文/郭曉明 李英壯 劉化總

三種認(rèn)證機(jī)制實(shí)現(xiàn)單點(diǎn)登錄

文/郭曉明 李英壯 劉化總

一般優(yōu)先考慮基于認(rèn)證平臺(tái)的應(yīng)用漫游方式，之后是基于共享密鑰的協(xié)議登錄機(jī)制，最后才考慮基于自配置的模擬登錄機(jī)制。

當(dāng)前，高校面對(duì)復(fù)雜的應(yīng)用環(huán)境，開發(fā)出許多管理信息系統(tǒng)，不同的應(yīng)用系統(tǒng)，需要不同的賬號(hào)密碼登錄，這給用戶帶來不便。為了解決此類問題，各高校采用統(tǒng)一身份認(rèn)證來實(shí)現(xiàn)單點(diǎn)登錄。

單點(diǎn)登錄即Single Sign-On（簡(jiǎn)稱SSO），是一種統(tǒng)一認(rèn)證和授權(quán)機(jī)制。它允許用戶在網(wǎng)絡(luò)中主動(dòng)進(jìn)行一次身份認(rèn)證之后，就可以訪問所有被授權(quán)的網(wǎng)絡(luò)資源和應(yīng)用系統(tǒng)，而不必再次登錄。為了在復(fù)雜的應(yīng)用環(huán)境下實(shí)現(xiàn)單點(diǎn)登錄的目標(biāo)，高校大都采用了多種認(rèn)證集成機(jī)制，具體可以歸納為三種類型。

基于認(rèn)證平臺(tái)的應(yīng)用漫游

統(tǒng)一身份認(rèn)證平臺(tái)存儲(chǔ)了全部的身份信息和對(duì)應(yīng)的憑證信息，并提供了不同編程語言（Java，.net，PHP）的認(rèn)證接口。業(yè)務(wù)系統(tǒng)完成身份信息同步和認(rèn)證接口的部署之后，可以使用統(tǒng)一身份認(rèn)證平臺(tái)完成身份的認(rèn)證，不需要自己存儲(chǔ)憑證信息和實(shí)現(xiàn)認(rèn)證。圖1標(biāo)識(shí)了業(yè)務(wù)系統(tǒng)完成認(rèn)證的相應(yīng)過程。具體如下：

①用戶請(qǐng)求訪問業(yè)務(wù)系統(tǒng)。

②業(yè)務(wù)系統(tǒng)在系統(tǒng)中查看是否有對(duì)應(yīng)請(qǐng)求的有效令牌，若有，則讀取對(duì)應(yīng)的身份信息，允許其訪問；若沒有或令牌無效，則把用戶重定向到統(tǒng)一身份認(rèn)證平臺(tái)，并攜帶業(yè)務(wù)系統(tǒng)地址，進(jìn)入第③步。

③在統(tǒng)一身份認(rèn)證平臺(tái)提供的頁面中，用戶輸入身份憑證信息，平臺(tái)驗(yàn)證此身份憑證信息，若有效，則生成一個(gè)有效的令牌給用戶，進(jìn)入第④步；若無效，則繼續(xù)進(jìn)行認(rèn)證，直到認(rèn)證成功或退出為止。

④用戶攜帶第③步獲取的令牌，再次訪問業(yè)務(wù)系統(tǒng)。

⑤業(yè)務(wù)系統(tǒng)獲取用戶攜帶的令牌，提交到認(rèn)證平臺(tái)進(jìn)行有效性檢查和身份信息獲取。

⑥若令牌通過有效性檢查，則認(rèn)證平臺(tái)會(huì)把令牌對(duì)應(yīng)的用戶身份信息返回給業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)把身份信息和有效令牌寫入會(huì)話狀態(tài)中，允許用戶以此身份信息進(jìn)行業(yè)務(wù)系統(tǒng)的各種操作；若令牌未通過有效性檢查，則會(huì)再次重定向到認(rèn)證平臺(tái)，返回第③步。

通過統(tǒng)一身份認(rèn)證平臺(tái)獲取的有效令牌，可以在各個(gè)業(yè)務(wù)系統(tǒng)之間實(shí)現(xiàn)應(yīng)用漫游。

基于共享密鑰的協(xié)議登錄

基于共享密鑰的協(xié)議登錄機(jī)制是高校信息化建設(shè)中常用的一種協(xié)議認(rèn)證集成模式，通過共享密鑰和其他的信息組合加密完成系統(tǒng)間的認(rèn)證，它需要在雙方系統(tǒng)部署不同程序，但不需要修改原先的認(rèn)證模塊。圖2給出采用協(xié)議登錄機(jī)制形成的一般結(jié)構(gòu)：各個(gè)業(yè)務(wù)系統(tǒng)的登錄跳轉(zhuǎn)程序都部署在一個(gè)入口系統(tǒng)中，而對(duì)應(yīng)的驗(yàn)證程序則部署在各自的業(yè)務(wù)系統(tǒng)，跳轉(zhuǎn)程序通過HTTP的get或post方法把雙方約定的協(xié)議數(shù)據(jù)提交到業(yè)務(wù)系統(tǒng)的驗(yàn)證程序，驗(yàn)證程序負(fù)責(zé)驗(yàn)證數(shù)據(jù)的有效性，若通過驗(yàn)證則跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)，否則拒絕使用。

圖1 基于統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用漫游

此機(jī)制一般要求入口系統(tǒng)與業(yè)務(wù)系統(tǒng)端共同約定用戶賬號(hào)、時(shí)間戳、校驗(yàn)碼、共享密鑰四個(gè)參數(shù)，并且要求雙方系統(tǒng)進(jìn)行時(shí)間同步。入口系統(tǒng)通過跳轉(zhuǎn)程序要求訪問業(yè)務(wù)系統(tǒng)時(shí)，需要在url中加入username、time、verify三個(gè)參數(shù)值，并傳遞給業(yè)務(wù)系統(tǒng)。其中verify是由username、time和key組成并采用md5方式加密形成的一個(gè)串值。業(yè)務(wù)系統(tǒng)獲取各個(gè)參數(shù)后，比較業(yè)務(wù)系統(tǒng)服務(wù)器時(shí)間與接收的時(shí)間戳(time)是否在允許的時(shí)間差范圍內(nèi)，如果在允許的范圍內(nèi)，則需將接收到的username 、time及原先設(shè)定的key進(jìn)行md5加密計(jì)算，獲得的一個(gè)串值且同verify進(jìn)行比較，若一致，則完成了本次的認(rèn)證登錄，并以u(píng)sername的身份訪問系統(tǒng)，否則登錄失敗。

圖2 基于共享密鑰的協(xié)議登錄

圖3 基于自配置的模擬登錄

通過此機(jī)制可以實(shí)現(xiàn)單點(diǎn)到多點(diǎn)的單向應(yīng)用漫游，也可以擴(kuò)展雙方認(rèn)定的協(xié)議內(nèi)容并進(jìn)行功能的擴(kuò)展，比如指定業(yè)務(wù)系統(tǒng)應(yīng)用模塊參數(shù)（module）來實(shí)現(xiàn)到具體應(yīng)用模塊的跳轉(zhuǎn)。

基于自配置的模擬登錄

基于自配置的模擬登錄機(jī)制是針對(duì)那些基于Form表單方式登錄的Web業(yè)務(wù)系統(tǒng)設(shè)計(jì)的，它不需要對(duì)業(yè)務(wù)系統(tǒng)的原有認(rèn)證模塊做任何修改。它利用用戶自我配置的業(yè)務(wù)系統(tǒng)賬號(hào)、密碼等信息，模擬用戶使用業(yè)務(wù)系統(tǒng)登錄頁面完成登錄的過程，在后臺(tái)直接提交相應(yīng)的信息到業(yè)務(wù)系統(tǒng)的登錄驗(yàn)證模塊，從而完成用戶登錄的過程。圖3描述了形成的主要體系結(jié)構(gòu)。

首先在入口系統(tǒng)中建立一個(gè)入口系統(tǒng)賬號(hào)到各個(gè)業(yè)務(wù)系統(tǒng)賬號(hào)的映射表，此表一般需要包含以下信息：

1.入口系統(tǒng)賬號(hào)：存儲(chǔ)入口系統(tǒng)自身的賬號(hào)。

2.業(yè)務(wù)系統(tǒng)ID：標(biāo)志不同的業(yè)務(wù)系統(tǒng)。

3.業(yè)務(wù)系統(tǒng)賬號(hào)：存儲(chǔ)業(yè)務(wù)系統(tǒng)與入口系統(tǒng)賬號(hào)對(duì)應(yīng)的賬號(hào)。

4.業(yè)務(wù)系統(tǒng)基本角色：存儲(chǔ)在業(yè)務(wù)系統(tǒng)中的角色信息。

5.業(yè)務(wù)系統(tǒng)密碼：通過加密方式存儲(chǔ)業(yè)務(wù)系統(tǒng)的密碼信息。

其次，需要分析業(yè)務(wù)系統(tǒng)的登錄頁面和其對(duì)應(yīng)的驗(yàn)證邏輯，并在入口系統(tǒng)中建立對(duì)應(yīng)的自配置程序，包括業(yè)務(wù)賬號(hào)密碼配置頁面、業(yè)務(wù)賬號(hào)密碼保存頁面、業(yè)務(wù)賬號(hào)密碼修改頁面等。

用戶在使用入口系統(tǒng)首次登錄業(yè)務(wù)系統(tǒng)時(shí)，需使用自配置程序把自己在業(yè)務(wù)系統(tǒng)中對(duì)應(yīng)的賬號(hào)、密碼、角色存入入口系統(tǒng)的映射表中，之后就可直接通過入口系統(tǒng)完成到業(yè)務(wù)系統(tǒng)的應(yīng)用跳轉(zhuǎn)。

對(duì)比三種機(jī)制

每種機(jī)制都需要先進(jìn)行一定的數(shù)據(jù)準(zhǔn)備，再部署相應(yīng)的程序，可以產(chǎn)生不同的應(yīng)用漫游情況，所以它們適用不同系統(tǒng)的認(rèn)證集成，具體分析如表1。

在信息化建設(shè)中，具體采用何種機(jī)制進(jìn)行認(rèn)證集成，需要具體情況具體分析，但是一般優(yōu)先考慮基于認(rèn)證平臺(tái)的應(yīng)用漫游方式，之后是基于共享密鑰的協(xié)議登錄機(jī)制，最后才考慮基于自配置的模擬登錄機(jī)制。

表1 三種認(rèn)證集成機(jī)制的分析對(duì)比

單點(diǎn)登錄認(rèn)證集成的實(shí)踐

大連理工大學(xué)從2009年6月開始了學(xué)校的信息化整體建設(shè)，至今已陸續(xù)建成了公共數(shù)據(jù)交換平臺(tái)、統(tǒng)一身份認(rèn)證平臺(tái)、校園綜合服務(wù)門戶等基礎(chǔ)平臺(tái)，并依次集成教務(wù)系統(tǒng)、研究生院管理系統(tǒng)、圖書館書目檢索系統(tǒng)、網(wǎng)絡(luò)自助系統(tǒng)、郵件系統(tǒng)、財(cái)務(wù)查詢系統(tǒng)、注冊(cè)系統(tǒng)、網(wǎng)站評(píng)比等系統(tǒng)，并把它們納入到了學(xué)校單點(diǎn)登錄認(rèn)證體系中，如圖4所示。

圖4 學(xué)校單點(diǎn)登錄認(rèn)證體系

學(xué)校采用CAS體系搭建統(tǒng)一身份認(rèn)證平臺(tái)，此平臺(tái)支持LDAP和數(shù)據(jù)庫兩種方式進(jìn)行認(rèn)證，可以自由切換。校園綜合服務(wù)門戶是學(xué)校用戶的統(tǒng)一入口系統(tǒng)，通過門戶可以漫游到學(xué)校的各個(gè)重要的業(yè)務(wù)系統(tǒng)中。

對(duì)于新建立的學(xué)生注冊(cè)系統(tǒng)和網(wǎng)站評(píng)比系統(tǒng)，采用了基于認(rèn)證平臺(tái)的方式進(jìn)行認(rèn)證集成，它們完全采用統(tǒng)一身份認(rèn)證平臺(tái)的認(rèn)證模塊，可以實(shí)現(xiàn)多點(diǎn)漫游。對(duì)于已有的教務(wù)系統(tǒng)、研究生院管理系統(tǒng)、圖書館書目檢索系統(tǒng)、郵件系統(tǒng)和網(wǎng)絡(luò)自助系統(tǒng)，采用協(xié)議認(rèn)證方式，保留各自系統(tǒng)原有的登錄認(rèn)證模塊，只能實(shí)現(xiàn)單點(diǎn)漫游。而對(duì)于財(cái)務(wù)系統(tǒng)，由于系統(tǒng)比較陳舊，對(duì)系統(tǒng)的改動(dòng)難度較大，所以采用了自配置的模擬登錄方式實(shí)現(xiàn)了點(diǎn)到點(diǎn)的應(yīng)用跳轉(zhuǎn)。

單點(diǎn)登錄（SSO）是高校信息化建設(shè)的重要課題，涉及全校師生的隱私和學(xué)校的機(jī)密資料，如何保證安全性是我們下一步應(yīng)該考慮和研究的問題。

（作者單位為大連理工大學(xué)網(wǎng)絡(luò)中心）