信息訪問、集成平臺的統一身份認證和單點登錄系統。該系統具備如下特點：

　　統一身份認證

　　對于有多個業(yè)務系統應用需求的學校，需要配置一套統一的身份認證系統，以實現集中統一的身份認證， 并減少整個系統的成本。

　　單點登錄

　　用戶只需登錄一次，即可通過統一身份單點登錄平臺訪問后臺的多個應用系統，無需重新登錄后臺的各個應用系統。

　　用戶數據交換

　　校園一卡通除了確?；竟δ苷Ｊ褂猛?，還需要配合系統集成方完成用戶數據交換功能。

　　角色訪問控制

　　根據用戶的角色來控制應用的訪問權限。

　　Web界面管理

　　系統所有管理功能都通過Web方式實現。網絡管理人員和系統管理員可以通過瀏覽器在任何地方進行遠程訪問管理。此外，可以使 用HTTPS安全地進行管理。

　　方案實施

　　1)身份認證和單點登錄系統

　　通過實施統一身份認證和單點登錄系統，使用戶只需一次登錄就可以根據相關的規(guī)則去訪問不同的應用系統，提高信息系統的易用性、安全性、穩(wěn)定性。

　　統一身份認證和單點登錄系統同時可以采用基于數字證書的加密和數字簽名技術，對用戶實行集中統一的管理和身份認證，并作為各應用系統的統一登錄入口。統一身份認證和單點登錄系統在增加系統安全性、降低管理成本方面有突出作用，不僅規(guī)避密碼安全風險，還簡化用戶認證的相關應用操作。

　　具體包含以下主要功能模塊：

　　身份認證中心;

　　存儲企業(yè)用戶目錄，完成對用戶身份、組織機構等信息的統一管理;

　　授權和訪問管理系統;

　　用戶的授權、角色分配;

　　用戶授權信息的自動同步;

　　身份認證服務;

　　身份認證前置為應用系統提供安全認證服務接口，中轉認證和訪問請求;

　　身份認證服務完成對用戶身份的認證和角色的轉換;

　　用戶單點登錄過程中，生成訪問業(yè)務系統的請求，對敏感信息加密簽名;

　　用戶身份認證和單點登錄過程中所需證書的簽發(fā);

　　我們基于統一身份認證和單點登錄業(yè)務的需求，設計了兩種認證方式，一種是基于CAS單點登錄認證方式，此種方式是基于https協議的，是目前國際上較為安全的認證方式(信息傳遞加密);但是由于目前校園中基于https協議的應用系統相對比較少，因此單一的使用CAS單點登錄方案，不能滿足校園單點登錄的需求。為此我們設計了HCA(自定義名稱)單點登錄認證方式，此方式是基于http+明碼+簽名的方式認證，能實現所有基于http協議應用系統的單點登錄功能利用系統提供的安全保障和信息服務，共享安全優(yōu)勢。

　　2)基礎數據管理

　　基于統一身份認證和單點登錄,我們首先需要統一用戶及組織機構的相關信息。

　　A 用戶信息

　　以學校的權威信息為標準(如：數字化校園系統中用戶信息)，作為原始數據將其導入到統一身份認證平臺，然后由平臺將相應的信息推送到已集成的其他應用系統(通過接口實現)。這里我們把數字化校園系統的用戶管理功能作為統一的用戶管理功能，當用戶信息發(fā)生變更時，統一身份認證平臺可以自動獲取變更的信息并將其推送到相應的其他應用系統中(通過接口實現)，從而實現用戶信息的統一管理。

　　B 組織機構信息

　　以學校的權威信息為標準，作為原始數據將其導入到統一身份認證平臺，然后由平臺將相應的信息推送到已集成的其他應用系統(通過接口實現)。這里我們把統一身份認證平臺的組織機構管理功能為統一的組織機構管理功能，當組織機構發(fā)生變更時，統一身份認證平臺會自動將變更的信息推送到相應的其他的應用系統中(通過接口實現)。從而實現組織機構信息的統一管理。

　　3)角色和權限管理

　　角色和權限管理，統一身份認證平臺中管理員可以按用戶的身份、職能等進行角色的劃分，并能夠為不同的角色授予相應的權限。同時還可以通過為注冊應用系統授予來完成權限設置。

　　4)應用管理

　　待集成的應用系統，需要在統一身份認證平臺中做應用注冊，以便于應用系統的身份的驗證和用戶權限的設置。

　　注冊信息需要第三方公司提供，如：應用系統的名稱、編碼、基地址、RAS公鑰(基于http協議的應用系統)

　　5)安全通道

　　提供的安全通道是利用數字簽名進行身份認證，采用數字信封進行信息加密的基于SSL協議的安全通道產品，實現了服務器端和客戶端嵌入式的數據安全隔離機制。

　　實施效果

　　西奧科技RFID綜合解決方案有機的將校門監(jiān)控、周邊防范、教學區(qū)監(jiān)控、戶外活動區(qū)監(jiān)控和巡更人員的巡邏簽卡制融為一體，可有效防范校外人員入校滋事，讓所有學生享受開心快樂的校園生活。

　　校園一卡通所構建的完善的門禁、考勤、消費、監(jiān)控、消防報警等系統，讓老師和學校管理更加省心省力。智能設備的應用，不僅大大提高了校園管理效果和校園安全系數，也大幅度降低了行政管理成本和人力資源浪費，事半功倍。