李婕

摘要：高校各部门陆续建立起B/S模式的业务系统，每个系统有各自的认证数据库，不能保持同步和一致性，成为信息孤岛。为了解决这些问题，单点登录技术应运而生，包括认证接口子系统、客户端登录子系统、统一身份认证系统几部分。单点登录，给学校各类应用提供统一的身份认证机制和访问入口，对用户信息进行整合和统一，减少了用于重复认证所带来的系统开销，为学校进一步的信息化建设建立起良好的基础。

关键词：单点登录；身份认证；数字校园

一、单点登录

1、概念。单点登录（sso）进行一次验证后即可访问多个应用程序的。即在一次登录之后不必再经过系统认证就直接进入校内各应用系统。针不同类型的应用系统，单点登陆的实现方式也有所不同，但其原理大致相同：在多个应用系统之间建立用户安全上下文（Security Context），维持“用户已过认证”这一状态。而使用在多个应用系统之间的单点登陆机制，与单个应用系统内的认证机制相比区别在于：前者的安全资源分布在多个应用系统之内，而且这些应用可能部署在不同的域名下，后者的安全资源集中在单个应用系统之内。

2、实现单点登录。要实现SSO，需要以下主要的功能：（1）所有应用系统共享一个身份认证系统；（2）所有应用系统能够识别和提取ticket信息；（3）应用系统能够识别已经登录过的用户，能自动判断当前用户是否登录过，从而完成单点登录的功能。其中统一的身份认证系统最重要，认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证，认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。整个系统可以存在两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。

3、用户单点登录有以下的优点：（1）提高工作效率，用户只需一次验证便能访问所有授权网络资源和服务。（2）透明的实现认证和授权，减少用户的等待时间，提供系统的性能。（3）增强系统的整体安全性，通过强认证机制对用户身份验证，提供安全性。（4）提高管理效率，用户帐号数据统一保存，集中管理，减少了出错的几率，减轻了系统工作人员的维护负担。

二、认证接口子系统

1、新建系统及原有系统的认证。认证接口子系统位于多个应用系统和统一身份认证中心之间，和应用系统集成，运行在同一个平台之上。该接口接受用户认证请求，由认证中心进行认证，将认证结果返回给应用系统。

认证接口子系统要适应原有应用系统和新建的应用系统两种情况。对于新建的应用系统，只要按照认证中心提供的认证和授权接口标准进行认证和授权的开发就可以和认证中心进行无缝集成。对于那些在建立认证中心之前就已存在的应用系统，因为没有按照统一的接口标准进行认证和授权，而且可能运行在多种平台之上，使用不同的数据库系统。针对这种情况，认证接口子系统就要做到与平台无关、与具体的数据库系统无关。

2、针对不同系统提供的认证策略。为了使原有的系统能够平滑过渡到单点登录系统中，使不容易进行认证机制改造的应用系统也可以纳入到系统的统一管理中，应该针对不同的系统有不同的策略。（1）对于新建系统或容易改进的系统。通过提供的标准接口函数来实现对客户端与应用服务器的Kerberos改造，使之能够与Kerberos认证机制相结合，从而纳入到单点登录系统中。（2）对已有的且不易改进的系统。因为相对来说，客户端改造比较容易。首先将客户端进行Kerberos改造，使客户端可以与Kerberos认证服务器进行身份认证工作。再把原有系统的认证信息保证在本次单点登录系统的用户信息数据库中，同时在应用服务器端设置一个代理软件，其主要功能是对由客户端传过来的数据进行解析后，再传送给应用服务器进行身份认证。（3）对于客户端和应用服务器都难以进行Kerberos改造的系统，可采用中间件技术，通过代理软件，登录到本系统完成认证工作。工作流程为：当用户登录到这些系统时，首先要到本次系统的Kerberos认证服务器中获得对应系统的认证数据，然后再提交给相应的系统，以便完成认证。可以通过开发客户端的工具和代理软件来自动实现，提高用户的工作效率。

三、客户端登录子系统

提供完整的单点登录技术。客户端用户登录子系统提供完整的单点登录技术。用户只需登录一次，就可使用同一使用凭证，登录平台上各资源子系统中，按所授权限访问网络资源信息，用户一旦登录成功，不会因为访问不同的资源子系统而被要求多次重登录。

四、国内统一身份认证系统应用情况

数字校园的统一门户建设，即统一身份认证系统，在国内应用情况大以下几类：

1、类似代理的认证服务体系。该体系使用目录服务器存储用户的信息，在应用服务器遵从统一的目录服务标准的情况下，和目录服务器通信，进行统一认证。但是这并不是完全意义上的统一认证，而只是把认证分离出去，用户在访问不同的应用系统的时候仍要重新输入用户名和密码。

2、与浏览器相关的认证服务体系。例如：上海交通大学网络信息中心开发的用户认证体系。该系统严重依赖浏览器Cookie的设置，如果强制指定浏览器拒绝Cookie，将无法使用Account进行登录；另外系统本身安全性问题没有考虑。

3、基于LDAP的统一身份认证系统。這类系统采用了LDAP（Lightweight Directory Access Protocol：轻量级目录访问协议）技术提高了系统可用性和可靠性，也避免了与浏览器相关的问题，同时缩短响应时间；系统采用了TLS（TransPortLayersecurity：传输层安全）和SASL[3] （Simple Authentication Security Layer：简单认证和安全层）保证信息输的安全性。

五、结语

通过单点登录系统，用户一次登录即能访问校园网中其他应用系统，既实现了更优的管理控制，又提高了用户工作效率，同时还保障了整个网络的安全性。本文为高校数字校园统一身份认证的实现提供了研究基础以及理论体系的支撑。

参考文献

[1] 齐凤亮，薛海峰.数字化校园单点登录系统的实现.天津电大学报，2011（6）.

[2] 李海军，卢清萍.基于LDAP的Web认证系统在数字化校园中的应用. 软件导刊 ，2013.

[3] 陈蕊.高校信息门户中关键指标体系的展示.天津电大学报，计算机与现代化，2013（10）.