王小娟，黃 協(xié)，張 成

（延安大學(xué) 網(wǎng)絡(luò)信息中心，陜西 延安716000）

統(tǒng)一身份認(rèn)證下單點(diǎn)登錄系統(tǒng)與數(shù)字化校園平臺(tái)的無(wú)縫連接

王小娟，黃 協(xié)，張 成

（延安大學(xué) 網(wǎng)絡(luò)信息中心，陜西 延安716000）

目前許多高校信息化方面缺少數(shù)據(jù)集中統(tǒng)一管理，難于實(shí)現(xiàn)數(shù)據(jù)個(gè)性化服務(wù)，降低用戶工作學(xué)習(xí)效率，對(duì)此，提出數(shù)字化校園建設(shè)系統(tǒng)中統(tǒng)一身份認(rèn)證和單點(diǎn)登錄認(rèn)證機(jī)制，論述LDAP協(xié)議認(rèn)證過(guò)程，結(jié)合學(xué)?，F(xiàn)有系統(tǒng)和預(yù)新建系統(tǒng)，通過(guò)LDAP目標(biāo)服務(wù)技術(shù)實(shí)現(xiàn)數(shù)據(jù)集中，完成統(tǒng)一身份認(rèn)證，通過(guò) CAS服務(wù)接口認(rèn)證實(shí)現(xiàn)單點(diǎn)登錄，描述數(shù)據(jù)抽取和推送方式，各個(gè)子系統(tǒng)通過(guò)權(quán)限控制共享中間表數(shù)據(jù)，最優(yōu)化整合各個(gè)業(yè)務(wù)系統(tǒng)的用戶認(rèn)證信息，實(shí)現(xiàn)多個(gè)不同應(yīng)用系統(tǒng)集中統(tǒng)一管理模式，實(shí)現(xiàn)資源信息共享，達(dá)到事半功倍的效果。

數(shù)字化校園；統(tǒng)一身份認(rèn)證；LDAP；單點(diǎn)登錄；CAS；中間表

一、引言

隨著信息技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛快發(fā)展，數(shù)字化校園建設(shè)已成為學(xué)校基礎(chǔ)建設(shè)的目標(biāo)之一。數(shù)字化校園[1][2]中集成了各個(gè)業(yè)務(wù)職能部門的多個(gè)子系統(tǒng)，各個(gè)系統(tǒng)有自己的身份認(rèn)證機(jī)構(gòu)，且相互獨(dú)立，本校目前有些教工認(rèn)證信息應(yīng)用系統(tǒng)采用一卡通工號(hào)登錄，有些采用身份證號(hào)登錄，還有一些自己設(shè)定登錄認(rèn)證賬號(hào)，導(dǎo)致多賬號(hào)密碼現(xiàn)象，加之一些子系統(tǒng)使用率很低，使用時(shí)間間隔較長(zhǎng)，許多老師存在忘記密碼情況。增大了負(fù)責(zé)該系統(tǒng)的管理員工作量，為了涉密起見(jiàn)，許多忘記用戶名密碼的師生必須攜帶本人有效證件前往相關(guān)部門修改信息，這樣即浪費(fèi)了師生的時(shí)間，又增加了工作人員的工作量。因此，提出統(tǒng)一身份認(rèn)證[3]與單點(diǎn)登錄機(jī)制來(lái)克服上述存在問(wèn)題。即用戶只需記住一個(gè)用戶名密碼即可享用各個(gè)系統(tǒng)資源且實(shí)現(xiàn)身份自助服務(wù)。整體架構(gòu)如圖1所示。

圖1 數(shù)字化校園整體架構(gòu)圖

二、統(tǒng)一身份認(rèn)證

本文所使用的判斷用戶是否合法方式為用戶和密碼驗(yàn)證法，在用戶與服務(wù)器的通信過(guò)程中，采用一種方式去確認(rèn)對(duì)方用戶的身份或權(quán)限，然后再對(duì)用戶的不同身份進(jìn)行分配其訪問(wèn)控制權(quán)限[4]。結(jié)合我?，F(xiàn)有系統(tǒng)，用LDAP技術(shù)可以解決不同子系統(tǒng)統(tǒng)一身份認(rèn)證的問(wèn)題，利用LDAP目錄服務(wù)集中存儲(chǔ)用戶身份數(shù)據(jù)，實(shí)現(xiàn)VPN、上網(wǎng)、門戶以及應(yīng)用等認(rèn)證。

1.LDAP協(xié)議認(rèn)證過(guò)程

LDAP（Lightweight Directory Access Protocol）目錄訪問(wèn)協(xié)議[5]，支持TCP/IP協(xié)議，可以跨越平臺(tái)使用，基于樹(shù)形結(jié)構(gòu)，安全性能良好，主要實(shí)現(xiàn)數(shù)據(jù)的讀/查詢功能，用戶認(rèn)證信息均集中存儲(chǔ)在LDAP目錄服務(wù)與數(shù)據(jù)庫(kù)中，并實(shí)現(xiàn)目錄服務(wù)訪問(wèn)與快速定位目標(biāo)信息兩者同步[6]。用戶使用認(rèn)證服務(wù)系統(tǒng)輸入注冊(cè)好的用戶信息，子系統(tǒng)響應(yīng)認(rèn)證后將用戶信息以特定的方式傳給LDAP服務(wù)器，LDAP服務(wù)器搜索對(duì)應(yīng)的數(shù)據(jù)庫(kù)，比對(duì)子系統(tǒng)用戶信息有效關(guān)系，直至用戶退出后超時(shí)斷開(kāi)，本次認(rèn)證結(jié)束。

2.LDAP結(jié)構(gòu)設(shè)計(jì)

LDAP目錄主要實(shí)現(xiàn)用戶信息檢索，設(shè)計(jì)過(guò)程遵循用戶名（Uid）驗(yàn)證信息唯一，保持全局角色訪問(wèn)唯一性。Uid在運(yùn)行中不會(huì)自動(dòng)有序增加，為解決此問(wèn)題，對(duì)新加入用戶采用根目錄下增加整數(shù)型字段方式增加路徑，添加驗(yàn)證有效性完畢后，字段值加1。不但實(shí)現(xiàn)自動(dòng)遞增功能，而且解決用戶名（Uid）的一致性。

本次設(shè)計(jì)采用用戶名/密碼的 LDAP認(rèn)證機(jī)制，LDAP通過(guò)設(shè)置合理的參數(shù)實(shí)現(xiàn)有效性驗(yàn)證，對(duì)滿足權(quán)限的用戶提供統(tǒng)一的信息訪問(wèn)，雖然各個(gè)子系統(tǒng)配置文件格式有所差異，但都遵循請(qǐng)求/響應(yīng)模式，權(quán)限控制由各自的應(yīng)用子系統(tǒng)完成，對(duì)于Web系統(tǒng)的實(shí)現(xiàn)采用Apache Web服務(wù)器，完整的認(rèn)證主要由認(rèn)證類型和授權(quán)模塊組成，系統(tǒng)使用認(rèn)證授權(quán)模塊和認(rèn)證支持模塊主要完成接口驗(yàn)證及授權(quán)功能，輸入認(rèn)證信息進(jìn)行認(rèn)證。認(rèn)證通過(guò)后即可授權(quán)訪問(wèn)相關(guān)系統(tǒng)。

三、單點(diǎn)登錄

用戶通過(guò)了統(tǒng)一認(rèn)證系統(tǒng)的認(rèn)證以后,將會(huì)獲得portal服務(wù)器從用戶基本數(shù)據(jù)信息庫(kù)中獲取的用戶授權(quán)信息,實(shí)現(xiàn)用戶一次登錄便可以訪問(wèn)其他應(yīng)用系統(tǒng)，本文數(shù)字化校園建設(shè)中服務(wù)門戶平臺(tái)采用基于portal開(kāi)發(fā)平臺(tái)的CMstar信息門戶平臺(tái)軟件，基于J2EE技術(shù)，實(shí)現(xiàn)個(gè)性化功能及界面定制。其中CMstar的權(quán)限控制、用戶管理、以及用戶登錄相關(guān)功能采用的是IDstar提供的接口，其中用戶登錄采用SSO功能接口。單點(diǎn)登錄SSO（Single Sign On）[7]即用戶的一次登錄后不需要在其他系統(tǒng)再次登錄即可得到信任，實(shí)現(xiàn)對(duì)各個(gè)系統(tǒng)的無(wú)縫訪問(wèn)，用戶不需要像之前那樣每登錄一個(gè)系統(tǒng)就需要輸入一次用戶名和密碼。SSO是目前比較流行的業(yè)務(wù)整合解決方案[8]，認(rèn)證過(guò)程如圖2所示。

圖2 單點(diǎn)登錄認(rèn)證過(guò)程

根據(jù)學(xué)校校情況，通過(guò)服務(wù)門戶平臺(tái)與校內(nèi)統(tǒng)一身份認(rèn)證平臺(tái)對(duì)校內(nèi)已建系統(tǒng)，主要對(duì)校園一卡通，學(xué)工管理系統(tǒng)，教務(wù)系統(tǒng)，資產(chǎn)管理系統(tǒng)、科研管理系統(tǒng)公寓管理科以及OA系統(tǒng)以及新建人事系統(tǒng)系統(tǒng)進(jìn)行對(duì)接級(jí)聯(lián)，并在服務(wù)門戶平臺(tái)中實(shí)現(xiàn)校內(nèi)用戶的單點(diǎn)登錄。通過(guò)校園CAS服務(wù)接口進(jìn)行單點(diǎn)登錄接口認(rèn)證集成。單點(diǎn)登錄平臺(tái)支持B/S模式登陸，基于C/S結(jié)構(gòu)下的賬戶統(tǒng)一認(rèn)證，涉及開(kāi)發(fā)語(yǔ)言包括Java、.NET、PHP。

1.CAS認(rèn)證

CAS[9]是有耶魯大學(xué)研發(fā)的單點(diǎn)登錄服務(wù)器，包括兩部分：服務(wù)器端（CAS Server）和客戶端（CAS Client），服務(wù)器端用于統(tǒng)一認(rèn)證用戶的賬號(hào)密碼，而客戶端通常是指提供相應(yīng)業(yè)務(wù)的 WEB應(yīng)用程序，用戶訪問(wèn)客戶端Web應(yīng)用程序時(shí)，客戶端將請(qǐng)求重定向到服務(wù)器端進(jìn)行認(rèn)證，而客戶端不再提供用戶認(rèn)證模塊。為確保用戶信息安全可靠，CAS服務(wù)器采用基于 SSL（Secure Sockets Layer，安全套接層）協(xié)議，提高了數(shù)據(jù)傳輸?shù)陌踩?于系統(tǒng)開(kāi)發(fā)而言，無(wú)需開(kāi)發(fā)登錄模塊，只需要調(diào)用單點(diǎn)登錄系統(tǒng)提供的接口，即可將新系統(tǒng)整合到單點(diǎn)登錄系統(tǒng)中，提高了應(yīng)用系統(tǒng)開(kāi)發(fā)的效率。

CAS基本的架構(gòu)過(guò)程如圖3所示。首先，CAS Client會(huì)比對(duì)驗(yàn)證用戶所要訪問(wèn)的每一個(gè)HTTP請(qǐng)求（Step1）是否為Service Ticket中有效的信息，如果服務(wù)器端未能找到信息，則此次驗(yàn)證未能通過(guò)；于是CAS Client會(huì)重定向用戶請(qǐng)求到CAS Server（Step 2），并傳遞訪問(wèn)地址，進(jìn)入user認(rèn)證過(guò)程（Step 3），如果用戶提供了正確的認(rèn)證信息，Service Ticket會(huì)受到來(lái)自 CAS Server的授權(quán)信息（Step 4），重新定向服務(wù)器端地址信息，并為客戶端瀏覽器設(shè)置一個(gè)Ticket；CAS Client在拿到Service和新產(chǎn)生的Ticket過(guò)后，CAS Server進(jìn)行身份核實(shí)（Step5、Step6），服務(wù)器與客戶端采用 SSL完成信息采集傳輸。

圖3 CAS基本架構(gòu)

四、中間庫(kù)

為了實(shí)現(xiàn)各個(gè)系統(tǒng)數(shù)據(jù)共享以及整合，本文所涉及的各個(gè)系統(tǒng)數(shù)據(jù)之間的抽取和推送是基于中間表的方式實(shí)現(xiàn)，采用Oracle ODI工具實(shí)現(xiàn)各個(gè)業(yè)務(wù)子系統(tǒng)間抽取、轉(zhuǎn)換以及加載過(guò)程，各個(gè)應(yīng)用子系統(tǒng)可在系統(tǒng)數(shù)據(jù)庫(kù)中建立中間庫(kù)，將其他業(yè)務(wù)部門所需要的共享數(shù)據(jù)放入其中，同樣，共享數(shù)據(jù)中心也向應(yīng)用系統(tǒng)推送數(shù)據(jù)，需要建立相應(yīng)中間庫(kù)，推送有用數(shù)據(jù)給其各個(gè)子應(yīng)用系統(tǒng)。如果子業(yè)務(wù)數(shù)據(jù)發(fā)生變化的話，也可以基于中間表實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)化、同步，圖4為中間表的邏輯設(shè)計(jì)圖。

如圖4所示，如果子系統(tǒng)數(shù)據(jù)發(fā)生變化，通知中間表，數(shù)據(jù)交換平臺(tái)抽取中間表中變化的數(shù)據(jù)并更新到數(shù)據(jù)中心庫(kù)中；同理，當(dāng)數(shù)據(jù)中心庫(kù)數(shù)據(jù)發(fā)生變化后，通過(guò)數(shù)據(jù)交換平臺(tái)推送給中間表，子業(yè)務(wù)數(shù)據(jù)庫(kù)提取中間表中變化的數(shù)據(jù)，完成更新，實(shí)現(xiàn)雙向共享更新數(shù)據(jù)。

圖4 中間表邏輯圖

五、結(jié)語(yǔ)

本文解決了高校數(shù)字化校園中多個(gè)應(yīng)用系統(tǒng)用戶身份不統(tǒng)一、用戶帳號(hào)管理分散復(fù)雜問(wèn)題，結(jié)合本校校情重點(diǎn)介紹了單點(diǎn)登錄，LDAP接口，CAS認(rèn)證的架構(gòu)原理以及中間表的實(shí)現(xiàn)方式，無(wú)縫的實(shí)現(xiàn)了數(shù)字化校園用戶管理[10]和使用一站式服務(wù)。

[1]龍新征,邢承杰,歐陽(yáng)榮彬,王倩宜,李麗,劉云峰.數(shù)字化校園中管理信息系統(tǒng)安全體系結(jié)構(gòu)設(shè)計(jì)與應(yīng)用研究[J].通信學(xué)報(bào),2014,35(Z1):178-184.

[2]劉邦奇,孫曙輝.數(shù)字化校園理念、設(shè)計(jì)與實(shí)現(xiàn)[D].合肥:中國(guó)科學(xué)技術(shù)大學(xué)出版社,2014.1.

[3]陳鴻,數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué),2013.

[4]Ying Zhang.A Network Topology Control and Identity Authentication Protocol with Support for Movable Sensor Nodes.Sensors,2015，15(12):29958-29960.

[5]陳宇翔.LDAP詳解-IBM Tivoli Directory Server從入門到精通[M].北京：機(jī)械工業(yè)出版社,2012.

[6]Charlie Obimbo,Benjamin Ferriman.Vulnerabilities of LDAP as an Authentication Service.Computational Mathematics,2014,2(4):151-157.

[7]李薔,陳鋼.基于AM的單點(diǎn)登錄(SSO)解決方案[J].軟件設(shè)計(jì)開(kāi)發(fā).2010,27(4):149-151.

[8]Daniel Fett,Ralf Küsters,and Guido Schmitz.Analyzing the BrowserID SSO System with Primary Identity Providers Using an Expressive Model of the Web,University of Trier,2015.1.

[9]范圍.基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用研究[J].電子測(cè)量.2016(8):63-64.

[10]胥曉鵬.上海市城市建設(shè)工程學(xué)校數(shù)字化校園建設(shè)項(xiàng)目的進(jìn)度管理[D].復(fù)旦大學(xué),2016.3.

（編輯：王曉明）

TP393

：A

：1673-8454（2017）07-0058-03