數字圖書館統一認證系統的研究與設計

周青松

（云南省圖書館，云南 昆明 650031）

為用戶提供個性化、深層次的服務，是建設數字圖書館的根本目的。但用戶在不同的數字圖書館平臺上獲取信息，需要進行多次注冊，這影響了用戶訪問數字圖書館資源的積極性。隨著數字圖書館向跨平臺、跨媒體發展，建立統一認證系統，為用戶提供一體化服務，成為目前數字圖書館研究的一個熱點。統一認證系統不僅能夠有效解決各個系統之間用戶管理和安全認證的差異問題，便于增強認證的安全性，給用戶一個統一的使用界面，而且能夠有效解決用戶信息同步問題，降低系統的復雜性和管理成本，提高系統管理效率，極大地促進數字圖書館的建設與發展。

1 數字圖書館統一認證系統的定義、特點和功能

數字圖書館集成多資源、多服務、多媒體的特點決定了數字圖書館本身是一個多系統的集合體，即是一個系統集群。在數字圖書館體系架構（如圖1）中，應用層中的各個應用系統相對獨立，可以單獨運行，影響使用的主要因素在于各個應用系統的用戶管理和登錄認證方式。如果要讓各個應用系統集成在一起，統一運行和方便用戶使用，就必須在服務層建立統一認證系統，然后通過數字圖書館門戶發布，供用戶使用。

1.1 數字圖書館統一認證系統的定義及特點

數字圖書館統一認證系統是指運用相關的技術手段對系統群內各個應用系統的用戶管理和認證系統進行整合集成，而建立能夠對系統群中的各個應用系統的用戶信息進行統一管理和認證的應用系統。

該系統能克服數字圖書館系統群中不同系統由于用戶管理和認證差異帶來的使用和管理不便的弊端，具有以下特點：第一，能夠對相關系統群內的用戶信息進行集中統一管理，有效解決各系統用戶信息的信息同步問題，保證用戶信息的規范、一致和準確；第二，方便用戶使用。用戶只需一次登錄，就可以使用系統群中的各個應用系統；第三，能有效避免對現有系統進行大規模的修改，把分散管理變為集中管理，提高了系統的安全性，降低管理成本；第四，便于擴展。由于統一認證通過標準的接口與系統群內的應用系統進行整合集成，只要新加入的系統按標準調用接口，就可以加入到統一認證系統集成的系統群中。同時，新加入的系統可以不帶用戶系統，也能等價實現用戶管理和認證的功能。

1.2 數字圖書館統一認證系統的功能

數字圖書館統一認證系統主要有三大功能：（1）用戶信息管理功能，包括用戶注冊、管理用戶信息、管理用戶角色與權限；（2）應用系統與接口管理功能，即實現與集成的應用系統的對接和管理；（3）用戶認證功能，即采用合適的用戶認證技術和方式實現用戶認證，記錄和管理用戶登錄日志。

2 數字圖書館統一認證系統實現的原理和模式

2.1 數字圖書館統一認證系統實現的原理

數字圖書館統一認證系統是在對用戶信息進行管理的基礎上，通過定制的標準接口與系統群內的各系統進行用戶認證信息交互和用戶賬號映射，實現用戶認證和權限管理，從而對系統群內的各系統進行有效整合。其中，尤以定制標準接口最為關鍵。接口實現的方式主要有兩種：一是基于HTTP協議進行參數傳遞的方式。這種方式方便簡單，但缺點是功能比較單一，安全性不強；二是基于webservice調用的方式。Webservice是一種通過web部署方式對業務功能進行訪問的技術，并且是自包含、自描述、模塊化的應用。它是一種新型的分布式計算模式，是解決互操作、應用集成（EI）等需求的良好方案，并以其良好的跨平臺能力以及開放、簡單、分布式等特點得到越來越廣泛的應用，具有良好的安全性。這種方式只是在構建開發上比第一種方式復雜。可以看出，基于webservice調用的方式將逐漸成為數字圖書館統一認證系統進行接口開發和定制的主要方式。

2.2 數字圖書館統一認證系統實現的模式

數字圖書館統一認證系統一般有三種實現模式，即認證組件、單點登錄和信任代理。

2.2.1 認證組件模式

認證組件模式是統一認證系統作為應用系統的一個身份認證組件的方式進行工作，在這種模式下，應用系統本身不存在用戶系統或并不使用應用系統本身的用戶系統，其相應的用戶賬號信息全部保存在統一認證系統上。如圖2所示，認證組件模式具體的實現過程為：用戶使用在統一認證系統注冊過的用戶信息，包括用戶名和密碼，或者是其他的注冊授權信息，登錄對應的應用系統；應用系統把用戶登錄信息和應用系統通過的標識一起轉發給統一認證系統，需要進行有關登錄操作；統一認證系統查看應用系統注冊庫，檢查該應用系統是否已經在統一認證系統中注冊過，并查詢用戶注冊庫核查轉發過來的用戶認證信息；核查完成后，統一認證系統回應應用系統，完成登錄操作；應用系統按照系統自身的機制建立一個對應的系統會話，然后把應用系統自身的訪問令牌回傳或返回給訪問用戶，用戶便能通過該返回的訪問令牌對此應用系統進行持續訪問，直到系統退出或會話超時。

2.2.2 單點登錄模式

單點登錄模式是統一認證系統作為應用系統的核心的方式進行工作，在這種模式下，用戶登錄統一認證系統后，便能使用所有在統一認證系統注冊過并支持統一認證的相關應用系統。如圖3所示，單點登錄模式具體的實現過程為：用戶利用在統一認證系統注冊過的用戶信息，包括用戶和密碼，或者是其他的注冊授權信息，登錄統一認證系統；通過認證以后，統一認證系統便會創建一個系統會話，并把和該會話有關的訪問認證令牌返回給訪問用戶；用戶使用該令牌對支持統一認證的應用系統進行訪問；應用系統將相應的訪問認證令牌傳送給統一認證系統，請求統一認證系統檢查令牌的有效性；統一認證系統確認令牌的有效性；在確認令牌有效的情況下，應用系統接收用戶訪問，直到退出系統或會話超時，令牌失效。應用系統也可以返回一個自身的令牌，以提高訪問效率。

2.2.3 信任代理模式

信任代理模式是對應用系統的訪問全部由統一認證系統代理的使用模式。此時，所有相關的應用系統只接收從統一認證系統來的訪問請求，不接收用戶直接提交的請求，與用戶直接交互，這樣可以集中進行安全管理，在統一認證系統端部署主要的安全投入。如圖4所示，信任代理模式具體的實現過程為：訪問用戶利用在統一認證系統注冊過的用戶信息，包括用戶名和密碼，或者是其他的注冊授權信息，登錄統一認證系統；通過認證后，統一認證系統便會創建一個系統會話，并把與該會話有關的訪問認證令牌返回給用戶；訪問用戶用返回的令牌訪問支持統一認證的應用系統，但不直接把訪問請求傳遞給應用系統，而是傳遞給統一認證系統，并在請求中包含要訪問的應用系統的ID；統一認證系統接受請求后，查詢應用系統注冊庫，對要訪問的應用系統是否支持統一認證進行確認；通過確認后，統一認證系統將應用請求轉發給要訪問的應用系統；相應的應用系統對請求進行處理，并把處理結果返回給統一認證系統，最后，統一認證系統把響應消息返回給用戶，完成訪問調用。

在數字圖書館統一認證系統的三種實現模式中，一般采用組件認證模式和單點登錄模式相結合的方式，而信任代理模式一般適用于對安全要求比較高的系統，雖然安全性很高，但是其性能也會受到一定的影響。

3 數字圖書館統一認證系統的設計原則與思路

要設計既符合實際和要求又方便、經濟、實用的統一認證系統，需要把握好四個設計原則：第一，要具備良好兼容性和系統兼容性以及有較好的可行性和經濟的平臺；第二，要便于擴展，能夠適應未來發展的需要；第三，系統要具備良好的安全性，能滿足應用安全需求；第四，要綜合權衡，合理規劃系統功能，分步實施。

數字圖書館統一認證系統的設計思路是：第一，對需要進行統一認證的應用系統進行調查研究，掌握各應用系統的相關技術細節；第二，根據各個應用系統自身的實際情況，分析并確定需要進行統一管理的用戶信息、認證實現方式、權限控制和映射等，規劃系統功能，畫出系統流程圖；第三，確定實施的方法和步驟。

4 結束語

數字圖書館統一認證系統建設是數字圖書館建設中一項十分重要的內容，是數字圖書館各子系統連接整合的紐帶。數字圖書館統一認證系統的建設，是實現數字圖書館內部系統的有機整合以及與外部系統的有機互聯的基礎，是擴大數字圖書館的功能，促進數字圖書館的建設與發展的動力。

[1]Web服務實戰：統一身份認證服務[EB/OL].[2011-11-17].http://www.qs-168.com/computer/base/2924.html.

[2]郭慶軍,周坤.統一用戶認證系統的設計與實施[J].山東電力技術,2009(5):78-80.

[3]郭楚杰.數字化校園中統一身份認證平臺的設計[J].湖南工業大學學報,2010(3):77-80.

[4]胡澤,廖聞劍,彭艷兵.WebService技術研究及應用[J].硅谷,2009(5):48-48.

[5]李捷,李杰.WebService及其相關技術初探[J].九江職業技術學院學報,2010(2):27-28.

[6]楊靈,鄒娟.基于Web Services的統一認證系統研究與實現[J].現代計算機(專業版),2009(11):195-197.