就高職院校數(shù)字校園建設(shè)這一專(zhuān)題，“Moehoo猛虎”已將推出了如下三篇文章：

（1）《論數(shù)字校園的頂層設(shè)計(jì) — 高職院校篇》

（2）《高職院校的信息化建設(shè) — 網(wǎng)絡(luò)建設(shè)的歷史沿襲》

（3）《高職院校信息化 — 校園網(wǎng)建設(shè)之痛與變局》

在《論數(shù)字校園的頂層設(shè)計(jì) — 高職院校篇》一文中，“Moehoo猛虎”曾明確提出：

應(yīng)用系統(tǒng)的集成，是頂層設(shè)計(jì)的技術(shù)架構(gòu)思路的重要內(nèi)容。而應(yīng)用系統(tǒng)的集成，是由3個(gè)功能系統(tǒng)協(xié)同工作而得以實(shí)現(xiàn)的，即：校園統(tǒng)一身份認(rèn)證系統(tǒng)、校園統(tǒng)一信息門(mén)戶(hù)系統(tǒng)、校園統(tǒng)一公共數(shù)據(jù)系統(tǒng)。

這三個(gè)系統(tǒng)是數(shù)字校園建設(shè)的基礎(chǔ)內(nèi)容之一，在很大程度上決定了數(shù)字校園建設(shè)的成敗。而為了建設(shè)校園統(tǒng)一信息門(mén)戶(hù)系統(tǒng)，必須滿(mǎn)足相應(yīng)的基礎(chǔ)前提和支撐：建立完備的校園統(tǒng)一身份認(rèn)證系統(tǒng)。

統(tǒng)一身份認(rèn)證系統(tǒng)提供的服務(wù)功能是：

Ⅰ. 身份認(rèn)證和統(tǒng)一管理功能：為每一用戶(hù)提供統(tǒng)一的電子身份，對(duì)數(shù)字校園用戶(hù)進(jìn)行集中統(tǒng)一的管理；

Ⅱ. 單點(diǎn)登錄（即SSO，Single Sign-On）功能：用戶(hù)只需一次登錄，就可直接訪(fǎng)問(wèn)已經(jīng)授權(quán)的任何校園應(yīng)用系統(tǒng)；

Ⅲ. 雙向認(rèn)證功能：在安全的認(rèn)證協(xié)議支持下，在服務(wù)器和用戶(hù)端之間實(shí)現(xiàn)雙向認(rèn)證。

簡(jiǎn)而言之，校園統(tǒng)一身份認(rèn)證系統(tǒng)的功能是：在數(shù)字校園中實(shí)現(xiàn)單點(diǎn)登錄功能，給所有校園應(yīng)用系統(tǒng)提供全局統(tǒng)一的用戶(hù)認(rèn)證和用戶(hù)管理等功能。

身份認(rèn)證系統(tǒng)的關(guān)鍵意義

從應(yīng)用系統(tǒng)的視角來(lái)看，用戶(hù)登錄身份認(rèn)證系統(tǒng)是具有關(guān)鍵意義的，這是指：

（1）首要意義在于提供了現(xiàn)實(shí)世界中用戶(hù)的身份認(rèn)證信息，驗(yàn)證了現(xiàn)實(shí)世界中的用戶(hù)與應(yīng)用系統(tǒng)中的賬戶(hù)之間的映射關(guān)系。雖然不同的應(yīng)用系統(tǒng)有各自的功能實(shí)現(xiàn)領(lǐng)域，但是，在資源存取和資源配置的決策上，都是通過(guò)身份認(rèn)證這一核心功能才得以實(shí)現(xiàn)的。

（2）其次，身份認(rèn)證系統(tǒng)的審核日志會(huì)記錄相關(guān)的安全風(fēng)險(xiǎn)信息、用戶(hù)身份認(rèn)證信息，對(duì)保障應(yīng)用系統(tǒng)的安全性具有重要作用。

身份認(rèn)證系統(tǒng)的基本方法和實(shí)現(xiàn)要素

身份，是指客觀(guān)世界中特定用戶(hù)的唯一實(shí)體信息，這種實(shí)體信息在計(jì)算機(jī)應(yīng)用領(lǐng)域同樣是一種重要的信息資源。

認(rèn)證，指的是以權(quán)威的手段對(duì)用戶(hù)的身份信息加以驗(yàn)證。

身份認(rèn)證系統(tǒng)的主要功能就是驗(yàn)證用戶(hù)身份信息的準(zhǔn)確有效性，杜絕沒(méi)有經(jīng)過(guò)授權(quán)的非法資源訪(fǎng)問(wèn)行為。

一、身份認(rèn)證的基本方法

從廣義的角度來(lái)看，身份認(rèn)證的基本方法有三類(lèi)：

（1）驗(yàn)證用戶(hù)的關(guān)鍵個(gè)人信息

比如，驗(yàn)證用戶(hù)的賬號(hào)和相應(yīng)密碼，驗(yàn)證問(wèn)題和回答的完整匹配。眾所周知，這種方法，在軟件應(yīng)用系統(tǒng)中得到了極其廣泛的應(yīng)用。

（2）驗(yàn)證用戶(hù)的唯一性私人物品

比如，身份證、銀行卡、鑰匙等物品。這種方法，在現(xiàn)實(shí)世界里常見(jiàn)，而在IT應(yīng)用系統(tǒng)中，也有相應(yīng)的等同物，即：由權(quán)威的CA機(jī)構(gòu)（Certificate Authority，數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)）頒發(fā)的數(shù)字證書(shū)。

X.509證書(shū)是事實(shí)上的數(shù)字證書(shū)標(biāo)準(zhǔn)格式，在絕大多數(shù)網(wǎng)絡(luò)安全應(yīng)用中得到了廣泛的使用，X.509使用數(shù)字證書(shū)對(duì)身份驗(yàn)證的方法有3類(lèi)，即：雙向認(rèn)證、單向認(rèn)證、三向認(rèn)證。由此，統(tǒng)一身份認(rèn)證系統(tǒng)的雙向認(rèn)證功能得以實(shí)現(xiàn)，即：在安全的認(rèn)證協(xié)議支持下，在服務(wù)器和用戶(hù)端之間實(shí)現(xiàn)雙向認(rèn)證。具體實(shí)現(xiàn)方法，見(jiàn)本文最后一節(jié)所述。

（3）驗(yàn)證用戶(hù)的唯一性生理特征信息

比如，指紋識(shí)別、視網(wǎng)膜識(shí)別、人臉識(shí)別等。

二、身份認(rèn)證的實(shí)現(xiàn)要素

完全通過(guò)訪(fǎng)問(wèn)控制系統(tǒng)去實(shí)現(xiàn)身份認(rèn)證是不可行的，一個(gè)完備的身份認(rèn)證系統(tǒng)必須有效地集成如下的實(shí)現(xiàn)要素。

（1）身份驗(yàn)證功能

標(biāo)識(shí)和鑒別登錄用戶(hù)的身份，以此，確保信息和數(shù)據(jù)來(lái)源的合法性，這也是身份認(rèn)證系統(tǒng)的核心功能。

（2）數(shù)據(jù)的完整性

在信息和數(shù)據(jù)的傳輸和存儲(chǔ)過(guò)程之中，確保其不會(huì)被未授權(quán)地篡改，或者，在其遭遇篡改后能被迅速地發(fā)現(xiàn)并處理。

（3）數(shù)據(jù)的有效性（可用性）

經(jīng)過(guò)授權(quán)的實(shí)體可以按預(yù)先的權(quán)限設(shè)置而訪(fǎng)問(wèn)數(shù)據(jù)。

（4）數(shù)據(jù)的保密性

只有經(jīng)過(guò)授權(quán)的實(shí)體才可以訪(fǎng)問(wèn)相關(guān)數(shù)據(jù)。

（5）不可抵賴(lài)性（不可否認(rèn)性）

確保信息和數(shù)據(jù)的制造者和發(fā)送者無(wú)法拒絕其曾執(zhí)行的行為。

統(tǒng)一身份認(rèn)證系統(tǒng)的概念

統(tǒng)一身份認(rèn)證系統(tǒng)，是一種用戶(hù)身份認(rèn)證集成管理系統(tǒng)，對(duì)用戶(hù)進(jìn)行身份認(rèn)證、提供身份認(rèn)證統(tǒng)一通行證和相應(yīng)的授權(quán)，以此，建立所有關(guān)聯(lián)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證管理，確保用戶(hù)信息認(rèn)證的真實(shí)有效。

各關(guān)聯(lián)應(yīng)用系統(tǒng)都有相應(yīng)的保存和訪(fǎng)問(wèn)權(quán)限管理功能，統(tǒng)一身份認(rèn)證服務(wù)器和用戶(hù)信息統(tǒng)一數(shù)據(jù)庫(kù)協(xié)同工作，統(tǒng)一管理各子系統(tǒng)的用戶(hù)身份認(rèn)證。

在集成用戶(hù)身份認(rèn)證方面，統(tǒng)一身份認(rèn)證系統(tǒng)有一系列規(guī)范的客戶(hù)端，可以采用多種認(rèn)證手段，比如：賬號(hào)密碼認(rèn)證、數(shù)字證書(shū)認(rèn)證、一卡通認(rèn)證等。不同級(jí)別的用戶(hù)有各自不同的安全等級(jí)，統(tǒng)一身份認(rèn)證系統(tǒng)會(huì)采取相應(yīng)的安全保障措施，比如，密保措施、數(shù)字證書(shū)驗(yàn)證等。

在集成應(yīng)用系統(tǒng)功能方面，統(tǒng)一身份認(rèn)證系統(tǒng)提供唯一的操作接口，而不同的應(yīng)用系統(tǒng)則提供各自的操作接口，一榫一卯，各關(guān)聯(lián)應(yīng)用系統(tǒng)就與統(tǒng)一身份認(rèn)證系統(tǒng)集成在一起了，在緊密集成結(jié)構(gòu)的保障下，各關(guān)聯(lián)應(yīng)用系統(tǒng)的安全性得到了充分的保障。

統(tǒng)一身份認(rèn)證系統(tǒng)的工作流程

統(tǒng)一身份認(rèn)證系統(tǒng)的主要功能是：

（1）統(tǒng)一管理用戶(hù)的身份驗(yàn)證

避免在多個(gè)應(yīng)用系統(tǒng)中反復(fù)登錄，創(chuàng)建統(tǒng)一的標(biāo)準(zhǔn)客戶(hù)端登錄操作界面，創(chuàng)建統(tǒng)一身份認(rèn)證系統(tǒng)的全局賬號(hào)與既有的各關(guān)聯(lián)應(yīng)用系統(tǒng)的局域賬號(hào)之間的映射關(guān)系，實(shí)現(xiàn)各關(guān)聯(lián)應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證。

（2）統(tǒng)一管理用戶(hù)對(duì)各關(guān)聯(lián)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)權(quán)限。

統(tǒng)一身份認(rèn)證系統(tǒng)的系統(tǒng)架構(gòu)及其關(guān)鍵工作流程如下圖所示：

如上圖所示，說(shuō)明如下：

（1）用戶(hù)提交訪(fǎng)問(wèn)某個(gè)關(guān)聯(lián)應(yīng)用系統(tǒng)的請(qǐng)求；

（2）使用應(yīng)用認(rèn)證接口，通過(guò)安全的傳輸渠道，應(yīng)用系統(tǒng)將用戶(hù)的認(rèn)證信息傳遞至統(tǒng)一身份認(rèn)證系統(tǒng)，進(jìn)行用戶(hù)身份認(rèn)證；

（3）用戶(hù)信息經(jīng)過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)的驗(yàn)證后，將生成一系列的具有唯一性的用戶(hù)端認(rèn)證信息，據(jù)此，用戶(hù)獲取對(duì)所有關(guān)聯(lián)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)權(quán)。

統(tǒng)一身份認(rèn)證系統(tǒng)的工作模式

在一個(gè)已有若干應(yīng)用系統(tǒng)的環(huán)境中建立統(tǒng)一身份認(rèn)證系統(tǒng)，不僅要考慮將既有應(yīng)用系統(tǒng)納入，還要能夠完成新建應(yīng)用系統(tǒng)的用戶(hù)身份認(rèn)證。

為此，統(tǒng)一身份認(rèn)證系統(tǒng)必須具備多種工作模式，以滿(mǎn)足復(fù)雜應(yīng)用環(huán)境中的客觀(guān)需要。

統(tǒng)一身份認(rèn)證系統(tǒng)的工作模式主要有三類(lèi)，分別是：身份認(rèn)證服務(wù)模式、統(tǒng)一認(rèn)證服務(wù)模式、代理服務(wù)模式。

一、身份認(rèn)證服務(wù)模式

在高職院校的數(shù)字校園建設(shè)中，在統(tǒng)一身份認(rèn)證系統(tǒng)和統(tǒng)一信息門(mén)戶(hù)系統(tǒng)已經(jīng)建立的情形下：

（1）新建的應(yīng)用系統(tǒng)可以完全依托于統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)用戶(hù)身份認(rèn)證功能，無(wú)需配置專(zhuān)門(mén)的用戶(hù)認(rèn)證系統(tǒng)。這時(shí)候，新建應(yīng)用系統(tǒng)的用戶(hù)帳戶(hù)就是統(tǒng)一身份認(rèn)證系統(tǒng)的全局賬號(hào)；

（2）對(duì)既有應(yīng)用系統(tǒng)而言，其本身原有的局域賬號(hào)，可與統(tǒng)一身份認(rèn)證系統(tǒng)的全局賬號(hào)之間建立映射關(guān)系。

在這種工作模式下，統(tǒng)一身份認(rèn)證系統(tǒng)的運(yùn)作形式是：應(yīng)用系統(tǒng)的身份認(rèn)證功能模塊。其具體工作流程如下圖所示：

對(duì)上圖所示的工作流程說(shuō)明如下：

（1）用戶(hù)在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊(cè)用戶(hù)名并設(shè)定密碼（其他的授權(quán)方式還有：按學(xué)校的管理制度申請(qǐng)數(shù)字證書(shū)或者校園卡），然后，以相應(yīng)的授權(quán)方式登錄應(yīng)用系統(tǒng)；

（2）應(yīng)用系統(tǒng)將用戶(hù)登錄信息轉(zhuǎn)發(fā)給統(tǒng)一身份認(rèn)證服務(wù)；

（3）統(tǒng)一身份認(rèn)證服務(wù)執(zhí)行驗(yàn)證操作，即：在注冊(cè)庫(kù)中，驗(yàn)證發(fā)送用戶(hù)登錄信息的應(yīng)用系統(tǒng)是否已經(jīng)注冊(cè)，驗(yàn)證用戶(hù)登錄信息與注冊(cè)庫(kù)中的信息是否一致，在獲取驗(yàn)證結(jié)果后，向應(yīng)用系統(tǒng)發(fā)出認(rèn)證響應(yīng)信息。如果用戶(hù)身份認(rèn)證成功，應(yīng)用系統(tǒng)向用戶(hù)發(fā)出訪(fǎng)問(wèn)令牌，用戶(hù)遂得以訪(fǎng)問(wèn)應(yīng)用系統(tǒng)。

二、統(tǒng)一認(rèn)證服務(wù)模式

統(tǒng)一身份認(rèn)證系統(tǒng)的核心服務(wù)模式是統(tǒng)一認(rèn)證服務(wù)模式。其具體工作流程如下圖所示：

對(duì)上圖所示的工作流程說(shuō)明如下：

（1）用戶(hù)在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊(cè)用戶(hù)名并設(shè)定密碼（其他的授權(quán)方式還有：按學(xué)校的管理制度申請(qǐng)數(shù)字證書(shū)或者校園卡），然后，以相應(yīng)的授權(quán)方式登錄統(tǒng)一身份認(rèn)證系統(tǒng)；

（2）在登錄信息被成功認(rèn)證后，統(tǒng)一身份認(rèn)證系統(tǒng)將訪(fǎng)問(wèn)令牌返回給用戶(hù)。使用這個(gè)訪(fǎng)問(wèn)令牌，用戶(hù)向關(guān)聯(lián)應(yīng)用系統(tǒng)提交訪(fǎng)問(wèn)請(qǐng)求；

（3）就此訪(fǎng)問(wèn)令牌的合法有效性，關(guān)聯(lián)應(yīng)用系統(tǒng)向統(tǒng)一身份認(rèn)證系統(tǒng)提交驗(yàn)證請(qǐng)求。收到驗(yàn)證結(jié)果后，如果確認(rèn)訪(fǎng)問(wèn)令牌合法有效，關(guān)聯(lián)應(yīng)用系統(tǒng)接受訪(fǎng)問(wèn)請(qǐng)求并將相應(yīng)的訪(fǎng)問(wèn)結(jié)果返回給用戶(hù)。

三、代理服務(wù)模式

當(dāng)統(tǒng)一身份認(rèn)證系統(tǒng)處于代理服務(wù)模式時(shí)，關(guān)聯(lián)應(yīng)用系統(tǒng)的接入訪(fǎng)問(wèn)和相應(yīng)的訪(fǎng)問(wèn)結(jié)果均由其代理，由此，為關(guān)聯(lián)應(yīng)用系統(tǒng)提供一個(gè)更為安全的運(yùn)行環(huán)境。其具體工作流程如下圖所示：

對(duì)上圖所示的工作流程說(shuō)明如下：

（1）用戶(hù)在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊(cè)用戶(hù)名并設(shè)定密碼（其他的授權(quán)方式還有：按學(xué)校的管理制度申請(qǐng)數(shù)字證書(shū)或者校園卡），然后，以相應(yīng)的授權(quán)方式登錄統(tǒng)一身份認(rèn)證系統(tǒng)；

（2）在登錄信息被成功認(rèn)證后，統(tǒng)一身份認(rèn)證系統(tǒng)將訪(fǎng)問(wèn)令牌返回給用戶(hù)。使用這個(gè)訪(fǎng)問(wèn)令牌，用戶(hù)并不直接向應(yīng)用系統(tǒng)發(fā)起訪(fǎng)問(wèn)請(qǐng)求，而是向代理（即統(tǒng)一身份認(rèn)證系統(tǒng)）提交其對(duì)關(guān)聯(lián)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)請(qǐng)求；

（3）統(tǒng)一身份認(rèn)證系統(tǒng)向注冊(cè)庫(kù)發(fā)起查詢(xún)請(qǐng)求，從查詢(xún)結(jié)果中確認(rèn)應(yīng)用系統(tǒng)是否已經(jīng)注冊(cè)，進(jìn)而獲取應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)入口。再將用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求由代理轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)，并將訪(fǎng)問(wèn)結(jié)果由代理返回給用戶(hù)。

單點(diǎn)登錄技術(shù)原理

就本質(zhì)而言，單點(diǎn)登錄的技術(shù)原理就是：在不同應(yīng)用系統(tǒng)之間傳遞和共享信息系統(tǒng)安全上下文或者安全通行票據(jù)。

這是學(xué)術(shù)性的表述方式，然而，單點(diǎn)登錄技術(shù)原理是很容易理解的，換一種說(shuō)法，那就是：當(dāng)用戶(hù)訪(fǎng)問(wèn)某一個(gè)應(yīng)用系統(tǒng)時(shí)，會(huì)由一個(gè)唯一的認(rèn)證服務(wù)對(duì)用戶(hù)身份進(jìn)行驗(yàn)證，在用戶(hù)身份得到成功驗(yàn)證后，就會(huì)獲得一個(gè)數(shù)字通行證。而當(dāng)這個(gè)用戶(hù)訪(fǎng)問(wèn)其他應(yīng)用系統(tǒng)時(shí)，就可以直接憑此數(shù)字通行證獲得訪(fǎng)問(wèn)權(quán)。

其實(shí)，在現(xiàn)實(shí)世界中也可以找到與單點(diǎn)登錄類(lèi)似的實(shí)例，比如，在某個(gè)城市申請(qǐng)辦理的城市一卡通，在其他城市也可以使用。

一個(gè)典型的SSO技術(shù)原理實(shí)現(xiàn)圖如下所示：

如上圖所示，當(dāng)使用者第一次發(fā)起對(duì)應(yīng)用系統(tǒng)1的訪(fǎng)問(wèn)請(qǐng)求時(shí)，由于尚未登錄，所以還沒(méi)有攜帶安全通行票據(jù)（Ticket）。在這種情況下，用戶(hù)會(huì)被引入至統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，即：輸入用戶(hù)名或密碼等登錄信息。接著，統(tǒng)一身份認(rèn)證系統(tǒng)會(huì)將這些登錄信息與用戶(hù)信息庫(kù)進(jìn)行比對(duì)，如果驗(yàn)證成功，用戶(hù)端會(huì)接收到返回的安全通行票據(jù)（Ticket）。

自此以后，當(dāng)用戶(hù)對(duì)其他關(guān)聯(lián)應(yīng)用系統(tǒng)（應(yīng)用系統(tǒng)2，......，應(yīng)用系統(tǒng)n）發(fā)起訪(fǎng)問(wèn)請(qǐng)求時(shí)，都會(huì)將安全通行票據(jù)（Ticket）提交給統(tǒng)一身份認(rèn)證系統(tǒng)用于驗(yàn)證，如果校驗(yàn)結(jié)果是合法有效的，用戶(hù)就不需要再次執(zhí)行登錄操作，直接就能獲得對(duì)其他關(guān)聯(lián)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)權(quán)限。

需要指出的是， 在以上所述的過(guò)程中，各關(guān)聯(lián)應(yīng)用系統(tǒng)并不對(duì)用戶(hù)認(rèn)證信息等數(shù)據(jù)進(jìn)行驗(yàn)證，它們只與統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行通信。實(shí)際上，可以將統(tǒng)一身份認(rèn)證系統(tǒng)和各關(guān)聯(lián)應(yīng)用系統(tǒng)之間的通信模式理解為“服務(wù)器—客戶(hù)端”模式，即：統(tǒng)一身份認(rèn)證系統(tǒng)是服務(wù)器端，為各關(guān)聯(lián)應(yīng)用系統(tǒng)提供安全通行票據(jù)（Ticket）；各關(guān)聯(lián)應(yīng)用系統(tǒng)是客戶(hù)端，能識(shí)別和提取用戶(hù)訪(fǎng)問(wèn)請(qǐng)求中攜帶的安全通行票據(jù)（Ticket），進(jìn)而，將其傳遞給統(tǒng)一身份認(rèn)證系統(tǒng)以驗(yàn)證有效性，籍此，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證系統(tǒng)的單點(diǎn)登錄功能。

雙向認(rèn)證的實(shí)現(xiàn)流程

統(tǒng)一身份認(rèn)證系統(tǒng)的第三個(gè)重要功能是雙向認(rèn)證功能。如前所述，使用證書(shū)服務(wù)，可以實(shí)現(xiàn)服務(wù)器和用戶(hù)端的雙向認(rèn)證。

通常，在用戶(hù)端要求訪(fǎng)問(wèn)一些保密資源時(shí)，會(huì)采用雙向認(rèn)證的方式以確保資源訪(fǎng)問(wèn)的安全可行，即：在安全的認(rèn)證協(xié)議（通常是SSL協(xié)議， 即：Secure Socket Layer協(xié)議）支持之下，服務(wù)器和用戶(hù)端對(duì)彼此提供的數(shù)字證書(shū)加以驗(yàn)證，完成相互認(rèn)證，由此，雙方都確認(rèn)對(duì)方的可信真實(shí)身份。

從技術(shù)角度來(lái)看，用戶(hù)端（Web瀏覽器或者客戶(hù)端應(yīng)用）和服務(wù)器（Web站點(diǎn)或者服務(wù)器應(yīng)用）之間的雙向認(rèn)證，就是指通過(guò)驗(yàn)證由權(quán)威的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)，使得：（1）服務(wù)器的數(shù)字證書(shū)在用戶(hù)端上得到認(rèn)證；（2）用戶(hù)端的數(shù)字證書(shū)也在服務(wù)器上得到認(rèn)證。

顯然，由于雙向認(rèn)證是基于數(shù)字證書(shū)才得以實(shí)施的，CA機(jī)構(gòu)是整個(gè)流程中極為重要的部分。從應(yīng)用層的視角看，基于數(shù)字證書(shū)的認(rèn)證及建立加密通道的過(guò)程如下圖所示（圖片是高清的，但是受限于移動(dòng)終端的屏幕尺寸，如要查看細(xì)節(jié)，可點(diǎn)擊放大查看）：

（1）用戶(hù)端要求訪(fǎng)問(wèn)保密資源；

（2）服務(wù)器收到訪(fǎng)問(wèn)請(qǐng)求后，將自己的數(shù)字證書(shū)（Server.cer）提供給用戶(hù)端；

（3）用戶(hù)端驗(yàn)證服務(wù)器證書(shū)的有效性；

（4）如果服務(wù)器證書(shū)被成功驗(yàn)證，那么，用戶(hù)端將自己的數(shù)字證書(shū)（Client.cer）發(fā)送到服務(wù)器；

（5）服務(wù)器驗(yàn)證用戶(hù)端數(shù)字證書(shū)的有效性，以確認(rèn)用戶(hù)端的合法身份；

（6）如果用戶(hù)端的數(shù)字證書(shū)確認(rèn)有效，服務(wù)器將相應(yīng)的訪(fǎng)問(wèn)權(quán)限賦予用戶(hù)端，由此，用戶(hù)端獲得了保密資源的訪(fǎng)問(wèn)權(quán)。

至此，“Moehoo猛虎”對(duì)校園統(tǒng)一身份認(rèn)證系統(tǒng)的三大功能（即：身份認(rèn)證和統(tǒng)一管理、 單點(diǎn)登錄、雙向認(rèn)證）完成了概觀(guān)性的描述。由于本文的撰寫(xiě)目的是為數(shù)字校園建設(shè)的決策層人士提供有效的務(wù)實(shí)參考，因此，行文之時(shí)，不僅在語(yǔ)言上注意了平實(shí)易懂，而且，為了達(dá)到更加直觀(guān)的效果，更專(zhuān)門(mén)繪制了若干流程圖和原理圖。

長(zhǎng)期以來(lái)，校園統(tǒng)一身份認(rèn)證系統(tǒng)若有似無(wú)地蒙著一層神秘的面紗。“Moehoo猛虎”期望，本文能夠揭開(kāi)那神秘面紗的一角，為各類(lèi)學(xué)校的數(shù)字校園建設(shè)思路的拓展作出或許微薄卻是務(wù)實(shí)的貢獻(xiàn)。