基于Web的數(shù)字校園單點登錄系統(tǒng)研究

李婕

摘要：高校各部門陸續(xù)建立起B(yǎng)/S模式的業(yè)務(wù)系統(tǒng)，每個系統(tǒng)有各自的認證數(shù)據(jù)庫，不能保持同步和一致性，成為信息孤島。為了解決這些問題，單點登錄技術(shù)應運而生，包括認證接口子系統(tǒng)、客戶端登錄子系統(tǒng)、統(tǒng)一身份認證系統(tǒng)幾部分。單點登錄，給學校各類應用提供統(tǒng)一的身份認證機制和訪問入口，對用戶信息進行整合和統(tǒng)一，減少了用于重復認證所帶來的系統(tǒng)開銷，為學校進一步的信息化建設(shè)建立起良好的基礎(chǔ)。

關(guān)鍵詞：單點登錄；身份認證；數(shù)字校園

一、單點登錄

1、概念。單點登錄（sso）進行一次驗證后即可訪問多個應用程序的。即在一次登錄之后不必再經(jīng)過系統(tǒng)認證就直接進入校內(nèi)各應用系統(tǒng)。針不同類型的應用系統(tǒng)，單點登陸的實現(xiàn)方式也有所不同，但其原理大致相同：在多個應用系統(tǒng)之間建立用戶安全上下文（Security Context），維持“用戶已過認證”這一狀態(tài)。而使用在多個應用系統(tǒng)之間的單點登陸機制，與單個應用系統(tǒng)內(nèi)的認證機制相比區(qū)別在于：前者的安全資源分布在多個應用系統(tǒng)之內(nèi)，而且這些應用可能部署在不同的域名下，后者的安全資源集中在單個應用系統(tǒng)之內(nèi)。

2、實現(xiàn)單點登錄。要實現(xiàn)SSO，需要以下主要的功能：（1）所有應用系統(tǒng)共享一個身份認證系統(tǒng)；（2）所有應用系統(tǒng)能夠識別和提取ticket信息；（3）應用系統(tǒng)能夠識別已經(jīng)登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。其中統(tǒng)一的身份認證系統(tǒng)最重要，認證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證，認證成功后，認證系統(tǒng)應該生成統(tǒng)一的認證標志（ticket），返還給用戶。另外，認證系統(tǒng)還應該對ticket進行效驗，判斷其有效性。整個系統(tǒng)可以存在兩個以上的認證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認證服務(wù)器之間要通過標準的通訊協(xié)議，互相交換認證信息，就能完成更高級別的單點登錄。

3、用戶單點登錄有以下的優(yōu)點：（1）提高工作效率，用戶只需一次驗證便能訪問所有授權(quán)網(wǎng)絡(luò)資源和服務(wù)。（2）透明的實現(xiàn)認證和授權(quán)，減少用戶的等待時間，提供系統(tǒng)的性能。（3）增強系統(tǒng)的整體安全性，通過強認證機制對用戶身份驗證，提供安全性。（4）提高管理效率，用戶帳號數(shù)據(jù)統(tǒng)一保存，集中管理，減少了出錯的幾率，減輕了系統(tǒng)工作人員的維護負擔。

二、認證接口子系統(tǒng)

1、新建系統(tǒng)及原有系統(tǒng)的認證。認證接口子系統(tǒng)位于多個應用系統(tǒng)和統(tǒng)一身份認證中心之間，和應用系統(tǒng)集成，運行在同一個平臺之上。該接口接受用戶認證請求，由認證中心進行認證，將認證結(jié)果返回給應用系統(tǒng)。

認證接口子系統(tǒng)要適應原有應用系統(tǒng)和新建的應用系統(tǒng)兩種情況。對于新建的應用系統(tǒng)，只要按照認證中心提供的認證和授權(quán)接口標準進行認證和授權(quán)的開發(fā)就可以和認證中心進行無縫集成。對于那些在建立認證中心之前就已存在的應用系統(tǒng)，因為沒有按照統(tǒng)一的接口標準進行認證和授權(quán)，而且可能運行在多種平臺之上，使用不同的數(shù)據(jù)庫系統(tǒng)。針對這種情況，認證接口子系統(tǒng)就要做到與平臺無關(guān)、與具體的數(shù)據(jù)庫系統(tǒng)無關(guān)。

2、針對不同系統(tǒng)提供的認證策略。為了使原有的系統(tǒng)能夠平滑過渡到單點登錄系統(tǒng)中，使不容易進行認證機制改造的應用系統(tǒng)也可以納入到系統(tǒng)的統(tǒng)一管理中，應該針對不同的系統(tǒng)有不同的策略。（1）對于新建系統(tǒng)或容易改進的系統(tǒng)。通過提供的標準接口函數(shù)來實現(xiàn)對客戶端與應用服務(wù)器的Kerberos改造，使之能夠與Kerberos認證機制相結(jié)合，從而納入到單點登錄系統(tǒng)中。（2）對已有的且不易改進的系統(tǒng)。因為相對來說，客戶端改造比較容易。首先將客戶端進行Kerberos改造，使客戶端可以與Kerberos認證服務(wù)器進行身份認證工作。再把原有系統(tǒng)的認證信息保證在本次單點登錄系統(tǒng)的用戶信息數(shù)據(jù)庫中，同時在應用服務(wù)器端設(shè)置一個代理軟件，其主要功能是對由客戶端傳過來的數(shù)據(jù)進行解析后，再傳送給應用服務(wù)器進行身份認證。（3）對于客戶端和應用服務(wù)器都難以進行Kerberos改造的系統(tǒng)，可采用中間件技術(shù)，通過代理軟件，登錄到本系統(tǒng)完成認證工作。工作流程為：當用戶登錄到這些系統(tǒng)時，首先要到本次系統(tǒng)的Kerberos認證服務(wù)器中獲得對應系統(tǒng)的認證數(shù)據(jù)，然后再提交給相應的系統(tǒng)，以便完成認證。可以通過開發(fā)客戶端的工具和代理軟件來自動實現(xiàn)，提高用戶的工作效率。

三、客戶端登錄子系統(tǒng)

提供完整的單點登錄技術(shù)。客戶端用戶登錄子系統(tǒng)提供完整的單點登錄技術(shù)。用戶只需登錄一次，就可使用同一使用憑證，登錄平臺上各資源子系統(tǒng)中，按所授權(quán)限訪問網(wǎng)絡(luò)資源信息，用戶一旦登錄成功，不會因為訪問不同的資源子系統(tǒng)而被要求多次重登錄。

四、國內(nèi)統(tǒng)一身份認證系統(tǒng)應用情況

數(shù)字校園的統(tǒng)一門戶建設(shè)，即統(tǒng)一身份認證系統(tǒng)，在國內(nèi)應用情況大以下幾類：

1、類似代理的認證服務(wù)體系。該體系使用目錄服務(wù)器存儲用戶的信息，在應用服務(wù)器遵從統(tǒng)一的目錄服務(wù)標準的情況下，和目錄服務(wù)器通信，進行統(tǒng)一認證。但是這并不是完全意義上的統(tǒng)一認證，而只是把認證分離出去，用戶在訪問不同的應用系統(tǒng)的時候仍要重新輸入用戶名和密碼。

2、與瀏覽器相關(guān)的認證服務(wù)體系。例如：上海交通大學網(wǎng)絡(luò)信息中心開發(fā)的用戶認證體系。該系統(tǒng)嚴重依賴瀏覽器Cookie的設(shè)置，如果強制指定瀏覽器拒絕Cookie，將無法使用Account進行登錄；另外系統(tǒng)本身安全性問題沒有考慮。

3、基于LDAP的統(tǒng)一身份認證系統(tǒng)。這類系統(tǒng)采用了LDAP（Lightweight Directory Access Protocol：輕量級目錄訪問協(xié)議）技術(shù)提高了系統(tǒng)可用性和可靠性，也避免了與瀏覽器相關(guān)的問題，同時縮短響應時間；系統(tǒng)采用了TLS（TransPortLayersecurity：傳輸層安全）和SASL[3] （Simple Authentication Security Layer：簡單認證和安全層）保證信息輸?shù)陌踩浴?/p>

五、結(jié)語

通過單點登錄系統(tǒng)，用戶一次登錄即能訪問校園網(wǎng)中其他應用系統(tǒng)，既實現(xiàn)了更優(yōu)的管理控制，又提高了用戶工作效率，同時還保障了整個網(wǎng)絡(luò)的安全性。本文為高校數(shù)字校園統(tǒng)一身份認證的實現(xiàn)提供了研究基礎(chǔ)以及理論體系的支撐。

參考文獻

[1] 齊鳳亮，薛海峰.數(shù)字化校園單點登錄系統(tǒng)的實現(xiàn).天津電大學報，2011（6）.

[2] 李海軍，盧清萍.基于LDAP的Web認證系統(tǒng)在數(shù)字化校園中的應用. 軟件導刊 ，2013.

[3] 陳蕊.高校信息門戶中關(guān)鍵指標體系的展示.天津電大學報，計算機與現(xiàn)代化，2013（10）.