摘 要：本文針對數(shù)字化校園討論并分析了單點登錄的多種技術(shù)實現(xiàn)方案，結(jié)合數(shù)字化校園的實際情況，達成了一種契合實際并擁有較低綜合成本的單點登錄解決方案。該方案以CAS為基礎(chǔ)實行統(tǒng)一認(rèn)證，并結(jié)合輕量級目錄服務(wù)技術(shù)作為用戶身份管理，為學(xué)校提供了一個較易管理和實現(xiàn)的單點登錄體系，解決現(xiàn)有多賬號問題，并為信息化發(fā)展提供良好的擴展基礎(chǔ)。

關(guān)鍵詞：單點登錄；SSO；CAS；輕量級目錄訪問協(xié)議；LDAP

中圖分類號：TP311.52 文獻標(biāo)識碼：A 文章編號：2096-4706（2017）03-0073-05

The Whole Design of Campus SSO System

ZHOU Jun

（Guangzhou Construction Engineering Vocational School，Guangzhou 510000，China）

Abstract： Aiming at the digital campus， this paper discusses and analyzes a variety of technology implementations of single sign on，combined with the actual situation of digital campus， a single sign on solution has been found which is practical and has lower integrated cost.This scheme is based on CAS unified authentication， and combined with the lightweight directory service as the user identity management， provides a relatively easy management and implementation of SSO system to solve the existing problems of school， multiple accounts and provide extended， good foundation for the development of information technology.

Keywords： single sign on； SSO； CAS； lightweight directory access protocol； LDAP

1 背景及設(shè)計方向

在廣州的中職、中小學(xué)中，計算機網(wǎng)絡(luò)與通信技術(shù)為數(shù)字化校園的不斷普及搭建了一個強大的舞臺，信息技術(shù)的觸角伸展到了校園的每一個角落，校園網(wǎng)內(nèi)各類應(yīng)用系統(tǒng)也不斷增加，越來越多的人享受到了信息化時代工作與生活的便利。但問題也隨之而來，其中之一就是校園網(wǎng)中各種應(yīng)用系統(tǒng)的登錄與驗證問題日益突出，頻繁登錄各類系統(tǒng)造成的效率低下，賬號管理的混亂，重復(fù)記憶的負(fù)累，賬戶的安全問題等，都是信息化建設(shè)中急需解決的。本文試圖達成一種可行的、契合實際并擁有與較低綜合成本的單點登錄解決方案。解決現(xiàn)有多賬號問題，并為信息化發(fā)展提供良好的擴展基礎(chǔ)。

1.1 設(shè)計原則

（1）低成本。在學(xué)校信息化過程中，各方面原因都決定了低成本無疑總是會處于最優(yōu)先考慮的因素范圍內(nèi)。

（2）易用、簡單、實用。易用則體現(xiàn)在人機交互上，尤其是用戶水平差距較大時，良好的人機交互將是大家對系統(tǒng)設(shè)計是否合理最直觀的體會，這也包括管理人員是否能方便的管理系統(tǒng)，增加效率；合理的簡單，體現(xiàn)在系統(tǒng)易于實現(xiàn)，以及后期容易維護，也影響到系統(tǒng)的成本與易用性；實用，花哨的功能總是會占據(jù)大量的系統(tǒng)資源與成本，也增加了設(shè)計復(fù)雜度。

（3）易于實現(xiàn)。難于實現(xiàn)的方案不但浪費人力、物力、金錢與時間，也提升了系統(tǒng)復(fù)雜度與管理難度，甚至失去前瞻性而影響將來系統(tǒng)的擴展性，有成為空中樓閣的可能性。

（4）兼容性。良好的設(shè)計，要保證系統(tǒng)原有的應(yīng)用能夠兼容，但通常對于眾多應(yīng)用系統(tǒng)往往很難全部兼顧，或者需要顯著增加設(shè)計難度與成本，此時只能根據(jù)需要進行合理的取舍，或者做個較長期的設(shè)計規(guī)劃，依計劃實行。龐大復(fù)雜的系統(tǒng)很難一蹴而就，有時候也并非是件好事。

（5）擴展性。擴展性涉及到以后信息化道路上新增加的應(yīng)用系統(tǒng)能夠更容易的集成到現(xiàn)有校園網(wǎng)平臺中來。從這點來看，這關(guān)系到長遠的規(guī)劃，主流的技術(shù)通常能對將來眾多的應(yīng)用給予更多的前瞻性支持，應(yīng)予以相應(yīng)的重視。

（6）安全性。認(rèn)證過程是一個較為敏感的過程，用戶身份信息、個人信息、密碼憑證等都需要得到較高的安全保障。單點登錄統(tǒng)一認(rèn)證本身決定了一旦信息泄密，將有可能造成比傳統(tǒng)獨立分布認(rèn)證嚴(yán)重得多的后果，甚至造成不可估量的損失。

（7）結(jié)合實際使用環(huán)境合理設(shè)計，分步實現(xiàn)。由于SSO系統(tǒng)的集成與實現(xiàn)一般都涉及到比較多的方面，比較復(fù)雜，我們一定要結(jié)合實際使用環(huán)境進行設(shè)計，脫離現(xiàn)實環(huán)境，往往造成系統(tǒng)方案難于落實。我們還可以考慮由易入難，階段性實施，分步完成，在較長時期內(nèi)進行研究改進與完善，無疑將使SSO系統(tǒng)更容易實現(xiàn)。

1.2 設(shè)計目標(biāo)

在充分考慮校園網(wǎng)的具體環(huán)境與需求，并遵守設(shè)計原則的前提下，單點登錄系統(tǒng)需滿足以下基本功能。

（1）統(tǒng)一身份認(rèn)證。統(tǒng)一身份認(rèn)證是單點登錄系統(tǒng)的核心功能，用戶只需要提交一次身份及憑證信息進行認(rèn)證，就可以在網(wǎng)絡(luò)中無縫的訪問所有經(jīng)過授權(quán)的軟硬件資源，不同應(yīng)用系統(tǒng)之間的身份認(rèn)證過程在后臺自動完成，對用戶是透明的。

統(tǒng)一身份認(rèn)證包含認(rèn)證方式統(tǒng)一、認(rèn)證身份與憑證統(tǒng)一兩個方面：①認(rèn)證方式統(tǒng)一，不再是以前的各應(yīng)用系統(tǒng)種類多樣的認(rèn)證方式，在某些應(yīng)用系統(tǒng)中及將來增加的應(yīng)用系統(tǒng)中甚至可以考慮認(rèn)證界面與入口都統(tǒng)一。②認(rèn)證身份與憑證統(tǒng)一，即只使用一種身份標(biāo)識與憑證，方便用戶記憶與管理。不再像以前一樣需要記憶多種身份標(biāo)識，比如有的用身份證號、有的用次序編號、有的用學(xué)號，多種多樣，記憶混亂，很難與應(yīng)用系統(tǒng)一一對應(yīng)起來。

（2）統(tǒng)一用戶管理。統(tǒng)一用戶管理也是SSO系統(tǒng)的核心功能。從各應(yīng)用系統(tǒng)或權(quán)威信息源獲取標(biāo)準(zhǔn)信息，匯總后建立統(tǒng)一的標(biāo)準(zhǔn)信息，形成校級用戶身份信息庫。并集中對用戶信息包括身份與憑證進行管理維護。

（3）整合銜接各應(yīng)用系統(tǒng)。利用統(tǒng)一的平臺和接口規(guī)范，將各個相關(guān)系統(tǒng)與各種信息資源納入到統(tǒng)一的認(rèn)證平臺中集成起來。為保持用戶認(rèn)證操作習(xí)慣的連續(xù)性，對原有系統(tǒng)可以視情況保留其原來的登錄界面與認(rèn)證方式進行過渡。而對新應(yīng)用系統(tǒng)，則最好嵌入單點登錄客戶端模塊用統(tǒng)一的方式認(rèn)證。

（4）高度的安全性與可靠性。由于集中認(rèn)證服務(wù)本身的功能性質(zhì)，一旦出現(xiàn)問題，影響的可能是整個的校園信息化平臺，這就要求系統(tǒng)架構(gòu)設(shè)計考慮周詳，保證SSO系統(tǒng)持續(xù)、穩(wěn)定、可靠和安全的運行。

針對這些要求，考慮實際情況，將用戶的認(rèn)證與授權(quán)、用戶信息管理兩大功能作為SSO實現(xiàn)重點，這也是SSO系統(tǒng)必須實現(xiàn)的核心功能，是本文的討論重點。

2 統(tǒng)一認(rèn)證方案的比較與選擇

2.1 SSO軟件產(chǎn)品分類與比較

單點登錄的具體實現(xiàn)方案有多種，還未有統(tǒng)一標(biāo)準(zhǔn)，主要可歸結(jié)為三大類產(chǎn)品，如表1。

在三大類產(chǎn)品中，綜合成本最低、無版權(quán)問題的開源產(chǎn)品是學(xué)校類單位的最佳選擇，并且學(xué)校可根據(jù)自身的實際情況進行必要的二次開發(fā)。

2.2 開源SSO產(chǎn)品對比

上表我們對SSO三大類產(chǎn)品進行了橫向?qū)Ρ龋贸鲩_源產(chǎn)品是學(xué)校類單位的最佳選擇。那么對于開源SSO產(chǎn)品，也有幾種方案，我們對其中的三種開源方案進行對比，如表2。

2.3 幾種SSO具體實現(xiàn)方法的比較

我們對流行的幾種SSO具體實現(xiàn)方法的也進行一下對比，如表3。

綜合以上產(chǎn)品方案與實現(xiàn)方法的比較，以及校園網(wǎng)單點登錄系統(tǒng)的設(shè)計需求和實際情況，Yale大學(xué)的CAS是較好的單點登錄方案，而且它所支持的代理功能在實際環(huán)境中對很多老舊的系統(tǒng)也有一定優(yōu)勢。

3 統(tǒng)一用戶管理方案的選擇

3.1 目錄服務(wù)

用戶身份信息的集中存儲與管理需要與原各應(yīng)用系統(tǒng)的用戶身份數(shù)據(jù)庫進行信息交互，也要與異構(gòu)數(shù)據(jù)庫進行數(shù)據(jù)交流。通過目錄服務(wù)，可以實現(xiàn)這些功能。而一個良好的目錄服務(wù)在可管理性、安全性、擴展性、響應(yīng)速度等方面應(yīng)具有比較優(yōu)勢的特點。

3.2 LDAP

身份信息數(shù)據(jù)的結(jié)構(gòu)、作用、以及運作機制，對存儲和管理身份信息選擇采用什么方式有決定作用。SSO系統(tǒng)使用的身份信息如：用戶標(biāo)識、姓名、組織機構(gòu)等通常比較固定，基本上很少改動，而單點登錄統(tǒng)一認(rèn)證主要是頻繁查詢這些信息，也很少進行修改。此種機制特性決定了，可以選用LDAP來構(gòu)建目錄服務(wù)器。LDAP是此種情況下最好的數(shù)據(jù)存儲方式之一，LDAP不但簡潔易于實現(xiàn)，而且支持面向數(shù)據(jù)的查詢服務(wù)和分布式管理。這使其適用于快速響應(yīng)大容量的查詢并且提供多目錄服務(wù)器的信息，并且具有管理方便、安全可靠、擴展性好的優(yōu)點。

4 整合銜接各應(yīng)用系統(tǒng)的認(rèn)證集成模式

認(rèn)證集成的三種模式：（1）基于認(rèn)證平臺的應(yīng)用漫游；（2）基于共享密鑰的協(xié)議登錄；（3）基于自配置的模擬登錄。

在SSO系統(tǒng)認(rèn)證集成方案選擇中，作為單點登錄系統(tǒng)，還是應(yīng)該以基于認(rèn)證平臺的應(yīng)用漫游模式為主進行優(yōu)先考慮，將來新增加應(yīng)用系統(tǒng)時，可以要求新應(yīng)用接入統(tǒng)一認(rèn)證平臺，才是比較利于管理的較長遠的解決方案。

但考慮到校園網(wǎng)內(nèi)原有的應(yīng)用系統(tǒng)的現(xiàn)實情況，原應(yīng)用系統(tǒng)種類多，環(huán)境復(fù)雜，要全部進行修改顯然不太容易完成，且成本高昂，那么部分舊有應(yīng)用還是采用基于共享密鑰的協(xié)議登錄或者基于自配置的模擬登錄模式比較合理，尤其是比較陳舊且難于改造的系統(tǒng)。而且為保持用戶認(rèn)證操作習(xí)慣的連續(xù)性，對原有系統(tǒng)可以視情況保留少量其原來的登錄界面與認(rèn)證方式進行習(xí)慣過渡，也可以使項目更平滑透明的應(yīng)用到用戶之中。

那么，由此就形成了一主二輔，三種模式混合共存的解決方案，這也是屬于基于代理與經(jīng)紀(jì)人的單點登錄模式，正好與CAS方案機制相合。

5 安全設(shè)計與可靠性

5.1 信息交互安全性

SSO系統(tǒng)信息交互頻繁，交互過程通常分為2個部分：

（1）身份認(rèn)證服務(wù)和應(yīng)用系統(tǒng)、使用用戶之間的信息交互。（2）用戶和應(yīng)用系統(tǒng)之間的認(rèn)證信息交互。在各方通信時，通?？墒褂肧SL安全傳輸通道進行通信，保障通信安全。

5.2 CAS認(rèn)證機制的可靠性

在CAS中采用Kerberos協(xié)議，Kerberos基于DES對稱加密體制的認(rèn)證系統(tǒng)，可以保護客戶數(shù)據(jù)庫和密鑰，進行安全的身份驗證。

會話內(nèi)容的加密：也可以采用Kerberos保護會話密鑰用以加密會話信息

5.3 LDAP信息傳輸安全性

采用TLS（Transport Layer Security，傳輸層安全） 和 SASL（simple Authentication and Security layer，簡單認(rèn)證安全層） 保證信息傳輸?shù)陌踩浴?/p>

5.4 LDAP信息管理穩(wěn)健性

對LDAP用戶數(shù)據(jù)的維護，在校園網(wǎng)內(nèi)新生入校時，大量的學(xué)生信息維護將產(chǎn)生的頻繁的信息更新與交換，可以采用SOAP（Simple Object Access Protocol簡單對象訪問協(xié)議）提供異步消息傳遞，提高效率，增加系統(tǒng)的穩(wěn)健性。

6 SSO系統(tǒng)整體結(jié)構(gòu)

遵照本系統(tǒng)預(yù)先設(shè)定的設(shè)計原則，在結(jié)合實際應(yīng)用環(huán)境與具體要求的情況下，經(jīng)過以上的充分探討、分析和論證，緊緊圍繞著設(shè)計目標(biāo)，最終形成了一個可行的相對容易實現(xiàn)與管理的單點登錄模型方案，其整體結(jié)構(gòu)如圖1。

7 LDAP目錄樹設(shè)計與實現(xiàn)

LDAP中最重要的是目錄樹的設(shè)計，數(shù)據(jù)是按屬性結(jié)構(gòu)儲存，稱之為DIT（目錄信息樹），DIT的葉子為入口，每個入口由1個該目錄樹唯一名稱（DN）和任何樹的屬性/值對組成，每個屬性可以對應(yīng)多個值。目錄樹總體結(jié)構(gòu)如圖2。

8 業(yè)務(wù)系統(tǒng)認(rèn)證集成的實現(xiàn)

8.1 認(rèn)證集成的實現(xiàn)要點

三種業(yè)務(wù)系統(tǒng)認(rèn)證集成方式，其具體實現(xiàn)過程與要點分別如下[7-8]：

（1）對于基于認(rèn)證平臺的通過接入客戶端進行系統(tǒng)集成的方式，一般需要通過四個步驟實現(xiàn)：部署接入客戶端文件、修改業(yè)務(wù)系統(tǒng)登錄驗證配置、配置客戶端認(rèn)證模塊和獲取用戶名。（2）對于共享密鑰的協(xié)議登錄方式，要為校園門戶和應(yīng)用系統(tǒng)設(shè)計一個比較復(fù)雜的密鑰，然后形成協(xié)議數(shù)據(jù)并傳遞到應(yīng)用系統(tǒng)中。（3）對于基于自配置的模擬登錄方式，需要在入口系統(tǒng)部署相應(yīng)的連接認(rèn)證程序，模擬登錄界面，然后建立一個入口系統(tǒng)賬號表并映射到相應(yīng)的各個應(yīng)用系統(tǒng)賬號。

8.2 認(rèn)證集成的循序漸進

除了較新的應(yīng)用系統(tǒng)之外，為了銜接老舊的系統(tǒng)，通常需要使用全部三種集成認(rèn)證方式，但每種的側(cè)重點是不同的，其重要性與實現(xiàn)的成本也是不同的。通常我們希望盡可能的將更多的應(yīng)用系統(tǒng)集成進來，但要考慮財力、物力、人力以及時間等綜合成本，這將會非常高昂或者無法承受的，尤其是對那些已經(jīng)無法得到應(yīng)用開發(fā)商支持的陳舊應(yīng)用系統(tǒng)。

因此，在項目的實際集成過程中，我們可以：（1）對每個應(yīng)用系統(tǒng)視情況采用合適的認(rèn)證集成方式，不應(yīng)過度強求改變?yōu)榱硗獾恼J(rèn)證集成方式。（2）采用循序漸進的策略，在較長的一段時間里將應(yīng)用系統(tǒng)逐個集成進來，不應(yīng)強求項目一次性集成所有應(yīng)用系統(tǒng)的認(rèn)證，這將有利于降低項目的實施難度，為順利完成項目贏得更多時間，并有利于測試認(rèn)證系統(tǒng)的安全性與穩(wěn)定性。

9 結(jié) 論

本文針對數(shù)字化校園中單點登錄在遵照實際應(yīng)用環(huán)境與具體要求的情況下，設(shè)定了一些設(shè)計原則，并通過探討、分析、對比、充分論證與研究，最終形成了一個可行的、容易實現(xiàn)與管理的、擁有較低綜合成本的單點登錄模型方案，以此實現(xiàn)了SSO系統(tǒng)兩大核心功能：用戶的統(tǒng)一認(rèn)證、身份管理，達到了預(yù)訂的設(shè)計目標(biāo)，是一個比較典型的簡單、快速、高效、低價的方案，在信息化建設(shè)中能夠作為本類學(xué)校的有效實行方案。

參考文獻：

[1] 高勃.單點登錄技術(shù)的概述 [J].中國科技信息，2007（23）：127-129.

[2] Microsoft Corporation. Microsoft .NET Passport Technical Overview，2001.

[3] 李景峰，祝躍飛，張棟.用戶控制下Cookies安全研究與實現(xiàn) [J].計算機工程，2005（14）：150-152.

[4] 郭曉明.數(shù)字校園中Web單點登錄體系的研究與應(yīng)用 [D].大連理工大學(xué)，2011.

[5] 江海龍，劉偉祥，邵志驊.單點登錄在交通管理信息系統(tǒng)中的應(yīng)用研究[J].中國公共安全（學(xué)術(shù)版），2010（02）：101-104.

[6] 曹曄.基于校園網(wǎng)的單點登錄系統(tǒng)的研究與設(shè)計 [D].首都經(jīng)貿(mào)大學(xué)，2009（03）：21-22.

[7] 李國金.基于角色的訪問控制在企業(yè)電子商務(wù)系統(tǒng)中的應(yīng)用研究 [D].遼寧工程技術(shù)大學(xué)，2006.

[8] 嚴(yán)悍，張宏，許滿武.基于角色訪問控制對象建模及實現(xiàn) [J].計算機學(xué)報，2000（10）：1065-1069.

作者簡介：周軍（1977.07—），男，江西萍鄉(xiāng)人，本科，計算機實驗師，畢業(yè)于江西師范大學(xué)。研究方向：計算機網(wǎng)絡(luò)技術(shù)。