基于單點登錄的檔案管理系統的研究與實現

戈妍妍

【摘 要】在如今知識信息時代，計算機網絡技術的發展、通訊技術的革新、高校信息化管理的推進，都在促使基于網絡信息應用處理生活工作上的事物。檔案應用系統隨著云技術和計算機應用技術的發展也在逐步完善，不同的系統認證方式都會產生新的問題。為了便于檔案管理工作高效便捷地完成，發展和完善高校信息化建設就極為重要，本文從單點登錄著手分析發展高校信息化建設的重要性。

【關鍵詞】單點登錄；檔案管理；身份認證

1 單點登錄研究的背景和意義

如今，信息技術已經滲透到了社會各個角落，覆蓋在生活、工作的方方面面。利用信息化高速發展的趨勢，高校將注重數字校園化和數字教育化的發展。數字化校園建設也給高校檔案工作帶來了新的歷史機遇，加快高校檔案館向數字化方向發展，實現對高校檔案從收集、管理、利用直至銷毀全過程的數字化與集成化，使檔案信息可以被有效的利用并成為重要的數字資源用于共享，進一步優化檔案工作模式，延伸檔案的服務功能，使其成為高校公共服務體系中的一個重要部分。[1]

目前我校檔案館正在使用的管理軟件包括：“南大之星檔案管理系統”，“照片檔案管理系統”，“榮譽與專利檔案管理系統”，“檔案編研及資料管理系統”，；“檔案信息查詢系統”，“中英文成績翻譯系統”，“借閱登記系統”，“碩士學位論文在線提交系統”。但是，因為不同系統開發部署時間不一樣，運行平臺也繁多，而且是相互不干擾、彼此獨立的管理界面以及其子系統。由于認證機制不統一，新的應用系統不斷更新和引進，這就造成管理員工作變得復雜繁重。對于最終用戶而言，也存在同樣的煩惱。在檔案館使用不同數據庫服務時，會出現多次重復注冊和認證的情況，這樣就會造成使用效率低，浪費時間和精力，給使用者帶來極大的不便和混亂。為了有效的解決這些問題，加速數字化校園建設，各大高校都積極采取了對應的解決方案。其中提供交互數據的單點登錄系統是一種很有效的解決方案，這樣能夠讓校園網處于獨立、安全的運行狀態，實現統一身份認證狀態。[2]

單點登錄是存在多個相關但是互相獨立的系統軟件之中的一種訪問控制方式，單點登錄是相關但統一軟件系統和獨立的訪問控制模式，用戶只需使用門戶網站的登錄ID和密碼認證，就可以進入其他子系統而不需再次輸入身份信息。單點注銷與單點登錄是相反的，當用戶從其中一個系統退出，那么它的所有權限都被收回，不能夠進入其他系統了。

最近，學術界和技術行業提出了很多解決途徑。目前耶魯大學協議、 OpenSSO、微軟的 Passport 協議、國際商業機器的Websphere技術等是最為常見和廣為采納的解決方案。

用戶單點登錄具有以下幾方面優點：

第一，用戶使用方便。避免多次反復輸入認證信息，避免的所謂的“密碼疲勞”現象，同時也節省時間。

第二，降低服務成本。只需要記住一個密碼而不需要多次輸入。

第三，便于統一管理和降低管理成本。

第四，增強了安全性，由于退一全退的單點注銷模式可以避免用戶忘記注銷而導致信息泄露等。

第五，統一對用戶信息儲存在終端，方便用戶數據統計。

2 國內外研究現狀（Research status at home and abroad）

一個典型的單點登錄過程如下：第一步，攔截和檢查是否有令牌，如果令牌符合要求也有效，就可以同意請求；如果不符合要求或是無效過期，那么就會對此攔截，并且發送給認證平臺，提醒用戶登錄認證。一般這樣的令牌是以cookie形式提供，如果用戶禁用cookie，可以通過隱藏域獲得令牌。

國外研究主要集中在大學和企業，較為先進的單點登錄系統主要是Passport[3]、Liberty[4]、Websphere等等。國內研究還處于初級階段，不過建立在單點登錄技術上開發的應用是較為廣泛的。

其中北大與清華分別于 2003 年在“校園網統一身份認證系統”中實現了單點登錄，之后中國電信也在其旗下產品中實現了。騰訊公司和阿里巴巴公司也分別實現了相關的單點登錄功能。此外，在金融、稅務、工商等領域也有相關的應用。

近年來，很多學校在數字化校園進展中對統一身份認證系統上進行了一定的研究和開發。但是結果差強人意，存在著很多漏洞和不足。因此本文研究工作具有一定的實用價值和學術意義。

3 核心技術（The core technology）

網絡安全性和可靠性在網絡技術的迅速發展下顯得極為重要。網絡安全是指給硬件、軟件和數據提供良好的網絡保護，不輕易被偶然或是惡意的原因篡改程序，造成破壞、改變甚至是泄露的情況。而且系統能夠穩定連續的運轉，網絡服務不會中斷。因此單點登錄符合安全要求，能夠保障網絡穩定，因為它是一個登錄和多系統訪問。

信息安全技術主要在身份驗證、加密、安全傳輸通道技術等方面。身份驗證技術主要是提供了一種能夠使雙方確認真實身份的方式，而這種確認方式是控制訪問的核心技術；加密技術組要是確保信息傳輸過程中不被攔截和更改；安全傳輸技術主要是確保源用戶和目標用戶能夠接收到且這兩方能收到信息，保證了數據在傳輸過程中安全。在接下來的論述中簡要分析認證和安全傳輸技術。

3.1 身份認證技術

作為第一道防線，身份認證[5]在網絡安全的不可替代的作用。認真機制一般分為簡單認證機制和強認證機制。簡單的認證機制僅僅包括用戶名和口令，當兩者都被服務系統接受，那就認證通過。明文在互聯網上傳輸時，很容易遭到竊聽截取，常用一次性口令OTP （One-Time-Password）機制解決這個問題。OPT機制的最大特點就是其不會暴露用戶的真正口令，而且是一次性的。強制認證機制是采用多加密方式確保信息交換時安全，較為廣泛應用的是Kerberos協議。

（1）理論原理endprint

當用戶初次訪問檔案系統時，會直接被攔截轉發到認證平臺，直接提醒用戶認證。按照用戶輸入的的登錄信息，認證系統開始對用戶進行身份校驗，如果身份校驗通過了，則會返回用戶一個票據（ticket），它是系統自動為合法登錄的用戶發而放許可證。憑借這個許可證實現對所有應用系統的統一訪問。票據對用戶身份進行了綁定，在整個系統的支撐體系中也是唯一存在的，杜絕用戶偽造或交換票據等方式而非法訪問系統。時間戳和一些用戶屬性都存放在票據中，系統可以通過瀏覽用戶屬性從而實現對個性化的訪問控制；下次該用戶登錄服務器中其他應用時也將附帶此認證憑證，接收到登錄請求后，應用系統直接將票據送至認證系統中檢查該票據的合法性。只要票據合法，用戶即可訪問應用系統 2 和3 了，不再需要重新進行登錄驗證。登錄過程如圖1所示：

圖1 單點登錄流程圖

Figure.1 SSO flow chart

在沒有實施單點登錄之前服務器系統內部的用戶管理非常分散，單點登錄不僅集成了系統的用戶管理，依靠彼此的信賴關系服務器內各系統之間完成了身份的統一認證。獨立的用戶信息管理模塊把用戶賬號信息統一保存管理，管理員只要在用戶信息數據庫中進行統一的賬號增刪修改，而不用在每個系統下分別設置信息數據庫，要實現這些目標，需要實現幾種基本功能：

1）共享身份認證系統

2）識別、提取票據信息

3）用戶信息數據庫的建立

4）認證服務器的多樣性

3.2 實施方案

SSO系統當前的實施模型主要有基于網關、經紀人、代理人三種單點登錄。

1）基于網關的模型（Gateway-Based）[6]

這種模型是提供類似門的網關且能夠安全接入可信網絡服務。在確定的環境下安裝和設置網關都非常方便。

2）基于經紀人的模型（Broker-based SSO）

在這個模型中，必須設置一個能夠集中認證并能夠管理用戶帳號的服務器。使用中央數據庫減輕了管理的難度并提供一個獨立、公共的“第三方”。這種模型主要是確定現有的某些應用程序需要被修改，改造舊系統。

3）基于代理的單點登錄（Agent-based SSO）模型

針對目前的應用環境，按照這幾種模型的特點，我們采用基于經紀人[7]的單點登錄模型（Broker-based SSO），并引入代理認證的機制，這樣既能集中管理，又能夠減少修改量。

4 系統實現（system implementation）

4.1 身份信息的后臺管理

在校園網環境下使用檔案應用程序的時候，不同的用戶數據都使用獨自的數據庫管理系統進行管理。所以現有用戶的管理系統中間的信息交互構成了用戶管理的重點。

通過對用戶信息統一管理，并且確認身份認證，形成異構數據庫和目錄數據庫之間數據傳輸，利用XML格式作為中間介質，可以很方便的實現數據傳遞。基本的信息交互如圖2所示：

圖2 消息交互過程

Figure.2 message interaction process

使用SOAP消息傳遞機制可以在大量添加數據時提高效率。

4.2 服務器端實現（The server implementation）

4.2.1 初次登錄

第一次登入，其流程如圖3所示：

圖3 登錄流程圖

Figure.3 login process map

（1）用戶請求服務，客戶端將用戶身份信息標識發到認證服務器認證。

（2）認證服務器接收到用戶登錄請求后，隨機返回一個數 ；

（3）客戶端接收服務器返回的認證信息，用戶的簽名信息，并發送給認證服務器認證。

（4）如果通過驗證，認證服務器生成的登錄會話密鑰，用戶的在線信息和加密密鑰發送到客戶端

（5）客戶端從認證器接受的信息，解密的會話密鑰，加密存儲在本地，以后需要使用身份認證信息

（6）完成上述幾個步驟，用戶就可以對應用系統進行訪問了。

4.2.2 檢驗后的登錄

已經登錄，進一步訪問檔案各個業務應用系統，其執行流程如圖4：

圖4 登錄流程圖

Figure4 login process map

（1）客戶端構造用戶身份標識，發往認證服務器。

（2）用戶搜索登錄發出的請求被認證器接受到時，如果用戶已經登錄列表，且狀態有效，就加入業務系統登錄系統進列表，并將確認信息返回給客戶端。

（3）客戶端和服務器的信息來判斷，如果一個用戶登錄，系統直接訪問，不需要重復登錄，驗證過程結束；否則，為第一次登錄過程。

通過身份信息的后臺管理和服務端的實現，就可以實現檔案管理系統只需通過一次登錄，就可以訪問其他檔案服務系統了，這樣可以節省時間和精力，簡化檔案管理人員的反復重復的登錄，從而極大的提高工作效率。

5 結束與體會

隨著大數據時代的到來，檔案資料也井噴式增加，在檔案管理中就顯露出很多問題和漏洞。比如系統分散、資源利用率低，用戶不能集中管理、網絡安全不能保障等。展開對單點登錄的研究就找到了這些問題的突破口。

筆者在對國內外單點登錄的發展情況進行了一定研究和學習的基礎上，進行了分析和比較，在總結單點登錄的特點、優勢的基礎上，針對發展校園網統一認證設計的具體需求，提出了一個安全穩定的單點登錄模型。實踐表明本文提出的認證和授權方法的單點登錄方案可以靈活地實現所需要求。

【參考文獻】

[1]馮有輝.大數據理念下高校檔案管理服務體系研究[J].山西檔案，2016，06：55-57.

[2]吳賢平.基于指紋識別和CAS的單點登錄模型技術研究[J].計算機應用研究，2012，29（4）：1381-1383，1390.

[3]沈杰，朱程榮.基于Yale-CAS的單點登錄的設計與實現[J].計算機技術與發展，2007，17（12）：144-146，150.

[4]張平，鄭津，汪立欣等.一種基于CAS的校園網統一平臺單點登錄方法[J].電腦編程技巧與維護，2013（16）：146，155.

[5]劉峰，王崢，曹華平，等.基于CAS的門戶單點登錄方案[J].計算機系統應用，2011，20（6）：77-80，102.

[6]吳秋兵.基于代理的單點登錄系統模型研究[J].廣東石油化工學院學報，2012，22（3）：41-44，48.

[7]楊帆.高校公共信息管理系統基于單點登錄的統一認證技術設計與研究[D].華東師范大學，2010.endprint