王月梅

（惠州城市職業(yè)學(xué)院，廣東惠州，516000）

多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證解決方案

王月梅

（惠州城市職業(yè)學(xué)院，廣東惠州，516000）

隨著學(xué)校信息化建設(shè)的不斷完善，惠州城市職業(yè)學(xué)院的業(yè)務(wù)系統(tǒng)也越來(lái)越多，辦公系統(tǒng)、郵件系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)、招生管理系統(tǒng)、學(xué)生實(shí)習(xí)管理系統(tǒng)等，由于這些系統(tǒng)不同時(shí)期、不同人員開發(fā)或不同公司采購(gòu)，它們之間相互獨(dú)立。學(xué)校教師在使用每個(gè)業(yè)務(wù)系統(tǒng)之前都需要使用不同的身份驗(yàn)證登錄，因此，教師需要記住每個(gè)系統(tǒng)的賬號(hào)以及密碼，這給老師以及系統(tǒng)管理員帶來(lái)很多的麻煩，針對(duì)目前的管理困難這一問題，特提出這一多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證解決方案。

多業(yè)務(wù)系統(tǒng);統(tǒng)一身份認(rèn)證；信息化;服務(wù)器

1 系統(tǒng)建設(shè)背景

惠州城市職業(yè)學(xué)院是基于惠州商貿(mào)旅游高級(jí)職業(yè)技術(shù)學(xué)校的基礎(chǔ)上創(chuàng)辦，該校系由創(chuàng)辦于1964年的三所公辦中專學(xué)?！葜萆虡I(yè)學(xué)校、惠州外貿(mào)學(xué)校和惠州旅游學(xué)校合并成立，辦學(xué)歷史已超過半個(gè)世紀(jì)。學(xué)校的信息化建設(shè)也一直緊跟時(shí)代的步伐，在不同時(shí)期，不同部門分別開發(fā)或采購(gòu)了不同的業(yè)務(wù)應(yīng)用系統(tǒng)，各個(gè)系統(tǒng)功能都有所側(cè)重，開發(fā)的技術(shù)以及方法各部相同，當(dāng)然也各自形成了各自的用戶以及認(rèn)證體系。近幾年來(lái)，隨著學(xué)校的發(fā)展，教師之間的業(yè)務(wù)交叉越來(lái)越多，越來(lái)越多的老師需要使用越來(lái)越多的業(yè)務(wù)系統(tǒng)，他們?cè)诙鄠€(gè)業(yè)務(wù)系統(tǒng)中都有獨(dú)立的賬號(hào)以及密碼，這個(gè)老師辦公以及系統(tǒng)管理員帶來(lái)越來(lái)越多的麻煩，教師在不同的業(yè)務(wù)系統(tǒng)中設(shè)置不同的賬號(hào)以及密碼，很難記得住，并且一旦需要修改用戶密碼時(shí)，密碼不會(huì)同步到其他的業(yè)務(wù)系統(tǒng)中去，這給系統(tǒng)帶來(lái)很大的安全隱患，統(tǒng)一身份認(rèn)證的解決方案迫在眉睫。

2 統(tǒng)一用戶認(rèn)證的基本原理

由于歷史問題，在本學(xué)院內(nèi)部擁有的各個(gè)業(yè)務(wù)系統(tǒng)相互獨(dú)立，各個(gè)業(yè)務(wù)系統(tǒng)各自管理維護(hù)各自的用戶信息，各個(gè)業(yè)務(wù)系統(tǒng)用戶管理信息的格式、命名、存儲(chǔ)方式各不相同，為了減少教師在使用系統(tǒng)時(shí)不同用戶名以及密碼的使用問題，將有以下兩種解決方案。

一種解決方案是采取賬戶同步的方案，假設(shè)某位教師需要同時(shí)使用兩套業(yè)務(wù)系統(tǒng)，就必須在這兩套業(yè)務(wù)系統(tǒng)中都要?jiǎng)?chuàng)建這位教師的賬號(hào)以及密碼，但是一旦這位教師在一個(gè)系統(tǒng)中修改賬號(hào)和密碼以后，就必須同步到另外一套業(yè)務(wù)系統(tǒng)，這樣增加了系統(tǒng)的復(fù)雜性，管理成本也大大的增加，假設(shè)有某位教師同時(shí)需要使用十幾個(gè)業(yè)務(wù)系統(tǒng)，任意業(yè)務(wù)系統(tǒng)中的用戶名和密碼更改后就必須同步到其他的十來(lái)個(gè)業(yè)務(wù)系統(tǒng)中去，如果在這個(gè)過程中同步出現(xiàn)故障，那么數(shù)據(jù)的完整性將難以保證。

另一種解決方案是采用統(tǒng)一身份認(rèn)證的方式，使用統(tǒng)一身份認(rèn)證系統(tǒng)來(lái)統(tǒng)一為各個(gè)業(yè)務(wù)系統(tǒng)提供認(rèn)證功能，各個(gè)業(yè)務(wù)系統(tǒng)的權(quán)限問題將還是交由各個(gè)系統(tǒng)各自完成。這種解決方案相比第一種要簡(jiǎn)單實(shí)用的多，統(tǒng)一身份認(rèn)證系統(tǒng)必須具備以下基本功能：

①教師的用戶名以及密碼采用統(tǒng)一的命名原則，用戶名全局唯一，用以標(biāo)識(shí)不同教師的身份；

②統(tǒng)一身份認(rèn)證系統(tǒng)中的用戶屬性信息采集盡可能齊全完整，各個(gè)業(yè)務(wù)系統(tǒng)選取統(tǒng)一身份認(rèn)證系統(tǒng)中用戶的部分或全部屬性；

圖 1 多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證

2.1 多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)分析

在圖1.1所示的圖中，學(xué)校教師即用戶，需要訪問多個(gè)業(yè)務(wù)系統(tǒng)，但不再采用各自獨(dú)立的用戶體系，而是采用統(tǒng)一的身份認(rèn)證，統(tǒng)一存儲(chǔ)所有應(yīng)用系統(tǒng)的用戶的賬號(hào)以及密碼信息，統(tǒng)一身份認(rèn)證系統(tǒng)僅僅完成用戶的合法性驗(yàn)證工作，而授權(quán)等操作則由各業(yè)務(wù)系統(tǒng)各自完成，即統(tǒng)一身份認(rèn)證、分布授權(quán)。

2.2 統(tǒng)一身份認(rèn)證系統(tǒng)在滿足以下條件進(jìn)行設(shè)計(jì)

①統(tǒng)一身份認(rèn)證系統(tǒng)的計(jì)算模式一定是采用B/S計(jì)算模式；

②由于每個(gè)業(yè)務(wù)系統(tǒng)都有相應(yīng)的用戶體系，一個(gè)教師在每個(gè)業(yè)務(wù)系統(tǒng)中可能擁有不同的賬號(hào)以及密碼，因此使用多業(yè)務(wù)系統(tǒng)的教師需要設(shè)置相同的賬號(hào)以及密碼，并以此為賬號(hào)進(jìn)行統(tǒng)一身份認(rèn)證，統(tǒng)一身份認(rèn)證系統(tǒng)中的賬號(hào)以及密碼與業(yè)務(wù)系統(tǒng)中的賬號(hào)以及密碼形成一個(gè)一一對(duì)應(yīng)的映射關(guān)系；

③舊的業(yè)務(wù)系統(tǒng)需要一定的改進(jìn)才能適應(yīng)統(tǒng)一身份認(rèn)證系統(tǒng)，正在開發(fā)或?qū)⒁_發(fā)的系統(tǒng)在開發(fā)階段就需要考慮統(tǒng)一身份認(rèn)證系統(tǒng)的統(tǒng)一身份認(rèn)證支持，業(yè)務(wù)系統(tǒng)與統(tǒng)一身份認(rèn)證系統(tǒng)之間是松耦合的；

3 多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)

多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)采用三層結(jié)構(gòu)，最底層采用服務(wù)器建數(shù)據(jù)訪問標(biāo)準(zhǔn)Web Service 作為支撐，中間層是令牌傳輸和識(shí)別標(biāo)準(zhǔn)，以及重定向的加密算法，頂層是用戶統(tǒng)一身份驗(yàn)證流程，統(tǒng)一身份驗(yàn)證，各個(gè)業(yè)務(wù)系統(tǒng)統(tǒng)一使用。

3.1 系統(tǒng)流程設(shè)計(jì)。系統(tǒng)流程設(shè)計(jì)如下：

①第一步：用戶首先向業(yè)務(wù)系統(tǒng)服務(wù)器請(qǐng)求訪問服務(wù)器資源；

②第二步：然后業(yè)務(wù)系統(tǒng)服務(wù)器重定向到統(tǒng)一身份認(rèn)證系統(tǒng)，請(qǐng)求身份認(rèn)證；再次用戶通過身份認(rèn)證后，統(tǒng)一身份認(rèn)證系統(tǒng)為用戶生成一個(gè)身份標(biāo)識(shí)；

3.2 系統(tǒng)管理應(yīng)用設(shè)計(jì)。教師在統(tǒng)一身份認(rèn)證系統(tǒng)中注冊(cè)一個(gè)登錄賬號(hào)，該登錄賬號(hào)與每個(gè)業(yè)務(wù)系統(tǒng)中的教師賬號(hào)一一綁定，統(tǒng)一身份認(rèn)證系統(tǒng)維護(hù)教師的注冊(cè)信息以及賬號(hào)的綁定信息，教師在統(tǒng)一身份認(rèn)證系統(tǒng)綁定注冊(cè)賬號(hào)與原有業(yè)務(wù)系統(tǒng)的賬號(hào)的過程中需要提供原有業(yè)務(wù)系統(tǒng)的賬號(hào)以及密碼信息，業(yè)務(wù)系統(tǒng)服務(wù)器以相同的Web Service接口提供該功能支持。

4 總結(jié)

本校的多業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證解決方案做到以下2點(diǎn)：學(xué)校的所有業(yè)務(wù)系統(tǒng)統(tǒng)一身份認(rèn)證，方便教師對(duì)業(yè)務(wù)系統(tǒng)的使用；學(xué)校各個(gè)業(yè)務(wù)系統(tǒng)之間耦合度底，每個(gè)業(yè)務(wù)系統(tǒng)的改造對(duì)用戶透明，不影響原有的業(yè)務(wù)流程，統(tǒng)一身份認(rèn)證系統(tǒng)的部署與使用過渡安全平穩(wěn)。

[1]異構(gòu)認(rèn)證系統(tǒng)間身份同步的設(shè)計(jì)與實(shí)現(xiàn)，吳慶杰，華東師范大學(xué)學(xué)報(bào)，2015年3月

[2]基于CAS的單點(diǎn)登錄及統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，王田，電子科技大學(xué), 2013年8月

Unified identity authentication solution for multi service system

Wang Yuemei
（city college of huizhou，Guangdong Province,Huizhou City,516000）

With the continuous improvement of school informatization construction, Huizhou city Career Academy business system is also more and more,office system,mail system, practice teaching management system,student management system,enrollment management system,student management system,because these systems in different periods and different development personnel or company procurement,they are independent of each other. School teachers before using each business system needs to use different authentication login,therefore,teachers need to remember each system account name and password,which brings a lot of trouble to the teachers and administrators to solve this problem, the current management difficulties, unified identity authentication solutions of the multi service system is put forward.

multi service system;unified identity authentication;information, server