基于CAS的企業統一認證中心實現方案研究

祝慶績

摘 要：經過多年的信息化建設與積累，企業內部各信息系統之間形成了相互獨立的登錄體系，造成了使用和安全上的諸多不便與問題。采用CAS技術建設企業統一認證中心，可以實現企業內部應用系統的單點登錄，只需一次登錄即可訪問所有系統，避免不同系統間來回切換登錄等問題，既可以提高工作效率，提升用戶體驗，也能夠有力保證用戶信息和系統安全，是企業信息化建設中的重要環節。

關鍵詞：統一認證;CAS;單點登錄;信息化;管理;安全

中圖分類號：TP39文獻標識碼：A文章編號：2095-1302（2019）08-00-04

0 引 言

信息技術發展日新月異，許多企業信息化的過程是一個不斷積累和改進的過程，多年的系統建設和數據積累形成了許多成熟的應用系統，為企業的發展作出不同的貢獻，涉及企業大部分生產或業務，如OA，CRM，HR系統，財務資產管理系統，信息發布系統，生產指揮系統，勞資系統，設備管理系統以及ERP等，種類繁多，應用廣泛，不可或缺。

企業信息化過程中，各應用系統初期均為獨立開發建設，彼此相互孤立，操作相互割裂，數據相互獨立。各系統用戶名不統一，登錄時需要單獨輸入不同的用戶名和密碼。隨著企業發展與業務擴展，未來企業也將不斷增加應用系統，有些企業用戶權限較高，涉及業務多，如果每一個系統都有自己的一套用戶認證體系，登錄每個系統都需要單獨進行用戶認證，則使用極其不便。多套系統多套用戶名和口令，給用戶記憶密碼帶來困擾，因此經常存在部分安全意識不高的用戶，將多個系統設置成相同的密碼甚至是空密碼，或者將密碼寫在紙上，貼在桌上，如此種種都對業務系統造成了極大的安全隱患，極易因為密碼泄露而造成非法入侵，甚至造成生產事故，同時事故責任追查難度較大。

在安全形勢日益嚴峻的今天，企業內控要求逐漸加強，企業內部應用系統大多采用強密碼策略，要求系統用戶必須在三個月內更換一次密碼，因此密碼失效和忘記密碼的事情時有發生，給系統管理員帶來了繁瑣的重置用戶密碼工作，加大了管理員的日常管理工作負擔，不利于系統維護。針對這些情況，企業建立了一個統一認證中心，可提供單點服務，對于所有企業應用系統的訪問建立了一套完整的安全防護和用戶管理機制，用戶只需要一次登錄認證成功后，就可訪問任何實現單點登錄授權訪問的應用系統，以避免頻繁登錄，有效解決了記憶多套用戶名密碼、系統頻繁登錄、用戶身份唯一性和合法性等問題[1]。

1 單點登錄技術

單點登錄（Single Sign On，SSO）是指在一個企業內部的多個應用系統中，用戶不用多次登錄各系統，只需登錄一次就能夠訪問所有企業內的應用系統。用戶無需記憶不同系統中的用戶名、密碼，也無需多次登錄訪問不同的應用系統。單點登錄無論從用戶還是企業的角度來看，都大有裨益。

從企業管理角度來說，系統實現單點登錄可以提高企業信息系統的安全性，提高員工工作效率，提升用戶體驗，減少管理成本，節約新建系統的開發成本，提高經濟效益。

從用戶角度來說，單點登錄可以消除多系統、多用戶名、多密碼的問題，減輕記憶壓力，減少忘記密碼帶來的麻煩，還可以減少登錄操作，避免多次認證的重復勞動，減少了工作壓力。

從系統管理員的角度來說，單點登錄系統可以避免繁瑣的賬號密碼管理工作，更好地執行安全密碼策略，保護系統安全，減少了處理用戶忘記密碼和重置密碼的工作。

從應用開發商的角度來說，可以減少身份認證模塊的開發工作，加快開發進度，更加注重優化業務流程，提供更好的信息服務。

2 CAS技術

CAS（Central Authentication Service，CAS）即中心認證服務，它是一個開源項目，由美國耶魯大學發起，其宗旨是為基于Web的應用系統或網站提供一種可靠的單點登錄方法。CAS的目的是使分布在企業內部所有異構系統的認證集中在一起實現，通過公用的認證中心來統一管理和驗證用戶身份，實現集中統一認證。認證的用戶將獲得中心認證服務頒發的證書，用戶使用該證書即可在中心認證服務的各個系統上自由訪問，無需單獨登錄認證[2-3]。

2.1 CAS設計愿景

（1）基于Web應用的統一認證中心實現易用性好，可跨域單點登錄[4]。

（2）減少管理多套密碼系統造成的工作負擔，消除安全隱患，實現統一的用戶身份及密碼管理。

（3）提供更加優秀的框架設計以及彈性安全策略，降低信息系統設計時認證模塊的耦合度。

2.2 CAS特點

（1）CAS是一個企業級單點登錄的開源解決方案;

（2）CAS服務器（CAS Server）獨立部署為Web應用;

（3）CAS客戶端（CAS Client）支持多種客戶端Web應用實現單點登錄;

（4）CAS支持多種語言和實現技術，包括.NET，Java，PHP，Perl，Ruby，uPortal等。

2.3 CAS原理和協議

CAS從結構上分為兩個部分，即服務器端（CAS Server）和客戶端（CAS Client）。

服務器端（CAS Server）需要獨立部署，主要功能是負責用戶認證工作;客戶端（CAS Client）主要負責處理受保護資源的訪問請求，判斷客戶端訪問是否需要登錄，需要則重定向到CAS Server。

CAS基本協議過程如圖1所示。

采用單點登錄的客戶端需要將CAS Client集中部署，CAS Client采用Filter方式保護應用中受保護的資源。

對于訪問受保護資源的每個Web請求，CAS Client 分析該HTTP請求中是否包含有 Service Ticket，若沒有，就表明當前訪問用戶尚未通過統一認證登錄，那么CAS Client就將請求重定向到CAS Server登錄地址，并傳遞要訪問的目的資源地址（Service），以便登錄成功后轉回該地址。用戶輸入用戶名和密碼等認證信息，如果認證通過，CAS Server隨機產生一個一定長度、唯一、不可偽造的Service Ticket，并緩存以待將來驗證，之后系統自動重定向到要訪問的目的資源地址，并為客戶端瀏覽器設置一個TGC （Ticket Granted Cookie，TGC），CAS Client在拿到Service和新產生的Ticket后，與CAS Server進行身份核實，從而確保Service Ticket的合法性。

在CAS協議中，所有與CAS的交互均采用SSL協議，以確保Service Ticket和Ticket Granted Cookie的安全。整個協議的工作過程涉及兩次重定向，但CAS Client和CAS Server之間進行Ticket驗證的過程對于用戶而言是透明的。

另外，根據官方網站的介紹，CAS協議中還提供代理（Proxy）模式，以適應更復雜更高級的應用場景，具體應用可參考CAS官方文檔，本文不加討論。

3 統一身份認證服務

3.1 傳統身份認證服務

傳統應用系統認證時，用戶認證的流程：用戶打開登錄頁面，輸入用戶名和密碼，點擊“提交”按鈕，用戶名和密碼信息通過瀏覽器提交至服務端的身份認證模塊，系統的認證模塊匹配數據庫中的用戶名和密碼信息，若信息匹配成功，則允許用戶登錄系統，否則禁止登錄并提示登錄失敗或者跳轉回登錄頁，提示用戶重新登錄[5-7]。傳統身份認證流程如圖2所示。

傳統的身份驗證方式存在如下4個弊端：

（1）僅僅簡單檢驗用戶名和密碼是否匹配，無法做到對系統服務進行更小粒度的訪問控制;

（2）對于由多個子系統構成的企業應用，每個子系統單獨存儲用戶名和密碼，用戶必須多次注冊，頻繁切換登錄才可以使用不同的子系統，操作過程繁瑣，用戶體驗差;

（3）每一次登錄系統都要傳輸用戶名和密碼，容易泄露用戶隱私信息和安全信息;

（4）統一的密碼安全策略難以有效實施，導致管理負擔加重和系統安全隱患。

3.2 統一認證服務系統架構

統一認證服務平臺采用分布式結構，其分布式結構如

圖3所示。每個應用系統（生產管理系統、庫存管理系統、車輛調度系統等）都有各自的數據庫系統，存儲用戶登錄賬戶和密碼之外的用戶基本信息、角色、權限和資源。統一認證中心服務器端的數據庫中保存用戶的登錄名和密碼。用戶的身份認證統一交給統一認證中心服務器完成。采用獨立部署模式能夠把認證與訪問應用系統分成兩部分，通過將用戶信息的讀寫權限有效控制在統一認證中心服務器內，實現應用系統需要獲取用戶登錄信息時，通過協議跳轉到統一認證中心服務器端獲取的目的，從而確保用戶登錄信息的安全性。統一認證中心的信息傳輸采用HTTPs協議，保證傳輸通道安全，各應用系統和服務器端使用同一個SSL證書，以確保認證信息在傳輸過程中的保密性和安全性[8-9]。

3.3 統一認證服務流程

用戶在初次訪問單點登錄系統中的受保護資源時，客戶端的應用系統會攔截用戶的訪問請求，并將訪問請求重新定向到統一認證中心服務器端，認證服務器獲取用戶的訪問Cookie，在服務器端檢驗用戶是否成功登錄，如果登錄成功則將請求添加一個票據傳回客戶端;如果登錄認證未成功，則將請求重新指向服務器端的登錄界面，并提示用戶未成功登錄，要求用戶重新輸入用戶名和密碼登錄。客戶端收到票據之后，再次發送請求到服務器端的票據驗證地址，以驗證票據的有效性。如果票據驗證有效，客戶端將同意用戶訪問受保護的系統資源;否則，將該請求重新指向到服務器端的登錄界面，并提示用戶重新輸入用戶名和密碼登錄。

統一認證流程如圖4所示。執行步驟如下。

（1）用戶Web瀏覽器向受保護Web應用服務發送初始化用戶請求。

（2）應用在URL中附加服務ID，然后將用戶請求重定向到統一認證中心進行認證。如果統一認證中心檢測到認證票據，則轉到步驟（3）;如果沒有，則提示用戶輸入用戶名和密碼登錄，在用戶登錄成功后發放認證票據并進入

步驟（3）。

（3）統一認證中心在URL中附帶服務票據后，將用戶定向回Web應用地址。

（4）應用系統將服務票據提交至統一認證中心進行驗證，獲取正確的用戶身份。

3.4 統一認證中心核心模塊

企業統一認證中心由5個核心模塊組成，實現統一認證、單點登錄、注冊用戶管理等功能，統一認證中心平臺架構如圖5所示。

（1）單點登錄認證服務：實現統一的用戶認證服務。

（2）用戶注冊模塊：實現用戶注冊以及密碼找回功能。

（3）用戶信息編輯模塊：提供用戶自身的信息管理功能。

（4）應用系統接口模塊：為應用系統提供必需的接口。

（5）統一用戶管理系統：供認證中心的系統管理員使用。

統一用戶管理系統供管理員實現對注冊用戶的管理，主要提供的功能包括管理站點信息、用戶統計、日志管理、賬號管理和注冊用戶管理等。系統用例圖如圖6所示。

3.5 技術實現

企業統一認證中心的功能采用JA-SIG CAS實現。JA-SIG CAS是一項開源技術，為Web系統提供單點登錄服務，具有如下兩個特性：

（1）具有開放性和文檔支持協議;

（2）擁有Java開源服務器組件，能夠提供多種類型的客戶端，如Java，Perl，.NET，PHP等，可與各種框架集成使用，如BlueSocket，Mule，TikiWiki，Moodle，Liferay，uPortal等。

系統采用JavaEE技術的JA-SIG實現，基于Spring Framework技術和MVC模式開發，結構清晰，可以方便地進行擴展和二次開發。能夠支持豐富的客戶端和第三方軟件集成，支持Java，.NET，Asp等主流開發語言。采用Hibernate框架實現數據的持久化，支持多種數據源。數據庫采用MySQL，可以根據用戶需求移植到其他數據庫。JavaEE跨平臺性能好，易于移植和部署。

開發環境：Windows+Eclipse+Tomcat+MySQL。

發布環境：Windows/Unix/Linux，MySQL，JDK7， Tomcat7，Apache2。

客戶端：IE，Firefox，Chrome等主流瀏覽器。

4 結 語

采用CAS技術實現的企業統一認證中心能夠提供用戶統一認證服務和系統單點登錄功能，從而實現企業的各個應用子系統與用戶身份認證服務分離，SSO服務器端統一負責處理用戶身份認證，可以細粒度地對系統的每個服務進行訪問控制，降低用戶登錄次數，保護用戶隱私，提高信息安全和應用程序服務安全，為企業提供更加安全的信息

環境。

參 考 文 獻

[1]李俊.一個基于JA-SIG CAS改進的SSO模型及實現[D].成都：電子科技大學，2011.

[2]李建佳，王晶.基于JA-SIG CAS統一認證平臺（SSO）的設計與實現[J].廣東海洋大學學報，2013，33（3）：78-83.

[3]茍素潔.淺談信息系統統一身份認證和單點登錄[C]// 中國計量協會冶金分會冶煉傳感器專業委員會2012年會員代表大會及技術交流會論文集，2012：61-63.

[4]陳洪雁，萬俊偉.基于Web的企業網站性能優化方案研究與應用[J].物聯網技術，2018，8（2）：67-69.

[5]侯震.面向園區的統一身份認證與開放授權系統的研究與實現[D].濟南：濟南大學，2015.

[6]林偉明.基于JA-SIG CAS實現圖書館統一身份認證—以深圳大學圖書館為例[J].現代情報，2012，32（9）：134-138.

[7]程雪穎.基于校園CAS的高校圖書館數字服務系統單點登錄研究與實現[J].農業圖書情報學刊，2018，30（11）：50-56.

[8]周游舟.企業單點登錄方案與系統集成應用[J].四川職業技術學院學報，2018，28（1）：159-163.

[9]佚名.CAS實現單點登錄詳解[EB/OL].http：//wenku.baidu.c.

[10]俞靚亮.基于CAS協議的單點登錄系統在數字化校園中的應用[J].電腦與信息技術，2018，26（6）：21-23.

[11]方源，鮑克，趙一凡，等.基于流量的工業控制系統入侵檢測技術[J].物聯網技術，2018，8（10）：64-65.

[12]佚名.基于.NET的單點登錄（SSO）解決方案[EB/OL].http：//wenku.baidu.c.

[13]佚名.統一身份認證平臺集成接口文檔[EB/OL].http：//wenku.baidu.c.

[14]佚名.Tomcat上CAS認證服務的SSO例子_AikeyLin-[EB/OL].http：//blog.sina.com.