王勁松

（中國石油大學勝利學院，山東 東營257000）

1 概 述

隨著高校校園網(wǎng)信息化步伐的加快，一系列基于高校校園網(wǎng)絡(luò)的信息系統(tǒng)，如辦公自動化、教務管理系統(tǒng)、人力資源管理系統(tǒng)、學生管理系統(tǒng)、后勤管理系統(tǒng)、圖書館管理系統(tǒng)等的應用，極大地方便了人們的工作和學習。但隨著高校校園網(wǎng)中數(shù)字資源不斷增多，人們在享用這些服務的同時，也感到一些不便：每個應用系統(tǒng)都有獨立的賬號，進入前都需要以該應用系統(tǒng)的賬號來登錄。在工作中總要輸入用戶名及口令，而且每次各不相同。對于高校信息化而言，大量重復的不一致的用戶個人信息，也不利于學校深層次的信息化建設(shè)。所以需要對校園網(wǎng)中的信息系統(tǒng)進行無縫集成，使它們能夠統(tǒng)一運作，并通過單點登錄達到一處登錄、處處通用的目的。

2 基于Web Services的高校校園網(wǎng)系統(tǒng)集成平臺的架構(gòu)

2.1 校園網(wǎng)系統(tǒng)集成平臺架構(gòu)

今天的校園更需要一個集成的開放的面向?qū)W生、教師的且具有柔性的IT支持系統(tǒng)，只有把校園內(nèi)不同的信息系統(tǒng)以及學校業(yè)務過程集成起來，才能使校園本身業(yè)務協(xié)調(diào)運作。

面向服務架構(gòu)（services－oriented－architecture，SOA）是一種面向功能層的企業(yè)應用集成方式，不僅能保證原有系統(tǒng)的數(shù)據(jù)安全性和邏輯安全性，而且能實現(xiàn)各系統(tǒng)之間的松耦合，方便系統(tǒng)流程的重組和優(yōu)化，具有跨平臺、語言獨立等優(yōu)點［1］。

采用的服務平臺是基于SOA架構(gòu)構(gòu)建的服務層，支持多種業(yè)務數(shù)據(jù)服務，同時作為內(nèi)部和外部應用的中間件，具有安全性、高性能、可重用性及可擴展性、易管理及版本兼容等特性［2］。

此服務平臺主要關(guān)注業(yè)務服務層和數(shù)據(jù)服務層。其分為5層，其架構(gòu)如圖1所示。

圖1 基于SOA的數(shù)字化校園架構(gòu)圖

該架構(gòu)包括5層：

（1）信息服務層。內(nèi)部及外部的應用用戶。

（2）應用服務層。內(nèi)部及外部的應用。通過服務管理平臺與服務庫及下一層進行對話。

（3）基礎(chǔ)服務層。提供統(tǒng)一方法訪問物理層和數(shù)據(jù)字典。所有的數(shù)據(jù)操作（用戶授權(quán)及數(shù)據(jù)的增加/修改/刪除）都發(fā)生在此層。

（4）數(shù)據(jù)層。包括物理數(shù)據(jù)，物理數(shù)據(jù)可以是任何格式，如關(guān)系數(shù)據(jù)庫等。

（5）基礎(chǔ)設(shè)施。保證系統(tǒng)正常運行的軟硬件及相應的開發(fā)環(huán)境。

2.2 服務平臺體系結(jié)構(gòu)

基于高校的IT環(huán)境，構(gòu)建服務平臺的體系結(jié)構(gòu)如圖2所示。

圖2 服務平臺體系結(jié)構(gòu)

Service Platform Core是客戶化配置及代碼的容器。這些核心代碼提供服務明細和所有支持Java的包。開發(fā)的管理控制臺用于跟蹤服務平臺內(nèi)的所有活動。此服務平臺核心的主要功能包括服務管理、注冊、事務監(jiān)控、統(tǒng)計分析及配置管理。

Axis 1.4是Apache組織下的開源項目，用于Web Service開發(fā)。基于WSDL的服務都是通過Axis組件實現(xiàn)的，另外基于WSDL的Web服務及服務平臺也支持用于內(nèi)部使用的Simple服務。

Software Tools用于平臺開發(fā)及測試。SVN用于版本控制，SOAPUI用于基于WSDL的Web服務測試。

上述服務平臺體系保證了此平臺對運行在其上的服務的高可用性、可升級及高可靠性。

3 單點登錄統(tǒng)一認證方式

集成的高校校園網(wǎng)應用系統(tǒng)，必須建立統(tǒng)一的用戶身份管理和認證機制，為各應用提供統(tǒng)一的服務，以解決各個應用系統(tǒng)之間的數(shù)據(jù)共享問題。單點登錄SSO（single sign on），用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。單點登錄是先進、高效的登錄方案，簡化多系統(tǒng)應用而產(chǎn)生的反復登錄程序，實現(xiàn)多業(yè)務整合，是在多業(yè)務系統(tǒng)上實現(xiàn)其價值的，它是身份認證的一種集成和整合［3］。

3.1 單點登錄用戶管理模型設(shè)計

要實現(xiàn)集成的各個系統(tǒng)與用戶的統(tǒng)一認證，首先進行統(tǒng)一用戶身份管理，需要建立統(tǒng)一的用戶認證服務管理中心，中心按如下原則進行設(shè)計：

（1）在該中心統(tǒng)一存儲所有用戶信息，并以該中心用戶信息為唯一標準。

（2）對用戶的增、改、刪操作全部通過統(tǒng)一用戶認證服務管理中心，并由中心將用戶統(tǒng)一發(fā)布到各應用系統(tǒng)。

3.2 單點登錄工作流程設(shè)計

首先，用戶的認證過程統(tǒng)一交由身份認證服務管理中心進行處理，所有應用都會將用戶的認證請求轉(zhuǎn)發(fā)給平臺。在平臺完成對用戶身份的校驗后，將會分發(fā)一個臨時身份憑證給用戶，作為中心賦予用戶的臨時身份憑證，其中包含了用戶的有效登錄信息。該身份憑證具有有效期屬性，當超過指定的時間后就不再有效。失效后用戶需要再次輸入登錄信息，身份認證服務管理中心將再次驗證用戶，頒發(fā)新的身份憑證。身份憑證采用內(nèi)存Cookie的形式保存在用戶的瀏覽器端。憑借管理中心賦予的臨時身份憑證作為自己認證信息提交給應用系統(tǒng)，應用系統(tǒng)接受到請求之后會把身份憑證送到認證系統(tǒng)進行效驗，檢查身份憑證的合法性。如果通過效驗，用戶就可以在不用再次登錄的情況下訪問應用系統(tǒng)，如圖3所示。

圖3 單點登錄工作流程示意圖

3.3 單點登錄系統(tǒng)的體系結(jié)構(gòu)

單點登錄系統(tǒng)平臺主要由管理模塊、應用系統(tǒng)代理及數(shù)據(jù)庫三部分組成。

3.3.1 管理模塊

單點登錄系統(tǒng)平臺的管理模塊主要實現(xiàn)各種服務，包括：會話管理服務、日志審計服務、身份驗證服務和授權(quán)服務。

會話管理服務是單點登錄系統(tǒng)的基礎(chǔ)服務，用戶登錄單點登錄的門戶站點后，會話狀態(tài)通過會話管理服務來管理，實現(xiàn)單點登錄。

日志審計服務是單點登錄系統(tǒng)的輔助服務，日志審計實現(xiàn)對用戶使用單點登錄系統(tǒng)的詳細日志，包括：登錄時間、登錄用戶身份、登錄應用系統(tǒng)、登錄時使用的客戶機IP地址和MAC地址等。

身份驗證服務是單點登錄系統(tǒng)的擴展服務，實現(xiàn)對用戶身份的驗證。身份驗證的方式可以多樣，不同的應用環(huán)境可能采用不同的驗證方式，單點登錄系統(tǒng)能夠方便地與現(xiàn)有的身份驗證方式兼容，也能進行擴展。

授權(quán)服務是單點登錄系統(tǒng)的擴展服務，能夠?qū)崿F(xiàn)對某些應用系統(tǒng)的授權(quán)。不同的用戶對同一應用系統(tǒng)的訪問權(quán)限是不同的，在單點登錄系統(tǒng)上可以實現(xiàn)系統(tǒng)級的授權(quán)。

3.3.2 數(shù)據(jù)庫模塊

數(shù)據(jù)庫模塊主要存儲單點登錄時的各種數(shù)據(jù)，包括：用戶目錄數(shù)據(jù)庫、登錄日志數(shù)據(jù)庫等。

系統(tǒng)平臺使用統(tǒng)一的用戶目錄數(shù)據(jù)庫，集中進行管理。各個應用系統(tǒng)進行身份驗證時，都使用這個集中的數(shù)據(jù)庫。

系統(tǒng)平臺能夠?qū)τ脩舻纳矸蒡炞C行為進行日志記錄，隨時把握“何人何時以何種方式訪問何種應用系統(tǒng)”。

3.3.3 應用系統(tǒng)代理模塊

應用系統(tǒng)代理模塊與單點登錄系統(tǒng)平臺進行通信，實現(xiàn)各應用系統(tǒng)與系統(tǒng)平臺管理系統(tǒng)的連接。

4 單點登錄系統(tǒng)的部署

4.1 安全性要求

作為應用系統(tǒng)的基礎(chǔ)平臺，單點登錄系統(tǒng)平臺的安全性非常重要?？梢圆捎靡韵碌姆椒ūＷC系統(tǒng)安全：

（1）內(nèi)容安全。通過應用安全級別較高的加密算法，對存儲的用戶登錄信息，包括用戶名、ID、電子數(shù)字證書等進行加密，保證即使系統(tǒng)管理員也無法獲得或更改這些信息。

（2）傳輸安全。信息在傳輸?shù)倪^程中，也有可能被竊聽和篡改。對于B/S系統(tǒng)，采用HTTPS/SSL安全傳輸通道，保證信息在傳輸中的安全；對于C/S系統(tǒng)，應用業(yè)界標準的安全認證協(xié)議，在傳輸前進行雙向認證，同時，對通信內(nèi)容進行加密和散列，也能保證信息在傳輸中的安全。

（3）事后安全。單點登錄系統(tǒng)提供完善的日志記錄功能，日志內(nèi)容包括登錄時間、登錄用戶身份、登錄的應用系統(tǒng)、登錄時使用的客戶機IP地址、計算機名和MAC地址等。

單點登錄系統(tǒng)實現(xiàn)內(nèi)容安全、傳輸安全和事后安全，保證了整個平臺系統(tǒng)的立體安全。

單點登錄平臺能夠詳細記錄用戶使用此平臺的情況，包括登錄時間、用戶身份、登錄的應用系統(tǒng)、登錄時使用的客戶機IP地址、計算機名和MAC地址等。同時，還提供圖形化的日志查詢工具，方便管理員進行統(tǒng)計分析和審計員進行監(jiān)督審計。

4.2 部署

單點登錄系統(tǒng)平臺通過向應用系統(tǒng)提供登錄服務，實現(xiàn)單點登錄。因此，單點登錄系統(tǒng)平臺部署與普通的應用系統(tǒng)部署不同。除了單點登錄平臺自身的部署外，支持單點登錄的應用系統(tǒng)需要進行系統(tǒng)改造，系統(tǒng)改造以單點登錄服務接口規(guī)范作為依據(jù)。

5 結(jié)束語

本著簡單實用的原則，以搭建高校網(wǎng)絡(luò)應用系統(tǒng)集成為出發(fā)點，充分考慮用戶的易用性，以單點登錄為核心，實現(xiàn)高校校園網(wǎng)集成系統(tǒng)服務平臺的統(tǒng)一用戶管理和認證功能。

［1］陳亞華.企業(yè)應用集成架構(gòu)研究與實現(xiàn)［D］.上海：復旦大學，2004：6.

［2］韋銀星，張申省.企業(yè)應用集成技術(shù)研究［J］.計算機集成制造系統(tǒng)，2002，8（8）：593－596.

［3］孫濤，余曉佳.Web環(huán)境下單點登錄服務的設(shè)計與實現(xiàn)［J］.網(wǎng)絡(luò)安全技術(shù)與應用，2007（8）：28－30.