貴州黔西一中RFID數(shù)字化校園建設(shè)

　　項(xiàng)目應(yīng)用背景

　　近年來，涉及校園的各種安全事件屢屢發(fā)生，使得主管部門和學(xué)校對(duì)校園的安全重視程度空前提高。對(duì)于中國的家長們來說，子女的教育、安全、健康等問題，總有操不完的心。如何確保學(xué)校、學(xué)生的人身財(cái)產(chǎn)安全，方便學(xué)校統(tǒng)一管理，既讓家長們放心，又可以降低管理成本提高教學(xué)效率，是擺在教育主管單位和學(xué)校面前的新課題。有沒有簡單易行高效便捷的管理方式呢?貴州黔西一中在全校范圍內(nèi)采用西奧科技RFID綜合解決方案起到了事半功倍的效果，值得眾多學(xué)校借鑒。

　　貴州黔西一中是一所歷史悠久的學(xué)校，1963年以來一直被列為省屬重點(diǎn)中學(xué)。現(xiàn)為貴州省中小學(xué)管理協(xié)會(huì)理事單位、貴州省級(jí)示范性中學(xué)。學(xué)校師資力量雄厚。曾先后得到香港實(shí)業(yè)家邵逸夫、臺(tái)灣萬德祿等10位臺(tái)港企業(yè)家捐贈(zèng)，修建了“逸夫教學(xué)樓”和“黔臺(tái)實(shí)驗(yàn)樓”。

　　項(xiàng)目需求解析

　　隨著信息化的迅猛發(fā)展，學(xué)校不斷增加基于 Internet/Intranet 的業(yè)務(wù)系統(tǒng)，如資源系統(tǒng)， 教務(wù)系統(tǒng)等。系統(tǒng)的業(yè)務(wù)性質(zhì)，一般都要求實(shí)現(xiàn)用戶管理、身份認(rèn)證、授權(quán)等必不可少的安全措施;而新系統(tǒng)的涌現(xiàn)，在與已有系統(tǒng)的集成或融合上，特別是針對(duì)相同的用戶群，則提出了新的更高要求。

　　學(xué)校希望為用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問、集成平臺(tái)的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)。該系統(tǒng)具備如下特點(diǎn)：

　　統(tǒng)一身份認(rèn)證

　　對(duì)于有多個(gè)業(yè)務(wù)系統(tǒng)應(yīng)用需求的學(xué)校，需要配置一套統(tǒng)一的身份認(rèn)證系統(tǒng)，以實(shí)現(xiàn)集中統(tǒng)一的身份認(rèn)證， 并減少整個(gè)系統(tǒng)的成本。

　　單點(diǎn)登錄

　　用戶只需登錄一次，即可通過統(tǒng)一身份單點(diǎn)登錄平臺(tái)訪問后臺(tái)的多個(gè)應(yīng)用系統(tǒng)，無需重新登錄后臺(tái)的各個(gè)應(yīng)用系統(tǒng)。

　　用戶數(shù)據(jù)交換

　　校園一卡通除了確保基本功能正常使用外，還需要配合系統(tǒng)集成方完成用戶數(shù)據(jù)交換功能。

　　角色訪問控制

　　根據(jù)用戶的角色來控制應(yīng)用的訪問權(quán)限。

　　Web界面管理

　　系統(tǒng)所有管理功能都通過Web方式實(shí)現(xiàn)。網(wǎng)絡(luò)管理人員和系統(tǒng)管理員可以通過瀏覽器在任何地方進(jìn)行遠(yuǎn)程訪問管理。此外，可以使 用HTTPS安全地進(jìn)行管理。

　　方案實(shí)施

　　1)身份認(rèn)證和單點(diǎn)登錄系統(tǒng)

　　通過實(shí)施統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性。

　　統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)同時(shí)可以采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，對(duì)用戶實(shí)行集中統(tǒng)一的管理和身份認(rèn)證，并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。統(tǒng)一身份認(rèn)證和單點(diǎn)登錄系統(tǒng)在增加系統(tǒng)安全性、降低管理成本方面有突出作用，不僅規(guī)避密碼安全風(fēng)險(xiǎn)，還簡化用戶認(rèn)證的相關(guān)應(yīng)用操作。

　　具體包含以下主要功能模塊：

　　身份認(rèn)證中心;

　　存儲(chǔ)企業(yè)用戶目錄，完成對(duì)用戶身份、組織機(jī)構(gòu)等信息的統(tǒng)一管理;

　　授權(quán)和訪問管理系統(tǒng);

　　用戶的授權(quán)、角色分配;

　　用戶授權(quán)信息的自動(dòng)同步;

　　身份認(rèn)證服務(wù);

　　身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口，中轉(zhuǎn)認(rèn)證和訪問請(qǐng)求;

　　身份認(rèn)證服務(wù)完成對(duì)用戶身份的認(rèn)證和角色的轉(zhuǎn)換;

　　用戶單點(diǎn)登錄過程中，生成訪問業(yè)務(wù)系統(tǒng)的請(qǐng)求，對(duì)敏感信息加密簽名;

　　用戶身份認(rèn)證和單點(diǎn)登錄過程中所需證書的簽發(fā);

　　我們基于統(tǒng)一身份認(rèn)證和單點(diǎn)登錄業(yè)務(wù)的需求，設(shè)計(jì)了兩種認(rèn)證方式，一種是基于CAS單點(diǎn)登錄認(rèn)證方式，此種方式是基于https協(xié)議的，是目前國際上較為安全的認(rèn)證方式(信息傳遞加密);但是由于目前校園中基于https協(xié)議的應(yīng)用系統(tǒng)相對(duì)比較少，因此單一的使用CAS單點(diǎn)登錄方案，不能滿足校園單點(diǎn)登錄的需求。為此我們設(shè)計(jì)了HCA(自定義名稱)單點(diǎn)登錄認(rèn)證方式，此方式是基于http+明碼+簽名的方式認(rèn)證，能實(shí)現(xiàn)所有基于http協(xié)議應(yīng)用系統(tǒng)的單點(diǎn)登錄功能利用系統(tǒng)提供的安全保障和信息服務(wù)，共享安全優(yōu)勢。

　　2)基礎(chǔ)數(shù)據(jù)管理

　　基于統(tǒng)一身份認(rèn)證和單點(diǎn)登錄,我們首先需要統(tǒng)一用戶及組織機(jī)構(gòu)的相關(guān)信息。

　　A 用戶信息

　　以學(xué)校的權(quán)威信息為標(biāo)準(zhǔn)(如：數(shù)字化校園系統(tǒng)中用戶信息)，作為原始數(shù)據(jù)將其導(dǎo)入到統(tǒng)一身份認(rèn)證平臺(tái)，然后由平臺(tái)將相應(yīng)的信息推送到已集成的其他應(yīng)用系統(tǒng)(通過接口實(shí)現(xiàn))。這里我們把數(shù)字化校園系統(tǒng)的用戶管理功能作為統(tǒng)一的用戶管理功能，當(dāng)用戶信息發(fā)生變更時(shí)，統(tǒng)一身份認(rèn)證平臺(tái)可以自動(dòng)獲取變更的信息并將其推送到相應(yīng)的其他應(yīng)用系統(tǒng)中(通過接口實(shí)現(xiàn))，從而實(shí)現(xiàn)用戶信息的統(tǒng)一管理。

　　B 組織機(jī)構(gòu)信息

　　以學(xué)校的權(quán)威信息為標(biāo)準(zhǔn)，作為原始數(shù)據(jù)將其導(dǎo)入到統(tǒng)一身份認(rèn)證平臺(tái)，然后由平臺(tái)將相應(yīng)的信息推送到已集成的其他應(yīng)用系統(tǒng)(通過接口實(shí)現(xiàn))。這里我們把統(tǒng)一身份認(rèn)證平臺(tái)的組織機(jī)構(gòu)管理功能為統(tǒng)一的組織機(jī)構(gòu)管理功能，當(dāng)組織機(jī)構(gòu)發(fā)生變更時(shí)，統(tǒng)一身份認(rèn)證平臺(tái)會(huì)自動(dòng)將變更的信息推送到相應(yīng)的其他的應(yīng)用系統(tǒng)中(通過接口實(shí)現(xiàn))。從而實(shí)現(xiàn)組織機(jī)構(gòu)信息的統(tǒng)一管理。

　　3)角色和權(quán)限管理

　　角色和權(quán)限管理，統(tǒng)一身份認(rèn)證平臺(tái)中管理員可以按用戶的身份、職能等進(jìn)行角色的劃分，并能夠?yàn)椴煌慕巧谟柘鄳?yīng)的權(quán)限。同時(shí)還可以通過為注冊應(yīng)用系統(tǒng)授予來完成權(quán)限設(shè)置。

　　4)應(yīng)用管理

　　待集成的應(yīng)用系統(tǒng)，需要在統(tǒng)一身份認(rèn)證平臺(tái)中做應(yīng)用注冊，以便于應(yīng)用系統(tǒng)的身份的驗(yàn)證和用戶權(quán)限的設(shè)置。

　　注冊信息需要第三方公司提供，如：應(yīng)用系統(tǒng)的名稱、編碼、基地址、RAS公鑰(基于http協(xié)議的應(yīng)用系統(tǒng))

　　5)安全通道

　　提供的安全通道是利用數(shù)字簽名進(jìn)行身份認(rèn)證，采用數(shù)字信封進(jìn)行信息加密的基于SSL協(xié)議的安全通道產(chǎn)品，實(shí)現(xiàn)了服務(wù)器端和客戶端嵌入式的數(shù)據(jù)安全隔離機(jī)制。

　　實(shí)施效果

　　西奧科技RFID綜合解決方案有機(jī)的將校門監(jiān)控、周邊防范、教學(xué)區(qū)監(jiān)控、戶外活動(dòng)區(qū)監(jiān)控和巡更人員的巡邏簽卡制融為一體，可有效防范校外人員入校滋事，讓所有學(xué)生享受開心快樂的校園生活。

　　校園一卡通所構(gòu)建的完善的門禁、考勤、消費(fèi)、監(jiān)控、消防報(bào)警等系統(tǒng)，讓老師和學(xué)校管理更加省心省力。智能設(shè)備的應(yīng)用，不僅大大提高了校園管理效果和校園安全系數(shù)，也大幅度降低了行政管理成本和人力資源浪費(fèi)，事半功倍。