裴華艷，王煥民

(1.甘肅廣播電視大學(xué) 教務(wù)處，蘭州 730030；2.蘭州交通大學(xué) 機電技術(shù)研究所，蘭州 730070 )

在鐵路企業(yè)內(nèi)部，一般都有OA辦公系統(tǒng)、人力資源管理系統(tǒng)、鐵路貨運制票系統(tǒng)、鐵路調(diào)度管理系統(tǒng)、鐵路一卡通系統(tǒng)等應(yīng)用系統(tǒng)，這些不同的系統(tǒng)往往是在不同的時期建設(shè)起來的，采用了不同的軟件設(shè)計語言、不同的體系結(jié)構(gòu)、不同的底層數(shù)據(jù)庫，運行在不同的平臺上，由不同的廠商開發(fā)，使用了各種不同的技術(shù)和標準。隨著業(yè)務(wù)系統(tǒng)的不斷增加，老的系統(tǒng)不能被輕易替換，新舊系統(tǒng)形成了信息孤島，各系統(tǒng)獨立管理用戶，增加了管理員的管理與維護工作；各系統(tǒng)獨立分配管理賬號口令，獨立進行用戶身份認證與授權(quán)，用戶在訪問不同的應(yīng)用系統(tǒng)時，每次都需要輸入賬號與口令，且需要記憶多套訪問口令，多次身份認證使系統(tǒng)應(yīng)用變得非常不便；新增系統(tǒng)的用戶管理與身份認證依舊各自為政，隨著系統(tǒng)的不斷增加，形成惡性循環(huán)。為此，提出鐵路企業(yè)單點登錄平臺的研究與實現(xiàn)。

1 單點登錄關(guān)鍵技術(shù)

1.1 單點登錄SSO

單點登錄（Single Sign On）是一種訪問認證機制[1]，允許用戶進行一次登錄認證，就可以訪問已授權(quán)的應(yīng)用系統(tǒng)，而不需要在訪問每個系統(tǒng)時都輸入賬號與口令進行身份認證。單點登錄提供了統(tǒng)一的用戶管理，集中管理和維護不同應(yīng)用系統(tǒng)的用戶信息與用戶賬號；同時，通過提供統(tǒng)一的身份認證機制，有效地解決了多次身份認證帶來的不便與安全問題。

1.2 LDAP目錄服務(wù)

LDAP（Lightweight Directory Access Protocol，即輕量目錄訪問協(xié)議）[2]，它采用目錄樹的形式分層存儲信息，具有目錄信息的檢索與管理功能，主要用于從服務(wù)器上檢索信息，實現(xiàn)對信息的有效管理和訪問。

目錄服務(wù)（D irectory service）是一種技術(shù)，它將分布式系統(tǒng)中的用戶、資源和其它對象統(tǒng)一組織起來存儲為具有描述性屬性的對象，統(tǒng)一管理和控制分布在計算機網(wǎng)絡(luò)中的各類資源，方便用戶查找、檢索所需的資源。利用目錄服務(wù)，用戶和應(yīng)用可以通過資源的名稱快速查找和定位資源，而不必關(guān)心資源的具體位置[3]，實現(xiàn)了對資源的透明訪問。目錄服務(wù)具有如下功能：用戶的統(tǒng)一認證，系統(tǒng)資源的共享、統(tǒng)一授權(quán)、單點統(tǒng)一管理和統(tǒng)一監(jiān)控等。

LDAP協(xié)議是基于C/S模式的，其目錄服務(wù)建立在C/S模式之上[4]，以客戶端/服務(wù)器的方式工作，所有的目錄信息數(shù)據(jù)存儲在LDAP服務(wù)器中，一個或多個LDAP服務(wù)器組成LDAP目錄樹[5]。每個LDAP服務(wù)器由管理模塊、目錄服務(wù)模塊和復(fù)制服務(wù)模塊3個部分組成。

管理模塊負責(zé)目錄信息的管理，確保用戶獲取準確的目錄信息。

目錄服務(wù)模塊由前端和后端兩個部分組成，前端負責(zé)客戶端與服務(wù)器之間的網(wǎng)絡(luò)通信，完成協(xié)議解析和分析；后端負責(zé)目錄數(shù)據(jù)庫的管理。

復(fù)制服務(wù)模塊負責(zé)LDAP服務(wù)器之間目錄數(shù)據(jù)的復(fù)制[5]，確保目錄服務(wù)一致性。

LDAP目錄服務(wù)邏輯結(jié)構(gòu)如圖1所示。

LDAP目錄服務(wù)的主要工作流程如下：

（1）客戶端根據(jù)需要向LDAP服務(wù)器發(fā)送操作請求；

（2）服務(wù)器根據(jù)請求進行相應(yīng)的操作；

（3）操作完成后，服務(wù)器向客戶端返回應(yīng)答，應(yīng)答可包含操作結(jié)果、操作出錯信息或引用。引用表明客戶端所需目錄不在本服務(wù)器，同時返回一個更適宜服務(wù)器的URL；

（4）若是引用，返回步驟1，客戶端向其他服務(wù)器發(fā)送請求。

2 單點登錄系統(tǒng)的設(shè)計與實現(xiàn)

2.1 單點登錄系統(tǒng)的系統(tǒng)結(jié)構(gòu)

本系統(tǒng)通過采用基于LDAP的目錄服務(wù)，將鐵路企業(yè)內(nèi)所有的用戶信息、賬戶信息、身份認證、系統(tǒng)登錄和資源授權(quán)進行集中管理，實現(xiàn)統(tǒng)一的用戶管理、身份認證和授權(quán)管理，并在此基礎(chǔ)上實現(xiàn)單點登錄，系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 單點登錄系統(tǒng)結(jié)構(gòu)圖

本系統(tǒng)采用二次身份認證，其中，單點登錄服務(wù)器主要負責(zé)對用戶的身份進行主體認證和二次認證，認證機制采用LDAP。LDAP目錄服務(wù)主要負責(zé)集中存儲用戶信息、用戶的身份信息以及每個用戶ID與各應(yīng)用系統(tǒng)賬號的映射關(guān)系。用戶進行單點登錄和身份認證的主要流程如下：

（1）用戶使用ID通過單點登錄門戶進行登錄；

（2）單點登錄服務(wù)器獲取用戶ID信息，查詢LDAP目錄服務(wù)，獲取用戶的身份信息，進行主體認證；

（3）主體認證完成后，單點登錄服務(wù)器返回認證通過信息，并列出用戶有權(quán)訪問的應(yīng)用系統(tǒng)；

（4）主體認證成功后，用戶即可直接訪問單點登錄管理界面列出的應(yīng)用系統(tǒng)，登錄系統(tǒng)時，后臺自動進行第二次身份認證，認證會被重定向到單點登錄服務(wù)器；

（5）單點登錄服務(wù)器查詢LDAP目錄服務(wù)，獲取用戶ID與應(yīng)用系統(tǒng)賬號的映射關(guān)系，進行第二次身份認證；

（6）第二次身份認證通過后，用戶自動登錄到應(yīng)用系統(tǒng)，無需再次輸入系統(tǒng)賬號與口令，從而實現(xiàn)了單點登錄。

2.2 單點登錄系統(tǒng)的主要功能模塊

2.2.1 統(tǒng)一用戶管理模塊的設(shè)計

統(tǒng)一的用戶管理是實現(xiàn)單點登錄的基礎(chǔ)。本系統(tǒng)采用基于LDAP的目錄服務(wù)構(gòu)建統(tǒng)一用戶管理，統(tǒng)一存儲、管理和維護用戶信息和用戶賬號，實現(xiàn)從一個集中點控制用戶ID的注冊、注銷與用戶信息的變更，以及各系統(tǒng)對用戶的所有操作。

統(tǒng)一用戶管理主要完成3項工作：（1）統(tǒng)一管理和維護用戶信息；（2）為用戶分配并管理（包括創(chuàng)建、修改、注銷）單點登錄用戶ID；（3）統(tǒng)一存儲和管理各應(yīng)用系統(tǒng)的賬號信息。當有人員離職或崗位發(fā)生變動時，只需在統(tǒng)一用戶管理對其用戶ID進行操作，即可改變其訪問行為。統(tǒng)一用戶管理規(guī)避了用戶賬號和用戶信息獨立管理的數(shù)據(jù)不一致性和安全風(fēng)險，提高了系統(tǒng)的安全性。

2.2.2 基于角色的統(tǒng)一授權(quán)模塊的設(shè)計

用戶授權(quán)管理即對系統(tǒng)中的角色進行資源分配與權(quán)限管理。

本系統(tǒng)提供了兩種用戶管理機制：

基于分組的用戶管理。這種機制將用戶根據(jù)鐵路企業(yè)內(nèi)部的組織機構(gòu)和部門（又可以劃分子部門）劃分進行分組，然后在每一個分組中添加用戶。

基于角色的用戶管理。根據(jù)鐵路企業(yè)內(nèi)部的職能職權(quán)劃分創(chuàng)建各種角色，對各類角色進行定義，對不同的角色進行不同的授權(quán)，分配不同的資源，設(shè)定不同的訪問權(quán)限。

上述2種用戶管理機制的基礎(chǔ)上，本系統(tǒng)提供了基于角色的統(tǒng)一授權(quán)機制，通過為用戶綁定一個或多個角色，實現(xiàn)對用戶的授權(quán)、資源分配以及訪問權(quán)限的控制。完整的用戶授權(quán)流程如下：

（1）新用戶在統(tǒng)一用戶管理進行注冊，添加個人信息并進行分組，即根據(jù)用戶所屬部門將其加入合適的分組；

（2）根據(jù)系統(tǒng)角色定義為用戶選擇角色，建立用戶ID與角色的映射關(guān)系，根據(jù)角色對用戶進行授權(quán)，即根據(jù)角色對用戶進行資源分配和權(quán)限控制，包括對應(yīng)用系統(tǒng)的訪問權(quán)限與操作權(quán)限；

（3）用戶使用ID進行單點登錄，統(tǒng)一身份認證根據(jù)用戶的角色、授權(quán)等信息對用戶的身份進行主體認證；

（4）如果用戶ID被注銷，則其對應(yīng)的授權(quán)信息也將被刪除；

（5）當用戶的職位或崗位發(fā)生改變時，只需改變用戶的角色就可以進行重新授權(quán)，改變用戶的訪問權(quán)限，而不需要逐個系統(tǒng)改變用戶授權(quán)，從而實現(xiàn)了對用戶授權(quán)的集中、統(tǒng)一管理。

2.2.3 統(tǒng)一身份認證模塊的設(shè)計

為了解決鐵路企業(yè)內(nèi)各系統(tǒng)獨立認證產(chǎn)生的各種問題，本系統(tǒng)通過統(tǒng)一身份認證將不同異構(gòu)系統(tǒng)的用戶身份認證工作進行集中，統(tǒng)一管理和驗證用戶的身份。

LDAP目錄服務(wù)存儲了所有用戶的身份信息，包括用戶的角色信息、授權(quán)信息和分組信息，用戶ID與角色的映射關(guān)系以及用戶ID與應(yīng)用系統(tǒng)賬號的關(guān)聯(lián)關(guān)系等。用戶進行單點登錄，統(tǒng)一身份認證根據(jù)用戶ID查詢LDAP目錄服務(wù)，獲取用戶的身份信息，對用戶的身份進行主體認證，認證通過后，返回用戶有權(quán)訪問的應(yīng)用系統(tǒng)，用戶訪問系統(tǒng)，統(tǒng)一身份認證根據(jù)用戶ID與各應(yīng)用系統(tǒng)賬號的關(guān)聯(lián)關(guān)系進行第二次身份認證，認證通過后，即可登錄應(yīng)用系統(tǒng)。

由于用戶已經(jīng)擁有各應(yīng)用系統(tǒng)的賬號，為了不改造原有系統(tǒng)，在系統(tǒng)集成時仍保持各系統(tǒng)的賬號，需要建立每個用戶ID與各應(yīng)用系統(tǒng)賬號的關(guān)聯(lián)關(guān)系，通過管理和維護這張表實現(xiàn)對用戶賬號的統(tǒng)一管理，關(guān)聯(lián)關(guān)系的建立過程如下：

通過主體認證后，用戶首次登錄每個應(yīng)用系統(tǒng)時，需要輸入各系統(tǒng)的賬號與口令，LDAP目錄服務(wù)將記錄并存儲這些賬號與口令，并將用戶ID與各賬號進行關(guān)聯(lián)，建立兩者的映射關(guān)系。用戶第二次及后續(xù)登錄應(yīng)用系統(tǒng)時，無需再次輸入賬號口令，統(tǒng)一身份認證將自動查詢映射關(guān)系表，如果存在映射關(guān)系，認證通過，允許用戶登錄。

當新增一個應(yīng)用系統(tǒng)時，只需增加用戶ID與該系統(tǒng)賬號的映射關(guān)系，不會對其它系統(tǒng)產(chǎn)生任何影響，從而解決了登錄認證時不同系統(tǒng)間用戶交叉和用戶賬號不同的問題。

2.3 系統(tǒng)的實現(xiàn)

在本系統(tǒng)的實現(xiàn)中，統(tǒng)一用戶管理、基于角色的統(tǒng)一授權(quán)和統(tǒng)一身份認證都基于LDAP目錄服務(wù)構(gòu)建，并部署在單點登錄服務(wù)器上，圖3所示為單點登錄統(tǒng)一管理界面。

圖3 單點登錄統(tǒng)一管理界面

在統(tǒng)一管理界面中可以看到已授權(quán)應(yīng)用系統(tǒng)的圖標，點擊圖標，就可以直接訪問相應(yīng)的系統(tǒng)。在系統(tǒng)實現(xiàn)中，主要form表單的實現(xiàn)代碼如下：

在需要添加單點登錄的系統(tǒng)登錄頁面中，讀取Form表單id為btnSubm it的提交按鈕，同時記錄登錄用戶名id和密碼id，加入到單點登錄平臺中，分配資源并關(guān)聯(lián)用戶名和密碼，即可實現(xiàn)單點登錄的機制。

3 結(jié)束語

目前，本系統(tǒng)已投入使用，運行效果良好。通過構(gòu)建單點登錄平臺，實現(xiàn)多個應(yīng)用系統(tǒng)的統(tǒng)一身份認證、統(tǒng)一用戶管理和系統(tǒng)資源的統(tǒng)一管理及授權(quán)，解決了鐵路企業(yè)信息共享中因異構(gòu)系統(tǒng)、異構(gòu)數(shù)據(jù)造成的數(shù)據(jù)整合和界面展示的整合難題，實現(xiàn)了對不同系統(tǒng)應(yīng)用權(quán)限的統(tǒng)一控制和用戶信息的統(tǒng)一管理，以及生產(chǎn)、辦公各系統(tǒng)間的信息共享，提升了系統(tǒng)應(yīng)用的便捷性。

[1]皮曉東.單點登錄的研究與實現(xiàn)[J].計算機應(yīng)用與軟件，2007，24（6）：156.

[2]任 軍.基于LDAP的目錄服務(wù)綜述[J].計算機應(yīng)用研究，2005（5）：9.

[3]王電剛.基于LDAP目錄服務(wù)的單點登錄系統(tǒng)的研究與實現(xiàn)[D].四川：四川大學(xué)，2004：4.

[4]沈 婧,耿國華,周明全,梁 娜.LDAP目錄服務(wù)在網(wǎng)絡(luò)科技資源應(yīng)用基礎(chǔ)環(huán)境中的應(yīng)用[J].計算機應(yīng)用與軟件，2009，26（1）：57.

[5]于 劍,張 輝,趙紅梅. LDAP目錄服務(wù)在Web開發(fā)中的應(yīng)用[J].計算機應(yīng)用，2003，23（10）：82-84.