李仕金　何瓦特　石婷

摘要：文中通過介紹學(xué)校信息化建設(shè)中各種管理系統(tǒng)登陸的獨立性，不便于用于用戶操作，進(jìn)而引入單點登陸系統(tǒng)。文中主要通過對系統(tǒng)的架構(gòu)、系統(tǒng)功能、系統(tǒng)運行機制、系統(tǒng)模型設(shè)計4個方面對社科系統(tǒng)進(jìn)行改造，最后實現(xiàn)了不同域之間的安全系統(tǒng)實現(xiàn)了跨域單點登錄。

關(guān)鍵詞：SSO；社科管理系統(tǒng)；信息化建設(shè)

中圖分類號：TP315 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）12-0081-03

校園信息化建設(shè)是我校建設(shè)中國一流、世界知名區(qū)域性高水平大學(xué)任務(wù)之一。近年來，學(xué)校開發(fā)了各種各樣的管理信息系統(tǒng)，比如：教務(wù)成績管理、人事系統(tǒng)、財務(wù)系統(tǒng)、郵件系統(tǒng)、信息管理系統(tǒng)等應(yīng)用系統(tǒng)，然而每個應(yīng)用系統(tǒng)都有自己的認(rèn)證功能模塊，當(dāng)然后面學(xué)校開發(fā)的應(yīng)用系統(tǒng)也會不斷增加，隨著應(yīng)用系統(tǒng)的不斷增加，用戶在訪問每個應(yīng)用系統(tǒng)時必須記憶大量的用戶名和密碼，并且需要做一些重復(fù)性的輸入工作。這種操作使得用戶訪問各種應(yīng)用系統(tǒng)顯得非常麻煩，同時降低工作效率，而且容易出錯。這無疑也會給密碼的安全問題帶來巨大的隱患。

另外有些用戶為了方便，采用一些簡單的登錄密碼：比如生日、電話號碼之類的，而且多個應(yīng)用系統(tǒng)采用的是同一個密碼；有的甚至不想記憶這些認(rèn)證密碼，直接將賬號和密碼寫在紙上；有的同時登錄多個應(yīng)用系統(tǒng)后都沒有退出系統(tǒng)的良好習(xí)慣，這樣大大降低了系統(tǒng)的性能和用戶賬號的安全性；另外先前的應(yīng)用系統(tǒng)所采用的認(rèn)證方式，大多是在網(wǎng)絡(luò)上傳送，容易受到網(wǎng)絡(luò)攻擊，獲取賬號和密碼，從而給合法用戶造成一定的損失。除此之外，由于每個應(yīng)用系統(tǒng)都保留著各自的用戶信息，一旦出現(xiàn)用戶的增加和修改使得管理員對系統(tǒng)中的用戶信息進(jìn)行維護(hù)相當(dāng)復(fù)雜，增加了工作量。

基于上述原因，統(tǒng)一身份認(rèn)證和單點登錄相結(jié)合的設(shè)計方案，為某校文科科研管理信息系統(tǒng)實現(xiàn)了統(tǒng)一身份認(rèn)證、單點登錄、用戶信息的統(tǒng)一管理，這不僅方便了系統(tǒng)管理員的管理，也增強了用戶的體驗，保障了用戶信息的存儲，系統(tǒng)具有很好的集成性和可擴展性。

1 相關(guān)技術(shù)研究

1.1 單點登錄機制

單點登錄機制[1]（SSO）指的是用戶只需要一次身份認(rèn)證，就可以無縫的訪問被授權(quán)允許訪問的多個應(yīng)用系統(tǒng)或者資源，而不需要重復(fù)在每個應(yīng)用系統(tǒng)處重復(fù)進(jìn)行認(rèn)證的解決方案。其實在現(xiàn)實生活中就有單點登錄的實例：比如你去五臺山旅游，五臺山里面有很多獨立的寺廟是需要單獨收費，這樣如果游客需要游覽的話，就需要去各個景點重復(fù)購票，這種設(shè)置方法會很麻煩，浪費游客的精力和時間去進(jìn)行排隊購票。因此類似的情況在景區(qū)入口處通常就有一個購買通票的地方。這張通票就好比是計算機單點登錄機制中的一個身份認(rèn)證。

1.2 統(tǒng)一身份認(rèn)證技術(shù)

統(tǒng)一身份認(rèn)證利用認(rèn)證和服務(wù)相分離的思想，將文科科研系統(tǒng)中的身份認(rèn)證模塊獨立出來，提供與學(xué)校其他管理信息系統(tǒng)的用戶的一個統(tǒng)一身份認(rèn)證入口。方便用戶的使用，從而增加系統(tǒng)的安全。徹底的改變傳統(tǒng)用戶信息的效率低下的管理模式。

統(tǒng)一身份認(rèn)證提供的是一個統(tǒng)一的認(rèn)證服務(wù)平臺，通過對各個應(yīng)用系統(tǒng)的功能模塊進(jìn)行集中統(tǒng)一認(rèn)證，主要包括：用戶信息的存儲、用戶權(quán)限的統(tǒng)一管理、用戶身份進(jìn)行確認(rèn)。從而提高認(rèn)證整體的可靠性和高效。

1.3 SAML技術(shù)分析

SAML是結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織建立的安全標(biāo)準(zhǔn)[2]，目前有2個版本都是基于可擴展標(biāo)記語言XML面向WEB服務(wù)的架構(gòu)[3]，SAML通過因特網(wǎng)對不同的安全系統(tǒng)的信息交換進(jìn)行處理。它是基于XML語言用于傳輸認(rèn)證及授權(quán)信息的框架，以與一個實體（人或計算機）相關(guān)的斷言形式表達(dá)。斷言可傳遞主體執(zhí)行的認(rèn)證信息，屬性信息及授權(quán)決定。SAML的體系結(jié)構(gòu)如圖2。

1.4 門戶（Portal）技術(shù)

門戶技術(shù)主要有Portal Server，Portal Container，Portlet三部分組成，它可以將企業(yè)的內(nèi)容和應(yīng)用進(jìn)行統(tǒng)一集成?？梢詫Ψ稚悩?gòu)的數(shù)據(jù)進(jìn)行實時訪問和統(tǒng)一管理，此外還為門戶系統(tǒng)提供了許多額外附加功能，增加系統(tǒng)的安全性?？偠灾?，門戶技術(shù)是一個集企業(yè)業(yè)務(wù)、單點登錄和個性化定制為一體的信息管理平臺。

2 系統(tǒng)設(shè)計

文科科研管理信息系統(tǒng)的完成是實現(xiàn)科研管理信息化的首要條件，通過科研管理信息系統(tǒng)可以優(yōu)化傳統(tǒng)科研管理模式，不斷提高科研管理效率和水平的過程。從技術(shù)方面說，就是利用計算機技術(shù)、網(wǎng)絡(luò)技術(shù)等現(xiàn)代技術(shù)建立科研管理信息庫和決策支持系統(tǒng)，主要通過信息化平臺收集科研人員、科研項目、科研成果等信息，對其進(jìn)行加工處理，然后從中得出有用的價值，提高管理信息系統(tǒng)的信息利用率。

2.1 系統(tǒng)架構(gòu)設(shè)計

從整個文科科研系統(tǒng)上分析得出，整個認(rèn)證系統(tǒng)功能主要包括：認(rèn)證服務(wù)、用戶管理、用戶過濾三大模塊。認(rèn)證服務(wù)為整個系統(tǒng)提供統(tǒng)一的認(rèn)證入口。用戶的基本信息和應(yīng)用系統(tǒng)的管理屬于用戶管理模塊范疇；過濾模塊主要是獲取用戶的登陸信息，提供統(tǒng)一身份認(rèn)證的入口。整個系統(tǒng)的總體構(gòu)架如圖3。

2.2系統(tǒng)功能設(shè)計

本文科科研管理信息系統(tǒng)能夠?qū)崿F(xiàn)學(xué)校內(nèi)多個應(yīng)用系統(tǒng)之間的統(tǒng)一身份認(rèn)證和單點登錄功能，與傳統(tǒng)的單點登錄系統(tǒng)比較，特點如下：

1）認(rèn)證身份

用戶只需要在統(tǒng)一登錄入口處進(jìn)行一次身份認(rèn)證，認(rèn)證成功后可以實現(xiàn)無縫訪問其他web應(yīng)用系統(tǒng)，不需要重復(fù)輸入自己的認(rèn)證信息。

2）映射身份

由于原來每個應(yīng)用系統(tǒng)都有獨立的賬號和密碼，在整個社科系統(tǒng)中通過裝有Filter和統(tǒng)一身份認(rèn)證系統(tǒng)之間的SAML通信，利用過濾器的自動填充技術(shù)，獲取web應(yīng)用系統(tǒng)的身份信息，無需系統(tǒng)管理員手動添加信息，實現(xiàn)用戶自動登錄。

3）用戶信息統(tǒng)一和分散相結(jié)合

由于原有的應(yīng)用系統(tǒng)都具有自己的用戶權(quán)限，當(dāng)實現(xiàn)統(tǒng)一身份認(rèn)證權(quán)限過于統(tǒng)一的話，系統(tǒng)的設(shè)計就需要改動的比較大，為了使得系統(tǒng)改動的盡可能的小，故系統(tǒng)采用信息分散和統(tǒng)一管理相結(jié)合的方式；另外增加了系統(tǒng)的安全性，簡化系統(tǒng)管理員的操作。當(dāng)系統(tǒng)中出現(xiàn)了人員的變動時，只需要采用集中的管理系統(tǒng)中進(jìn)行刪除，而不需要通知每個應(yīng)用系統(tǒng)單獨刪除，因而方便了系統(tǒng)管理員的操作。

2.3系統(tǒng)運行機制

當(dāng)用戶訪問web應(yīng)用系統(tǒng)時，應(yīng)用系統(tǒng)的訪問控制模塊首先檢查用戶是否進(jìn)行統(tǒng)一身份認(rèn)證，如果用戶未進(jìn)行身份認(rèn)證，則強制用戶進(jìn)行認(rèn)證，完成認(rèn)證后返回一個session認(rèn)證標(biāo)識并附帶客戶端的數(shù)字證書；合法用戶訪問源站點時，源站點通過內(nèi)部轉(zhuǎn)換服務(wù)將訪問轉(zhuǎn)到目標(biāo)URL。內(nèi)部站點通過發(fā)送一個帶有SAML響應(yīng)的HTML表單，使得通訊正常。進(jìn)而瀏覽器通過以post提交的方式將表單提交到目的站點的斷言處理模塊，斷言處理模塊通過驗證響應(yīng)的數(shù)字簽名，判斷用戶是否合法。具體運行機制如圖4。

2.4系統(tǒng)模型設(shè)計

結(jié)合門戶系統(tǒng)的功能需求，基于SAML的單點登錄門戶系統(tǒng)集成了門戶系統(tǒng)中的應(yīng)用資源、主體/角色信息庫、用戶身份信息管理中心。門戶系統(tǒng)利用portlet，servlet過濾器、SAML驗證解析等與應(yīng)用資源提供者進(jìn)行通訊[4]。具體模型圖結(jié)構(gòu)如圖5。

3 系統(tǒng)實現(xiàn)

3.1 Portlet 類組件開發(fā)

Portlet功能組件的開發(fā)是單點登錄系統(tǒng)功能實現(xiàn)的主要部分[5]，它不同于Jsp Portlet，JDF portlet.，創(chuàng)建JAVA portlet時輸入類名，在此基礎(chǔ)上派生出一個LoginPortlet類，該類繼承了GenericPortlet，實現(xiàn)了javaportlet的生命周期，同時對Render（），processAcetion（）進(jìn)行處理，整個GenericPorlet類是實現(xiàn)Portlet和PorletConfgi接口整個Portlet類的繼承關(guān)系如圖所示：

由于Portlet類文件中具有Doview（），doedit（），dohelp（）三種方法[6]，默認(rèn)情況下，render（）方法會將view模式的內(nèi)容返回用戶，doview（）負(fù)責(zé)將信息內(nèi)容顯示，主要通過RenderrResponse對象將write流將內(nèi)容寫到portlet中；另外也可以通過JSp頁面嵌入式的方法顯示portlet.整個頁面標(biāo)簽和jsp頁面開發(fā)技術(shù)類似。Portlet類整個生命周期方法含有init（），render（），processAction（），destroy（）四種方法，整個時序調(diào)用如圖7所示：

3.2用戶登錄模塊的實現(xiàn)

用戶登錄模塊主要實現(xiàn)單點登錄系統(tǒng)的過濾和驗證功能，該模塊首先要為各個應(yīng)用系統(tǒng)提供一個過濾保護(hù)的過濾器。改過濾器可以將不具有身份認(rèn)證的用戶不提供應(yīng)用資源的保護(hù)，并為合法用戶提供SAML令牌。該系統(tǒng)由一個登陸界面login.jsp組成，改界面主要負(fù)責(zé)檢驗用戶輸入合法性，通過表單提交的方式將輸入信息提交到LoginServlet進(jìn)行驗證，通過使用weblogic的驗證機制對ServletAuthentication.login（）進(jìn)行驗證，通過調(diào)用令牌生成類SAMLTokenProduc生成SAML相應(yīng)的類，并給與加密，具體實現(xiàn)代碼如下：

public void service （ServletRequest req，ServletResponse resp）throws ServletException{

try{

int Result=ServletAuthentiocation.login（user，password，request）

//登錄失敗

if（Result！=ServletAuthentiocation.Authenticatied）

throw new LoginException（"loginFailed"）；

} catch（LoginExceptaion ex）{

this.SendError（request，resp，ex）

return；

}

//登錄成功

SAMLResponse resp=SAMLTokenProduce.getSAMLResponse（）；

String token=Base64.encode（r.toString（））；

Response.resetBuffer（）；

Response.getWrite（）.print（"LofinSuccess"）；

}

整段代碼實現(xiàn)了系統(tǒng)接受用戶請求，驗證登錄用戶的合法性，驗證成功產(chǎn)生安全的SAMl令牌，通過發(fā)送令牌至服務(wù)器，通過令牌進(jìn)行身份驗證，否則沒有通過驗證的用戶進(jìn)行驗證錯誤處理[7]。

安全SAML令牌生成后，瀏覽器將請求來的信息進(jìn)行驗證，瀏覽器得到響應(yīng)后，將令牌傳送到其他應(yīng)用服務(wù)器模塊中，瀏覽器通過自動表單提交方式對令牌進(jìn)行驗證和解析，為瀏覽器的前端和后端建立起一個合法身份用戶的會話，保證用戶下次訪問無需再次登錄，這樣為門戶系統(tǒng)中的各個集成應(yīng)用提供了單點登錄，而且還為門戶中不同域之間的安全系統(tǒng)實現(xiàn)了跨域單點登錄。

4 結(jié)束語

文章實現(xiàn)了用戶身份認(rèn)證信息在門戶集成的各個應(yīng)用系統(tǒng)之間的無縫鏈接，文中基于安全的標(biāo)準(zhǔn)傳輸，實現(xiàn)了跨域的應(yīng)用業(yè)務(wù)系統(tǒng)之間的單點登錄的協(xié)助。但是針對于目前互聯(lián)網(wǎng)的發(fā)展，下一步應(yīng)用系統(tǒng)的逐漸擴大，下一步應(yīng)該將文科科研管理信息系統(tǒng)移植到云環(huán)境下，使得用戶可以更加方便地與其他業(yè)務(wù)系統(tǒng)想結(jié)合，方便用戶的操作。

參考文獻(xiàn)：

[1] 李希能、 統(tǒng)一身份認(rèn)證與單點登錄系統(tǒng)的設(shè)計與實現(xiàn)[D]. 武漢： 武漢理工大學(xué)，2010： 5-6.

[2] 韓晶， 戚銀城， 王斌，等.基于SAML的web服務(wù)認(rèn)證技術(shù)[J].電力系統(tǒng)通信， 2006， 27（6）85-87.

[3] 王娟， 李俊娥. 安全服務(wù)語言SAML分析[J].微型機與應(yīng)用， 2003， 10（13）： 30-32.

[4] 余新華、基于門戶的單點登錄系統(tǒng)的設(shè)計與實現(xiàn)[D]. 武漢： 華中科技大學(xué)， 2007： 13-32.

[5] 鄭芳， 程穎， 王林平. 基于SAML的webservice安全模型研究[J]. 計算機與數(shù)字工程，2005， 33（1）： 81-84.

[6] 崔芳龍， 曹彩鳳， 龔家兵. 基于SAML的webservice系統(tǒng)及實現(xiàn)[J]. 微機發(fā)展， 2005， 15（4）： 57-59.

[7] 楊柳， 盧清平. 門戶環(huán)境下的單點登錄研究[J].微計算機應(yīng)用， 2007， 27（6）： 89-91.