單點登錄技術在軍事信息系統中的應用研究

姚剛　齊玉東　董慶超　司維超

摘要：隨著軍隊信息化工作的進行，越來越多的軍事信息系統被開發出來，如何更好地管理各個系統的用戶和權限已成為一個重要的研究課題。單點登錄技術可以實現一次登錄，訪問所有授權的系統。在分析了軍事信息系統的現狀和現有單點登錄技術的特點基礎上，得出了適合于軍事信息系統的單點登錄技術。針對某軍事信息系統，總結其單點登錄需求，給出了總體方案和系統組成，設計了權限管理、用戶身份映射等關鍵模塊，并給出了具體實現方法。實踐表明，單點登錄技術的應用將會大大提高工作效率，促進信息化工作的進行。

關鍵詞：單點登錄；軍事信息系統；CAS

0引言

隨著軍隊信息化工作的展開和推進，部隊人員在工作中會應用接觸越來越多的信息系統。這對于用戶和管理員都造成了一定的實踐操作困擾：用戶如果要登錄多個系統，不僅要面對多個登錄界面，可能還要記憶不同的用戶名和口令：而管理員則需要維護各個系統中的用戶，保持用戶的一致性。同時，頻繁的輸入密碼對于安全性也帶來了潛在的風險。因此，迫切需要一種技術來解決登錄效率和安全性問題。單點登錄技術（SS0，Single Sign-On），即用戶只需要登錄一次就可以訪問網絡中所有相互信任的系統。這種登錄技術是開發應用系統的一種趨勢，其設計關鍵是所有的系統共享一個身份認證信息，實現一次登錄，訪問所有授權系統。

1軍事信息系統現狀

隨著軍隊信息化進程的日趨深入，部隊各業務部門產生了多個信息系統。在長期的應用過程中，形成了各自獨立的用戶庫和認證方法，并且訪問機制、編程語言不統一。重點表現在以下2個方面：

1）多個應用需要多個客戶端。由于軍隊的信息化是一個循序漸進的過程，不同的應用系統出現的時期也各有差異，而且還有許多都是C/S模式的系統，從而使一臺電腦上需要安裝多個客戶端才能應用各個系統：

2）操作復雜且成本高。對于用戶來說，同一用戶可能要兼顧處理多個應用系統，因此在登錄多個系統時要輸入不同的用戶名和口令。對于管理員來說，管理員則要管理和維護各個系統的數據庫。

綜上分析可知，要實現單點登錄的研發設計，需要滿足以下功能：

1）將所有應用系統的人口集成到瀏覽器中，從而免去多個客戶端的安裝：

2）提供統一身份管理和單點登錄。將現有的應用系統的用戶規劃組織為統一性質，完成統一的用戶認證。在統一用戶的基礎上，實現單點登錄功能。在統一用戶登錄到某一應用系統（通常是門戶站點）后，當需要訪問其他應用系統時，不必再次登錄就可以直接進入應用系統。

2單點登錄技術概述

目前，單點登錄的技術可以分為開源和商用兩種模式。使用較多的開源單點登錄框架包括Yale CAS、Open SSO、Jsecuriy、Shibboleth等，各個框架各有特點。同樣，市場上也存在有單點登錄產品，包括Net Passport、Liberty等單點登錄系統。上述單點登錄的應用技術和實現手段均能夠初步解決重復登錄的問題，但是目前仍呈現出諸多有待完善的缺點。而本文研究核心則設定為其與軍事信息系統的結合，充分考慮貼合部隊的任務需求，同事也著重關注并引入了系統安全性、易用性、經濟性等方面因素。Passport單點登錄系統和Liberty單點登錄系統中負責身份認證的服務器由國外公司控制，用戶身份和系統的保密性及安全性受到威脅，不適合作為結合的對象系統。開源登錄框架中Open SSO、Jsecuriy、Shibboleth的適用范圍較窄且部署相對復雜，而CAS單點登錄系統（Central Authentication Service）部署簡單、成本經濟，支持多種平臺應用，安全可靠，因此本文研究即將CAS與軍事信息系統進行了結合。

CAS作為較為成熟的框架，是Yale大學研發的免費開源框架，并且已經創建了諸多商業框架的應用實例。從CAS的結構體系看，CAS包括2部分：CAS Server和CAS Client。其中，Server將重點執行對用戶的認證工作，需要獨立部署，而其要處理的用戶相關信息包括用戶名/密碼等憑證。Client則用于分析處理對客戶端受保護資源的訪問請求，當需要對請求方提交身份認證時，即重定向到CAS Server進行認證。CAS Client需要與受保護的客戶端應用部署在一起，以Filter方式保護相應的資源，過濾從客戶端發送的每一個Web請求，并且CAS Client會分析HTTP請求中是否包含請求Service Ticket，如果沒有，則說明該用戶還未經過認證；于是CAS Client會重定向用戶請求到CAS Server，并傳遞Service（要訪問的目的資源地址）。

3應用實例

3.1需求分析

某軍事項目研究需要涉及多個應用系統進行協同工作。部隊人員需要接觸多個信息系統的賬號和密碼，存在一定的安全隱患。實踐發現，不同應用系統之間各自的特色功能、設計方案和開發技術均有所不同。此外，不同應用系統開發時間前后各異、耗時長短不一，各自建立有相互獨立的用戶數據庫和用戶認證體系，用戶信息互不兼容、數據格式互不統一，導致各應用系統間信息關聯困難，形成了猶如障礙的信息壁壘，難以達成信息共享，靈活辦公。進一步地，細節問題可描述呈現在操作使用方面：訪問不同應用系統需要依次登錄，過程枯燥而繁雜，耗費精力，并且大量的賬號和密碼信息在輸入時難免出錯，進而影響效率。為此，將單點登錄技術與該軍事信息系統相互結合，在各應用系統的登錄認證機制中引入單點登錄技術，使用戶僅通過一次身份認證，便能夠獲得所有應用系統的訪問授權，實現“一次登錄、全網漫游”。

3.2應用研究設計

3.2.1總體設計方案

為了實現用戶的快速登錄和訪問，設計時通過信息門戶的方式展示相關新聞和所有應用系統的人口。將門戶的登錄和各應用系統的人口集成在首頁的顯著位置。將CAS技術應用到現有系統，具體可分為2部分來展開研究設計：將多個應用系統與CAS Client部署整合到一起，為用戶提供相應服務和資源：CAS Server與原有應用系統的用戶登錄數據庫相互連接，負責用戶身份信息的認證和管理。在實際的具體分析時，本文采用模塊化的設計方案，將系統分為客戶端和服務器兩個相互耦合的模塊，分別對應CAS單點登錄系統中的CAS Client和CAS Server。并根據后續處理功能不同，客戶端與服務器下將分別設有各自定制子模塊。

3.2.2權限管理模塊設計

在權限管理時，需要建立統一的用戶登錄數據庫，技術設計實體主要包括有用戶、角色、應用系統和權限。權限管理模塊在整體上規定了用戶所屬角色、分配權限、驗證用戶訪問權限。具體研發信息如下：

1）用戶。即請求訪問使用并獲取本系統服務和資源的用戶，是用戶登錄數據庫的關鍵主體部分：

2）角色。本系統中，用戶和角色兩者是相互關聯的，用戶是具體客觀存在的人，角色是用戶在本系統中擁有的身份，如有的角色負責對用戶的訪問權限進行授權，而有的角色則只負責查看用戶的訪問權限；

3）應用系統。應用系統就是用戶請求訪問的服務和資源，為方便本系統實現單點登錄的功能，根據不同應用系統的特點，在應用系統類的組織籌建上主要包含了應用系統的名稱、域名、IP地址、端口等信息；

4）權限。權限是用戶真實執行的操作，不同的操作對應不同的功能，分配給不同的角色，而用戶根據分派角色的不同，則具備不同的權限。權限類的設計建立包含了用戶可能執行的操作（通常指訪問的應用系統）和角色的身份。

面向對象的數據庫設計思想簡化了用戶數據庫建立的研發內容，只需要創建實體，再根據實際情況錄入用戶信息。本系統優化推出的用戶登錄數據庫中，綜上4種實體類之間的關系基本為：用戶與角色之間為依賴關系，權限分配給不同角色，從而用戶也將訪問不同的應用系統，實體關系模型可見于圖1。

在系統中，采用角色和權限管理，從而方便對資源的訪問，其中角色是權限的集合，權限是可以訪問和執行的業務功能的集合。一個用戶可擁有多個角色，同一角色可多次授予不同的操作員。一個角色可配有多個權限，對于特定資源的訪問，不同的權限組合構成不同的角色。一個權限對應多個功能點和數據訪問規則，同一功能點或數據訪問控制規則可與多個權限形成互相關聯。

3.2.3用戶身份映射模塊設計

在用戶登錄數據庫中增加用戶身份映射表，用于存儲服務器與各個應用系統的用戶身份映射關系，假設用戶A在系統中用戶身份映射關系如表1所示。

用戶A在服務器登錄后，訪問應用系統A時，系統將根據其身份映射信息查詢該用戶在應用系統A中的身份信息A1，并進行訪問控制；同樣，訪問應用系統B時，得到用戶名為A2，對應用系統B進行訪問控制。用戶身份映射模塊結構則如圖2所示。

3.2.4系統工作流程設計

當在門戶網站上進行單點登錄時，首先需要對訪問用戶的身份信息予以審核認證，此過程中用戶將提供個人身份證明（正確的賬號和密碼），若用戶信息與數據庫信息匹配則認證成功，系統發放相應票據并允許用戶訪問系統。根據用戶登錄時的狀態，則可劃分有首次登錄系統和登錄后訪問其他應用系統。在此，將對其分別展開研究論述如下。

3.2.4.1首次登錄流程

用戶首次登錄流程如圖3所示。用戶首次登錄系統時，服務器需要對用戶身份信息進行驗證，主要登錄流程的步驟內容可設計詳解為：

1）用戶通過瀏覽器訪問客戶端應用系統；

2）客戶端接收用戶的訪問請求，將訪問請求重定向至服務器，對用戶身份驗證，過程攜帶要訪問資源的URL（統一資源定位符），以便認證通過后返回請求資源；

3）服務器判斷當前用戶狀態為首次登錄，為用戶提供登錄界面：

4）用戶輸入賬號和密碼，結果返回服務器；

5）服務器通過用戶認證模塊，查詢用戶登錄數據庫，驗證用戶身份信息，若驗證不通過，則訪問失敗，需要再次輸入身份信息；若驗證通過，則將登錄賬號發送到權限管理模塊進行驗證：

6）權限管理模塊驗證該用戶是否有權限訪問目標系統，通過查詢用戶數據庫，驗證用戶權限，并返回查詢結果給服務器：

7）若驗證通過，生成并緩存sT驗證票據（Service Ticket）；反之則訪問失敗，重新登錄；

8）攜帶服務器生成的sT票據，通過用戶瀏覽器，訪問客戶端應用系統：

9）客戶端請求服務器驗證該sT的有效性，并將ST票據銷毀。

綜合以上設計步驟后，客戶端應用系統將允許用戶訪問并提供請求資源和服務。

3.2.4.2登錄后訪問其他客戶端應用系統流程

登錄后訪問其他客戶端應用系統流程如圖4所示。用戶登錄系統后再次訪問其他應用系統時，無需再次進行身份信息認證，主要登錄流程的步驟內容可設計詳解為：

1）用戶登錄系統后，再次訪問其他客戶端應用系統；

2）客戶端首先檢查用戶瀏覽器Cookie文件中是否存有sT票據，若不存在，則將訪問請求重定向到服務器；

3）服務器從用戶瀏覽器Cookie中獲取TGC票據，并驗證該TGC是否合法有效；

4）權限管理模塊通過查詢用戶數據庫，驗證用戶的權限，并返回結果給服務器；

5）服務器生成并緩存sT驗證票據：

6）攜帶sT驗證票據，訪問客戶端應用系統；

7）客戶端請求服務器驗證票據有效性，并銷毀sT。

綜合以上設計步驟后，客戶端應用系統則允許用戶免密碼就可以提供請求資源和服務。

3.3單點登錄技術的具體實現

3.3.1系統開發環境

完成單點登錄技術的具體實現，首先需要對環境系統進行部署與配置。系統環境的建立過程中，需要用到的軟件主要包括有：Tomcat 7.2（免費開源的WEB應用服務器）；JDK6（JAVA的運行編輯環境）；CAS Service版本CAS-Server-3.4.8-release；CAS Client版本CAS-Client-3.2.1-release；MYSQL數據庫版本MYSQL-5.6.24-win32；MYSQL連接JDBC驅動版本MYSQL-connector-java-5.6-bin.jar。

3.3.2系統客戶端模塊的實現

本系統的設計主旨就是將軍事信息系統各個應用系統和CAS Client二者相互結合部署，組成完整的單點登錄系統的客戶端部分。其核心思想是將需要的CAS Client相關配置文件（Portal Application Server）指定分發到各應用系統中，并對相關配置文件提供準確設定。該方案特點是兩者同時部署在同一個服務器上，緊密結合，高度集成，操作管理融為一體、且快捷簡便。用戶訪問客戶端應用系統時，首先被身份認證過濾器攔截，檢查用戶瀏覽器Cookie中是否具有授權票據sT，若存在則允許訪問，否則將重定向至服務器進行身份認證，通過認證后攜帶服務器生成票據重新訪問，此時身份認證過濾器將允許訪問操作。訪問請求通過用戶身份過濾器的允許后，將會被票據檢驗過濾器攔截。重定向至服務器檢驗授權票據是否有效，只有檢驗有效后方可實現應用系統訪問。

3.3.3系統服務器模塊的實現

根據某軍事信息系統的工作現狀：部分早期開發的應用系統內置的用戶數據庫信息比較完善，認證機制也比較健全；而部分新建應用系統的用戶認證體系相對而言卻并不完整。因此，本文著眼實際情況，將系統服務器的實現分為2類。一類是新建統一的用戶登錄數據庫，與CAS Server連接，方便所有新建系統的用戶注冊和登錄：另一類是將原有應用系統用戶身份信息進行映射，建立用戶身份信息映射模塊，精簡工作任務。用戶登錄時，服務器通過數據庫連接驅動，在統一用戶登錄數據庫中查詢用戶身份信息，并將結果返回服務器進行用戶身份信息認證。因此要替換服務器原有的認證方式（CAS Server的原有認證機制），以用戶登錄數據庫中的信息服務器作為新的認證方式，具體做法為：在服務器WEB-INF＼lib配置文件中，編輯deployerConfigContext.xml文件，找到CAS Server認證方式的類并將其刪除。系統服務器模塊重點針對授權票據展開處理，用戶成功登錄后，服務器模塊生成授權票據并導人瀏覽器Cookie中，驗證客戶端授權票據的有效性，當訪問請求結束后銷毀該票據。

3.4實施效果

單點登錄技術應用于該軍事信息系統后，用戶在關聯門戶網站中依規輸入其帳號和密碼，系統會對合法性做出判定，對單點登錄的代理程序發出請求并在各個應用服務器中對系統賬戶合法性進行判斷，從而實現單點登錄，對系統的功能和安全發揮了良好的保護作用。

4結束語

軍事信息系統數量的日益增加將會使單點登錄技術的應用范圍也趨于廣闊。本文在分析了現有單點登錄技術和軍事信息系統現狀的基礎上，研發提出了某軍事信息系統單點登錄技術的具體設計和實現方案，從而減少了用戶記憶多個密碼的麻煩，降低了密碼遭遇竊取的風險。實踐表明，單點登錄技術不但能提高工作效率，而且能更好地保護系統和用戶信息的安全。