基于Web的數字校園單點登錄系統研究

李婕

摘要：高校各部門陸續建立起B/S模式的業務系統，每個系統有各自的認證數據庫，不能保持同步和一致性，成為信息孤島。為了解決這些問題，單點登錄技術應運而生，包括認證接口子系統、客戶端登錄子系統、統一身份認證系統幾部分。單點登錄，給學校各類應用提供統一的身份認證機制和訪問入口，對用戶信息進行整合和統一，減少了用于重復認證所帶來的系統開銷，為學校進一步的信息化建設建立起良好的基礎。

關鍵詞：單點登錄；身份認證；數字校園

一、單點登錄

1、概念。單點登錄（sso）進行一次驗證后即可訪問多個應用程序的。即在一次登錄之后不必再經過系統認證就直接進入校內各應用系統。針不同類型的應用系統，單點登陸的實現方式也有所不同，但其原理大致相同：在多個應用系統之間建立用戶安全上下文（Security Context），維持“用戶已過認證”這一狀態。而使用在多個應用系統之間的單點登陸機制，與單個應用系統內的認證機制相比區別在于：前者的安全資源分布在多個應用系統之內，而且這些應用可能部署在不同的域名下，后者的安全資源集中在單個應用系統之內。

2、實現單點登錄。要實現SSO，需要以下主要的功能：（1）所有應用系統共享一個身份認證系統；（2）所有應用系統能夠識別和提取ticket信息；（3）應用系統能夠識別已經登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。其中統一的身份認證系統最重要，認證系統的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證，認證成功后，認證系統應該生成統一的認證標志（ticket），返還給用戶。另外，認證系統還應該對ticket進行效驗，判斷其有效性。整個系統可以存在兩個以上的認證服務器，這些服務器甚至可以是不同的產品。認證服務器之間要通過標準的通訊協議，互相交換認證信息，就能完成更高級別的單點登錄。

3、用戶單點登錄有以下的優點：（1）提高工作效率，用戶只需一次驗證便能訪問所有授權網絡資源和服務。（2）透明的實現認證和授權，減少用戶的等待時間，提供系統的性能。（3）增強系統的整體安全性，通過強認證機制對用戶身份驗證，提供安全性。（4）提高管理效率，用戶帳號數據統一保存，集中管理，減少了出錯的幾率，減輕了系統工作人員的維護負擔。

二、認證接口子系統

1、新建系統及原有系統的認證。認證接口子系統位于多個應用系統和統一身份認證中心之間，和應用系統集成，運行在同一個平臺之上。該接口接受用戶認證請求，由認證中心進行認證，將認證結果返回給應用系統。

認證接口子系統要適應原有應用系統和新建的應用系統兩種情況。對于新建的應用系統，只要按照認證中心提供的認證和授權接口標準進行認證和授權的開發就可以和認證中心進行無縫集成。對于那些在建立認證中心之前就已存在的應用系統，因為沒有按照統一的接口標準進行認證和授權，而且可能運行在多種平臺之上，使用不同的數據庫系統。針對這種情況，認證接口子系統就要做到與平臺無關、與具體的數據庫系統無關。

2、針對不同系統提供的認證策略。為了使原有的系統能夠平滑過渡到單點登錄系統中，使不容易進行認證機制改造的應用系統也可以納入到系統的統一管理中，應該針對不同的系統有不同的策略。（1）對于新建系統或容易改進的系統。通過提供的標準接口函數來實現對客戶端與應用服務器的Kerberos改造，使之能夠與Kerberos認證機制相結合，從而納入到單點登錄系統中。（2）對已有的且不易改進的系統。因為相對來說，客戶端改造比較容易。首先將客戶端進行Kerberos改造，使客戶端可以與Kerberos認證服務器進行身份認證工作。再把原有系統的認證信息保證在本次單點登錄系統的用戶信息數據庫中，同時在應用服務器端設置一個代理軟件，其主要功能是對由客戶端傳過來的數據進行解析后，再傳送給應用服務器進行身份認證。（3）對于客戶端和應用服務器都難以進行Kerberos改造的系統，可采用中間件技術，通過代理軟件，登錄到本系統完成認證工作。工作流程為：當用戶登錄到這些系統時，首先要到本次系統的Kerberos認證服務器中獲得對應系統的認證數據，然后再提交給相應的系統，以便完成認證。可以通過開發客戶端的工具和代理軟件來自動實現，提高用戶的工作效率。

三、客戶端登錄子系統

提供完整的單點登錄技術。客戶端用戶登錄子系統提供完整的單點登錄技術。用戶只需登錄一次，就可使用同一使用憑證，登錄平臺上各資源子系統中，按所授權限訪問網絡資源信息，用戶一旦登錄成功，不會因為訪問不同的資源子系統而被要求多次重登錄。

四、國內統一身份認證系統應用情況

數字校園的統一門戶建設，即統一身份認證系統，在國內應用情況大以下幾類：

1、類似代理的認證服務體系。該體系使用目錄服務器存儲用戶的信息，在應用服務器遵從統一的目錄服務標準的情況下，和目錄服務器通信，進行統一認證。但是這并不是完全意義上的統一認證，而只是把認證分離出去，用戶在訪問不同的應用系統的時候仍要重新輸入用戶名和密碼。

2、與瀏覽器相關的認證服務體系。例如：上海交通大學網絡信息中心開發的用戶認證體系。該系統嚴重依賴瀏覽器Cookie的設置，如果強制指定瀏覽器拒絕Cookie，將無法使用Account進行登錄；另外系統本身安全性問題沒有考慮。

3、基于LDAP的統一身份認證系統。這類系統采用了LDAP（Lightweight Directory Access Protocol：輕量級目錄訪問協議）技術提高了系統可用性和可靠性，也避免了與瀏覽器相關的問題，同時縮短響應時間；系統采用了TLS（TransPortLayersecurity：傳輸層安全）和SASL[3] （Simple Authentication Security Layer：簡單認證和安全層）保證信息輸的安全性。

五、結語

通過單點登錄系統，用戶一次登錄即能訪問校園網中其他應用系統，既實現了更優的管理控制，又提高了用戶工作效率，同時還保障了整個網絡的安全性。本文為高校數字校園統一身份認證的實現提供了研究基礎以及理論體系的支撐。

參考文獻

[1] 齊鳳亮，薛海峰.數字化校園單點登錄系統的實現.天津電大學報，2011（6）.

[2] 李海軍，盧清萍.基于LDAP的Web認證系統在數字化校園中的應用. 軟件導刊 ，2013.

[3] 陳蕊.高校信息門戶中關鍵指標體系的展示.天津電大學報，計算機與現代化，2013（10）.