基于CAS的統一身份認證平臺在高速公路監控網中應用

摘 要：隨著智慧交通的發展，高速公路監控信息業務開發數量逐漸增多，為解決每個信息業務系統都需要單獨的賬號和密碼登錄問題，提出了基于CAS的統一身份認證平臺。在這個平臺上只需完成一次身份驗證操作，就能訪問監控網中各個信息業務系統，大大簡化了用戶訪問系統資源的過程。對于監控網中各個系統獨立分散的狀況，該平臺通過可視化圖標方式進行整理統計，為完善高速公路監控網信息業務系統管理提供幫助。

關鍵詞：智慧交通；CAS；統一身份認證；系統管理

中圖分類號：TP39 文獻標識碼：A 文章編號：2096-4706（2025）02-0149-05

Application of the Unified Identity Authentication Platform Based on CAS in the Highway Surveillance Network

HUANG Zhaoyu1， SONG Jingfeng2

（1.Guangxi Communications Investment Group Chongzuo Expressway Operation Co.， Ltd.， Chongzuo 532200， China;

2.Guangxi Transportation Comprehensive Administrative Law Enforcement Bureau， Nanning 530028， China）

Abstract： With the development of intelligent transportation， the number of highway surveillance information business developments is gradually increasing. In order to solve the problem that each information business system needs a separate account and password for login， a unified identity authentication platform based on CAS is proposed. On this platform， users only need to complete one identity verification operation to access various information business systems in the surveillance network， greatly simplifying the process of accessing system resources of users. For the independent and scattered situation of each system in the surveillance network， this platform organizes and summarizes through visual icons， and provides help for improving the management of the information business system of the highway surveillance network.

Keywords： intelligent transportation; CAS; unified identity authentication; system management

DOI：10.19850/j.cnki.2096-4706.2025.02.028

0 引 言

高速公路監控網承載大量信息業務，為滿足用戶對不同道路信息的采集分析，各種基于監控網的信息業務系統應運而生，數量逐漸增多。當前高速公路監控網信息業務系統環境中，不同的信息業務系統由不同的廠家搭建，每個信息業務系統都有自己的賬號密碼，需要用戶在不同的系統間頻繁切換，給用戶帶來極大的不便。此外，監控網信息業務系統的用戶數量多，為方便操作，各用戶之間經常共享用戶名和密碼，使得用戶名、密碼等敏感信息長期暴露，帶來信息安全隱患?；贑AS（Central Authentication Service）的統一身份認證平臺，為多個相互信任的信息業務系統提供認證服務的接口，實現統一身份認證，即用戶只需要登錄一次，就可以訪問高速公路監控網中所有信息業務系統[1]。該平臺通過安全可靠的方式，提高監控網信息業務系統訪問的便捷性和可操作性，有效地保護用戶信息隱私，增強網絡安全。

1 高速公路監控網信息業務系統現狀分析

目前高速公路監控網已經開發并使用了多個系統，包括道路視頻監控系統、電力監控系統、火災報警系統、隧道數據采集系統和隧道緊急電話系統，等等，這些信息業務系統操作便捷，信息收集及時有效，能夠按照使用者的意愿實現特定的功能，給道路業務工作者帶來了便利。隨著用戶對道路業務需求的增加，信息業務系統數量持續增長，用戶群體越來越龐大，許多問題也隨之暴露出來。

首先，用戶需要單獨登錄每個不同的信息業務系統，且需要記住對應的用戶名和密碼，這對于需要切換多個業務信息系統進行資源訪問的用戶來說，操作煩瑣，體驗差。其次，每開發一個高速公路信息業務系統，開發人員都要重新編寫登錄驗證、用戶的注冊、修改、注銷等模塊。這類重復的工作不僅加大了開發人員的工作量，還會使開發的系統出現代碼冗余的情況[2]。另外，用戶信息分布在不同數據庫中，每當添加新用戶時，管理員須在各信息業務系統數據庫中都錄入對應的用戶信息。當需要注銷或修改用戶信息時，管理員還需查找該用戶注冊過的所有信息業務系統。這樣反復的切換增加了管理難度和維護成本。再者，目前在用的各個信息業務系統的用戶數量大，為方便訪問，經常設置一些共享賬號和簡單密碼，安全系數低，一旦信息泄露，系統容易遭到入侵。

2 基于CAS的統一身份認證平臺工作原理

為解決以上遇到的問題，本文提出將基于CAS的統一身份認證平臺應用到高速公路監控網中，以簡化工作量，提高工作效率，增強網絡安全。

CAS是由耶魯大學推出的開源項目，各行業在此項目基礎上進行功能模塊開發，以實現統一身份認證和單點登錄。高速公路監控網已建成較為完善的信息業務系統，將基于CAS的統一身份認證平臺接入現有信息業務系統模塊中，用戶通過一次登錄就可以訪問監控網中所有信息業務系統。

CAS統一身份認證平臺由CAS身份認證服務器和CAS客戶端組成[3]。CAS客戶端主要功能是管理高速公路監控網中各個信息業務系統的訪問端口。

當用戶初次訪問CAS客戶端中任意一個信息業務系統時，CAS客戶端會將用戶重定向到CAS身份認證服務器進行身份驗證，身份驗證成功后，CAS身份認證服務器生成票據TGT（Ticket Granting Ticket）存儲在用戶瀏覽器的Cookie中。TGT包含登錄該信息業務系統需要的用戶身份信息，用戶憑TGT中含有的身份信息登錄該信息業務系統，其過程如圖1所示。

當用戶訪問CAS客戶端中其他信息業務系統時，CAS身份認證服務器會檢查用戶Cookie中的TGT，如果存在有效的TGT，CAS身份認證服務器將TGT替換，生成服務票據ST（Service Ticket），并將用戶重定向回該系統，該系統再次將ST發送給CAS身份認證服務器中進行驗證，通過驗證后，生成攜帶對應的信息業務系統用戶信息的ST，用戶憑借ST可以訪問對應的信息業務系統，以此類推，其過程如圖2所示。

3 基于CAS的統一身份認證平臺整體構架

基于CAS的統一身份認證平臺主要由CAS身份認證服務器和CAS客戶端組成。平臺整體構架設計如圖3所示。

3.1 CAS身份認證服務器

CAS身份認證服務器是高速公路監控網中統一身份認證平臺的關鍵設備。主要職責是驗證用戶的身份信息，作為登錄系統的唯一認證通道。用戶訪問CAS客戶端憑證，包括用戶名、密碼等安全信息，在CAS認證服務器中完成自動驗證過程，如分析、比對、重新編碼等[4]。完成身份驗證后，身份認證服務器負責頒發訪問各信息業務系統所需的各種票據。

3.2 CAS客戶端

CAS客戶端集中管理高速公路監控網中各個信息業務系統服務器的訪問端口，為了實現與CAS身份認證服務器的交互認證，它將統一標記的庫文件嵌入到每個信息業務系統中。

CAS客戶端可支持PHP、JSP、ASP.NET等多種格式的信息業務系統[5]。當用戶發起訪問時，CAS客戶端中的信息業務系統不直接進行身份認證，而是將請求重定向到CAS身份認證服務器進行統一身份認證。

4 基于CAS的統一身份認證平臺軟件設計邏輯

基于CAS的統一身份認證平臺兼容性強，在不影響在用的信息業務系統運行軟件的情況下編寫開發，待其功能完善后接入現有系統即可。其軟件設計邏輯如圖4所示。

當用戶初次訪問CAS客戶端中的某個子業務信息系統時，首先會經過身份過濾器。該身份過濾器檢查是否攜帶有效的TGT票據，若票據無效，該訪問會被重定向到CAS身份認證服務器中。CAS身份認證服務器需要用戶提供用戶名、密碼等身份信息，用于進行登錄驗證。驗證成功后會生成一個有效的TGT票據并返回給用戶。當用戶攜帶票據訪問信息業務系統資源時，被訪問系統會將TGT票據重定向至CAS身份認證服務器進行驗證。驗證成功后，用戶可以使用該票據與CAS客戶端中的信息業務系統建立局部會話。

用戶再次訪問CAS客戶端信任域中的其他信息業務系統時，用戶將被重定向到CAS身份認證服務器。CAS身份認證服務器檢測到用戶已登錄，會生成TS票據并將用戶跳轉至被訪問系統。被訪問系統隨后將TS票據重定向給CAS身份認證服務器進行身份驗證，驗證成功后，用戶攜帶該TS票據即可以訪問CAS客戶端中相互信任的其他信息業務系統[6]。

5 平臺在高速公路監控網應用意義

基于CAS的統一身份認證平臺運用到高速公路監控網中，將對高速公路信息化建設產生積極的影響。主要體現在以下幾個方面：

1）操作更便捷。用戶只需進行一次身份驗證，通過驗證后，就可以直接訪問其他受信資源，用戶不需要多次輸入每個系統對應的用戶名和密碼，這極大地簡化了用戶操作。

2）開發管理效率高。開發人員只需編寫一次統一身份認證平臺的身份驗證模塊，在新系統接入時可以直接引用，無須重復編寫[7]。此外，CAS統一身份認證平臺會將用戶信息集中存儲在同一數據庫中，方便統一維護和管理，系統管理者只需在該數據庫中進行用戶的修改、增加、刪除操作，降低了維護難度，節約企業維護成本。

3）數據傳輸更安全。CAS的統一身份認證平臺提供了一種安全可靠的數據傳輸方式，該平臺隨機生成TGT和ST參數，提高了系統訪問的安全性[8]。在信息傳輸過程中，所有數據通過HTTPS/SSL加密。此外，在瀏覽器和信息業務系統之間減少了用戶敏感信息頻繁傳輸，極大地降低了系統遭受攻擊的風險。

6 平臺在高速公路監控網中應用功能模塊設計

CAS統一身份認證平臺在高速公路監控網中主要實現兩大功能，一是監控網業務系統展示，二是監控網業務系統的后臺管理。

6.1 監控網業務系統展示功能

監控網業務系統展示功能如圖5所示，系統展示功能內容如下：

1）統一登錄平臺首頁展示。登錄平臺后，平臺首面為用戶推送各個信息業務系統相關的最新通知，通知消息以列表形式留存，方便用戶查閱。此外，平臺頁面提供訪問各個信息業務系統的入口。

2）平臺公告。統一登錄平臺首頁匯總羅列各個信息業務系統的公告，登錄具體的信息業務系統之后，業務信息系統平臺展示本業務平臺公告，用戶無須返回統一登錄平臺首頁查看。公告相關內容，由管理員在后臺添加、修改、刪除等管理操作。

3）各信息業務系統首頁。登錄平臺后，系統會展示在統一平臺下已集成的各個信息業務系統，各個信息業務系統以圖標的形式排列展示給用戶，用戶只需點擊圖標即可訪問，無須再輸入用戶名和密碼等用戶信息。

4）瀏覽器-服務器（B/S）到客戶端-服務器（C/S）登錄。高速公路監控網中，部分應用是本地安裝的，統一身份認證平臺可實現從瀏覽器端直接登錄到本地安裝的應用客戶端，同樣無須重復輸入用戶名、密碼等身份驗證信息。

6.2 監控網業務系統的后臺管理

監控網業務系統的后臺管理內容如下：

1）統一平臺登錄首頁管理。主要是對各個業務系統的通知公告進行集中管理?？蓪鎯热葸M行查詢、新增、編輯和發布等操作。

2）信息業務系統同步管理。統一平臺需要實時同步管轄范圍內的各個信息業務系統用戶信息。包括用戶名、密碼、機構信息、表信息、系統信息、數據庫信息等[4]。各信息業務系統的用戶信息發生變化時，統一平臺也同步更新。

3）用戶管理。對統一平臺用戶基本信息、權限進行配置管理，支持對這些數據執行包括增加、刪除、修改和查詢等操作。同時維護權限映射信息、權限基礎信息、系統基本信息以及分組信息等內容。

7 基平臺在高速公路監控網中的實現

根據上述設計思路，以下主要介紹基于CAS的統一身份認證平臺在高速公路監控網中具體實現過程。其主要涉及CAS身份認證服務器和CAS客戶端兩大方面[8]。

7.1 CAS身份認證服務器實現過程

CAS身份認證服務器的實現需要完成運行環境和LDAP目錄數據庫兩個方面的配置。

首先，運行環境的配置需要將CAS身份認證服務器存放在Web容器中，Web容器可選擇Tomcat，完成Web容器制作后，采用overlay的配置模板，修改cas-overlay-template文件，配置CAS身份認證服務器。為了使CAS身份認證服務器實現單點登錄的功能，可以采用keytool證書管理工具生成CAS身份認證服務器安全證書。此外，還需找到Tomcat配置文件ever.xml，添加支持HTTPS協議。

其次，當用戶名和密碼需要驗證時，CAS身份認證服務器需要匹配LDPA目錄數據庫中的用戶信息。因此，可通過修改WEB-INF/deployerConfigContext.xml文件來實現CAS身份認證服務器和LDPA目錄數據庫之間的連接。

7.2 CAS客戶端的實現過程

CAS客戶端支持多種格式的信息業務系統，各個信息業務系統以庫的形式集成在可信任域的系統中，訪問該信任區域需要合法授權，非授權用戶不可訪問。CAS身份認證服務器具體是通過將用戶的訪問請求重定向至CAS身份認證服務器，由其進行身份核驗。該重定向的實現主要通過配置身份過濾器（Filter）來實現，需要配置4個不同功能的Filter，分別為AuthenticationFilter、TicketValidationFilter、HttpServletRequestWrapperFilter和AssertionThreadLocalFilter這四個Filter必須按照固定的順序來進行配置[9-10]。

首先進行AuthenticationFilter的配置，Authenti-

cationFilter有兩個必須指定的參數：casServerLoginUrl

用來指定CAS身份認證服務器的登錄地址，server-

Name或service用來指定認證成功后需要跳轉地址。然后進行TicketValidationFilter的配置，其主要的目的是通過AuthenticationFilter的認證之后，對攜帶的票據進行校驗。接著進行HttpServletRequestWrapperFilter的配置，用于將每一個請求對應的HttpServletRequest封裝為其內部定義的CasHttpServletRequestWrapper，這樣可以從HttpServletRequest中獲取到用戶的相關信息。最后配置AssertionThreadLocalFilter，其目的是為了方便用戶在應用的其他地方獲取Assertion對象。AssertionThreadLocalFilter具體配置如下：

lt;filtergt;

lt;filter-namegt;casAssertionThreadLocalFilterlt;/filter-namegt;

lt;filter-classgt;org.jasig.cas.client.util.AssertionThreadLocalFilterlt;/filter-classgt;

lt;/filtergt;

lt;filter-mappinggt;

lt;filter-namegt;casAssertionThreadLocalFilterlt;/filter-namegt;

lt;url-patterngt;/*lt;/url-patterngt;

lt;/filter-mappinggt;

完成以上CAS身份認證服務器和CAS客戶端配置，高速公路監控網統一身份認證平臺登錄頁面如圖6所示。

8 結 論

基于CAS的統一身份認證平臺采用旁路部署，不影響原有高速公路監控網絡

架構。在高速公路監控網中建立CAS統一身份認證平臺，對高速公路監控網各個信息業務系統的基礎數據進行梳理、整合，結束了監控網中各個信息業務系統“各自為戰”的局面。同時，新增信息業務系統時，避免重復開發登錄認證模塊的工作可以節約開發時間，簡化系統結構，從而提高系統運行效率。監控網中各個信息業務系統可自動引用CAS統一身份認證數據，使用戶在使用過程中減少部分基礎數據的維護工作量，方便統一管理，提升操作體驗。

參考文獻：

[1] 蘇亞濤.基于CAS框架的高校統一身份認證平臺研究與實現 [J].西安文理學院學報：自然科學版，2018，21（4）：78-83.

[2] 王曉晴，謝儀頔.統一身份認證系統的關鍵設計 [J].電信工程技術與標準化，2023，36（4）：57-63.

[3] 張帆.統一登錄平臺的應用及實現方法 [C]//第三十三屆中國（天津）2019’IT、網絡、信息技術、電子、儀器儀表創新學術會議論.天津：天津市電子計算機研究所有限公司，2019：377-380.

[4] GALLAGHER A E .Choosing the Right Password Manager [J].Serials Review，2019，45（1-2）：84-87.

[5] 柯家海，黃勁榮，杜嶺，等.高校統一身份認證平臺的單點登錄技術探究 [J].自動化與信息工程，2023，44（6）：60-63.

[6] 王群，李馥娟.一種基于單點登錄的實驗室統一身份認證方案 [J].實驗技術與管理，2020，37（5）：219-223.

[7] 于銳，鄧晨，趙洋，等.數字社會身份管理的現狀、問題及對策 [J].中國工程科學，2024，26（3）：207-216.

[8] 賀建榮，劉明昌，王歡.基于CAS神東身份認證與管理平臺的設計與實現 [J].科技創新與應用，2020（31）：68-70.

[9] 龔歡歡.改進的CAS多Web應用單點登錄 [D].南京：南京大學，2021.

[10] 何治民，王磊.一種開放的統一身份認證實現 [C]//中國計算機用戶協會網絡應用分會2023年第二十七屆網絡新技術與應用年會.鎮江：[出版者不詳]，2023：278-281.

作者簡介：黃昭宇（1992—），男，壯族，廣西南寧人，工程師，本科，研究方向：高速公路機電工程設備維護。

收稿日期：2024-06-14