摘 要：本文針對數字化校園討論并分析了單點登錄的多種技術實現方案，結合數字化校園的實際情況，達成了一種契合實際并擁有較低綜合成本的單點登錄解決方案。該方案以CAS為基礎實行統(tǒng)一認證，并結合輕量級目錄服務技術作為用戶身份管理，為學校提供了一個較易管理和實現的單點登錄體系，解決現有多賬號問題，并為信息化發(fā)展提供良好的擴展基礎。

關鍵詞：單點登錄；SSO；CAS；輕量級目錄訪問協(xié)議；LDAP

中圖分類號：TP311.52 文獻標識碼：A 文章編號：2096-4706（2017）03-0073-05

The Whole Design of Campus SSO System

ZHOU Jun

（Guangzhou Construction Engineering Vocational School，Guangzhou 510000，China）

Abstract： Aiming at the digital campus， this paper discusses and analyzes a variety of technology implementations of single sign on，combined with the actual situation of digital campus， a single sign on solution has been found which is practical and has lower integrated cost.This scheme is based on CAS unified authentication， and combined with the lightweight directory service as the user identity management， provides a relatively easy management and implementation of SSO system to solve the existing problems of school， multiple accounts and provide extended， good foundation for the development of information technology.

Keywords： single sign on； SSO； CAS； lightweight directory access protocol； LDAP

1 背景及設計方向

在廣州的中職、中小學中，計算機網絡與通信技術為數字化校園的不斷普及搭建了一個強大的舞臺，信息技術的觸角伸展到了校園的每一個角落，校園網內各類應用系統(tǒng)也不斷增加，越來越多的人享受到了信息化時代工作與生活的便利。但問題也隨之而來，其中之一就是校園網中各種應用系統(tǒng)的登錄與驗證問題日益突出，頻繁登錄各類系統(tǒng)造成的效率低下，賬號管理的混亂，重復記憶的負累，賬戶的安全問題等，都是信息化建設中急需解決的。本文試圖達成一種可行的、契合實際并擁有與較低綜合成本的單點登錄解決方案。解決現有多賬號問題，并為信息化發(fā)展提供良好的擴展基礎。

1.1 設計原則

（1）低成本。在學校信息化過程中，各方面原因都決定了低成本無疑總是會處于最優(yōu)先考慮的因素范圍內。

（2）易用、簡單、實用。易用則體現在人機交互上，尤其是用戶水平差距較大時，良好的人機交互將是大家對系統(tǒng)設計是否合理最直觀的體會，這也包括管理人員是否能方便的管理系統(tǒng)，增加效率；合理的簡單，體現在系統(tǒng)易于實現，以及后期容易維護，也影響到系統(tǒng)的成本與易用性；實用，花哨的功能總是會占據大量的系統(tǒng)資源與成本，也增加了設計復雜度。

（3）易于實現。難于實現的方案不但浪費人力、物力、金錢與時間，也提升了系統(tǒng)復雜度與管理難度，甚至失去前瞻性而影響將來系統(tǒng)的擴展性，有成為空中樓閣的可能性。

（4）兼容性。良好的設計，要保證系統(tǒng)原有的應用能夠兼容，但通常對于眾多應用系統(tǒng)往往很難全部兼顧，或者需要顯著增加設計難度與成本，此時只能根據需要進行合理的取舍，或者做個較長期的設計規(guī)劃，依計劃實行。龐大復雜的系統(tǒng)很難一蹴而就，有時候也并非是件好事。

（5）擴展性。擴展性涉及到以后信息化道路上新增加的應用系統(tǒng)能夠更容易的集成到現有校園網平臺中來。從這點來看，這關系到長遠的規(guī)劃，主流的技術通常能對將來眾多的應用給予更多的前瞻性支持，應予以相應的重視。

（6）安全性。認證過程是一個較為敏感的過程，用戶身份信息、個人信息、密碼憑證等都需要得到較高的安全保障。單點登錄統(tǒng)一認證本身決定了一旦信息泄密，將有可能造成比傳統(tǒng)獨立分布認證嚴重得多的后果，甚至造成不可估量的損失。

（7）結合實際使用環(huán)境合理設計，分步實現。由于SSO系統(tǒng)的集成與實現一般都涉及到比較多的方面，比較復雜，我們一定要結合實際使用環(huán)境進行設計，脫離現實環(huán)境，往往造成系統(tǒng)方案難于落實。我們還可以考慮由易入難，階段性實施，分步完成，在較長時期內進行研究改進與完善，無疑將使SSO系統(tǒng)更容易實現。

1.2 設計目標

在充分考慮校園網的具體環(huán)境與需求，并遵守設計原則的前提下，單點登錄系統(tǒng)需滿足以下基本功能。

（1）統(tǒng)一身份認證。統(tǒng)一身份認證是單點登錄系統(tǒng)的核心功能，用戶只需要提交一次身份及憑證信息進行認證，就可以在網絡中無縫的訪問所有經過授權的軟硬件資源，不同應用系統(tǒng)之間的身份認證過程在后臺自動完成，對用戶是透明的。

統(tǒng)一身份認證包含認證方式統(tǒng)一、認證身份與憑證統(tǒng)一兩個方面：①認證方式統(tǒng)一，不再是以前的各應用系統(tǒng)種類多樣的認證方式，在某些應用系統(tǒng)中及將來增加的應用系統(tǒng)中甚至可以考慮認證界面與入口都統(tǒng)一。②認證身份與憑證統(tǒng)一，即只使用一種身份標識與憑證，方便用戶記憶與管理。不再像以前一樣需要記憶多種身份標識，比如有的用身份證號、有的用次序編號、有的用學號，多種多樣，記憶混亂，很難與應用系統(tǒng)一一對應起來。

（2）統(tǒng)一用戶管理。統(tǒng)一用戶管理也是SSO系統(tǒng)的核心功能。從各應用系統(tǒng)或權威信息源獲取標準信息，匯總后建立統(tǒng)一的標準信息，形成校級用戶身份信息庫。并集中對用戶信息包括身份與憑證進行管理維護。

（3）整合銜接各應用系統(tǒng)。利用統(tǒng)一的平臺和接口規(guī)范，將各個相關系統(tǒng)與各種信息資源納入到統(tǒng)一的認證平臺中集成起來。為保持用戶認證操作習慣的連續(xù)性，對原有系統(tǒng)可以視情況保留其原來的登錄界面與認證方式進行過渡。而對新應用系統(tǒng)，則最好嵌入單點登錄客戶端模塊用統(tǒng)一的方式認證。

（4）高度的安全性與可靠性。由于集中認證服務本身的功能性質，一旦出現問題，影響的可能是整個的校園信息化平臺，這就要求系統(tǒng)架構設計考慮周詳，保證SSO系統(tǒng)持續(xù)、穩(wěn)定、可靠和安全的運行。

針對這些要求，考慮實際情況，將用戶的認證與授權、用戶信息管理兩大功能作為SSO實現重點，這也是SSO系統(tǒng)必須實現的核心功能，是本文的討論重點。

2 統(tǒng)一認證方案的比較與選擇

2.1 SSO軟件產品分類與比較

單點登錄的具體實現方案有多種，還未有統(tǒng)一標準，主要可歸結為三大類產品，如表1。

在三大類產品中，綜合成本最低、無版權問題的開源產品是學校類單位的最佳選擇，并且學?？筛鶕陨淼膶嶋H情況進行必要的二次開發(fā)。

2.2 開源SSO產品對比

上表我們對SSO三大類產品進行了橫向對比，得出開源產品是學校類單位的最佳選擇。那么對于開源SSO產品，也有幾種方案，我們對其中的三種開源方案進行對比，如表2。

2.3 幾種SSO具體實現方法的比較

我們對流行的幾種SSO具體實現方法的也進行一下對比，如表3。

綜合以上產品方案與實現方法的比較，以及校園網單點登錄系統(tǒng)的設計需求和實際情況，Yale大學的CAS是較好的單點登錄方案，而且它所支持的代理功能在實際環(huán)境中對很多老舊的系統(tǒng)也有一定優(yōu)勢。

3 統(tǒng)一用戶管理方案的選擇

3.1 目錄服務

用戶身份信息的集中存儲與管理需要與原各應用系統(tǒng)的用戶身份數據庫進行信息交互，也要與異構數據庫進行數據交流。通過目錄服務，可以實現這些功能。而一個良好的目錄服務在可管理性、安全性、擴展性、響應速度等方面應具有比較優(yōu)勢的特點。

3.2 LDAP

身份信息數據的結構、作用、以及運作機制，對存儲和管理身份信息選擇采用什么方式有決定作用。SSO系統(tǒng)使用的身份信息如：用戶標識、姓名、組織機構等通常比較固定，基本上很少改動，而單點登錄統(tǒng)一認證主要是頻繁查詢這些信息，也很少進行修改。此種機制特性決定了，可以選用LDAP來構建目錄服務器。LDAP是此種情況下最好的數據存儲方式之一，LDAP不但簡潔易于實現，而且支持面向數據的查詢服務和分布式管理。這使其適用于快速響應大容量的查詢并且提供多目錄服務器的信息，并且具有管理方便、安全可靠、擴展性好的優(yōu)點。

4 整合銜接各應用系統(tǒng)的認證集成模式

認證集成的三種模式：（1）基于認證平臺的應用漫游；（2）基于共享密鑰的協(xié)議登錄；（3）基于自配置的模擬登錄。

在SSO系統(tǒng)認證集成方案選擇中，作為單點登錄系統(tǒng)，還是應該以基于認證平臺的應用漫游模式為主進行優(yōu)先考慮，將來新增加應用系統(tǒng)時，可以要求新應用接入統(tǒng)一認證平臺，才是比較利于管理的較長遠的解決方案。

但考慮到校園網內原有的應用系統(tǒng)的現實情況，原應用系統(tǒng)種類多，環(huán)境復雜，要全部進行修改顯然不太容易完成，且成本高昂，那么部分舊有應用還是采用基于共享密鑰的協(xié)議登錄或者基于自配置的模擬登錄模式比較合理，尤其是比較陳舊且難于改造的系統(tǒng)。而且為保持用戶認證操作習慣的連續(xù)性，對原有系統(tǒng)可以視情況保留少量其原來的登錄界面與認證方式進行習慣過渡，也可以使項目更平滑透明的應用到用戶之中。

那么，由此就形成了一主二輔，三種模式混合共存的解決方案，這也是屬于基于代理與經紀人的單點登錄模式，正好與CAS方案機制相合。

5 安全設計與可靠性

5.1 信息交互安全性

SSO系統(tǒng)信息交互頻繁，交互過程通常分為2個部分：

（1）身份認證服務和應用系統(tǒng)、使用用戶之間的信息交互。（2）用戶和應用系統(tǒng)之間的認證信息交互。在各方通信時，通?？墒褂肧SL安全傳輸通道進行通信，保障通信安全。

5.2 CAS認證機制的可靠性

在CAS中采用Kerberos協(xié)議，Kerberos基于DES對稱加密體制的認證系統(tǒng)，可以保護客戶數據庫和密鑰，進行安全的身份驗證。

會話內容的加密：也可以采用Kerberos保護會話密鑰用以加密會話信息

5.3 LDAP信息傳輸安全性

采用TLS（Transport Layer Security，傳輸層安全） 和 SASL（simple Authentication and Security layer，簡單認證安全層） 保證信息傳輸的安全性。

5.4 LDAP信息管理穩(wěn)健性

對LDAP用戶數據的維護，在校園網內新生入校時，大量的學生信息維護將產生的頻繁的信息更新與交換，可以采用SOAP（Simple Object Access Protocol簡單對象訪問協(xié)議）提供異步消息傳遞，提高效率，增加系統(tǒng)的穩(wěn)健性。

6 SSO系統(tǒng)整體結構

遵照本系統(tǒng)預先設定的設計原則，在結合實際應用環(huán)境與具體要求的情況下，經過以上的充分探討、分析和論證，緊緊圍繞著設計目標，最終形成了一個可行的相對容易實現與管理的單點登錄模型方案，其整體結構如圖1。

7 LDAP目錄樹設計與實現

LDAP中最重要的是目錄樹的設計，數據是按屬性結構儲存，稱之為DIT（目錄信息樹），DIT的葉子為入口，每個入口由1個該目錄樹唯一名稱（DN）和任何樹的屬性/值對組成，每個屬性可以對應多個值。目錄樹總體結構如圖2。

8 業(yè)務系統(tǒng)認證集成的實現

8.1 認證集成的實現要點

三種業(yè)務系統(tǒng)認證集成方式，其具體實現過程與要點分別如下[7-8]：

（1）對于基于認證平臺的通過接入客戶端進行系統(tǒng)集成的方式，一般需要通過四個步驟實現：部署接入客戶端文件、修改業(yè)務系統(tǒng)登錄驗證配置、配置客戶端認證模塊和獲取用戶名。（2）對于共享密鑰的協(xié)議登錄方式，要為校園門戶和應用系統(tǒng)設計一個比較復雜的密鑰，然后形成協(xié)議數據并傳遞到應用系統(tǒng)中。（3）對于基于自配置的模擬登錄方式，需要在入口系統(tǒng)部署相應的連接認證程序，模擬登錄界面，然后建立一個入口系統(tǒng)賬號表并映射到相應的各個應用系統(tǒng)賬號。

8.2 認證集成的循序漸進

除了較新的應用系統(tǒng)之外，為了銜接老舊的系統(tǒng)，通常需要使用全部三種集成認證方式，但每種的側重點是不同的，其重要性與實現的成本也是不同的。通常我們希望盡可能的將更多的應用系統(tǒng)集成進來，但要考慮財力、物力、人力以及時間等綜合成本，這將會非常高昂或者無法承受的，尤其是對那些已經無法得到應用開發(fā)商支持的陳舊應用系統(tǒng)。

因此，在項目的實際集成過程中，我們可以：（1）對每個應用系統(tǒng)視情況采用合適的認證集成方式，不應過度強求改變?yōu)榱硗獾恼J證集成方式。（2）采用循序漸進的策略，在較長的一段時間里將應用系統(tǒng)逐個集成進來，不應強求項目一次性集成所有應用系統(tǒng)的認證，這將有利于降低項目的實施難度，為順利完成項目贏得更多時間，并有利于測試認證系統(tǒng)的安全性與穩(wěn)定性。

9 結 論

本文針對數字化校園中單點登錄在遵照實際應用環(huán)境與具體要求的情況下，設定了一些設計原則，并通過探討、分析、對比、充分論證與研究，最終形成了一個可行的、容易實現與管理的、擁有較低綜合成本的單點登錄模型方案，以此實現了SSO系統(tǒng)兩大核心功能：用戶的統(tǒng)一認證、身份管理，達到了預訂的設計目標，是一個比較典型的簡單、快速、高效、低價的方案，在信息化建設中能夠作為本類學校的有效實行方案。

參考文獻：

[1] 高勃.單點登錄技術的概述 [J].中國科技信息，2007（23）：127-129.

[2] Microsoft Corporation. Microsoft .NET Passport Technical Overview，2001.

[3] 李景峰，祝躍飛，張棟.用戶控制下Cookies安全研究與實現 [J].計算機工程，2005（14）：150-152.

[4] 郭曉明.數字校園中Web單點登錄體系的研究與應用 [D].大連理工大學，2011.

[5] 江海龍，劉偉祥，邵志驊.單點登錄在交通管理信息系統(tǒng)中的應用研究[J].中國公共安全（學術版），2010（02）：101-104.

[6] 曹曄.基于校園網的單點登錄系統(tǒng)的研究與設計 [D].首都經貿大學，2009（03）：21-22.

[7] 李國金.基于角色的訪問控制在企業(yè)電子商務系統(tǒng)中的應用研究 [D].遼寧工程技術大學，2006.

[8] 嚴悍，張宏，許滿武.基于角色訪問控制對象建模及實現 [J].計算機學報，2000（10）：1065-1069.

作者簡介：周軍（1977.07—），男，江西萍鄉(xiāng)人，本科，計算機實驗師，畢業(yè)于江西師范大學。研究方向：計算機網絡技術。