王小娟+黃協(xié)+張成

摘 要：目前許多高校信息化方面缺少數(shù)據(jù)集中統(tǒng)一管理，難于實現(xiàn)數(shù)據(jù)個性化服務(wù)，降低用戶工作學(xué)習(xí)效率，對此，提出數(shù)字化校園建設(shè)系統(tǒng)中統(tǒng)一身份認證和單點登錄認證機制，論述LDAP協(xié)議認證過程，結(jié)合學(xué)?，F(xiàn)有系統(tǒng)和預(yù)新建系統(tǒng)，通過LDAP目標服務(wù)技術(shù)實現(xiàn)數(shù)據(jù)集中，完成統(tǒng)一身份認證，通過 CAS服務(wù)接口認證實現(xiàn)單點登錄，描述數(shù)據(jù)抽取和推送方式，各個子系統(tǒng)通過權(quán)限控制共享中間表數(shù)據(jù)，最優(yōu)化整合各個業(yè)務(wù)系統(tǒng)的用戶認證信息，實現(xiàn)多個不同應(yīng)用系統(tǒng)集中統(tǒng)一管理模式，實現(xiàn)資源信息共享，達到事半功倍的效果。

關(guān)鍵詞：數(shù)字化校園；統(tǒng)一身份認證；LDAP；單點登錄；CAS ；中間表

中圖分類號：TP393 文獻標志碼：A 文章編號：1673-8454（2017）07-0058-03

一、引言

隨著信息技術(shù)及計算機網(wǎng)絡(luò)技術(shù)的飛快發(fā)展，數(shù)字化校園建設(shè)已成為學(xué)?；A(chǔ)建設(shè)的目標之一。數(shù)字化校園[1][2]中集成了各個業(yè)務(wù)職能部門的多個子系統(tǒng)，各個系統(tǒng)有自己的身份認證機構(gòu)，且相互獨立，本校目前有些教工認證信息應(yīng)用系統(tǒng)采用一卡通工號登錄，有些采用身份證號登錄，還有一些自己設(shè)定登錄認證賬號，導(dǎo)致多賬號密碼現(xiàn)象，加之一些子系統(tǒng)使用率很低，使用時間間隔較長，許多老師存在忘記密碼情況。增大了負責(zé)該系統(tǒng)的管理員工作量，為了涉密起見，許多忘記用戶名密碼的師生必須攜帶本人有效證件前往相關(guān)部門修改信息，這樣即浪費了師生的時間，又增加了工作人員的工作量。因此，提出統(tǒng)一身份認證[3]與單點登錄機制來克服上述存在問題。即用戶只需記住一個用戶名密碼即可享用各個系統(tǒng)資源且實現(xiàn)身份自助服務(wù)。整體架構(gòu)如圖1所示。

二、統(tǒng)一身份認證

本文所使用的判斷用戶是否合法方式為用戶和密碼驗證法，在用戶與服務(wù)器的通信過程中，采用一種方式去確認對方用戶的身份或權(quán)限，然后再對用戶的不同身份進行分配其訪問控制權(quán)限[4]。結(jié)合我校現(xiàn)有系統(tǒng)，用LDAP技術(shù)可以解決不同子系統(tǒng)統(tǒng)一身份認證的問題，利用LDAP目錄服務(wù)集中存儲用戶身份數(shù)據(jù)，實現(xiàn)VPN、上網(wǎng)、門戶以及應(yīng)用等認證。

1.LDAP協(xié)議認證過程

LDAP（Lightweight Directory Access Protocol）目錄訪問協(xié)議[5]，支持TCP/IP協(xié)議，可以跨越平臺使用，基于樹形結(jié)構(gòu)，安全性能良好，主要實現(xiàn)數(shù)據(jù)的讀/查詢功能，用戶認證信息均集中存儲在LDAP目錄服務(wù)與數(shù)據(jù)庫中，并實現(xiàn)目錄服務(wù)訪問與快速定位目標信息兩者同步[6]。用戶使用認證服務(wù)系統(tǒng)輸入注冊好的用戶信息，子系統(tǒng)響應(yīng)認證后將用戶信息以特定的方式傳給LDAP服務(wù)器，LDAP服務(wù)器搜索對應(yīng)的數(shù)據(jù)庫，比對子系統(tǒng)用戶信息有效關(guān)系，直至用戶退出后超時斷開，本次認證結(jié)束。

2.LDAP結(jié)構(gòu)設(shè)計

LDAP目錄主要實現(xiàn)用戶信息檢索，設(shè)計過程遵循用戶名（Uid）驗證信息唯一，保持全局角色訪問唯一性。Uid在運行中不會自動有序增加，為解決此問題，對新加入用戶采用根目錄下增加整數(shù)型字段方式增加路徑，添加驗證有效性完畢后，字段值加1。不但實現(xiàn)自動遞增功能，而且解決用戶名（Uid）的一致性。

本次設(shè)計采用用戶名/密碼的LDAP認證機制，LDAP通過設(shè)置合理的參數(shù)實現(xiàn)有效性驗證，對滿足權(quán)限的用戶提供統(tǒng)一的信息訪問，雖然各個子系統(tǒng)配置文件格式有所差異，但都遵循請求/響應(yīng)模式，權(quán)限控制由各自的應(yīng)用子系統(tǒng)完成，對于Web系統(tǒng)的實現(xiàn)采用Apache Web服務(wù)器，完整的認證主要由認證類型和授權(quán)模塊組成，系統(tǒng)使用認證授權(quán)模塊和認證支持模塊主要完成接口驗證及授權(quán)功能，輸入認證信息進行認證。認證通過后即可授權(quán)訪問相關(guān)系統(tǒng)。

三、單點登錄

用戶通過了統(tǒng)一認證系統(tǒng)的認證以后， 將會獲得portal服務(wù)器從用戶基本數(shù)據(jù)信息庫中獲取的用戶授權(quán)信息， 實現(xiàn)用戶一次登錄便可以訪問其他應(yīng)用系統(tǒng)，本文數(shù)字化校園建設(shè)中服務(wù)門戶平臺采用基于portal開發(fā)平臺的CMstar信息門戶平臺軟件，基于J2EE技術(shù)，實現(xiàn)個性化功能及界面定制。其中CMstar的權(quán)限控制、用戶管理、以及用戶登錄相關(guān)功能采用的是IDstar提供的接口，其中用戶登錄采用SSO功能接口。單點登錄SSO（Single Sign On）[7]即用戶的一次登錄后不需要在其他系統(tǒng)再次登錄即可得到信任，實現(xiàn)對各個系統(tǒng)的無縫訪問，用戶不需要像之前那樣每登錄一個系統(tǒng)就需要輸入一次用戶名和密碼。SSO是目前比較流行的業(yè)務(wù)整合解決方案[8]，認證過程如圖2所示。

根據(jù)學(xué)校校情況，通過服務(wù)門戶平臺與校內(nèi)統(tǒng)一身份認證平臺對校內(nèi)已建系統(tǒng)，主要對校園一卡通，學(xué)工管理系統(tǒng)，教務(wù)系統(tǒng)，資產(chǎn)管理系統(tǒng)、科研管理系統(tǒng)公寓管理科以及OA系統(tǒng)以及新建人事系統(tǒng)系統(tǒng)進行對接級聯(lián)，并在服務(wù)門戶平臺中實現(xiàn)校內(nèi)用戶的單點登錄。通過校園CAS服務(wù)接口進行單點登錄接口認證集成。單點登錄平臺支持B/S模式登陸，基于C/S結(jié)構(gòu)下的賬戶統(tǒng)一認證，涉及開發(fā)語言包括Java、.NET、PHP。

1.CAS 認證

CAS[9]是有耶魯大學(xué)研發(fā)的單點登錄服務(wù)器，包括兩部分：服務(wù)器端（CAS Server）和客戶端（CAS Client），服務(wù)器端用于統(tǒng)一認證用戶的賬號密碼，而客戶端通常是指提供相應(yīng)業(yè)務(wù)的 WEB 應(yīng)用程序，用戶訪問客戶端 Web 應(yīng)用程序時，客戶端將請求重定向到服務(wù)器端進行認證，而客戶端不再提供用戶認證模塊。為確保用戶信息安全可靠，CAS服務(wù)器采用基于 SSL（Secure Sockets Layer，安全套接層）協(xié)議，提高了數(shù)據(jù)傳輸?shù)陌踩?，于系統(tǒng)開發(fā)而言，無需開發(fā)登錄模塊，只需要調(diào)用單點登錄系統(tǒng)提供的接口，即可將新系統(tǒng)整合到單點登錄系統(tǒng)中，提高了應(yīng)用系統(tǒng)開發(fā)的效率。

CAS基本的架構(gòu)過程如圖3所示。首先，CAS Client會比對驗證用戶所要訪問的每一個HTTP請求（Step1）是否為Service Ticket中有效的信息，如果服務(wù)器端未能找到信息，則此次驗證未能通過；于是CAS Client會重定向用戶請求到CAS Server（Step 2），并傳遞訪問地址，進入user認證過程（Step 3），如果用戶提供了正確的認證信息，Service Ticket會受到來自CAS Server的授權(quán)信息（Step 4），重新定向服務(wù)器端地址信息，并為客戶端瀏覽器設(shè)置一個Ticket；CAS Client在拿到Service和新產(chǎn)生的Ticket過后，CAS Server進行身份核實（Step5、Step6），服務(wù)器與客戶端采用SSL完成信息采集傳輸。

四、中間庫

為了實現(xiàn)各個系統(tǒng)數(shù)據(jù)共享以及整合，本文所涉及的各個系統(tǒng)數(shù)據(jù)之間的抽取和推送是基于中間表的方式實現(xiàn)，采用Oracle ODI工具實現(xiàn)各個業(yè)務(wù)子系統(tǒng)間抽取、轉(zhuǎn)換以及加載過程，各個應(yīng)用子系統(tǒng)可在系統(tǒng)數(shù)據(jù)庫中建立中間庫，將其他業(yè)務(wù)部門所需要的共享數(shù)據(jù)放入其中，同樣，共享數(shù)據(jù)中心也向應(yīng)用系統(tǒng)推送數(shù)據(jù)，需要建立相應(yīng)中間庫，推送有用數(shù)據(jù)給其各個子應(yīng)用系統(tǒng)。如果子業(yè)務(wù)數(shù)據(jù)發(fā)生變化的話，也可以基于中間表實現(xiàn)數(shù)據(jù)轉(zhuǎn)化、同步，圖4為中間表的邏輯設(shè)計圖。

如圖4所示，如果子系統(tǒng)數(shù)據(jù)發(fā)生變化，通知中間表，數(shù)據(jù)交換平臺抽取中間表中變化的數(shù)據(jù)并更新到數(shù)據(jù)中心庫中；同理，當(dāng)數(shù)據(jù)中心庫數(shù)據(jù)發(fā)生變化后，通過數(shù)據(jù)交換平臺推送給中間表，子業(yè)務(wù)數(shù)據(jù)庫提取中間表中變化的數(shù)據(jù)，完成更新，實現(xiàn)雙向共享更新數(shù)據(jù)。

五、結(jié)語

本文解決了高校數(shù)字化校園中多個應(yīng)用系統(tǒng)用戶身份不統(tǒng)一、用戶帳號管理分散復(fù)雜問題，結(jié)合本校校情重點介紹了單點登錄，LDAP接口，CAS認證的架構(gòu)原理以及中間表的實現(xiàn)方式，無縫的實現(xiàn)了數(shù)字化校園用戶管理[10]和使用一站式服務(wù)。

參考文獻：

[1]龍新征，邢承杰，歐陽榮彬，王倩宜，李麗，劉云峰.數(shù)字化校園中管理信息系統(tǒng)安全體系結(jié)構(gòu)設(shè)計與應(yīng)用研究[J].通信學(xué)報，2014，35（Z1）：178-184.

[2]劉邦奇，孫曙輝.數(shù)字化校園理念、設(shè)計與實現(xiàn)[D].合肥：中國科學(xué)技術(shù)大學(xué)出版社，2014.1.

[3]陳鴻，數(shù)字校園統(tǒng)一身份認證系統(tǒng)的研究與實現(xiàn)[D].成都：電子科技大學(xué)，2013.

[4]Ying Zhang .A Network Topology Control and Identity Authentication Protocol with Support for Movable Sensor Nodes.Sensors， 2015，15（12）：29958-29960.

[5]陳宇翔.LDAP詳解-IBM Tivoli Directory Server從入門到精通[M].北京：機械工業(yè)出版社，2012.

[6]Charlie Obimbo， Benjamin Ferriman. Vulnerabilities of LDAP as an Authentication Service. Computational Mathematics， 2014， 2（4）：151-157.

[7]李薔，陳鋼.基于AM的單點登錄（SSO）解決方案[J].軟件設(shè)計開發(fā).2010，27（4）：149-151.

[8]Daniel Fett， Ralf Küsters， and Guido Schmitz.Analyzing the BrowserID SSO System with Primary Identity Providers Using an Expressive Model of the Web， University of Trier，2015.1.

[9]范圍.基于CAS的單點登錄系統(tǒng)應(yīng)用研究[J].電子測量.2016（8）：63-64.

[10]胥曉鵬.上海市城市建設(shè)工程學(xué)校數(shù)字化校園建設(shè)項目的進度管理[D].復(fù)旦大學(xué)，2016.3.

（編輯：王曉明）