高職院校智慧校園統(tǒng)一身份認(rèn)證技術(shù)分析

呂忠亭 崔巍 劉洋 張婕

摘要：針對各應(yīng)用系統(tǒng)之間存在的數(shù)據(jù)規(guī)范標(biāo)準(zhǔn)、數(shù)據(jù)庫類型及身份認(rèn)證體系等方面存在的差異，提出進(jìn)行統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)，建立智慧門戶、統(tǒng)一應(yīng)用系統(tǒng)入口及實(shí)現(xiàn)單點(diǎn)登錄。研究了數(shù)據(jù)編碼標(biāo)準(zhǔn)，形成數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范；對比分析了統(tǒng)一身份認(rèn)證系統(tǒng)相關(guān)技術(shù)，提出了統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)方案。研究成果可為高職院校進(jìn)行數(shù)據(jù)治理、業(yè)務(wù)系統(tǒng)融合和數(shù)據(jù)共享提供一定的方法借鑒。

關(guān)鍵詞：數(shù)據(jù)標(biāo)準(zhǔn)；統(tǒng)一身份認(rèn)證；單點(diǎn)登錄；數(shù)據(jù)治理；數(shù)據(jù)共享

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2020）21-69-4

0引言

近些年來，高職院校信息化建設(shè)發(fā)展迅猛。自2015年教育部辦公廳印發(fā)《高等職業(yè)院校內(nèi)部質(zhì)量保證體系診斷與改進(jìn)指導(dǎo)方案（試行）》（教職成司函〔2015〕168號）文件以來，信息化建設(shè)進(jìn)入了一個(gè)快速軌道，各業(yè)務(wù)系統(tǒng)如雨后春筍般得以新建。因此，系統(tǒng)之間基礎(chǔ)數(shù)據(jù)共享的需求顯得尤為突出[1]。然而，不同業(yè)務(wù)系統(tǒng)由不同廠家建設(shè)，數(shù)據(jù)庫類型、編碼標(biāo)準(zhǔn)和身份認(rèn)證體系等方面存在差異，用戶登錄業(yè)務(wù)系統(tǒng)需要面對不同認(rèn)證界面，記憶不同規(guī)則的口令和密碼。這不僅造成使用不便、效率低下，而且使系統(tǒng)管理員的管理難度越來越大，成為阻礙校園信息化發(fā)展的瓶頸。此外，各業(yè)務(wù)系統(tǒng)均是基于不同功能所建，“部門壁壘”“數(shù)據(jù)孤島”等現(xiàn)象嚴(yán)重，無法實(shí)現(xiàn)數(shù)據(jù)共享。特別是隨著數(shù)字化校園的不斷發(fā)展，這個(gè)問題顯得尤為突出[2-3]。因此，迫切需要進(jìn)行統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)資源整合，形成校內(nèi)數(shù)據(jù)統(tǒng)一編碼規(guī)范、統(tǒng)一認(rèn)證門戶，實(shí)現(xiàn)單點(diǎn)登錄（Single Sign On，SSO）[4-5]。

1數(shù)據(jù)編碼規(guī)范

高職院校智慧校園建設(shè)不能單純地進(jìn)行系統(tǒng)更替、建設(shè)數(shù)據(jù)交換協(xié)議和接口來實(shí)現(xiàn)資源整合和數(shù)據(jù)共享，必須建設(shè)規(guī)范的編碼體系[6]。數(shù)據(jù)編碼標(biāo)準(zhǔn)不僅可為校內(nèi)信息系統(tǒng)建設(shè)提供類似數(shù)據(jù)庫字典的作用，而且為信息采集、處理、交換、傳輸提供了條件，最大限度地實(shí)現(xiàn)信息資源共享[7]。

相比于國家建立的較完整的信息分類編碼體系，本文所涉及的編碼標(biāo)準(zhǔn)體系主要包括兩大類：學(xué)校自定義的編碼規(guī)范和學(xué)校使用的代碼規(guī)范。依照行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，遵循唯一性、可擴(kuò)展性、簡單性、規(guī)范性、適用性和合理性原則，形成完整的信息標(biāo)準(zhǔn)編碼規(guī)范，輸出文檔，為后期業(yè)務(wù)系統(tǒng)建設(shè)、數(shù)據(jù)融合和數(shù)據(jù)治理提供參照與執(zhí)行標(biāo)準(zhǔn)。編碼標(biāo)準(zhǔn)體系如圖1所示。

2單點(diǎn)登錄技術(shù)

單點(diǎn)登錄是目前比較流行的用于業(yè)務(wù)系統(tǒng)整合的一種解決方案，在各大高校、企業(yè)得到廣泛應(yīng)用。顧名思義是指用戶只需要一次登錄認(rèn)證就可以訪問所有授權(quán)應(yīng)用系統(tǒng)，有效解決了應(yīng)用系統(tǒng)多認(rèn)證方式、用戶多口令多密碼的問題，提高了系統(tǒng)的使用效率。目前，單點(diǎn)登錄技術(shù)較為成熟，主流技術(shù)有基于Cookie的驗(yàn)證方式、基于Web Service的驗(yàn)證方式、基于微軟活動(dòng)目錄Active Directory的驗(yàn)證方式和基于CAS的驗(yàn)證方式。

2.1基于Cookie的驗(yàn)證方式

Cookie最早由網(wǎng)景公司的前雇員Lou Montulli在1993年3月提出，主要應(yīng)用于Web領(lǐng)域的認(rèn)證[8]?；贑ookie的SSO認(rèn)證過程主要分為2個(gè)階段[9]：第1階段，用戶通過Web頁面發(fā)送登錄請求，認(rèn)證服務(wù)器驗(yàn)證用戶密碼，生成令牌（Token），用戶信息被加密在里邊，頁面返回傳遞令牌；第2階段，應(yīng)用服務(wù)器接收令牌，進(jìn)行解密，獲取用戶信息實(shí)現(xiàn)登錄。Cookie認(rèn)證要求各服務(wù)器擁有統(tǒng)一的域名，因此，安全性、穩(wěn)定性較高。但也正是由于此，Cookie認(rèn)證無法實(shí)現(xiàn)跨域登錄。

2.2基于Web Service的驗(yàn)證方式

Web Service是基于網(wǎng)絡(luò)的、分布式的應(yīng)用程序，可向外部提供一個(gè)以Web形式調(diào)用的接口。主要利用HTTP和SOAP協(xié)議，并使用JSON和XML作為數(shù)據(jù)交換協(xié)議，所有的數(shù)據(jù)以ASCII文本的形式呈現(xiàn)，易于理解、便于開發(fā)。此外，對用戶而言，只需要一個(gè)特定的URL就可獲取相應(yīng)的數(shù)據(jù)，無須關(guān)心背后的實(shí)現(xiàn)邏輯或所在平臺。Web Service僅提供符合標(biāo)準(zhǔn)的數(shù)據(jù)服務(wù)，與操作系統(tǒng)無關(guān)，可部署在大多數(shù)操作系統(tǒng)上。因此，基于Web Service的驗(yàn)證方式得到廣泛應(yīng)用。

但是，由于Web Service采用文本形式表示數(shù)據(jù)，所以當(dāng)交換數(shù)據(jù)量比較大時(shí)，對網(wǎng)絡(luò)帶寬和服務(wù)器的性能要求比較高。如果認(rèn)證服務(wù)器宕機(jī)，則用戶無法進(jìn)行單點(diǎn)登錄。

2.3基于Active Directory的驗(yàn)證方式

Active Directory是面向Windows Standard Server，Windows Enterprise Server，Windows Datacenter Server的目錄服務(wù)。不能運(yùn)行在Windows Web Server上，但可以對Windows Web Server進(jìn)行管理。Active Directory存儲了用戶的身份屬性，管理員和用戶能夠輕松地查找和進(jìn)行身份認(rèn)證。同其他目錄數(shù)據(jù)庫一樣，采用結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。

基于Active Directory的驗(yàn)證方式操作簡單、授權(quán)靈活，并且用戶驗(yàn)證與Windows驗(yàn)證綁定在一起，用戶登錄到Windows就可以登錄各應(yīng)用程序，無需再次輸入認(rèn)證口令和密碼，管理十分方便。但是Active Directory驗(yàn)證方式對認(rèn)證服務(wù)器性能要求高，無法兼容非Windows操作系統(tǒng)，認(rèn)證服務(wù)器一旦故障，所有應(yīng)用都無法使用。

2.4基于CAS的驗(yàn)證方式

中央認(rèn)證服務(wù)（Central Authentication Service，CAS）是Yale大學(xué)發(fā)起的一個(gè)開源項(xiàng)目，旨在為Web應(yīng)用系統(tǒng)提供一種可靠的單點(diǎn)登錄解決方案，在2004年12月正式成為JA-SIG的一個(gè)項(xiàng)目。

CAS包括CAS Server和CAS Client兩部分。CAS Server需要獨(dú)立部署，負(fù)責(zé)用戶認(rèn)證；CAS Client部署在業(yè)務(wù)系統(tǒng)的Web應(yīng)用中，以Filter方式保護(hù)受保護(hù)的資源，負(fù)責(zé)處理對客戶端受保護(hù)資源的Web請求，工作流程如圖2所示。

Step1：用戶發(fā)送訪問應(yīng)用系統(tǒng)提供的受保護(hù)資源Web請求；

Step2：CAS Client過濾從用戶客戶端過來的Web請求，并分析HTTP請求中是否包含請求Service Ticket，如果沒有，說明該用戶未經(jīng)過認(rèn)證，CAS Client重定向請求到CAS Server，并傳遞Service Ticket；

Step3：驗(yàn)證用戶身份信息，如果正確，CAS Server產(chǎn)生一個(gè)隨機(jī)Service Ticket，并緩存在本地，同時(shí)為客戶端瀏覽器設(shè)置一個(gè)Ticket Granted Cookie；

Step4：重定向用戶到CAS Client；

Step5：CAS Client收到Service Ticket和新產(chǎn)生的Ticket Granted Cookie后，與CAS Server進(jìn)行身份核驗(yàn)；

Step6：驗(yàn)證票據(jù)合法性，通過后返回用戶信息，實(shí)現(xiàn)登錄。

基于CAS的驗(yàn)證方式安全、高效、部署成本低，得到廣泛應(yīng)用。但是，修改Web應(yīng)用子系統(tǒng)較復(fù)雜，系統(tǒng)管理員無法獨(dú)立完成，需要依賴廠家支持。

3數(shù)據(jù)庫技術(shù)分析

數(shù)據(jù)庫系統(tǒng)是數(shù)據(jù)中心的核心，是整個(gè)系統(tǒng)設(shè)計(jì)的重要內(nèi)容[10]。目前，主流的數(shù)據(jù)庫技術(shù)主要有目錄型數(shù)據(jù)庫（如LDAP，eDirectory，IBM Directory）和關(guān)系型數(shù)據(jù)庫（如MySQL，SQL Server，Oracle等）。關(guān)系型數(shù)據(jù)庫適合存儲業(yè)務(wù)數(shù)據(jù)和用戶數(shù)據(jù)，讀寫速率較快，查詢和統(tǒng)計(jì)方便；目錄型數(shù)據(jù)庫適合存儲組織結(jié)構(gòu)和用戶信息，數(shù)據(jù)讀取速度非?？?，尤其是數(shù)據(jù)量達(dá)到千萬、億數(shù)量級，更能體現(xiàn)出目錄型數(shù)據(jù)庫查詢數(shù)據(jù)的優(yōu)勢，但寫速度比較慢。因此，在具體應(yīng)用過程中往往是將二者結(jié)合起來使用，以達(dá)到最優(yōu)效果。

目前，統(tǒng)一身份認(rèn)證系統(tǒng)數(shù)據(jù)庫一般采用輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）。LDAP是基于簡化版的X.500標(biāo)準(zhǔn)，可以用來構(gòu)建復(fù)雜的分布式目錄結(jié)構(gòu)，存儲各種類型的數(shù)據(jù)，提供高效的數(shù)據(jù)訪問與查詢服務(wù)。此外，LDAP支持的是TCP/IP協(xié)議，基于C/S模式，能方便地訪問Internet，因而，在業(yè)界得到廣泛應(yīng)用[11-13]。

4統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)方案

4.1智慧門戶

智慧門戶，也叫信息門戶平臺、網(wǎng)上辦事大廳、應(yīng)用管理平臺，是數(shù)字化校園的總?cè)肟冢行Ы鉀Q了分散信息系統(tǒng)和應(yīng)用系統(tǒng)的集成與整合，為全校師生提供統(tǒng)一、便捷、不同風(fēng)格的Web入口。本文采用微服務(wù)、輕應(yīng)用架構(gòu)、松耦合方式，通過API接口實(shí)現(xiàn)對各應(yīng)用系統(tǒng)業(yè)務(wù)、流程、功能和數(shù)據(jù)集成，基于網(wǎng)絡(luò)途徑，把各部門新聞、通知、公告等內(nèi)容整合，統(tǒng)一到智慧門戶；按照不同用戶，設(shè)計(jì)不同登錄風(fēng)格界面，分配相應(yīng)電子身份認(rèn)證信息；統(tǒng)一任務(wù)中心和消息中心；采用OAuth2.0開放標(biāo)準(zhǔn)協(xié)議，實(shí)現(xiàn)所有用戶統(tǒng)一授權(quán)、用戶集中管理、訪問集中控制。所有用戶通過登錄智慧門戶實(shí)現(xiàn)一次登錄、一網(wǎng)通辦，提高辦事效率，增加用戶體驗(yàn)感。

4.2統(tǒng)一身份認(rèn)證解決方案

針對各應(yīng)用系統(tǒng)之間存在的數(shù)據(jù)規(guī)范標(biāo)準(zhǔn)、數(shù)據(jù)庫類型、身份認(rèn)證體系等方面存在的差異，提出統(tǒng)一身份認(rèn)證解決方案，如圖3所示。

方案基于CAS和Nginx反向代理方式實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，保留各系統(tǒng)原有認(rèn)證方式。Nginx服務(wù)器為雙部署做負(fù)載均衡，負(fù)責(zé)轉(zhuǎn)發(fā)用戶Web請求。2臺認(rèn)證服務(wù)器做集群，保證認(rèn)證系統(tǒng)高效、穩(wěn)定，提供認(rèn)證服務(wù)。數(shù)據(jù)庫采用LDAP與Oracle組合方式。LDAP數(shù)據(jù)庫存儲用戶賬號、密碼、組織架構(gòu)等信息，負(fù)責(zé)認(rèn)證和用戶電子身份管理，雙部署，互為主備，且支持雙向復(fù)制，保證系統(tǒng)穩(wěn)定性；Oracle數(shù)據(jù)庫存儲用戶賬號和系統(tǒng)運(yùn)行日志，不存儲密碼，目的在于提供靈活高效的身份管理功能和平臺日志數(shù)據(jù)統(tǒng)計(jì)與審計(jì)功能。

身份認(rèn)證管理平臺為不同電子身份的用戶提供統(tǒng)一登錄界面，對賬號和密碼進(jìn)行驗(yàn)證，進(jìn)而為集成的應(yīng)用系統(tǒng)提供訪問控制權(quán)限。此外，創(chuàng)建并維護(hù)用戶的單點(diǎn)登錄會話，響應(yīng)應(yīng)用系統(tǒng)發(fā)出的單點(diǎn)登錄會話查詢，滿足用戶在系統(tǒng)之間的單點(diǎn)登錄。同時(shí)，負(fù)責(zé)用戶賬號信息的維護(hù)與管理。Redis是緩存服務(wù)器，當(dāng)用戶第一次登錄智慧門戶進(jìn)行認(rèn)證后，會將用戶認(rèn)證信息保存在Redis服務(wù)器本地，再次登錄平臺時(shí)，Redis服務(wù)器可直接提供認(rèn)證功能，進(jìn)而大大縮短認(rèn)證時(shí)間，增加用戶體驗(yàn)感。

當(dāng)然，根據(jù)業(yè)務(wù)量、用戶人數(shù)和平臺訪問次數(shù)的多少，Redis服務(wù)器、身份認(rèn)證管理平臺和Oracle數(shù)據(jù)庫也可實(shí)現(xiàn)集群部署，實(shí)現(xiàn)負(fù)載均衡或熱備，提高平臺的穩(wěn)定性和數(shù)據(jù)的安全性。

5結(jié)束語

不同應(yīng)用系統(tǒng)存在數(shù)據(jù)標(biāo)準(zhǔn)、認(rèn)證方式、口令長度與規(guī)則等方面的差異，給應(yīng)用系統(tǒng)融合、用戶使用和管理員維護(hù)帶來諸多不便；部門壁壘、數(shù)據(jù)孤島、數(shù)據(jù)碎片化等現(xiàn)象嚴(yán)重。本文提出統(tǒng)一身份認(rèn)證解決方案、制定編碼規(guī)范體系，為應(yīng)用系統(tǒng)建設(shè)提供類似數(shù)據(jù)庫字典的作用，對應(yīng)用系統(tǒng)融合、數(shù)據(jù)治理和共享具有重要意義。智慧門戶平臺為用戶提供統(tǒng)一登錄界面，統(tǒng)一入口，實(shí)現(xiàn)了應(yīng)用系統(tǒng)的集成與整合。隨著數(shù)字化校園的不斷發(fā)展，高校教學(xué)、科研、管理對數(shù)據(jù)的需求越發(fā)突出，因此，數(shù)據(jù)治理、數(shù)據(jù)中臺、校本共享大數(shù)據(jù)中心建設(shè)必將成為智慧校園推進(jìn)的重點(diǎn)。

參考文獻(xiàn)

[1]王斌.高職數(shù)字化校園數(shù)據(jù)整合設(shè)計(jì)與實(shí)現(xiàn)[D].廣州：華南理工大學(xué)，2015.

[2]王蓓蓓.面向高職院校的統(tǒng)一身份認(rèn)證系統(tǒng)研究[J].信息技術(shù)與信息化，2012（4）：55-58.

[3]王磊，常樂，姜立.數(shù)字化校園統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)研究[J].遼寧高職學(xué)報(bào)，2013，15（5）：91-93.

[4]賀超波，陳啟買，歐陽輝.數(shù)字化校園門戶平臺統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2008（12）：25-28.

[5]趙菁.基于企業(yè)門戶統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與技術(shù)，2012，3（8）：27-29.

[6]晞張，魏勝能.構(gòu)建高職院校信息流程化管理平臺的策略[J].職大學(xué)報(bào)，2007（4）：42-44，135.

[7]馮黔華.基于LDAP認(rèn)證的保險(xiǎn)數(shù)據(jù)交互中心建設(shè)[D].上海：復(fù)旦大學(xué)，2010.

[8]王小紅.基于Cookie的單點(diǎn)登錄認(rèn)證機(jī)制實(shí)現(xiàn)[J].重慶工商大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，31（8）：73-78.

[9]馮偉華，劉亞麗.基于Cookie的統(tǒng)一認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，31（23）：4971-4975.

[10] BLINN JF， NEWELL M E. Texture and Reflection in ComputerGeneratedImage[J].CommunicationoftheACM， 1976，19（10）：542-547.

[11]劉馨瓊，夏平.基于LDAP服務(wù)器的B/S框架設(shè)計(jì)與實(shí)現(xiàn)[J].三峽大學(xué)學(xué)報(bào)（自然科學(xué)版），2007（3）：260-264.

[12]張新曼.精通JSP-Web開發(fā)技術(shù)與典型應(yīng)用[M].北京：人民郵電出版社，2007.

[13]王倩宜，李潤娥，李庭晏.統(tǒng)一用戶管理和身份認(rèn)證服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)技術(shù)與管理，2004（3）：7-12.