董涵

【摘 要】在信息化技術(shù)高速發(fā)展的今天，校園網(wǎng)內(nèi)部充斥著各類系統(tǒng)，如何將各類子系統(tǒng)進(jìn)行一個(gè)整合，利用統(tǒng)一身份認(rèn)證平臺(tái)對(duì)這些子系統(tǒng)進(jìn)行一個(gè)集成，各子系統(tǒng)的數(shù)據(jù)庫(kù)與平臺(tái)的數(shù)據(jù)庫(kù)實(shí)現(xiàn)共享調(diào)用，是我們目前遇到的比較多的一個(gè)問題。

【關(guān)鍵詞】統(tǒng)一身份認(rèn)證平臺(tái)；LDAP；系統(tǒng)集成

在信息化技術(shù)高速發(fā)展的今天，智慧校園已經(jīng)成為校園網(wǎng)建設(shè)的方向，各類的應(yīng)用也隨即而生，行政辦公系統(tǒng)，郵件系統(tǒng)，財(cái)務(wù)管理系統(tǒng)，圖書借閱管理系統(tǒng)，一卡通，科研管理系統(tǒng)等等，都在我們?nèi)粘５墓ぷ骱蛯W(xué)習(xí)中扮演了重要的角色。這些系統(tǒng)都是獨(dú)立的系統(tǒng)，各自都用于自身的一套密碼系統(tǒng)，用戶需要保存這些系統(tǒng)的用戶名和密碼，登陸哪個(gè)系統(tǒng)就需要隨之輸入相應(yīng)的用戶名和密碼，大大增加了用戶的使用難度，用戶的體驗(yàn)度大大降低，記憶如此多的密碼，隨之而來的問題就是用戶很容易丟失或者忘記這些密碼，不得不找管理員去恢復(fù)密碼，相應(yīng)的也就增加了管理員的工作量。如何去解決這個(gè)問題將信息化的發(fā)展融入到教學(xué)中去，更好的為教學(xué)服務(wù)是我們迫切需要面對(duì)的一個(gè)問題。

基于以上原因，使得校園網(wǎng)統(tǒng)一身份認(rèn)證變得尤為重要。統(tǒng)一身份認(rèn)證主要實(shí)現(xiàn)的功能是，讓用戶在統(tǒng)一管理平臺(tái)上只用輸入一次賬號(hào)密碼，只進(jìn)行一次認(rèn)證，認(rèn)證通過之后，就可以對(duì)平臺(tái)內(nèi)集成的所有系統(tǒng)進(jìn)行調(diào)用，這樣用戶就不需要記錄很多的密碼，只需要在校園網(wǎng)內(nèi)一套密碼就可以滿足教學(xué)、辦公以及學(xué)習(xí)的需求，另外在進(jìn)行統(tǒng)一身份認(rèn)證之前，需要出臺(tái)一套統(tǒng)一的密碼編碼規(guī)則，大家遵循該統(tǒng)一編碼規(guī)則，對(duì)用戶名進(jìn)行編碼，這樣在后期的對(duì)接過程中，能夠更加的順利。系統(tǒng)主要的方法是通過集成各個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)，通過統(tǒng)一數(shù)據(jù)中心平臺(tái)進(jìn)行對(duì)接，前期需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行清洗，統(tǒng)一數(shù)據(jù)的格式，讓各家集成商開發(fā)統(tǒng)一的LDAP接口，講系統(tǒng)集成到統(tǒng)一認(rèn)證平臺(tái)中去。用戶在前端登錄時(shí)，將其賬號(hào)和密碼傳輸?shù)浇y(tǒng)一認(rèn)證后臺(tái)，驗(yàn)證通過之后，便可以對(duì)所有的應(yīng)用系統(tǒng)進(jìn)行調(diào)用，查詢自己的代辦事項(xiàng)，科研課題，工資情況，等等。

統(tǒng)一身份認(rèn)證的流程描述如下。

（1）用戶使用注冊(cè)的統(tǒng)一平臺(tái)賬號(hào)密碼去登陸統(tǒng)一身份認(rèn)證平臺(tái)。

（2）統(tǒng)一身份認(rèn)證平臺(tái)會(huì)根據(jù)該請(qǐng)求去創(chuàng)建一個(gè)臨時(shí)會(huì)話，產(chǎn)生一個(gè)相應(yīng)的密鑰，該證書返回給用戶。

（3）用戶端獲得密鑰之后，利用該密鑰去訪問平臺(tái)內(nèi)集成的各類子系統(tǒng)。

（4）子系統(tǒng)接受到密鑰之后，會(huì)在后臺(tái)驗(yàn)證其真實(shí)有效性。

（5）驗(yàn)證通過之后，用戶可以對(duì)系統(tǒng)內(nèi)的資源進(jìn)行調(diào)用和操作。

LDAP 協(xié)議簡(jiǎn)介

LDAP（Lightweight Directory Access Protocol）是一種標(biāo)準(zhǔn)的目錄服務(wù)技術(shù)，它基于X.500 的一種模型，標(biāo)錄服務(wù)的模型也是基于OSI的一種模型，它具有自己的命名空間，以及用于查詢的更新協(xié)議，由于協(xié)議是運(yùn)行在OSI數(shù)據(jù)模型的第三層，也就是 網(wǎng)絡(luò)協(xié)議層，所有它的功能非常強(qiáng)大，缺點(diǎn)是數(shù)據(jù)庫(kù)過于龐大，運(yùn)行緩慢。LDAP 相對(duì)X.500來說就相對(duì)簡(jiǎn)單，它支持對(duì)目錄以及服務(wù)進(jìn)行一個(gè)個(gè)性化的定制，對(duì)數(shù)據(jù)庫(kù)可以進(jìn)行擴(kuò)展，2者的區(qū)別是后者是運(yùn)行在網(wǎng)絡(luò)層上，基于TCP/IP 協(xié)議來進(jìn)行設(shè)計(jì)，LDAP對(duì)互聯(lián)網(wǎng)的網(wǎng)絡(luò)兼容性較好，另外它的關(guān)系型數(shù)據(jù)庫(kù)運(yùn)行更為高效，讀取速度更快。LADP可以跨越各種應(yīng)用子系統(tǒng)，各種應(yīng)用平臺(tái)，能夠提供更安全完善的傳輸機(jī)制 ，它的數(shù)據(jù)層次清晰，數(shù)據(jù)的存儲(chǔ)以及讀寫都更為快捷。

我校網(wǎng)絡(luò)認(rèn)證系統(tǒng)目前采用的是正方的統(tǒng)一認(rèn)證身份系統(tǒng)，它是一種基于 Portal 頁面的網(wǎng)絡(luò)管理系統(tǒng)， 當(dāng)用戶在校園網(wǎng)主頁登陸時(shí)，自動(dòng)彈出身份認(rèn)證的登陸界面，用戶使用預(yù)設(shè)的用戶名和密碼登陸之后就自動(dòng)進(jìn)入了門戶系統(tǒng)，門戶內(nèi)部集成了行政辦公系統(tǒng)、郵件系統(tǒng)、一卡通系統(tǒng)、國(guó)資管理系統(tǒng)等等。用戶一次登陸之后可以自動(dòng)調(diào)用所有的子系統(tǒng)，無需重復(fù)認(rèn)證，大大提高了用戶的使用效率，簡(jiǎn)化了辦公流程。在統(tǒng)一身份認(rèn)證平臺(tái)上，所有的子系統(tǒng)都可以進(jìn)行編輯，各個(gè)系統(tǒng)對(duì)用各自的按鈕，另外按鈕的排列方式，以及首頁的展示信息，都是可以進(jìn)行一個(gè)個(gè)性化的定制，直接通過后臺(tái)數(shù)據(jù)庫(kù)的調(diào)用，將用戶需要展現(xiàn)的信息顯示在主頁面上，用戶的體驗(yàn)度大大提升。

學(xué)校的電子郵件系統(tǒng)采用騰訊公司的郵件系統(tǒng)，為了將郵件與統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行集成，首先要對(duì)原有的郵箱數(shù)據(jù)庫(kù)進(jìn)行清洗，統(tǒng)一格式，將原有的郵件遷移至新的郵件系統(tǒng)之上，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行集成，另外對(duì)原有的LDAP數(shù)據(jù)庫(kù)中的目錄要進(jìn)行擴(kuò)展，添加相應(yīng)的數(shù)據(jù)屬性， 使之與原有的系統(tǒng)保持一致，對(duì)應(yīng)到用戶的原始郵件數(shù)據(jù)中去。由于騰訊系統(tǒng)內(nèi)部采用的也是 LDAP 系統(tǒng)，那么對(duì)接的時(shí)候相對(duì)來說就更為簡(jiǎn)單，用戶的單點(diǎn)登錄的時(shí)候跟原有方式類似，只是將用戶輸入的用戶名和密碼傳輸至現(xiàn)有的數(shù)據(jù)中心認(rèn)證后臺(tái)，在數(shù)據(jù)庫(kù)中對(duì)用戶名和密碼進(jìn)行匹對(duì)，如果錯(cuò)誤則拒絕登陸，如果正確則返回正確的結(jié)果。在用戶端對(duì)于驗(yàn)證的過程跟傳統(tǒng)的方式，是無感知的，用戶在驗(yàn)證之后直接可以進(jìn)入平臺(tái)，在調(diào)用郵箱的時(shí)候，只會(huì)對(duì)用戶名進(jìn)行校驗(yàn)，如果用戶名存在，則認(rèn)為用戶是合法用戶，可以對(duì)郵箱進(jìn)行正常的操作，整個(gè)認(rèn)證過程操作完畢。

一卡通管理系統(tǒng)是高校目前使用最廣泛的一個(gè)系統(tǒng)，一卡通集成了飯卡系統(tǒng)、門禁系統(tǒng)、掛失解掛系統(tǒng)。一卡通通常的驗(yàn)證方式為卡的序列號(hào)加卡的PIN碼，由于一卡通的PIN比較沒有規(guī)律，而且各類序列號(hào)以及PIN碼，會(huì)讓數(shù)據(jù)庫(kù)的規(guī)模變得很龐大，并且難以維護(hù)。為了讓一卡通與現(xiàn)有的系統(tǒng)進(jìn)行集成，需要進(jìn)行如下2步工作：（1）統(tǒng)一編碼將原有的PIN碼對(duì)應(yīng)學(xué)生的學(xué)生號(hào)，教工對(duì)應(yīng)教工號(hào)，對(duì)數(shù)據(jù)重新進(jìn)行清洗。（2）將一卡通數(shù)據(jù)庫(kù)集成到統(tǒng)一身份認(rèn)證平臺(tái)中去，用戶在統(tǒng)一數(shù)據(jù)中心認(rèn)證平臺(tái)登錄之后，只需要輸入一次密碼，就可以對(duì)一卡通的信息進(jìn)行調(diào)用以及查詢。

行政辦公系統(tǒng)我校使用的是致遠(yuǎn)公司開發(fā)的一個(gè)系統(tǒng)，該系統(tǒng)本身也采用的是LDAP架構(gòu)，提供了LDAP接口，將該系統(tǒng)集成到平臺(tái)之中，只需要對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行格式的清洗和校驗(yàn)，利用接口統(tǒng)一對(duì)接到身份認(rèn)證平臺(tái)之上，用戶在登陸平臺(tái)之后，只需要點(diǎn)擊該系統(tǒng)的超鏈接就能進(jìn)行訪問，密鑰的傳遞方式也是先傳遞到統(tǒng)一平臺(tái)的數(shù)據(jù)庫(kù)進(jìn)行校驗(yàn)，如果平臺(tái)返回校驗(yàn)正確，那么用戶則顯示認(rèn)證通過，能夠直接調(diào)用辦公系統(tǒng)的各類子模塊，進(jìn)行教學(xué)以及辦公的一些列活動(dòng)，大大簡(jiǎn)化了工作流程，提高了工作效率。

圖書管理系統(tǒng)通過跟原有開發(fā)單位的協(xié)調(diào)，也統(tǒng)一集成到平臺(tái)之上，利用LDAP接口，將數(shù)據(jù)庫(kù)進(jìn)行清洗編排之后進(jìn)行對(duì)接，集成完畢之后，用戶可以在平臺(tái)內(nèi)直接看到自己的讀者信息，借閱的書籍等等，甚至可以一用上述集成過的一卡通系統(tǒng)，進(jìn)行在線的逾期罰款的繳納等等，大大方便了學(xué)生和廣大教職工的學(xué)習(xí)和科研工作。

綜上所述，將各類平臺(tái)統(tǒng)一集成到認(rèn)證中心平臺(tái)，能夠使用戶用一套密碼能夠訪問校園網(wǎng)內(nèi)部集成過的所有子系統(tǒng)，各個(gè)子系統(tǒng)之間的數(shù)據(jù)庫(kù)共享，數(shù)據(jù)格式統(tǒng)一，運(yùn)行更為高效，提高了用戶的工作效率，以及用戶的體驗(yàn)度，減少了數(shù)據(jù)庫(kù)的維護(hù)量，各類子系統(tǒng)運(yùn)行更為穩(wěn)定高效，是目前高校信息化校園建設(shè)的一個(gè)主方向。

[責(zé)任編輯：朱麗娜]endprint