基于教育电子身份号的关联认证

针对多个应用系统组成的集成平台，用教育电子身份号(e2ID)研究实现关联认证，通过单点登录、实名制访问多应用系统，节省了网络资源，提高了访问效率。经在湖南省教育厅湘教云平台应用测试，该方法在不改变原用户体系独立运行模式的基础上，能够实现各独立应用系统之间的资源整合，并具有高并发情况下的快速响应能力。

随着信息化水平不断提高，教育系统根据不同时期的业务需求逐步建成了相应功能的应用系统，各应用系统都有相对独立的用户信息库，而且身份认证机制也不尽相同。对用户而言，需要记住每一个应用系统的用户名和密码，登录的次数多，占用资源多，应用效率低。如湘教云平台集成了“湖南基础教育资源网”、“湖南教育资源汇聚与展示中心”、“湖南微课网”等28 个应用系统，若保留各应用系统的原有用户体系，对湘教云各系统进行统一身份认证，实现单点登录[1]，对于节约资源、提高系统的响应能力和服务能力具有重要意义。本文主要探讨教育身份号实现关联认证的方法，解决湘教云一次登录访问和实名认证的问题。

2. 关联认证方案 湘教云平台独立应用系统多，有庞大的用户访问量，要实现单点登录，平台用户必须具有唯一的身份标识，并通过身份标识在平台应用系统中实现用户关联，且确保重定向凭证标识的安全和大并发情形下的高效响应。

教育电子身份号是与居民身份证号码一一对应的有效标识，已广泛应用于网络实名制管理。以教育电子身份号作为用户身份标识， 研究教育电子身份号的关联方法、凭证传递的安全性与凭证注销等内容， 设计实现基于教育电子身份号的关联认证方案。

2.1. 单点登录模型 针对应用系统服务，定制应用代理，实现两者之间的安全会话，并建立以用户为中心的单点登录模型[2] [3]。单点登录模型由统一身份认证平台、用户和应用服务三部分组成，如图1 所示。

身份提供者和凭证提供者为统一身认证平台的基础组成部分，分别负责用户身份认证，生成、存储和校验凭证。应用服务由多个应用服务提供者构成，应用服务提供者包括应用代理与应用系统两个组成部分，应用系统提供服务资源的访问，应用代理负责向凭证提供者请求校验凭证是否有效，减少用户多重访问验证造成身份提供者负担过重问题。

身份提供者对通过身份认证的合法用户，生成用户凭证，并采用信息摘要算法进行加密；在用户利用URL 重定向访问应用代理服务时， 应用代理服务通过校验访问凭证是否有效， 判别访问请求是否合法， 应用代理服务对有效的访问请求定向至应用系统，应用系统响应用户访问请求，提供服务资源。用户只需要经过一次身份认证，就可以携带身份提供者生成的用户凭证，访问多个应用服务提供者，实现“一次认证，全局漫游”。