單點登錄技術在高校信息系統中的應用

摘要，通常一個學校內部會有多種應用系統，每個系統都有自己的用戶系統庫和認證方式，對資源的共享、認證的一致性產生很大問題。筆者以學校各信息系統整合為例，介紹單點登錄技術在高校信息系統中的應用。

關鍵詞：統一身份認證；單點登錄；用戶管理系統

隨著信息技術和網絡技術的飛速發展，校園網應用越來越廣，校園內接入互連網的計算機已經達到了相當的規模，學校利用信息技術進行教學和管理手段不斷更新。隨著校園網提供的信息服務和質量的提升，對信息安全的需要也越來越高；另外，校園網提供更高層次服務的同時，對于用戶的身份認證，服務權限管理的要求也相應提高。原來各個服務系統各自為政的身份認證的方式難以滿足這個要求，必須要有一個獨立的、高安全性和可靠性的身份認證及權限管理系統。通過采取統一身份認證機制，可以保證用戶數據的統一性和完整性，避免記憶過多用戶登錄方式帶來的不便，為校園數字化打下基礎。

一、單點登錄技術原理

單點登錄(SSO)是指訪問同一服務器不同應用中的受保護資源的同一用戶只需要登錄一次，即通過一個應用中的安全驗證后，再訪問其它應用中的受保護資源時，不再需要重新登錄驗證。

高校單點登錄系統具有以下基本功能：

(1)規范學生、教職工等用戶信息的命名及編碼，統一存儲。學生的學號、教師代碼惟一，即用戶ID全局惟一，區分和標識了不同的個體。

(2)單點登錄系統向各應用系統提供用戶屬性列表，如學號、姓名、學院、專業、年級等屬性，各應用系統可以選擇本系統所需要的部分或全部屬性。

(3)應用系統對用戶基本信息的增加、修改、刪除和查詢等請求由單點登錄系統處理。

(4)應用系統保留用戶管理功能，如用戶分組、用戶授權等功能。

(5)單點登錄系統有完善的日志功能，詳細記錄各應用系統對該系統的操作。

二、單點登錄系統主要功能實現

1，單點登錄功能實現

本系統采用LDAP服務器來存儲和管理用戶的認證信息，其采用的是類似于Kerberos原理的兩次握手協議和可信任第三方認證的原理。由于校園網中現有系統的地域分布廣，通過Web Services來實現各個系統間的松散耦合性，每個應用系統只與認證中心采用X，509證書認證模式相互認證，不與其它應用服務器相關聯，從而實現了單點登錄。

系統的主要功能是認證服務器和票據認證服務兩個部分。由于實際應用系統即使都是B／S結構，還可能采用各種不同的語言編寫實現，所以設計了一個票據認證服務，由于Web Services的與平臺無關性，各個處于不同平臺的系統都可以直接調用此服務來認證且返回結果。其過程如下：

(1)假設用戶沒有經過登錄而通過瀏覽器直接訪問需要認證的應用系統資源時將被重新定向到該系統的登錄頁面。

(2)應用系統判斷用戶是否登錄。如果該系統未登錄過，則收集認證信息，其中包括用戶ID、票據、驗證碼和訪問者的IP。如登錄信息正確就提交到票據認證服務，Web Services判斷該用戶是否是合法登錄是否已經合法登錄并且是否有權訪問此系統，如果已經通過認證并且有權限訪問，則返回給用戶訪問的資源。如果沒有權限訪問該系統，則轉向(3)。如果認證信息不完整，則轉向(5)，重新定向認證服務器。

(3)瀏覽器和服務器之間建立SSL安全連接，通過http協議提供給認證中心認證信息，包含用戶信息、密碼和瀏覽器端IP。

(4)認證中心根據其提供的信息判斷該用戶是否為合法注冊用戶，如果合法，則返回給瀏覽器認證票據，并且寫入認證中心COOKIE認證信息，否則會讓用戶提供認證信息。

(5)用戶持票據再次訪問應用系統，應用系統再次認證用戶所持票據并進行解密，調用服務，檢驗其所傳參數中的用戶、時間和IP的合法性，如果合法，則創建登錄成功信息放入session，轉入下一步，否則轉向(3)。

(6)當系統轉換時，再轉到步驟(1)，從而實現跨域認證。

通過以上步驟，用戶的認證信息保存在認證安全域的COOKIE中，各個應用系統除了登錄過后在session中保存用戶信息外，不使用COOKIE保存。當用戶訪問應用系統的時候，如果當前session中沒有用戶認證成功的信息，就轉向認證中心，只需在認證中心一處保存登錄信息即可。

2，用戶注冊管理模塊

用戶注冊分兩種情況，一是在新生入學等情況下，在整個平臺用戶組中需要添加大量的用戶。這種情況下，需要把所有用戶信息保存成LDIF格式文件后，使用管理工具直接導入。二是與已有系統整合，在系統注冊時，因為每個系統所對應的用戶群不相同，需要添加該系統的用戶組，如果用戶數量少，可以在管理工具中直接加入；如果數量較多，采用第一種情況處理方式。另外，也要把系統的用戶對應的角色提交注冊。這里一個重要的問題就是映射系統的用戶和角色。本系統在設計目錄的時候，每個系統下面都有自己的用戶組，該組內的用戶對該系統有使用權。

此認證平臺與該系統形成了一個映射關系。

用戶A在統一身份認證平臺系統中的賬號作為他的認證賬號，如果系統A中的賬號和角色是他原來的賬戶名和角色，用戶在訪問應用系統時，應用系統需要在此讀取他的角色。這樣設計為系統的合成不足帶來了很大的方便。而要去掉某個系統時，也只需要將那個系統的節點去掉就可以。

因此，當系統注冊時，管理員添加用戶，把原系統中的用戶都要添加到應用系統下的用戶組中，此時管理員也可以使用上述兩種方式加入，另外還需要將原系統中的用戶與SSO系統賬戶進行關聯。考慮到用戶數量過多而且管理員并不能確認原系統中用戶與SSO系統賬戶之間的關聯關系，本系統采用由用戶要第一次從SSO登錄時添加賬戶關聯關系。

對于新系統，分為兩種，一種是需要有不同角色的，只需要認證身份，不需要再到系統目錄下讀取用戶的角色和用戶信息。另一種是需要單一角色的，這就要在用戶組中添加用戶和角色。

3，安全WEB實現

當用戶在瀏覽器端取得票據后，持票據到應用服務器端訪問系統時，需要每個系統再次和認證中心通信，確定票據的真實可靠性。由于系統的分散性和開發平臺的不一致性，使用一個安全的Web Services是以跨平臺的分布式松散耦合認證架構的方案。

HTTP，XML和SOAP可以看作是WEB服務的核心層。SOAP是用于相互應用通信的基于XML傳輸協議和內碼格式，為在一個松散的、分布的環境中使用XML對等地交換結構化和類型化的信息提供一個簡單且輕量級的機制。Axis是一個開源的SOAP引擎，一個架構SOAP如服務器端、客戶端等處理器的框架。可以利用其的開發WEB服務。通過WSDL描述獲取更多細節，利用工具來生成客戶端代碼，或者直接形成調用。

單點登錄系統對廣大學生、教師來說，使用校園網內應用系統只需要入口登錄一次，就可以訪問工作所需的應用系統和數據資源。用戶只有一個統一用戶和密碼，能夠實現用戶一次登錄、多次使用，方便用戶操作；對于系統管理員來說由于采用集中的用戶數據庫：集中進行管理，減少了系統管理的維護量。對于開發應用系統的人員不必考慮用戶模塊的設計與實現，只需要直接使用單點登錄平臺提供的單點登錄服務，從而簡化了系統的開發過程。