戈妍妍

【摘 要】在如今知識信息時代，計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展、通訊技術(shù)的革新、高校信息化管理的推進(jìn)，都在促使基于網(wǎng)絡(luò)信息應(yīng)用處理生活工作上的事物。檔案應(yīng)用系統(tǒng)隨著云技術(shù)和計算機(jī)應(yīng)用技術(shù)的發(fā)展也在逐步完善，不同的系統(tǒng)認(rèn)證方式都會產(chǎn)生新的問題。為了便于檔案管理工作高效便捷地完成，發(fā)展和完善高校信息化建設(shè)就極為重要，本文從單點登錄著手分析發(fā)展高校信息化建設(shè)的重要性。

【關(guān)鍵詞】單點登錄；檔案管理；身份認(rèn)證

1 單點登錄研究的背景和意義

如今，信息技術(shù)已經(jīng)滲透到了社會各個角落，覆蓋在生活、工作的方方面面。利用信息化高速發(fā)展的趨勢，高校將注重數(shù)字校園化和數(shù)字教育化的發(fā)展。數(shù)字化校園建設(shè)也給高校檔案工作帶來了新的歷史機(jī)遇，加快高校檔案館向數(shù)字化方向發(fā)展，實現(xiàn)對高校檔案從收集、管理、利用直至銷毀全過程的數(shù)字化與集成化，使檔案信息可以被有效的利用并成為重要的數(shù)字資源用于共享，進(jìn)一步優(yōu)化檔案工作模式，延伸檔案的服務(wù)功能，使其成為高校公共服務(wù)體系中的一個重要部分。[1]

目前我校檔案館正在使用的管理軟件包括：“南大之星檔案管理系統(tǒng)”，“照片檔案管理系統(tǒng)”，“榮譽與專利檔案管理系統(tǒng)”，“檔案編研及資料管理系統(tǒng)”，；“檔案信息查詢系統(tǒng)”，“中英文成績翻譯系統(tǒng)”，“借閱登記系統(tǒng)”，“碩士學(xué)位論文在線提交系統(tǒng)”。但是，因為不同系統(tǒng)開發(fā)部署時間不一樣，運行平臺也繁多，而且是相互不干擾、彼此獨立的管理界面以及其子系統(tǒng)。由于認(rèn)證機(jī)制不統(tǒng)一，新的應(yīng)用系統(tǒng)不斷更新和引進(jìn)，這就造成管理員工作變得復(fù)雜繁重。對于最終用戶而言，也存在同樣的煩惱。在檔案館使用不同數(shù)據(jù)庫服務(wù)時，會出現(xiàn)多次重復(fù)注冊和認(rèn)證的情況，這樣就會造成使用效率低，浪費時間和精力，給使用者帶來極大的不便和混亂。為了有效的解決這些問題，加速數(shù)字化校園建設(shè)，各大高校都積極采取了對應(yīng)的解決方案。其中提供交互數(shù)據(jù)的單點登錄系統(tǒng)是一種很有效的解決方案，這樣能夠讓校園網(wǎng)處于獨立、安全的運行狀態(tài)，實現(xiàn)統(tǒng)一身份認(rèn)證狀態(tài)。[2]

單點登錄是存在多個相關(guān)但是互相獨立的系統(tǒng)軟件之中的一種訪問控制方式，單點登錄是相關(guān)但統(tǒng)一軟件系統(tǒng)和獨立的訪問控制模式，用戶只需使用門戶網(wǎng)站的登錄ID和密碼認(rèn)證，就可以進(jìn)入其他子系統(tǒng)而不需再次輸入身份信息。單點注銷與單點登錄是相反的，當(dāng)用戶從其中一個系統(tǒng)退出，那么它的所有權(quán)限都被收回，不能夠進(jìn)入其他系統(tǒng)了。

最近，學(xué)術(shù)界和技術(shù)行業(yè)提出了很多解決途徑。目前耶魯大學(xué)協(xié)議、 OpenSSO、微軟的 Passport 協(xié)議、國際商業(yè)機(jī)器的Websphere技術(shù)等是最為常見和廣為采納的解決方案。

用戶單點登錄具有以下幾方面優(yōu)點：

第一，用戶使用方便。避免多次反復(fù)輸入認(rèn)證信息，避免的所謂的“密碼疲勞”現(xiàn)象，同時也節(jié)省時間。

第二，降低服務(wù)成本。只需要記住一個密碼而不需要多次輸入。

第三，便于統(tǒng)一管理和降低管理成本。

第四，增強(qiáng)了安全性，由于退一全退的單點注銷模式可以避免用戶忘記注銷而導(dǎo)致信息泄露等。

第五，統(tǒng)一對用戶信息儲存在終端，方便用戶數(shù)據(jù)統(tǒng)計。

2 國內(nèi)外研究現(xiàn)狀（Research status at home and abroad）

一個典型的單點登錄過程如下：第一步，攔截和檢查是否有令牌，如果令牌符合要求也有效，就可以同意請求；如果不符合要求或是無效過期，那么就會對此攔截，并且發(fā)送給認(rèn)證平臺，提醒用戶登錄認(rèn)證。一般這樣的令牌是以cookie形式提供，如果用戶禁用cookie，可以通過隱藏域獲得令牌。

國外研究主要集中在大學(xué)和企業(yè)，較為先進(jìn)的單點登錄系統(tǒng)主要是Passport[3]、Liberty[4]、Websphere等等。國內(nèi)研究還處于初級階段，不過建立在單點登錄技術(shù)上開發(fā)的應(yīng)用是較為廣泛的。

其中北大與清華分別于 2003 年在“校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)”中實現(xiàn)了單點登錄，之后中國電信也在其旗下產(chǎn)品中實現(xiàn)了。騰訊公司和阿里巴巴公司也分別實現(xiàn)了相關(guān)的單點登錄功能。此外，在金融、稅務(wù)、工商等領(lǐng)域也有相關(guān)的應(yīng)用。

近年來，很多學(xué)校在數(shù)字化校園進(jìn)展中對統(tǒng)一身份認(rèn)證系統(tǒng)上進(jìn)行了一定的研究和開發(fā)。但是結(jié)果差強(qiáng)人意，存在著很多漏洞和不足。因此本文研究工作具有一定的實用價值和學(xué)術(shù)意義。

3 核心技術(shù)（The core technology）

網(wǎng)絡(luò)安全性和可靠性在網(wǎng)絡(luò)技術(shù)的迅速發(fā)展下顯得極為重要。網(wǎng)絡(luò)安全是指給硬件、軟件和數(shù)據(jù)提供良好的網(wǎng)絡(luò)保護(hù)，不輕易被偶然或是惡意的原因篡改程序，造成破壞、改變甚至是泄露的情況。而且系統(tǒng)能夠穩(wěn)定連續(xù)的運轉(zhuǎn)，網(wǎng)絡(luò)服務(wù)不會中斷。因此單點登錄符合安全要求，能夠保障網(wǎng)絡(luò)穩(wěn)定，因為它是一個登錄和多系統(tǒng)訪問。

信息安全技術(shù)主要在身份驗證、加密、安全傳輸通道技術(shù)等方面。身份驗證技術(shù)主要是提供了一種能夠使雙方確認(rèn)真實身份的方式，而這種確認(rèn)方式是控制訪問的核心技術(shù)；加密技術(shù)組要是確保信息傳輸過程中不被攔截和更改；安全傳輸技術(shù)主要是確保源用戶和目標(biāo)用戶能夠接收到且這兩方能收到信息，保證了數(shù)據(jù)在傳輸過程中安全。在接下來的論述中簡要分析認(rèn)證和安全傳輸技術(shù)。

3.1 身份認(rèn)證技術(shù)

作為第一道防線，身份認(rèn)證[5]在網(wǎng)絡(luò)安全的不可替代的作用。認(rèn)真機(jī)制一般分為簡單認(rèn)證機(jī)制和強(qiáng)認(rèn)證機(jī)制。簡單的認(rèn)證機(jī)制僅僅包括用戶名和口令，當(dāng)兩者都被服務(wù)系統(tǒng)接受，那就認(rèn)證通過。明文在互聯(lián)網(wǎng)上傳輸時，很容易遭到竊聽截取，常用一次性口令OTP （One-Time-Password）機(jī)制解決這個問題。OPT機(jī)制的最大特點就是其不會暴露用戶的真正口令，而且是一次性的。強(qiáng)制認(rèn)證機(jī)制是采用多加密方式確保信息交換時安全，較為廣泛應(yīng)用的是Kerberos協(xié)議。

（1）理論原理endprint

當(dāng)用戶初次訪問檔案系統(tǒng)時，會直接被攔截轉(zhuǎn)發(fā)到認(rèn)證平臺，直接提醒用戶認(rèn)證。按照用戶輸入的的登錄信息，認(rèn)證系統(tǒng)開始對用戶進(jìn)行身份校驗，如果身份校驗通過了，則會返回用戶一個票據(jù)（ticket），它是系統(tǒng)自動為合法登錄的用戶發(fā)而放許可證。憑借這個許可證實現(xiàn)對所有應(yīng)用系統(tǒng)的統(tǒng)一訪問。票據(jù)對用戶身份進(jìn)行了綁定，在整個系統(tǒng)的支撐體系中也是唯一存在的，杜絕用戶偽造或交換票據(jù)等方式而非法訪問系統(tǒng)。時間戳和一些用戶屬性都存放在票據(jù)中，系統(tǒng)可以通過瀏覽用戶屬性從而實現(xiàn)對個性化的訪問控制；下次該用戶登錄服務(wù)器中其他應(yīng)用時也將附帶此認(rèn)證憑證，接收到登錄請求后，應(yīng)用系統(tǒng)直接將票據(jù)送至認(rèn)證系統(tǒng)中檢查該票據(jù)的合法性。只要票據(jù)合法，用戶即可訪問應(yīng)用系統(tǒng) 2 和3 了，不再需要重新進(jìn)行登錄驗證。登錄過程如圖1所示：

圖1 單點登錄流程圖

Figure.1 SSO flow chart

在沒有實施單點登錄之前服務(wù)器系統(tǒng)內(nèi)部的用戶管理非常分散，單點登錄不僅集成了系統(tǒng)的用戶管理，依靠彼此的信賴關(guān)系服務(wù)器內(nèi)各系統(tǒng)之間完成了身份的統(tǒng)一認(rèn)證。獨立的用戶信息管理模塊把用戶賬號信息統(tǒng)一保存管理，管理員只要在用戶信息數(shù)據(jù)庫中進(jìn)行統(tǒng)一的賬號增刪修改，而不用在每個系統(tǒng)下分別設(shè)置信息數(shù)據(jù)庫，要實現(xiàn)這些目標(biāo)，需要實現(xiàn)幾種基本功能：

1）共享身份認(rèn)證系統(tǒng)

2）識別、提取票據(jù)信息

3）用戶信息數(shù)據(jù)庫的建立

4）認(rèn)證服務(wù)器的多樣性

3.2 實施方案

SSO系統(tǒng)當(dāng)前的實施模型主要有基于網(wǎng)關(guān)、經(jīng)紀(jì)人、代理人三種單點登錄。

1）基于網(wǎng)關(guān)的模型（Gateway-Based）[6]

這種模型是提供類似門的網(wǎng)關(guān)且能夠安全接入可信網(wǎng)絡(luò)服務(wù)。在確定的環(huán)境下安裝和設(shè)置網(wǎng)關(guān)都非常方便。

2）基于經(jīng)紀(jì)人的模型（Broker-based SSO）

在這個模型中，必須設(shè)置一個能夠集中認(rèn)證并能夠管理用戶帳號的服務(wù)器。使用中央數(shù)據(jù)庫減輕了管理的難度并提供一個獨立、公共的“第三方”。這種模型主要是確定現(xiàn)有的某些應(yīng)用程序需要被修改，改造舊系統(tǒng)。

3）基于代理的單點登錄（Agent-based SSO）模型

針對目前的應(yīng)用環(huán)境，按照這幾種模型的特點，我們采用基于經(jīng)紀(jì)人[7]的單點登錄模型（Broker-based SSO），并引入代理認(rèn)證的機(jī)制，這樣既能集中管理，又能夠減少修改量。

4 系統(tǒng)實現(xiàn)（system implementation）

4.1 身份信息的后臺管理

在校園網(wǎng)環(huán)境下使用檔案應(yīng)用程序的時候，不同的用戶數(shù)據(jù)都使用獨自的數(shù)據(jù)庫管理系統(tǒng)進(jìn)行管理。所以現(xiàn)有用戶的管理系統(tǒng)中間的信息交互構(gòu)成了用戶管理的重點。

通過對用戶信息統(tǒng)一管理，并且確認(rèn)身份認(rèn)證，形成異構(gòu)數(shù)據(jù)庫和目錄數(shù)據(jù)庫之間數(shù)據(jù)傳輸，利用XML格式作為中間介質(zhì)，可以很方便的實現(xiàn)數(shù)據(jù)傳遞。基本的信息交互如圖2所示：

圖2 消息交互過程

Figure.2 message interaction process

使用SOAP消息傳遞機(jī)制可以在大量添加數(shù)據(jù)時提高效率。

4.2 服務(wù)器端實現(xiàn)（The server implementation）

4.2.1 初次登錄

第一次登入，其流程如圖3所示：

圖3 登錄流程圖

Figure.3 login process map

（1）用戶請求服務(wù)，客戶端將用戶身份信息標(biāo)識發(fā)到認(rèn)證服務(wù)器認(rèn)證。

（2）認(rèn)證服務(wù)器接收到用戶登錄請求后，隨機(jī)返回一個數(shù) ；

（3）客戶端接收服務(wù)器返回的認(rèn)證信息，用戶的簽名信息，并發(fā)送給認(rèn)證服務(wù)器認(rèn)證。

（4）如果通過驗證，認(rèn)證服務(wù)器生成的登錄會話密鑰，用戶的在線信息和加密密鑰發(fā)送到客戶端

（5）客戶端從認(rèn)證器接受的信息，解密的會話密鑰，加密存儲在本地，以后需要使用身份認(rèn)證信息

（6）完成上述幾個步驟，用戶就可以對應(yīng)用系統(tǒng)進(jìn)行訪問了。

4.2.2 檢驗后的登錄

已經(jīng)登錄，進(jìn)一步訪問檔案各個業(yè)務(wù)應(yīng)用系統(tǒng)，其執(zhí)行流程如圖4：

圖4 登錄流程圖

Figure4 login process map

（1）客戶端構(gòu)造用戶身份標(biāo)識，發(fā)往認(rèn)證服務(wù)器。

（2）用戶搜索登錄發(fā)出的請求被認(rèn)證器接受到時，如果用戶已經(jīng)登錄列表，且狀態(tài)有效，就加入業(yè)務(wù)系統(tǒng)登錄系統(tǒng)進(jìn)列表，并將確認(rèn)信息返回給客戶端。

（3）客戶端和服務(wù)器的信息來判斷，如果一個用戶登錄，系統(tǒng)直接訪問，不需要重復(fù)登錄，驗證過程結(jié)束；否則，為第一次登錄過程。

通過身份信息的后臺管理和服務(wù)端的實現(xiàn)，就可以實現(xiàn)檔案管理系統(tǒng)只需通過一次登錄，就可以訪問其他檔案服務(wù)系統(tǒng)了，這樣可以節(jié)省時間和精力，簡化檔案管理人員的反復(fù)重復(fù)的登錄，從而極大的提高工作效率。

5 結(jié)束與體會

隨著大數(shù)據(jù)時代的到來，檔案資料也井噴式增加，在檔案管理中就顯露出很多問題和漏洞。比如系統(tǒng)分散、資源利用率低，用戶不能集中管理、網(wǎng)絡(luò)安全不能保障等。展開對單點登錄的研究就找到了這些問題的突破口。

筆者在對國內(nèi)外單點登錄的發(fā)展情況進(jìn)行了一定研究和學(xué)習(xí)的基礎(chǔ)上，進(jìn)行了分析和比較，在總結(jié)單點登錄的特點、優(yōu)勢的基礎(chǔ)上，針對發(fā)展校園網(wǎng)統(tǒng)一認(rèn)證設(shè)計的具體需求，提出了一個安全穩(wěn)定的單點登錄模型。實踐表明本文提出的認(rèn)證和授權(quán)方法的單點登錄方案可以靈活地實現(xiàn)所需要求。

【參考文獻(xiàn)】

[1]馮有輝.大數(shù)據(jù)理念下高校檔案管理服務(wù)體系研究[J].山西檔案，2016，06：55-57.

[2]吳賢平.基于指紋識別和CAS的單點登錄模型技術(shù)研究[J].計算機(jī)應(yīng)用研究，2012，29（4）：1381-1383，1390.

[3]沈杰，朱程榮.基于Yale-CAS的單點登錄的設(shè)計與實現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展，2007，17（12）：144-146，150.

[4]張平，鄭津，汪立欣等.一種基于CAS的校園網(wǎng)統(tǒng)一平臺單點登錄方法[J].電腦編程技巧與維護(hù)，2013（16）：146，155.

[5]劉峰，王崢，曹華平，等.基于CAS的門戶單點登錄方案[J].計算機(jī)系統(tǒng)應(yīng)用，2011，20（6）：77-80，102.

[6]吳秋兵.基于代理的單點登錄系統(tǒng)模型研究[J].廣東石油化工學(xué)院學(xué)報，2012，22（3）：41-44，48.

[7]楊帆.高校公共信息管理系統(tǒng)基于單點登錄的統(tǒng)一認(rèn)證技術(shù)設(shè)計與研究[D].華東師范大學(xué)，2010.endprint