王勁松

（中國(guó)石油大學(xué)勝利學(xué)院，山東 東營(yíng)257000）

1 概 述

隨著高校校園網(wǎng)信息化步伐的加快，一系列基于高校校園網(wǎng)絡(luò)的信息系統(tǒng)，如辦公自動(dòng)化、教務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、學(xué)生管理系統(tǒng)、后勤管理系統(tǒng)、圖書館管理系統(tǒng)等的應(yīng)用，極大地方便了人們的工作和學(xué)習(xí)。但隨著高校校園網(wǎng)中數(shù)字資源不斷增多，人們?cè)谙碛眠@些服務(wù)的同時(shí)，也感到一些不便：每個(gè)應(yīng)用系統(tǒng)都有獨(dú)立的賬號(hào)，進(jìn)入前都需要以該應(yīng)用系統(tǒng)的賬號(hào)來登錄。在工作中總要輸入用戶名及口令，而且每次各不相同。對(duì)于高校信息化而言，大量重復(fù)的不一致的用戶個(gè)人信息，也不利于學(xué)校深層次的信息化建設(shè)。所以需要對(duì)校園網(wǎng)中的信息系統(tǒng)進(jìn)行無縫集成，使它們能夠統(tǒng)一運(yùn)作，并通過單點(diǎn)登錄達(dá)到一處登錄、處處通用的目的。

2 基于Web Services的高校校園網(wǎng)系統(tǒng)集成平臺(tái)的架構(gòu)

2.1 校園網(wǎng)系統(tǒng)集成平臺(tái)架構(gòu)

今天的校園更需要一個(gè)集成的開放的面向?qū)W生、教師的且具有柔性的IT支持系統(tǒng)，只有把校園內(nèi)不同的信息系統(tǒng)以及學(xué)校業(yè)務(wù)過程集成起來，才能使校園本身業(yè)務(wù)協(xié)調(diào)運(yùn)作。

面向服務(wù)架構(gòu)（services－oriented－architecture，SOA）是一種面向功能層的企業(yè)應(yīng)用集成方式，不僅能保證原有系統(tǒng)的數(shù)據(jù)安全性和邏輯安全性，而且能實(shí)現(xiàn)各系統(tǒng)之間的松耦合，方便系統(tǒng)流程的重組和優(yōu)化，具有跨平臺(tái)、語言獨(dú)立等優(yōu)點(diǎn)［1］。

采用的服務(wù)平臺(tái)是基于SOA架構(gòu)構(gòu)建的服務(wù)層，支持多種業(yè)務(wù)數(shù)據(jù)服務(wù)，同時(shí)作為內(nèi)部和外部應(yīng)用的中間件，具有安全性、高性能、可重用性及可擴(kuò)展性、易管理及版本兼容等特性［2］。

此服務(wù)平臺(tái)主要關(guān)注業(yè)務(wù)服務(wù)層和數(shù)據(jù)服務(wù)層。其分為5層，其架構(gòu)如圖1所示。

圖1 基于SOA的數(shù)字化校園架構(gòu)圖

該架構(gòu)包括5層：

（1）信息服務(wù)層。內(nèi)部及外部的應(yīng)用用戶。

（2）應(yīng)用服務(wù)層。內(nèi)部及外部的應(yīng)用。通過服務(wù)管理平臺(tái)與服務(wù)庫(kù)及下一層進(jìn)行對(duì)話。

（3）基礎(chǔ)服務(wù)層。提供統(tǒng)一方法訪問物理層和數(shù)據(jù)字典。所有的數(shù)據(jù)操作（用戶授權(quán)及數(shù)據(jù)的增加/修改/刪除）都發(fā)生在此層。

（4）數(shù)據(jù)層。包括物理數(shù)據(jù)，物理數(shù)據(jù)可以是任何格式，如關(guān)系數(shù)據(jù)庫(kù)等。

（5）基礎(chǔ)設(shè)施。保證系統(tǒng)正常運(yùn)行的軟硬件及相應(yīng)的開發(fā)環(huán)境。

2.2 服務(wù)平臺(tái)體系結(jié)構(gòu)

基于高校的IT環(huán)境，構(gòu)建服務(wù)平臺(tái)的體系結(jié)構(gòu)如圖2所示。

圖2 服務(wù)平臺(tái)體系結(jié)構(gòu)

Service Platform Core是客戶化配置及代碼的容器。這些核心代碼提供服務(wù)明細(xì)和所有支持Java的包。開發(fā)的管理控制臺(tái)用于跟蹤服務(wù)平臺(tái)內(nèi)的所有活動(dòng)。此服務(wù)平臺(tái)核心的主要功能包括服務(wù)管理、注冊(cè)、事務(wù)監(jiān)控、統(tǒng)計(jì)分析及配置管理。

Axis 1.4是Apache組織下的開源項(xiàng)目，用于Web Service開發(fā)。基于WSDL的服務(wù)都是通過Axis組件實(shí)現(xiàn)的，另外基于WSDL的Web服務(wù)及服務(wù)平臺(tái)也支持用于內(nèi)部使用的Simple服務(wù)。

Software Tools用于平臺(tái)開發(fā)及測(cè)試。SVN用于版本控制，SOAPUI用于基于WSDL的Web服務(wù)測(cè)試。

上述服務(wù)平臺(tái)體系保證了此平臺(tái)對(duì)運(yùn)行在其上的服務(wù)的高可用性、可升級(jí)及高可靠性。

3 單點(diǎn)登錄統(tǒng)一認(rèn)證方式

集成的高校校園網(wǎng)應(yīng)用系統(tǒng)，必須建立統(tǒng)一的用戶身份管理和認(rèn)證機(jī)制，為各應(yīng)用提供統(tǒng)一的服務(wù)，以解決各個(gè)應(yīng)用系統(tǒng)之間的數(shù)據(jù)共享問題。單點(diǎn)登錄SSO（single sign on），用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。單點(diǎn)登錄是先進(jìn)、高效的登錄方案，簡(jiǎn)化多系統(tǒng)應(yīng)用而產(chǎn)生的反復(fù)登錄程序，實(shí)現(xiàn)多業(yè)務(wù)整合，是在多業(yè)務(wù)系統(tǒng)上實(shí)現(xiàn)其價(jià)值的，它是身份認(rèn)證的一種集成和整合［3］。

3.1 單點(diǎn)登錄用戶管理模型設(shè)計(jì)

要實(shí)現(xiàn)集成的各個(gè)系統(tǒng)與用戶的統(tǒng)一認(rèn)證，首先進(jìn)行統(tǒng)一用戶身份管理，需要建立統(tǒng)一的用戶認(rèn)證服務(wù)管理中心，中心按如下原則進(jìn)行設(shè)計(jì)：

（1）在該中心統(tǒng)一存儲(chǔ)所有用戶信息，并以該中心用戶信息為唯一標(biāo)準(zhǔn)。

（2）對(duì)用戶的增、改、刪操作全部通過統(tǒng)一用戶認(rèn)證服務(wù)管理中心，并由中心將用戶統(tǒng)一發(fā)布到各應(yīng)用系統(tǒng)。

3.2 單點(diǎn)登錄工作流程設(shè)計(jì)

首先，用戶的認(rèn)證過程統(tǒng)一交由身份認(rèn)證服務(wù)管理中心進(jìn)行處理，所有應(yīng)用都會(huì)將用戶的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給平臺(tái)。在平臺(tái)完成對(duì)用戶身份的校驗(yàn)后，將會(huì)分發(fā)一個(gè)臨時(shí)身份憑證給用戶，作為中心賦予用戶的臨時(shí)身份憑證，其中包含了用戶的有效登錄信息。該身份憑證具有有效期屬性，當(dāng)超過指定的時(shí)間后就不再有效。失效后用戶需要再次輸入登錄信息，身份認(rèn)證服務(wù)管理中心將再次驗(yàn)證用戶，頒發(fā)新的身份憑證。身份憑證采用內(nèi)存Cookie的形式保存在用戶的瀏覽器端。憑借管理中心賦予的臨時(shí)身份憑證作為自己認(rèn)證信息提交給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把身份憑證送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查身份憑證的合法性。如果通過效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)，如圖3所示。

圖3 單點(diǎn)登錄工作流程示意圖

3.3 單點(diǎn)登錄系統(tǒng)的體系結(jié)構(gòu)

單點(diǎn)登錄系統(tǒng)平臺(tái)主要由管理模塊、應(yīng)用系統(tǒng)代理及數(shù)據(jù)庫(kù)三部分組成。

3.3.1 管理模塊

單點(diǎn)登錄系統(tǒng)平臺(tái)的管理模塊主要實(shí)現(xiàn)各種服務(wù)，包括：會(huì)話管理服務(wù)、日志審計(jì)服務(wù)、身份驗(yàn)證服務(wù)和授權(quán)服務(wù)。

會(huì)話管理服務(wù)是單點(diǎn)登錄系統(tǒng)的基礎(chǔ)服務(wù)，用戶登錄單點(diǎn)登錄的門戶站點(diǎn)后，會(huì)話狀態(tài)通過會(huì)話管理服務(wù)來管理，實(shí)現(xiàn)單點(diǎn)登錄。

日志審計(jì)服務(wù)是單點(diǎn)登錄系統(tǒng)的輔助服務(wù)，日志審計(jì)實(shí)現(xiàn)對(duì)用戶使用單點(diǎn)登錄系統(tǒng)的詳細(xì)日志，包括：登錄時(shí)間、登錄用戶身份、登錄應(yīng)用系統(tǒng)、登錄時(shí)使用的客戶機(jī)IP地址和MAC地址等。

身份驗(yàn)證服務(wù)是單點(diǎn)登錄系統(tǒng)的擴(kuò)展服務(wù)，實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證。身份驗(yàn)證的方式可以多樣，不同的應(yīng)用環(huán)境可能采用不同的驗(yàn)證方式，單點(diǎn)登錄系統(tǒng)能夠方便地與現(xiàn)有的身份驗(yàn)證方式兼容，也能進(jìn)行擴(kuò)展。

授權(quán)服務(wù)是單點(diǎn)登錄系統(tǒng)的擴(kuò)展服務(wù)，能夠?qū)崿F(xiàn)對(duì)某些應(yīng)用系統(tǒng)的授權(quán)。不同的用戶對(duì)同一應(yīng)用系統(tǒng)的訪問權(quán)限是不同的，在單點(diǎn)登錄系統(tǒng)上可以實(shí)現(xiàn)系統(tǒng)級(jí)的授權(quán)。

3.3.2 數(shù)據(jù)庫(kù)模塊

數(shù)據(jù)庫(kù)模塊主要存儲(chǔ)單點(diǎn)登錄時(shí)的各種數(shù)據(jù)，包括：用戶目錄數(shù)據(jù)庫(kù)、登錄日志數(shù)據(jù)庫(kù)等。

系統(tǒng)平臺(tái)使用統(tǒng)一的用戶目錄數(shù)據(jù)庫(kù)，集中進(jìn)行管理。各個(gè)應(yīng)用系統(tǒng)進(jìn)行身份驗(yàn)證時(shí)，都使用這個(gè)集中的數(shù)據(jù)庫(kù)。

系統(tǒng)平臺(tái)能夠?qū)τ脩舻纳矸蒡?yàn)證行為進(jìn)行日志記錄，隨時(shí)把握“何人何時(shí)以何種方式訪問何種應(yīng)用系統(tǒng)”。

3.3.3 應(yīng)用系統(tǒng)代理模塊

應(yīng)用系統(tǒng)代理模塊與單點(diǎn)登錄系統(tǒng)平臺(tái)進(jìn)行通信，實(shí)現(xiàn)各應(yīng)用系統(tǒng)與系統(tǒng)平臺(tái)管理系統(tǒng)的連接。

4 單點(diǎn)登錄系統(tǒng)的部署

4.1 安全性要求

作為應(yīng)用系統(tǒng)的基礎(chǔ)平臺(tái)，單點(diǎn)登錄系統(tǒng)平臺(tái)的安全性非常重要?？梢圆捎靡韵碌姆椒ūＷC系統(tǒng)安全：

（1）內(nèi)容安全。通過應(yīng)用安全級(jí)別較高的加密算法，對(duì)存儲(chǔ)的用戶登錄信息，包括用戶名、ID、電子數(shù)字證書等進(jìn)行加密，保證即使系統(tǒng)管理員也無法獲得或更改這些信息。

（2）傳輸安全。信息在傳輸?shù)倪^程中，也有可能被竊聽和篡改。對(duì)于B/S系統(tǒng)，采用HTTPS/SSL安全傳輸通道，保證信息在傳輸中的安全；對(duì)于C/S系統(tǒng)，應(yīng)用業(yè)界標(biāo)準(zhǔn)的安全認(rèn)證協(xié)議，在傳輸前進(jìn)行雙向認(rèn)證，同時(shí)，對(duì)通信內(nèi)容進(jìn)行加密和散列，也能保證信息在傳輸中的安全。

（3）事后安全。單點(diǎn)登錄系統(tǒng)提供完善的日志記錄功能，日志內(nèi)容包括登錄時(shí)間、登錄用戶身份、登錄的應(yīng)用系統(tǒng)、登錄時(shí)使用的客戶機(jī)IP地址、計(jì)算機(jī)名和MAC地址等。

單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)內(nèi)容安全、傳輸安全和事后安全，保證了整個(gè)平臺(tái)系統(tǒng)的立體安全。

單點(diǎn)登錄平臺(tái)能夠詳細(xì)記錄用戶使用此平臺(tái)的情況，包括登錄時(shí)間、用戶身份、登錄的應(yīng)用系統(tǒng)、登錄時(shí)使用的客戶機(jī)IP地址、計(jì)算機(jī)名和MAC地址等。同時(shí)，還提供圖形化的日志查詢工具，方便管理員進(jìn)行統(tǒng)計(jì)分析和審計(jì)員進(jìn)行監(jiān)督審計(jì)。

4.2 部署

單點(diǎn)登錄系統(tǒng)平臺(tái)通過向應(yīng)用系統(tǒng)提供登錄服務(wù)，實(shí)現(xiàn)單點(diǎn)登錄。因此，單點(diǎn)登錄系統(tǒng)平臺(tái)部署與普通的應(yīng)用系統(tǒng)部署不同。除了單點(diǎn)登錄平臺(tái)自身的部署外，支持單點(diǎn)登錄的應(yīng)用系統(tǒng)需要進(jìn)行系統(tǒng)改造，系統(tǒng)改造以單點(diǎn)登錄服務(wù)接口規(guī)范作為依據(jù)。

5 結(jié)束語

本著簡(jiǎn)單實(shí)用的原則，以搭建高校網(wǎng)絡(luò)應(yīng)用系統(tǒng)集成為出發(fā)點(diǎn)，充分考慮用戶的易用性，以單點(diǎn)登錄為核心，實(shí)現(xiàn)高校校園網(wǎng)集成系統(tǒng)服務(wù)平臺(tái)的統(tǒng)一用戶管理和認(rèn)證功能。

［1］陳亞華.企業(yè)應(yīng)用集成架構(gòu)研究與實(shí)現(xiàn)［D］.上海：復(fù)旦大學(xué)，2004：6.

［2］韋銀星，張申省.企業(yè)應(yīng)用集成技術(shù)研究［J］.計(jì)算機(jī)集成制造系統(tǒng)，2002，8（8）：593－596.

［3］孫濤，余曉佳.Web環(huán)境下單點(diǎn)登錄服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（8）：28－30.