高职院校智慧校园统一身份认证技术分析

2020-04-01吕忠亭崔巍刘洋张婕

计算机与网络 2020年21期

吕忠亭崔巍刘洋张婕

摘要：针对各应用系统之间存在的数据规范标准、数据库类型及身份认证体系等方面存在的差异，提出进行统一身份认证系统建设，建立智慧门户、统一应用系统入口及实现单点登录。研究了数据编码标准，形成数据标准规范；对比分析了统一身份认证系统相关技术，提出了统一身份认证系统建设方案。研究成果可为高职院校进行数据治理、业务系统融合和数据共享提供一定的方法借鉴。

关键词：数据标准；统一身份认证；单点登录；数据治理；数据共享

中图分类号：TP393文献标志码：A文章编号：1008-1739（2020）21-69-4

0引言

近些年来，高职院校信息化建设发展迅猛。自2015年教育部办公厅印发《高等职业院校内部质量保证体系诊断与改进指导方案（试行）》（教职成司函〔2015〕168号）文件以来，信息化建设进入了一个快速轨道，各业务系统如雨后春笋般得以新建。因此，系统之间基础数据共享的需求显得尤为突出[1]。然而，不同业务系统由不同厂家建设，数据库类型、编码标准和身份认证体系等方面存在差异，用户登录业务系统需要面对不同认证界面，记忆不同规则的口令和密码。这不仅造成使用不便、效率低下，而且使系统管理员的管理难度越来越大，成为阻碍校园信息化发展的瓶颈。此外，各业务系统均是基于不同功能所建，“部门壁垒”“数据孤岛”等现象严重，无法实现数据共享。特别是随着数字化校园的不断发展，这个问题显得尤为突出[2-3]。因此，迫切需要进行统一身份认证系统建设，实现业务系统资源整合，形成校内数据统一编码规范、统一认证门户，实现单点登录（Single Sign On，SSO）[4-5]。

1数据编码规范

高职院校智慧校园建设不能单纯地进行系统更替、建设数据交换协议和接口来实现资源整合和数据共享，必须建设规范的编码体系[6]。数据编码标准不仅可为校内信息系统建设提供类似数据库字典的作用，而且为信息采集、处理、交换、传输提供了条件，最大限度地实现信息资源共享[7]。

相比于国家建立的较完整的信息分类编码体系，本文所涉及的编码标准体系主要包括两大类：学校自定义的编码规范和学校使用的代码规范。依照行业标准和国家标准，遵循唯一性、可扩展性、简单性、规范性、适用性和合理性原则，形成完整的信息标准编码规范，输出文档，为后期业务系统建设、数据融合和数据治理提供参照与执行标准。编码标准体系如图1所示。

2单点登录技术

单点登录是目前比较流行的用于业务系统整合的一种解决方案，在各大高校、企业得到广泛应用。顾名思义是指用户只需要一次登录认证就可以访问所有授权应用系统，有效解决了应用系统多认证方式、用户多口令多密码的问题，提高了系统的使用效率。目前，单点登录技术较为成熟，主流技术有基于Cookie的验证方式、基于Web Service的验证方式、基于微软活动目录Active Directory的验证方式和基于CAS的验证方式。

2.1基于Cookie的验证方式

Cookie最早由网景公司的前雇员Lou Montulli在1993年3月提出，主要应用于Web领域的认证[8]。基于Cookie的SSO认证过程主要分为2个阶段[9]：第1阶段，用户通过Web页面发送登录请求，认证服务器验证用户密码，生成令牌（Token），用户信息被加密在里边，页面返回传递令牌；第2阶段，应用服务器接收令牌，进行解密，获取用户信息实现登录。Cookie认证要求各服务器拥有统一的域名，因此，安全性、稳定性较高。但也正是由于此，Cookie认证无法实现跨域登录。

2.2基于Web Service的验证方式

Web Service是基于网络的、分布式的应用程序，可向外部提供一个以Web形式调用的接口。主要利用HTTP和SOAP协议，并使用JSON和XML作为数据交换协议，所有的数据以ASCII文本的形式呈现，易于理解、便于开发。此外，对用户而言，只需要一个特定的URL就可获取相应的数据，无须关心背后的实现逻辑或所在平台。Web Service仅提供符合标准的数据服务，与操作系统无关，可部署在大多数操作系统上。因此，基于Web Service的验证方式得到广泛应用。

但是，由于Web Service采用文本形式表示数据，所以当交换数据量比较大时，对网络带宽和服务器的性能要求比较高。如果认证服务器宕机，则用户无法进行单点登录。

2.3基于Active Directory的验证方式

Active Directory是面向Windows Standard Server，Windows Enterprise Server，Windows Datacenter Server的目錄服务。不能运行在Windows Web Server上，但可以对Windows Web Server进行管理。Active Directory存储了用户的身份属性，管理员和用户能够轻松地查找和进行身份认证。同其他目录数据库一样，采用结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

基于Active Directory的验证方式操作简单、授权灵活，并且用户验证与Windows验证绑定在一起，用户登录到Windows就可以登录各应用程序，无需再次输入认证口令和密码，管理十分方便。但是Active Directory验证方式对认证服务器性能要求高，无法兼容非Windows操作系统，认证服务器一旦故障，所有应用都无法使用。

2.4基于CAS的验证方式

中央认证服务（Central Authentication Service，CAS）是Yale大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录解决方案，在2004年12月正式成为JA-SIG的一个项目。

CAS包括CAS Server和CAS Client两部分。CAS Server需要独立部署，负责用户认证；CAS Client部署在业务系统的Web应用中，以Filter方式保护受保护的资源，负责处理对客户端受保护资源的Web请求，工作流程如图2所示。

Step1：用户发送访问应用系统提供的受保护资源Web请求；

Step2：CAS Client过滤从用户客户端过来的Web请求，并分析HTTP请求中是否包含请求Service Ticket，如果没有，说明该用户未经过认证，CAS Client重定向请求到CAS Server，并传递Service Ticket；

Step3：验证用户身份信息，如果正确，CAS Server产生一个随机Service Ticket，并缓存在本地，同时为客户端瀏览器设置一个Ticket Granted Cookie；

Step4：重定向用户到CAS Client；

Step5：CAS Client收到Service Ticket和新产生的Ticket Granted Cookie后，与CAS Server进行身份核验；

Step6：验证票据合法性，通过后返回用户信息，实现登录。

基于CAS的验证方式安全、高效、部署成本低，得到广泛应用。但是，修改Web应用子系统较复杂，系统管理员无法独立完成，需要依赖厂家支持。

3数据库技术分析

数据库系统是数据中心的核心，是整个系统设计的重要内容[10]。目前，主流的数据库技术主要有目录型数据库（如LDAP，eDirectory，IBM Directory）和关系型数据库（如MySQL，SQL Server，Oracle等）。关系型数据库适合存储业务数据和用户数据，读写速率较快，查询和统计方便；目录型数据库适合存储组织结构和用户信息，数据读取速度非常快，尤其是数据量达到千万、亿数量级，更能体现出目录型数据库查询数据的优势，但写速度比较慢。因此，在具体应用过程中往往是将二者结合起来使用，以达到最优效果。

目前，统一身份认证系统数据库一般采用轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）。LDAP是基于简化版的X.500标准，可以用来构建复杂的分布式目录结构，存储各种类型的数据，提供高效的数据访问与查询服务。此外，LDAP支持的是TCP/IP协议，基于C/S模式，能方便地访问Internet，因而，在业界得到广泛应用[11-13]。

4统一身份认证系统设计方案

4.1智慧门户

智慧门户，也叫信息门户平台、网上办事大厅、应用管理平台，是数字化校园的总入口，有效解决了分散信息系统和应用系统的集成与整合，为全校师生提供统一、便捷、不同风格的Web入口。本文采用微服务、轻应用架构、松耦合方式，通过API接口实现对各应用系统业务、流程、功能和数据集成，基于网络途径，把各部门新闻、通知、公告等内容整合，统一到智慧门户；按照不同用户，设计不同登录风格界面，分配相应电子身份认证信息；统一任务中心和消息中心；采用OAuth2.0开放标准协议，实现所有用户统一授权、用户集中管理、访问集中控制。所有用户通过登录智慧门户实现一次登录、一网通办，提高办事效率，增加用户体验感。

4.2统一身份认证解决方案

针对各应用系统之间存在的数据规范标准、数据库类型、身份认证体系等方面存在的差异，提出统一身份认证解决方案，如图3所示。

方案基于CAS和Nginx反向代理方式实现统一身份认证，保留各系统原有认证方式。Nginx服务器为双部署做负载均衡，负责转发用户Web请求。2台认证服务器做集群，保证认证系统高效、稳定，提供认证服务。数据库采用LDAP与Oracle组合方式。LDAP数据库存储用户账号、密码、组织架构等信息，负责认证和用户电子身份管理，双部署，互为主备，且支持双向复制，保证系统稳定性；Oracle数据库存储用户账号和系统运行日志，不存储密码，目的在于提供灵活高效的身份管理功能和平台日志数据统计与审计功能。

身份认证管理平台为不同电子身份的用户提供统一登录界面，对账号和密码进行验证，进而为集成的应用系统提供访问控制权限。此外，创建并维护用户的单点登录会话，响应应用系统发出的单点登录会话查询，满足用户在系统之间的单点登录。同时，负责用户账号信息的维护与管理。Redis是缓存服务器，当用户第一次登录智慧门户进行认证后，会将用户认证信息保存在Redis服务器本地，再次登录平台时，Redis服务器可直接提供认证功能，进而大大缩短认证时间，增加用户体验感。

当然，根据业务量、用户人数和平台访问次数的多少，Redis服务器、身份认证管理平台和Oracle数据库也可实现集群部署，实现负载均衡或热备，提高平台的稳定性和数据的安全性。

5结束语

不同应用系统存在数据标准、认证方式、口令长度与规则等方面的差异，给应用系统融合、用户使用和管理员维护带来诸多不便；部门壁垒、数据孤岛、数据碎片化等现象严重。本文提出统一身份认证解决方案、制定编码规范体系，为应用系统建设提供类似数据库字典的作用，对应用系统融合、数据治理和共享具有重要意义。智慧门户平台为用户提供统一登录界面，统一入口，实现了应用系统的集成与整合。随着数字化校园的不断发展，高校教学、科研、管理对数据的需求越发突出，因此，数据治理、数据中台、校本共享大数据中心建设必将成为智慧校园推进的重点。

参考文献

[1]王斌.高职数字化校园数据整合设计与实现[D].广州：华南理工大学，2015.

[2]王蓓蓓.面向高职院校的统一身份认证系统研究[J].信息技术与信息化，2012（4）：55-58.

[3]王磊，常乐，姜立.数字化校园统一身份认证系统设计研究[J].辽宁高职学报，2013，15（5）：91-93.

[4]贺超波，陈启买，欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机（专业版），2008（12）：25-28.

[5]赵菁.基于企业门户统一认证系统的设计与实现[J].信息安全与技术，2012，3（8）：27-29.

[6]晞张，魏胜能.构建高职院校信息流程化管理平台的策略[J].职大学报，2007（4）：42-44，135.

[7]冯黔华.基于LDAP认证的保险数据交互中心建设[D].上海：复旦大学，2010.

[8]王小红.基于Cookie的单点登录认证机制实现[J].重庆工商大学学报（自然科学版），2014，31（8）：73-78.

[9]冯伟华，刘亚丽.基于Cookie的统一认证系统的设计与实现[J].计算机工程与设计，2010，31（23）：4971-4975.

[10] BLINN JF， NEWELL M E. Texture and Reflection in ComputerGeneratedImage[J].CommunicationoftheACM， 1976，19（10）：542-547.

[11]刘馨琼，夏平.基于LDAP服务器的B/S框架设計与实现[J].三峡大学学报（自然科学版），2007（3）：260-264.