三種認(rèn)證機(jī)制實現(xiàn)單點登錄

1、當(dāng)前，高校面對復(fù)雜的應(yīng)用環(huán)境，開發(fā)出許多管理信息系統(tǒng)，不同的應(yīng)用系統(tǒng)，需要不同的 賬號密碼登錄，這給用戶帶來不便。為了解決此類問題，各高校采用統(tǒng)一身份認(rèn)證來實現(xiàn)單 點登錄。單點登錄即Single Sign-On（簡稱SSO），是一種統(tǒng)一認(rèn)證和授權(quán)機(jī)制。它允許用戶在網(wǎng) 絡(luò)中主動進(jìn)行一次身份認(rèn)證之后，就可以訪問所有被授權(quán)的網(wǎng)絡(luò)資源和應(yīng)用系統(tǒng)，而不必再 次登錄。為了在復(fù)雜的應(yīng)用環(huán)境下實現(xiàn)單點登錄的目標(biāo)，高校大都采用了多種認(rèn)證集成機(jī)制， 具體可以歸納為三種類型?；谡J(rèn)證平臺的應(yīng)用漫游統(tǒng)一身份認(rèn)證平臺存儲了全部的身份信息和對應(yīng)的憑證信息，并提供了不同編程語言 （Java，.net，PHP）的認(rèn)證接口。業(yè)

2、務(wù)系統(tǒng)完成身份信息同步和認(rèn)證接口的部署之后，可以 使用統(tǒng)一身份認(rèn)證平臺完成身份的認(rèn)證，不需要自己存儲憑證信息和實現(xiàn)認(rèn)證。圖1標(biāo)識了 業(yè)務(wù)系統(tǒng)完成認(rèn)證的相應(yīng)過程。具體如下：卬征接口 1認(rèn)征接口業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2用戶圖】基于統(tǒng)一身份訊證平臺的應(yīng)用浸溫用戶請求訪問業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)在系統(tǒng)中查看是否有對應(yīng)請求的有效令牌，若有，則讀取對應(yīng)的身份信息， 允許其訪問；若沒有或令牌無效，則把用戶重定向到統(tǒng)一身份認(rèn)證平臺，并攜帶業(yè)務(wù)系統(tǒng)地 址，進(jìn)入第步。在統(tǒng)一身份認(rèn)證平臺提供的頁面中，用戶輸入身份憑證信息，平臺驗證此身份憑證信 息，若有效，則生成一個有效的令牌給用戶，進(jìn)入第步；若無效，則繼續(xù)進(jìn)行認(rèn)證，直到 認(rèn)

3、證成功或退出為止。用戶攜帶第步獲取的令牌，再次訪問業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)獲取用戶攜帶的令牌，提交到認(rèn)證平臺進(jìn)行有效性檢查和身份信息獲取。若令牌通過有效性檢查，則認(rèn)證平臺會把令牌對應(yīng)的用戶身份信息返回給業(yè)務(wù)系統(tǒng)， 業(yè)務(wù)系統(tǒng)把身份信息和有效令牌寫入會話狀態(tài)中，允許用戶以此身份信息進(jìn)行業(yè)務(wù)系統(tǒng)的各 種操作；若令牌未通過有效性檢查，則會再次重定向到認(rèn)證平臺，返回第步。通過統(tǒng)一身份認(rèn)證平臺獲取的有效令牌，可以在各個業(yè)務(wù)系統(tǒng)之間實現(xiàn)應(yīng)用漫游?；诠蚕砻荑€的協(xié)議登錄基于共享密鑰的協(xié)議登錄機(jī)制是高校信息化建設(shè)中常用的一種協(xié)議認(rèn)證集成模式，通過 共享密鑰和其他的信息組合加密完成系統(tǒng)間的認(rèn)證，它需要在雙方系統(tǒng)部署不同

4、程序，但不 需要修改原先的認(rèn)證模塊。圖2給出采用協(xié)議登錄機(jī)制形成的一般結(jié)構(gòu)：各個業(yè)務(wù)系統(tǒng)的登 錄跳轉(zhuǎn)程序都部署在一個入口系統(tǒng)中，而對應(yīng)的驗證程序則部署在各自的業(yè)務(wù)系統(tǒng)，跳轉(zhuǎn)程 序通過HTTP的get或post方法把雙方約定的協(xié)議數(shù)據(jù)提交到業(yè)務(wù)系統(tǒng)的驗證程序，驗證程 序負(fù)責(zé)驗證數(shù)據(jù)的有效性，若通過驗證則跳轉(zhuǎn)到業(yè)務(wù)系統(tǒng)，否則拒絕使用。入口系在圖2基于共享密鑰的侍議登錄此機(jī)制一般要求入口系統(tǒng)與業(yè)務(wù)系統(tǒng)端共同約定用戶賬號、時間戳、校驗碼、共享密鑰 四個參數(shù)，并且要求雙方系統(tǒng)進(jìn)行時間同步。入口系統(tǒng)通過跳轉(zhuǎn)程序要求訪問業(yè)務(wù)系統(tǒng)時， 需要在url中加入username、time、verify三個參數(shù)值，并傳

5、遞給業(yè)務(wù)系統(tǒng)。其中verify 是由username、time和key組成并采用md5方式加密形成的一個串值。業(yè)務(wù)系統(tǒng)獲取各個參數(shù)后，比較業(yè)務(wù)系統(tǒng)服務(wù)器時間與接收的時間戳(time)是否在允許 的時間差范圍內(nèi)，如果在允許的范圍內(nèi)，則需將接收到的username、time及原先設(shè)定的 key進(jìn)行md5加密計算，獲得的一個串值且同verify進(jìn)行比較，若一致，則完成了本次的 認(rèn)證登錄，并以username的身份訪問系統(tǒng)，否則登錄失敗。通過此機(jī)制可以實現(xiàn)單點到多點的單向應(yīng)用漫游，也可以擴(kuò)展雙方認(rèn)定的協(xié)議內(nèi)容并進(jìn) 行功能的擴(kuò)展，比如指定業(yè)務(wù)系統(tǒng)應(yīng)用模塊參數(shù)(module)來實現(xiàn)到具體應(yīng)用模塊的跳轉(zhuǎn)?；?/p>

6、于自配置的模擬登錄基于自配置的模擬登錄機(jī)制是針對那些基于Form表單方式登錄的Web業(yè)務(wù)系統(tǒng)設(shè)計的， 它不需要對業(yè)務(wù)系統(tǒng)的原有認(rèn)證模塊做任何修改。它利用用戶自我配置的業(yè)務(wù)系統(tǒng)賬號、密 碼等信息，模擬用戶使用業(yè)務(wù)系統(tǒng)登錄頁面完成登錄的過程，在后臺直接提交相應(yīng)的信息到 業(yè)務(wù)系統(tǒng)的登錄驗證模塊，從而完成用戶登錄的過程。圖3描述了形成的主要體系結(jié)構(gòu)。自配鑿程序I與.戶自輪雷程斥口圖3基于自配苴的模抽登錄首先在入口系統(tǒng)中建立一個入口系統(tǒng)賬號到各個業(yè)務(wù)系統(tǒng)賬號的映射表，此表一般需要 包含以下信息：入口系統(tǒng)賬號：存儲入口系統(tǒng)自身的賬號。業(yè)務(wù)系統(tǒng)ID：標(biāo)志不同的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)賬號：存儲業(yè)務(wù)系統(tǒng)與入口系統(tǒng)賬

7、號對應(yīng)的賬號。業(yè)務(wù)系統(tǒng)基本角色：存儲在業(yè)務(wù)系統(tǒng)中的角色信息。業(yè)務(wù)系統(tǒng)密碼：通過加密方式存儲業(yè)務(wù)系統(tǒng)的密碼信息。其次，需要分析業(yè)務(wù)系統(tǒng)的登錄頁面和其對應(yīng)的驗證邏輯，并在入口系統(tǒng)中建立對應(yīng)的 自配置程序，包括業(yè)務(wù)賬號密碼配置頁面、業(yè)務(wù)賬號密碼保存頁面、業(yè)務(wù)賬號密碼修改頁面 等。用戶在使用入口系統(tǒng)首次登錄業(yè)務(wù)系統(tǒng)時，需使用自配置程序把自己在業(yè)務(wù)系統(tǒng)中對應(yīng) 的賬號、密碼、角色存入入口系統(tǒng)的映射表中，之后就可直接通過入口系統(tǒng)完成到業(yè)務(wù)系統(tǒng) 的應(yīng)用跳轉(zhuǎn)。對比三種機(jī)制每種機(jī)制都需要先進(jìn)行一定的數(shù)據(jù)準(zhǔn)備，再部署相應(yīng)的程序，可以產(chǎn)生不同的應(yīng)用漫游 情況，所以它們適用不同系統(tǒng)的認(rèn)證集成，具體分析如表1。素1三種認(rèn)

8、田法成扒剖的分析對此于訊證平臺的放用渥游姓于甦密鑰的協(xié)說登景mtjh配蒙的熨堀準(zhǔn)備業(yè)務(wù)系蛾需問步認(rèn)證平臺全 部或部分的身份敝據(jù)者昌歸戴據(jù)不一致，則需要的 商處理.達(dá)成一址息見諺過自我即苗涕加身傍和 死狂做據(jù)年序告E莒業(yè)矣系統(tǒng)只至部朝認(rèn)證平臺 提忸的認(rèn)證按程序.部分 推口可以豆用雙方幕絞都需環(huán)卻罟相應(yīng)的枝 序，程序鯉聲程度低只齋在入口筮簽都翹相應(yīng) 的程片，程序云成不能復(fù)用.墳寺淮吾砂Si用濕濟(jì)業(yè)務(wù)系醞夏甚模墳之間可取 向應(yīng)用浸汨W安現(xiàn)人口菸燃兄化笑系就及 其模塊的空向應(yīng)用勰游，ik備 壅蜿之間不能實現(xiàn).如辯只能實現(xiàn)人口系統(tǒng)到業(yè)秀 系統(tǒng)的單向屁用是疏適用系統(tǒng)詁建立咀虱完全改造的業(yè)努已逢行穩(wěn)定的并可

9、以tt豆相應(yīng) 技術(shù)支椅的業(yè)務(wù)琴岐陳im的且改造晚度較大的業(yè)務(wù)不蜷在信息化建設(shè)中，具體采用何種機(jī)制進(jìn)行認(rèn)證集成，需要具體情況具體分析，但是一般 優(yōu)先考慮基于認(rèn)證平臺的應(yīng)用漫游方式，之后是基于共享密鑰的協(xié)議登錄機(jī)制，最后才考慮 基于自配置的模擬登錄機(jī)制。單點登錄認(rèn)證集成的實踐大連理工大學(xué)從2009年6月開始了學(xué)校的信息化整體建設(shè)，至今已陸續(xù)建成了公共數(shù) 據(jù)交換平臺、統(tǒng)一身份認(rèn)證平臺、校園綜合服務(wù)門戶等基礎(chǔ)平臺，并依次集成教務(wù)系統(tǒng)、研 究生院管理系統(tǒng)、圖書館書目檢索系統(tǒng)、網(wǎng)絡(luò)自助系統(tǒng)、郵件系統(tǒng)、財務(wù)查詢系統(tǒng)、注冊系 統(tǒng)、網(wǎng)站評比等系統(tǒng)，并把它們納入到了學(xué)校單點登錄認(rèn)證體系中，如圖4所示。學(xué)校采用CAS體系搭建統(tǒng)一身份認(rèn)證平臺，此平臺支持LDAP和數(shù)據(jù)庫兩種方式進(jìn)行認(rèn) 證，可以自由切換。校園綜合服務(wù)門戶是學(xué)校用戶的統(tǒng)一入口系統(tǒng)，通過門戶可以漫游到學(xué) 校的各個重要的業(yè)務(wù)系統(tǒng)中。對于新建立的學(xué)生注冊系統(tǒng)和網(wǎng)站評比系統(tǒng)，采用了基于認(rèn)證平臺的方式進(jìn)行認(rèn)證集成， 它們完全采用統(tǒng)一身份認(rèn)證平臺的認(rèn)證模塊，可以實現(xiàn)多點漫游。對于已有的教務(wù)系統(tǒng)、研 究生院管理系統(tǒng)、圖書館書目檢索系統(tǒng)、郵件系統(tǒng)和網(wǎng)絡(luò)自助系統(tǒng)，采用協(xié)議認(rèn)