范佳寧

摘 要： 隨著“數(shù)字化校園”的飛速發(fā)展，校園網環(huán)境下的應用系統(tǒng)不斷增加。由于校園網內各個應用系統(tǒng)的開發(fā)平臺和用戶管理的相互獨立性，使得同一用戶在訪問不同應用系統(tǒng)時不得不多次進行身份認證和確認，這給用戶帶來了麻煩。

為解決這一問題，本文從校園網現(xiàn)有應用系統(tǒng)的實際情況出發(fā)，在較深入地研究了各種單點登錄現(xiàn)有技術基礎上，提出了基于Domino LDAP（Lightweight Directory Access Protocol）的校園網多系統(tǒng)單點登錄解決方案，以方便用戶。該方案的基本思想是采用已有的LDAP目錄服務提供用戶身份數(shù)據(jù)，以Cookie作為系統(tǒng)間登錄信息傳遞的手段。

論文詳細分析了校園網單點登錄（SSO）所需的關鍵技術和具體實現(xiàn)方法，以已有的基于兩個不同開發(fā)平臺的應用系統(tǒng)（辦公自動化系統(tǒng)和工資管理系統(tǒng)）間的單點登錄為例，實現(xiàn)了基于LDAP的校園網多系統(tǒng)單點登錄，并對系統(tǒng)性能進行了分析。

關鍵詞：LDAP 單點登錄 統(tǒng)一身份認證 Cookie

中圖分類號：TP311.5 文獻標識碼：A 文章編號：1003-9082（2016）05-0018-03

一、引言

隨著網絡技術的日益普及、教育投入的不斷增加和教育水平的不斷提高，“數(shù)字化校園”和“無紙化辦公”工作的不斷推進，校園的信息化水平也在逐步提升。大部分學校在原有的電子設備的基礎上，又引進了諸多辦公應用系統(tǒng)，如辦公自動化系統(tǒng)，工資管理系統(tǒng)，學籍管理系統(tǒng)，郵件管理系統(tǒng)，校訊通系統(tǒng)，師訓教育管理系統(tǒng)以及相關的FTP服務等等，以滿足不同的教育教學需求。每種應用系統(tǒng)都需要進行身份的識別認證并且對不同身份所擁有的操作權限進行授權。一般的方法是在每一個應用系統(tǒng)中建立獨立的身份認證模塊，使用獨立的認證機制在各自的身份認證文件或數(shù)據(jù)庫中認證。這種管理模式和方法暴露出許多問題：因為這些應用系統(tǒng)在建設的初期往往各自獨立，特別是用戶管理的功能都是各自為政，沒有進行統(tǒng)一的規(guī)劃，甚至連開發(fā)平臺也不統(tǒng)一，這造成同個用戶在不同系統(tǒng)中的用戶名、密碼和權限都各自獨立，互不相關，在訪問不同應用系統(tǒng)時不得不多次進行身份認證和確認。

在學校統(tǒng)計辦公系統(tǒng)使用情況時我們發(fā)現(xiàn)，由于校園網內教師們在信息技術應用水平上的差異性和局限性，更由于繁多的用戶帳號，教師們在使用這些應用系統(tǒng)時十分不便，各個系統(tǒng)的用戶名和密碼容易混淆甚至忘記，大多數(shù)用戶會選擇簡單易記的用戶名和密碼，有人把用戶帳號寫在字條上，有人把所有的用戶名和密碼都設為統(tǒng)一的最簡單的口令；有人為了避免重復登錄系統(tǒng)，干脆在不使用服務的情況下也不退出系統(tǒng)；更有甚者干脆就嫌麻煩而棄置不用。這樣的系統(tǒng)既增加了用戶的負擔，也容易導致違反基本安全策略的事件發(fā)生，使系統(tǒng)更容易受到攻擊，降低了系統(tǒng)的安全性。而且各處室部門對于辦公系統(tǒng)的使用情況的不平衡也成了學校推行“數(shù)字化校園”的瓶頸。

分析其原因，這一切都是由于分散的用戶管理造成的，各個系統(tǒng)間沒有聯(lián)系。這就迫使用戶在進入每一個系統(tǒng)時都要重新提交自己的身份標識，來通過系統(tǒng)的認證?？傊谛屎桶踩囊蛩?，人們必須改變傳統(tǒng)的認證機制，設計出一個更為高效、安全的網絡認證機制，即校園網內一個統(tǒng)一的登錄方案，使校園網絡用戶能在最初訪問校園網絡時的一次身份驗證，對所有被授權的多系統(tǒng)網絡資源進行無縫的訪問，即校園網多系統(tǒng)單點登錄系統(tǒng)。

二、校園網多系統(tǒng)單點登錄系統(tǒng)

單點登錄Single Sign-On（SSO）系統(tǒng)能夠通過一次身份認證，進而透明登錄所有授權應用。也就是用戶只需要在網絡中主動地進行一次身份認證過程，然后就可以訪問其被授權使用的所有處在網絡上的資源而不需要其主動參與其后的身份認證過程。

校園網多系統(tǒng)單點登錄系統(tǒng)的目的就是為校園內多個應用系統(tǒng)提供集中統(tǒng)一的身份認證，實現(xiàn)“一點登錄、多點漫游”的目標，方便用戶使用，減少系統(tǒng)管理開銷，增強安全性能。具體來說，即規(guī)范、統(tǒng)一和科學的用戶身份和網絡資源基礎信息結構；建立校園網絡用戶統(tǒng)一身份認證的基本模型，實現(xiàn)一個建立在上述基礎信息結構基礎上的校園網統(tǒng)一身份認證實驗系統(tǒng)；實現(xiàn)基于Domino LDAP的校園網多系統(tǒng)單點登錄，真正減輕校園網用戶的負擔，減少系統(tǒng)管理的開銷。

校園網多系統(tǒng)單點登錄系統(tǒng)的設計應遵循如下原則：

第一個原則是WEB環(huán)境：該模型的設計是為了解決單點登錄的問題。即用戶端使用通用的瀏覽器，并且該瀏覽器使用了Cookie技術。

第二個原則是方便性：使用該模型能改善以前獨立登錄帶來的問題，同時為了不給用戶增加額外的負擔，該模型也不會在用戶方安裝任何插件。即對于用戶來說完全是綠色的。但是會在第三方應用安裝可以和第三方應用通信的。

第三個原則是安全性：該模型在設計過程中，既為用戶帶來了巨大的方便性，又考慮到了安全性。既保證了用戶的秘密信息不被非法竊取，同時也保證了合法用戶難以被冒充。

校園網多系統(tǒng)單點登錄系統(tǒng)的設計思路：不同的系統(tǒng)之間應該有信任關系的建立，這樣才能不斷重用用戶的電子身份標識，免去其多次登錄的苦惱。在協(xié)議中，信任關系的建立都是基于客戶端和應用服務器都信任認證服務器。因為客戶端與應用服務器的長期密鑰都保存在認證服務器，從而可以通過正確的加/解密數(shù)據(jù)，來判定對方是一個可以被信賴的實體，從而達到相互信任的關系。另外單點登錄系統(tǒng)的一個重要特點是統(tǒng)一了用戶的管理，這在協(xié)議中體現(xiàn)為在認證服務器上的用戶信息數(shù)據(jù)庫。在那里保存有本系統(tǒng)所有用戶的相關信息，系統(tǒng)對用戶的管理都是通過這個數(shù)據(jù)庫來完成的。正是有了這樣一個集中的用戶信息數(shù)據(jù)庫，從而實現(xiàn)了統(tǒng)一用戶管理的功能。

整體的單點登錄平臺展現(xiàn)在用戶（學生，教師，職員等）面前的是一個總體的綜合信息門戶平臺。綜合信息門戶由統(tǒng)一身份認證模塊、單點登錄模塊、信息組織及用戶界面組成。整個系統(tǒng)的總體框架如圖1所示：

圖1 系統(tǒng)總體框架圖

統(tǒng)一身份認證模塊，為所有用戶提供身份認證機制，統(tǒng)一控制用戶對應用系統(tǒng)的訪問。用戶只須在進入門戶時進行一次身份認證，即可漫游訪問校園網內的各種應用系統(tǒng)和信息資源，例如辦公自動化系統(tǒng)、郵件系統(tǒng)、人事工資系統(tǒng)等而無需重新登錄。

單點登錄模塊，滿足用戶“一點登錄，多點漫游”的需求，切實減輕用戶的負擔。

用戶界面管理可以提供用戶界面管理，包括用戶界面模版的管理，用戶界面?zhèn)€性化的設置等。并根據(jù)用戶的身份、權限、界面模版和用戶的個性化設置生成個性化用戶使用界面，包括生成用戶有權訪問的應用系統(tǒng)鏈接列表和根據(jù)用戶身份組織信息資源等。

信息的組織和管理可以對校園網內的靜態(tài)信息，如辦公通知、規(guī)章制度等，進行分類、組織和管理。

三、校園網多系統(tǒng)單點登錄系統(tǒng)的兩個關鍵模塊設計

系統(tǒng)的兩個關鍵模塊——單點登錄模塊和統(tǒng)一身份認證模塊的具體設計如下：

1.單點登錄模塊設計

單點登錄模塊的核心設計思想。單點登錄模塊從內部結構的組成來看，由以下三個方面構成：登錄過程；記錄Cookie過程；注銷過程。

當用戶登錄應用服務器1時：（1）用戶訪問應用服務器1，被轉向指向統(tǒng)一登錄服務器；（2）統(tǒng)一登錄服務器接收用戶輸入的用戶名和密碼；（3）統(tǒng)一登錄服務器向目錄服務器提出驗證用戶名密碼請求，目錄服務器返回驗證結果；（4）統(tǒng)一登錄服務器將接收到的驗證結果以cookie的方式存放在服務器的Session中；（5）統(tǒng)一登錄服務器將cookie信息共享給應用服務器1，同時返回給瀏覽器用戶。

此時，當用戶訪問應用服務器2時：（1）用戶向應用服務器2發(fā)出請求；（2）應用服務器2向統(tǒng)一登錄服務器發(fā)出驗證請求；（3）統(tǒng)一登錄服務器將之前的cookie信息共享給應用服務器2；（4）應用服務器2根據(jù)共享的cookie內容，返回給瀏覽器用戶。

此時，用戶已經通過了統(tǒng)一身份認證了。其余應用服務器登錄情況類似于應用服務器2。

單點登錄模塊功能流程設計如下：

登錄過程：任意應用系統(tǒng)進行登錄的時候，應用系統(tǒng)都要對Session中的cookie信息進行判斷。如果存在匹配的cookie信息，說明已經有其他的應用系統(tǒng)成功進行了登錄，那么應用系統(tǒng)直接就可以把cookie里的信息進行分解，取得相應的用戶名及其權限等信息，便登錄完畢。

如果不存在匹配的cookie信息，說明當前還沒有其他應用系統(tǒng)處于登錄成功狀態(tài)。這時，應用系統(tǒng)可以調出“用戶登錄”界面，等待用戶輸入認證信息。當用戶完成信息輸入并且提交驗證申請之后，統(tǒng)一用戶登錄模塊就可以與目錄服務器取得聯(lián)系，完成驗證身份后，目錄服務器會返回狀態(tài)信息給統(tǒng)一登錄模塊，并在客戶端的Session中生成格式化的cookie信息。這時，由于應用系統(tǒng)可以讀到匹配的cookie信息，就可以完成登錄了。

任何通過目錄服務進行單點登錄的系統(tǒng)，都是按照上述的登錄流程進行身份認證和單點登錄的。記錄Cookie過程：互聯(lián)網中的應用WEB服務以http協(xié)議作為主要的通訊協(xié)議，http協(xié)議本質上事務型的，當用戶在瀏覽器的地址欄輸入URL并按下回車鍵后，即產生一個請求的報文，服務器收集報文中信息并提交處理后，產生一個響應報文返回給用戶瀏覽器，由此一次請求和響應結束，客戶機和服務器的信息交互完成。http是無狀態(tài)的，每次請求和響應都重新開始，不保留以前請求的任何信息。但是對于實際問題的處理需要WEB編程中識別哪些請求是來自于同一個用戶，需要將每個用戶請求和響應的狀態(tài)保留下來以便以后請求中能夠使用。Cookie可以解決http協(xié)議無狀態(tài)的弊端。

Cookie的內容主要包括：名字，值，過期時間，路徑和域。Cookie有會話cookie和永久cookie兩種形式。前者是臨時的，只有瀏覽器打開的時候存在，一般存儲在用戶機的內存中，當瀏覽器關閉時，cookie也隨之消失；后者是永久的，存在于用戶的硬盤上并在指定過期日期之前一直可以使用。本論文中所涉及的cookie是指會話cookie。Cookie的路徑和域合在一起就構成了cookie的作用范圍。由于在校園中是處在同一個域里，故可以把校園當中提供WEB服務的多臺服務器規(guī)劃成同一個域，但名稱各異的二級域名。例如：www.nbsyedu.com，oa.nbsyedu.com，app1.nbsyedu.com，app2. nbsyedu.com，……app（n）.nbsyedu.com等。這樣的規(guī)劃可以使得Cookie值可以在多臺二級域名的服務器中共享，從而達到信息傳遞的目的。

注銷過程：

應用系統(tǒng)的注銷相對系統(tǒng)登錄的過程而言非常簡單，只是在用戶退出登錄的方式上存在2種方式：其一是直接關閉瀏覽器，其二是由用戶點擊“注銷”按鈕。無論那種方式，其實只需要簡單的將Session中的cookie過期或刪除即可，這樣當用戶再次訪問應用系統(tǒng)的時候，系統(tǒng)會因為找不到可以匹配的cookie而進入再次登錄的流程。

2.基于LDAP的統(tǒng)一身份認證的模塊設計

該模塊設計思路如下：統(tǒng)一的、集中化的校園基礎信息平臺是網絡基礎設施平臺上的第一層軟件系統(tǒng)。遵照“校園網絡信息一體化”的理念，結合校園應用系統(tǒng)現(xiàn)狀和實際應用需求，提出了基于LDAP目錄服務的統(tǒng)一身份認證系統(tǒng)模型。該框架模型建立了校園網基礎平臺，將網內的應用系統(tǒng)集成在一起，為“正確的用戶”在任何時間、任何地點通過internet（或intranet）訪問授權信息提供保證。

模塊邏輯結構簡單講包括三個部分：接入層、用戶身份目錄、信息系統(tǒng)資源。

接入層：提供通過瀏覽器和移動設備的接入方式，用戶可以在連通Internet的任何地方訪問系統(tǒng)。

用戶身份目錄：利用目錄和安全身份管理技術，建立校園目錄服務服務系統(tǒng)，作為校園各業(yè)務應用系統(tǒng)用戶身份標識和安全認證的數(shù)據(jù)基礎。

信息系統(tǒng)資源：指的是校園網中各種應用系統(tǒng)，包括上網代理、Email、用戶接入端口、圖書資源、辦公自動化系統(tǒng)、教務管理系統(tǒng)等。

該模塊功能流程設計如下：解決方案模型基本上實現(xiàn)了基于LDAP目錄校園網信息系統(tǒng)的身份認證目標。目錄服務器是基于LDAP的，存放這各種用戶的基本信息和訪問權限；普通用戶可以通過web頁面訪問目錄服務器，但只能看到指定的信息，管理用戶可以訪問目錄服務器，并且可以對其進行各種操作（增加、刪除、修改等）；信息資源（代理服務器、email服務器、接入交換機等資源）與目錄服務器交互，通過各種方式認證用戶信息。對該模型進行分析劃分下面三個功能模塊：

目錄服務器的建立：在redhat linux 9.0操作系統(tǒng)下實現(xiàn)。openldap目錄服務器

統(tǒng)一身份認證的實現(xiàn)：實現(xiàn)信息資源的統(tǒng)一身份認證，包括三個部分：squid代理服務認證、email服務收發(fā)郵件認證、用戶接入交換機端口認證

用戶查詢和管理模塊的實現(xiàn)：用PHP實現(xiàn)web與ldap目錄服務器的連接，實現(xiàn)用戶通過web訪問目錄服務器，管理員可以對目錄服務器進行各種操作。

該模塊的安全設計：

隨著大量的數(shù)據(jù)存放在目錄中，安全問題變得非常重要了。隨便一個人篡改了其中的數(shù)據(jù)將對用戶產生極大的影響。盡管所有的口令是加密的，但是如果有人從目錄中獲得這種加密的口令，還是有辦法破解的，因此對這些信息應該保護起來，防止沒有授權的用戶得到它。更敏感的是，如果有人竊得客戶/服務器的連接，偽造一個用戶的信息，或者使用這個用戶的身份篡改服務器的數(shù)據(jù)，這也是要高度重視的。所有的目錄服務器中的數(shù)據(jù)都需要保護，現(xiàn)在LDAP己經提供許多工具來保護它們。

提供了目錄服務后，對于LDAP來說防止黑客對目錄信息的有效攻擊就是一個重要的安全問題了。LDAP在目錄服務的安全地位上來說已經成為看護者的角色，決定了誰可以訪問什么信息。LDAP承擔了兩個重要的任務，一個是對目錄數(shù)據(jù)的認證，另一個是一旦一個用戶的身份建立了，它控制該用戶訪問的資源、應用和服務等。

四、基于Domino LDAP的校園網多應用單點登錄系統(tǒng)實現(xiàn)

該系統(tǒng)的實現(xiàn)包含3大部分內容：1、建立Domino LDAP目錄服務；2、實現(xiàn)多應用系統(tǒng)的統(tǒng)一用戶身份認證；3、實現(xiàn)多應用系統(tǒng)的單點登錄

打開寧波市實驗學校的網站首頁 — 在“用戶入口”處輸入用戶名和密碼 — 進入到單點登錄后的寧波市實驗學校網站OA界面 — 單擊OA內“進入工資查詢系統(tǒng)”，不需要輸入用戶名和密碼，就可以直接進入“我的工資查詢”界面 — 這樣，就可以實現(xiàn)OA和工資查詢系統(tǒng)的統(tǒng) 一 身份認證和單點登錄。

五、總結

通過實現(xiàn)校園網內的2個不同平臺，不同技術路線的應用系統(tǒng)的單點登錄，該校園網多應用單點登錄系統(tǒng)的性能具有如下優(yōu)勢：

1.從管理者的角度來說，如果沒有實施單點登錄系統(tǒng)，那么會存在多系統(tǒng)用戶身份不唯一，在各個應用系統(tǒng)中重復出現(xiàn)、重復管理，用戶信息的更新不能及時反映到各個子系統(tǒng)中。這樣會造成管理上的效率低下。而如果實施了單點登錄系統(tǒng)，管理員只需統(tǒng)一維護用戶身份即可，從而提高了維護的一致性與穩(wěn)定性。

2.從用戶的角度來說，如果沒有實施單點登錄系統(tǒng)，無法享受到優(yōu)質的服務，需要擁有多個身份，多次登錄。而如果實施了單點登錄系統(tǒng)，可以一站式登錄多個系統(tǒng)，避免了繁瑣的登錄過程，從而提高了系統(tǒng)使用的方便性，而且不需要記錄多個用戶信息，更改起來也更加便捷。

3.從服務提供者角度來說，如果沒有實施單點登錄系統(tǒng)，無法實施整體的安全策略，從而產生較大的安全風險。各個系統(tǒng)獨立運行，無法實現(xiàn)資源的共享。用戶身份和權限無法聯(lián)系，無法提供基于組織、基于個人的人性化服務。而如果實施了單點登錄系統(tǒng)，可以避免以上弊端，提高效率。

隨著校園網的各種應用不斷涌現(xiàn)和進一步的發(fā)展，單點登錄系統(tǒng)會有很好的發(fā)展前景，是未來實現(xiàn)“數(shù)字化校園”的基礎。

參考文獻

[1]駱俐倩等. LDAP在校園網公匙認證體系中的應用. 計算機工程與設計. 2002年3月

[2]程宏斌.孫霞. 單點登錄技術研究 [J].計算機時代，2004年5月

[3]林南暉等. 目錄服務在郵件系統(tǒng)中的應用研究. 計算機工程與科學. 2002年第5期

[4]Heinz Johner， Michel Melot， Harri Stranden， Permana Widiasta. "Understanding LDAP" IBM.1999

[5]駱俐倩等. LDAP在校園網公匙認證體系中的應用.計算機工程與設計. 2002年3月

[6]馮濤等. 基于LDAP的電子政務系統(tǒng)研究與設計[J].計算機工程與應用. 2003.25.214-216.

[7]http：//www.sist.ecupl.edu.cn/showdetail.asp？id=947. 2007-10-25

[8]張穎江.鄭秋華.李臘元.單點登錄技術分析及集中身份認證平臺設計. 武漢理工大學學報. 2004-04-01

[9]陸松年.蔡亦波.LDAP與Kerberos系統(tǒng)的集成.計算機工程.2001.第2期