格式版基于移動(dòng)驗(yàn)證統(tǒng)一身份認(rèn)證研究與應(yīng)用

摘使用人數(shù)逐漸增多、各系統(tǒng)數(shù)目增長的情況下，單獨(dú)子系統(tǒng)的運(yùn)行方式目前已然沒有辦法承載高校各項(xiàng)業(yè)務(wù)，這就驅(qū)使在現(xiàn)代的基礎(chǔ)上各高校將繁多的業(yè)務(wù)向管理集成，因此完成數(shù)字化校園任務(wù)的第一步就是需要實(shí)現(xiàn)統(tǒng)一認(rèn)證系統(tǒng)。目前已有多個(gè)高校建立了統(tǒng)一認(rèn)證系統(tǒng)，用戶僅需使用一個(gè)有效賬號(hào)即可高校中具有相應(yīng)權(quán)限的不同業(yè)務(wù)系統(tǒng)，這大大的提升了用戶的效率，同時(shí)也有效的提升了高校業(yè)務(wù)系統(tǒng)的工作效率。同時(shí)，在建立統(tǒng)一認(rèn)證系統(tǒng)的基礎(chǔ)之上，需要全面的考量該模式下的系統(tǒng)安全問題，所有的業(yè)務(wù)系統(tǒng)均可通過一個(gè)有效賬號(hào)進(jìn)行，在該賬號(hào)被采用較為安全可靠的移動(dòng)驗(yàn)證的方式來規(guī)避該安全風(fēng)險(xiǎn)。的主要作用就是對(duì)信息進(jìn)行集中，它的特點(diǎn)在于可靠的大量信息，因此作為自動(dòng)識(shí)別信息載體，是最為可靠的實(shí)現(xiàn)方式。本文對(duì)統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行分析和研究，進(jìn)而得到一種可靠性高、適用LDAP、SSL技術(shù)、單點(diǎn)登陸技術(shù)和信息技術(shù)，重點(diǎn)研究統(tǒng)一認(rèn)證系統(tǒng)的實(shí)現(xiàn)機(jī)制。其次，根據(jù)高校的需求設(shè)計(jì)出適合高校的統(tǒng)一認(rèn)證系統(tǒng)，尋找出可靠的方式將該系統(tǒng)與信息驗(yàn)證的統(tǒng)一認(rèn)證系統(tǒng)后，基于這種系統(tǒng)實(shí)現(xiàn)模式之下存在的可靠性和相關(guān)：統(tǒng)一認(rèn)證 Atpresent,alongwiththeinformationizationteachingwayandmanagementmodeintherisingpopularityofcollegesanduniversities,thiskindofinformationmanagementmodebringsconvenientandefficienttospeedupthepaceoftheconstructionofbusinesssystemincollegesanduniversities,withthenumberofusersandthebusinesssystems,however,dispersedbusinesssystemmanagementmodehasbeenunabletomeettheneedsofmanagementofcollegesanduniversities,whichhavedriveninuniversitiesonthebasisofmoderninformationtechnologywillbeinawiderangeofbusinesstotheintegrationofmanagementintegration,andestablishaunifiedidentityauthenticationsystemisfurtherpromotingthecampuselectronicvirtualization,acceleratetheconstructionofdigitalcampusfirststepofprogress.Therearemanycollegesanduniversitiessetupaunifiedidentityauthenticationsystem,usersonlyneedtouseavalidaccountcanaccessdifferentbusinesssystemincollegesanduniversitieshaveappropriatepermissions,thisgreatlyimprovetheefficiencyoftheuser'saccess,butalsocaneffectivelyenhancetheworkefficiencyofcollegebusinesssystem.Atthesametime,theestablishmentofaunifiedidentityauthenticationsystem,onthebasisofneedcomprehensiveconsiderationinthismodethesystemsecurityproblem,allbusinesssystemscanbeaccessedthroughavalidaccount,theaccountisstolen,theuseroftherelatedbusinessdatasecurityproblemcannotgeteffectivesafeguard,adoptthemarketatpresentisrelativelysafeandreliableauthenticationwaytocircumventthesecurityrisks.Twodimensionalbarcodeasanewtypehighdensity,largecapacityofinformationstoragetechnology,isallkindsofhighreliabilityinformationstorage,carryingandautomaticallyrecognizedthemostidealmethod.Inthispaper,theunifiedidentityauthenticationsystemforysisandresearch,andthengetahighreliabilityandapplicabilityofthesystemdesignscheme.Firstofall,thestudyofthemaintechnologyintheimplementationscheme,detailstherealizationoftheidentityauthenticationmechanism,ysestheLDAPdirectory,SSLtechnology,singlesign-ontechnologyandqrcodeinformationtechnology,focusonunifiedidentityauthenticationsystemcertificationprocess.Second,designedaccordingtotherequirementsoftheunifiedidentityauthenticationsystemforcollegesanduniversities,lookingforareliablewayofthesystemcombiningwithqrcodeinformationstorage,unifiedidentityauthenticationsystemsecurityissuesthatexistintheaccount.Finally,throughtheimplementationofunifiedidentityauthenticationsystembasedonauthentication,basedonthissystemtorealizethereliabilityunderthemodeofmarketingandrelatedcollegesanduniversitiessomeoftheproblems,putsforwardthefurtherresearchdirection.:Unifiedauthentication;Two-dimensionBarcode;SSL;目第1章引 研究背 本課題研究意 本課題主要研究?jī)?nèi) 結(jié)構(gòu)及章節(jié)安 第2章相關(guān)技術(shù)概 統(tǒng)一認(rèn)證技 2.1.1認(rèn)證概 2.1.2認(rèn)證分 統(tǒng)一認(rèn) 單點(diǎn)登錄技 單點(diǎn)登錄概 單點(diǎn)登錄實(shí)現(xiàn)方 SSL技 SSL協(xié)議體系結(jié) SSL協(xié)議分 概 QR碼編 識(shí) 第3章解決方案及技術(shù)研 會(huì)話技 第4章基于移動(dòng)驗(yàn)證的統(tǒng)一認(rèn)證的系統(tǒng)設(shè) 系統(tǒng)設(shè)計(jì)思想及目 系統(tǒng)設(shè)計(jì)目 系統(tǒng)研究重 系統(tǒng)功能設(shè) 系統(tǒng)業(yè)務(wù)流程設(shè) 移動(dòng)驗(yàn)證模塊業(yè)務(wù)流 統(tǒng)一驗(yàn)證模塊業(yè)務(wù)流 第5章系統(tǒng)的應(yīng)用方 開發(fā)環(huán)境構(gòu) 開發(fā)環(huán)境 服務(wù)器環(huán) 數(shù)據(jù)庫選 模塊詳細(xì)設(shè)計(jì)與實(shí) 單點(diǎn)登錄模塊實(shí) 用戶認(rèn)證服務(wù)模塊實(shí) 移動(dòng)驗(yàn)證模塊實(shí) 第6章總結(jié)與展 研究成 完善與展 致 參考文 第1章引言隨著高校信息化工作的進(jìn)展，高校開始建設(shè)網(wǎng)絡(luò)環(huán)境下的應(yīng)用系統(tǒng)，多年來網(wǎng)絡(luò)應(yīng)用開發(fā)技術(shù)的不斷發(fā)展和變化，各種系統(tǒng)實(shí)現(xiàn)的功能越來越全面，種類越來越多，校園網(wǎng)中子系統(tǒng)數(shù)目增多，用戶數(shù)量呈現(xiàn)增長趨勢(shì)。用戶信息在應(yīng)用服務(wù)系統(tǒng)間不能正常共享造成了很大的麻煩，首先不能為用戶提供統(tǒng)一界面進(jìn)行登錄，當(dāng)用戶申請(qǐng)要變更用戶信息時(shí)，必須在每個(gè)應(yīng)用系統(tǒng)服務(wù)器中進(jìn)行變更，并且這個(gè)變更只能采用人工進(jìn)行，工作量非常大。其次用戶的個(gè)人信息單獨(dú)分散在各應(yīng)用系統(tǒng)中，要想得到全體人員的完整的很難辦到[1]不同應(yīng)用服務(wù)系統(tǒng)中同一用戶相關(guān)信息也可能會(huì)不一致，有可能會(huì)產(chǎn)生。當(dāng)出現(xiàn)人員有變動(dòng)時(shí)，因不調(diào)整其在各個(gè)服務(wù)系統(tǒng)中的權(quán)限有可能會(huì)留下安全隱患。另外，各服務(wù)系統(tǒng)中的用戶信息的成本極高，協(xié)調(diào)較麻煩，效率低下。再次，校園里都擁有了針對(duì)本部門業(yè)務(wù)的應(yīng)用系統(tǒng)，然而由于各個(gè)部門開發(fā)水平和力度不一致，不同的子系統(tǒng)負(fù)責(zé)的工作不同，擁有的數(shù)據(jù)源也是各有區(qū)別，實(shí)現(xiàn)的功能也是各個(gè)子系統(tǒng)所獨(dú)有的，一些功能在多[2]的產(chǎn)品自身的使用頻率和校園中不同部門之間的業(yè)務(wù)不互通，這就導(dǎo)致子系統(tǒng)之間的數(shù)據(jù)沒有辦法通用共享，用戶對(duì)子系統(tǒng)的體驗(yàn)好感大大降低。將分割開來的信息資源整合起來統(tǒng)一管理，高校中各個(gè)分系統(tǒng)依托該統(tǒng)一數(shù)據(jù)交換平臺(tái)進(jìn)行業(yè)務(wù)操作，數(shù)據(jù)交換平臺(tái)負(fù)責(zé)為不同的業(yè)務(wù)系統(tǒng)分發(fā)數(shù)據(jù)并實(shí)時(shí)對(duì)上傳數(shù)據(jù)進(jìn)行更新，這種做法很好的解決了分系統(tǒng)之間相互孤立的情況，方便管理。然而隨之而來的就是高校系統(tǒng)安全的問題，須對(duì)其進(jìn)行嚴(yán)格的管理。隨著部網(wǎng)絡(luò)等問題。建立統(tǒng)一認(rèn)證平臺(tái)也就是整合了單獨(dú)的子系統(tǒng)，同時(shí)范的或存在的加密方法在各系統(tǒng)中被使用。在此基礎(chǔ)之上，即可實(shí)現(xiàn)一次登陸多個(gè)分系統(tǒng)的模式，省去了用戶多次輸入賬號(hào)的繁瑣程序。然而在某一用戶的賬號(hào)遺失或的情況下，該模式無法保證該賬戶在各個(gè)分系統(tǒng)上的安全性，即意味著一個(gè)賬號(hào)用情況下，各個(gè)分系統(tǒng)都將會(huì)安全隱患。這種情況下我們采用識(shí)別來鑒定使用者的進(jìn)行安全認(rèn)然而還有一些子系統(tǒng)之間的業(yè)務(wù)步驟是有部分，例如系統(tǒng)和教務(wù)系目前隨著信息化進(jìn)程的深入，建立一個(gè)統(tǒng)一認(rèn)證系統(tǒng)，對(duì)高校眾多的戶在系統(tǒng)時(shí)，僅需要進(jìn)行一次認(rèn)證，在認(rèn)證成功之后，將會(huì)擁有權(quán)限對(duì)接入該系統(tǒng)平臺(tái)的其他系統(tǒng)進(jìn)行。這種模式首先為用戶提供了很大的方便，用戶僅需要記住一個(gè)認(rèn)證賬號(hào)即可多個(gè)系統(tǒng)，其次對(duì)高校而言，僅需將以前開發(fā)的系統(tǒng)按照規(guī)定接入平臺(tái)即可實(shí)現(xiàn)統(tǒng)一認(rèn)證，提供了高效的系統(tǒng)整合方案，另外，該平臺(tái)的建立有利于管理員進(jìn)行統(tǒng)一管理。還有由于對(duì)用另外，基于現(xiàn)有的統(tǒng)一驗(yàn)證模式之下，分析該模式中的安全隱患，在賬號(hào)用或遺失的情況下能夠保證用戶在分系統(tǒng)中信息的安全性。在目前市場(chǎng)上，通過模式陸者已經(jīng)在各種業(yè)務(wù)場(chǎng)景中被廣泛應(yīng)用，該業(yè)務(wù)邏輯框架穩(wěn)定、安全[5]分析該驗(yàn)證模式的業(yè)務(wù)邏輯模式，整理該模式下的通訊方式，得到合理的系統(tǒng)設(shè)計(jì)方案，保證整個(gè)系統(tǒng)的性?，F(xiàn)階段各個(gè)高校的均擁有基于本部門的業(yè)務(wù)操作系統(tǒng)，不同的系的系統(tǒng)都需對(duì)學(xué)生和老師設(shè)置專有的賬號(hào)、和基本資料，這種設(shè)計(jì)的弊端換平臺(tái)，對(duì)高校各個(gè)的系統(tǒng)數(shù)據(jù)進(jìn)行整合，對(duì)子系統(tǒng)進(jìn)行統(tǒng)一管理。在此基礎(chǔ)之上本課題著重研究對(duì)于該統(tǒng)一數(shù)據(jù)交流平臺(tái)的認(rèn)證問題，采用統(tǒng)一認(rèn)證登錄數(shù)據(jù)交流平臺(tái)，從具體的技術(shù)實(shí)施層面進(jìn)行研究，提出解決方案，解決高校信息管理過程中的數(shù)據(jù)孤島問題，同時(shí)保證數(shù)據(jù)交互時(shí)的信息環(huán)境?？紤]到該種設(shè)計(jì)模式賬號(hào)或?qū)?huì)引起的權(quán)限安全問題，本課題依托于統(tǒng)一數(shù)據(jù)交換平臺(tái)的統(tǒng)一驗(yàn)證，對(duì)其技術(shù)路線，架構(gòu)設(shè)計(jì)進(jìn) 信息技術(shù)設(shè)計(jì)出適合本系統(tǒng)的移動(dòng)驗(yàn)證方式，研究的編碼方式，采用可靠性高的編碼形式嵌入用戶識(shí)別信息并進(jìn)行加密設(shè)計(jì)并實(shí)現(xiàn)一個(gè)基于移動(dòng)驗(yàn)證的統(tǒng)一認(rèn)證體系,該體系能實(shí)現(xiàn)多平臺(tái)統(tǒng)一登錄,采用 進(jìn)行統(tǒng)一認(rèn)證,高整個(gè)系統(tǒng)平臺(tái)的安全性可靠性, 第1章引言2 第3章基于移動(dòng)驗(yàn)證的統(tǒng)一認(rèn)證的系統(tǒng)設(shè)4實(shí)現(xiàn)過程，給出實(shí)現(xiàn)過程中的代碼內(nèi)容。52統(tǒng)一認(rèn)證技認(rèn)證即是通過利用提供的信息進(jìn)行比對(duì)分析，進(jìn)而判斷用戶是否合法。那么統(tǒng)一認(rèn)證就是針對(duì)多個(gè)不同系統(tǒng)設(shè)置的識(shí)別用戶是否合法 認(rèn)證是一個(gè)完整系統(tǒng)的實(shí)現(xiàn)前提，只有在具備了合理的認(rèn)證方式之后，系統(tǒng)中信息的安全才具有保障，它是以理論作為前提，結(jié)合其他方式對(duì)用戶的識(shí)別機(jī)制[7]設(shè)計(jì)這種模式的主要作用在于鑒別網(wǎng)絡(luò)中使用人的真實(shí)，防止網(wǎng)絡(luò)上有些人進(jìn)行信息竊取和活動(dòng)。簡(jiǎn)單的認(rèn)證就是用戶名和的認(rèn)證模式，這也是大多數(shù)系統(tǒng)采用的簡(jiǎn)單的認(rèn)證方式，通過輸入用戶名進(jìn)行比對(duì)。隨著系統(tǒng)對(duì)于安全性要求的提高，目前出現(xiàn)了移動(dòng)口令認(rèn)證、認(rèn)證以及手勢(shì)認(rèn)證等多種認(rèn)證方式[8]。大的方面可以講認(rèn)證方式分為署名認(rèn)證和非署名認(rèn)證方式兩種[9]署名認(rèn)證指的是在雙方進(jìn)行通訊之前首先需要進(jìn)行實(shí)體信息的交互，中使用到的數(shù)字認(rèn)證以及普遍用到的口令等方式均屬于署名認(rèn)證方式。另外一從實(shí)用性來講，建立統(tǒng)一認(rèn)證系統(tǒng)具有一定的實(shí)際意義。一方面，它是客戶端的決策控制參數(shù)，在統(tǒng)內(nèi)部把計(jì)算機(jī)和用戶連接起來并進(jìn)行驗(yàn)證。每一個(gè)系統(tǒng)都擁有不同的結(jié)構(gòu)框架，但在信息和資源配置方面都是以統(tǒng)一認(rèn)證作為基礎(chǔ)的[1]。另一方面，系統(tǒng)審計(jì)日志會(huì)記錄有關(guān)安全風(fēng)險(xiǎn)信息，同時(shí)保存用戶，操作者必須提交正確的驗(yàn)證信息。1、認(rèn)證的方機(jī)運(yùn)行模式[2]。認(rèn)證指的是對(duì)用戶進(jìn)行驗(yàn)證的活動(dòng)，認(rèn)證系統(tǒng)對(duì)比分析用戶是否準(zhǔn)確有效，最開始采用這種技術(shù)主要是為了解決沒有經(jīng)過的行為，也就是認(rèn)證行為。目的在于確認(rèn)核實(shí)用戶信息合法有效，或者識(shí)別防御用戶侵入系統(tǒng)，從而保證網(wǎng)絡(luò)信息資源安全2、認(rèn)證的原考慮到和，一般來說要考慮以下因素可用性即有效性：通過認(rèn)證的用戶可以進(jìn)行數(shù)據(jù)，在過程中其他性：系統(tǒng)中的數(shù)據(jù)信息只有在經(jīng)過認(rèn)證之后的角色才可以進(jìn)行操驗(yàn)證：通過認(rèn)證得到用戶的標(biāo)識(shí)，系統(tǒng)中數(shù)據(jù)的錄入等操作必針對(duì)系統(tǒng)設(shè)計(jì)的安全控制必須遵循以上的幾個(gè)原則。驗(yàn)證、是實(shí)現(xiàn)統(tǒng)一認(rèn)證系統(tǒng)必須的兩個(gè)部分，驗(yàn)證主要負(fù)責(zé)用戶的信息比對(duì)，而則是對(duì)資源的控制。3、的概就是通過某種方式將和秘鑰進(jìn)行一一對(duì)應(yīng)形成某種[14]。一般的形式為的CA(Authority)即頒發(fā)人給對(duì)象的公鑰、公共密鑰來哈希值，并驗(yàn)證數(shù)據(jù)。用戶可以使用和相應(yīng)的私鑰來證明自己的。作為國際標(biāo)準(zhǔn)之一的X.509是現(xiàn)在通用的數(shù)字的標(biāo)準(zhǔn)格式，這個(gè)標(biāo)準(zhǔn)已經(jīng)在今天很多的應(yīng)用中使用，如PKI，SET和SSL，PGP等[15]。、X.509使用對(duì)驗(yàn)證的過程包括：雙向認(rèn)證、三向認(rèn)證、單向的驗(yàn)證只對(duì)原始信息的和完整性提供保護(hù)。只有當(dāng)用戶使私鑰并簽署了時(shí)間戳、“現(xiàn)時(shí)”和目標(biāo)才執(zhí)行單向驗(yàn)證[16]。接收人可以通過證，所以即是雙向驗(yàn)證允許發(fā)送方驗(yàn)證目標(biāo)，目標(biāo)將發(fā)送一個(gè)回復(fù)給發(fā)件人，來簽名而且只有對(duì)應(yīng)的私鑰或發(fā)件人的私鑰可以這個(gè)答復(fù)而“現(xiàn)時(shí)”必須是份驗(yàn)證。除了雙向認(rèn)證之外，發(fā)送答復(fù)目標(biāo)發(fā)送的一個(gè)響應(yīng)，在這里只需2.1.2認(rèn)證分對(duì)象。因此也就意味著系統(tǒng)對(duì)用戶的表達(dá)方法各不相同[19]。認(rèn)證就是驗(yàn)證用戶的過程。認(rèn)證是信息系統(tǒng)的首道關(guān)口，用戶在采用各類認(rèn)證提供用戶信息后，首先由認(rèn)證系統(tǒng)對(duì)用戶信息進(jìn)行認(rèn)證工作，通過對(duì)用戶輸入的信息與數(shù)據(jù)庫比對(duì)來判斷用戶是否可以于該用戶的資源[20]。數(shù)據(jù)庫內(nèi)的信息根據(jù)用戶的業(yè)務(wù)功能需要由系統(tǒng)管理員給以設(shè)置。檢測(cè)機(jī)制實(shí)時(shí)檢測(cè)是否有行為，審計(jì)服務(wù)根據(jù)審計(jì)要求記錄用戶的相關(guān)行為。由此可見認(rèn)證在整個(gè)安全系統(tǒng)是最基本、最重要的安全服務(wù)，它用戶名方用戶名是最常見也是最簡(jiǎn)單的認(rèn)證方法。這種方式是以用戶設(shè)定前最常用的一種認(rèn)證方式[22]。然而實(shí)際上，由于大部分用戶為了防止遺忘，通常會(huì)設(shè)置哪些方便記憶但又容易被他人猜到的有意義的字符串作為，這就存在著諸多安全隱患極易造成。這種認(rèn)證方式在的網(wǎng)絡(luò)環(huán)境中存在著諸多弊端，在密碼不遺失的情況下每次登陸都需要將進(jìn)行傳輸，現(xiàn)在的各種鍵盤和密碼技術(shù)使得該種認(rèn)證方式變得不再可靠。ICIC卡是一種內(nèi)置了認(rèn)證的電子卡片，卡內(nèi)的中包含與指定用戶份相關(guān)的認(rèn)證信息[23]。用戶在登錄系統(tǒng)時(shí)必須將IC卡插入到與系統(tǒng)連接的專用讀卡設(shè)備中，并其中的相關(guān)認(rèn)證數(shù)據(jù)，以驗(yàn)證用戶的。雖然采用IC卡認(rèn)證的安全性得到了很大的提高，但是由于從IC卡中讀取的數(shù)據(jù)是固定不變的，通過網(wǎng)絡(luò)技術(shù)還是能方便的在信息的傳輸過程中得到驗(yàn)證信息，因此這種方式還是存在著根本性的安全隱患[24]。動(dòng)態(tài)口令技術(shù)是一種可以按照一些設(shè)定的特征變量動(dòng)態(tài)改變用戶，并且隨機(jī)生成的使用的安全技術(shù)[25]。它通過生成執(zhí)行設(shè)定的算法，根據(jù)當(dāng)前特征變量的值生成使用。使用時(shí)只需要將當(dāng)前生成并顯示給用戶的新輸入到客戶端用戶界面，即可實(shí)現(xiàn)的確認(rèn)，而且采用一次一密的方式，也能根本上保證用戶的安全性。但是這種方式也存的不相同，引起合法用戶都無法登錄的問題。生物特征認(rèn)證是指采用每個(gè)人唯一的生物特征來驗(yàn)證用戶的技術(shù)，因?yàn)樗苯邮褂萌说奈锢硖卣鱽碜R(shí)別每一個(gè)人的真實(shí)，而每個(gè)人的生物特征完全不同，因此它是最可靠的認(rèn)證方式之一，不過，生物特征認(rèn)證是以生別的技術(shù)難點(diǎn)，比如聲音識(shí)別技術(shù)在人由于特殊情況下發(fā)生變化后能否USBKey基于USBKey的認(rèn)證提供了一種用戶私鑰（或者）存放介質(zhì)，與統(tǒng)一認(rèn)證系統(tǒng)結(jié)合的認(rèn)證方式，它采用軟件和硬件共同使用、一次一密的強(qiáng)雙因子認(rèn)證模式[27]。用一種內(nèi)置智能卡的硬件設(shè)備，通過在內(nèi)的密鑰或數(shù)字來實(shí)現(xiàn)對(duì)用戶的認(rèn)證。有兩種應(yīng)用模式：一是PKI體系統(tǒng)一認(rèn)應(yīng)用層面，在實(shí)際操作過程中，單點(diǎn)登錄成為了這一領(lǐng)域的研究?jī)?nèi)容。目前對(duì)統(tǒng)一認(rèn)證技術(shù)的研究應(yīng)用最廣泛的技術(shù)是自由規(guī)范和公司的PportPsport技術(shù)實(shí)際上是一種b公司控制的統(tǒng)籌式的單一登錄服務(wù)[28]由（Libertyine是一個(gè)由、rle、S、ricnExprs等眾多國際廠商和研究機(jī)構(gòu)聯(lián)合支持的認(rèn)證技術(shù)，目的是為了實(shí)現(xiàn)一個(gè)具有聯(lián)合的、開放的、單一識(shí)別的解決方案,為企業(yè)的認(rèn)證服務(wù)提供技術(shù)規(guī)范與商業(yè)指南。與的集中認(rèn)證方式不同是它運(yùn)用一種稱之為認(rèn)證的機(jī)制，即中的提供者能相互獨(dú)立存在，避免了因單點(diǎn)故障而導(dǎo)致整個(gè)系統(tǒng)的癱瘓。該協(xié)議的SL（SurityrtionrkupLnguge，安全斷言標(biāo)記語言。SL是一個(gè)L框架，可以用來傳輸安全。被用于在不同的安全域之間交換認(rèn)證和數(shù)據(jù)解決b服務(wù)安全和單點(diǎn)登（ingleignonSS）等重要問題[29]。統(tǒng)一認(rèn)證系統(tǒng)作為一種用戶集成認(rèn)證管理系統(tǒng)，通過對(duì)用戶和提供驗(yàn)證通行證的方式，實(shí)現(xiàn)各應(yīng)用系統(tǒng)的用戶權(quán)限管理，建立所有子系統(tǒng)的統(tǒng)一認(rèn)證管理，從而提高整個(gè)認(rèn)證系統(tǒng)的運(yùn)行效率，確保信息認(rèn)證真實(shí)有效。各應(yīng)用系統(tǒng)都具備相應(yīng)的保存和權(quán)限管理功能，認(rèn)證服務(wù)器建立在用戶信息統(tǒng)一數(shù)據(jù)庫上，統(tǒng)一管理各子系統(tǒng)的用戶，從而簡(jiǎn)統(tǒng)一認(rèn)證基本流進(jìn)行統(tǒng)一認(rèn)證時(shí)：用戶請(qǐng)求應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)通過統(tǒng)一端口進(jìn)行用戶認(rèn)證，并把由安全驗(yàn)證傳輸?shù)浇y(tǒng)一認(rèn)證系統(tǒng)。自動(dòng)生成統(tǒng)一認(rèn)證系統(tǒng)登錄界面并進(jìn)行用戶，如果用戶沒有，其信息會(huì)由認(rèn)證系統(tǒng)統(tǒng)一數(shù)據(jù)庫進(jìn)行[29]。用戶經(jīng)過統(tǒng)一認(rèn)證成功登錄后會(huì)自動(dòng)生成一個(gè)客戶端保存信息，同時(shí)支持用戶自由登錄其他子系統(tǒng)。統(tǒng)一認(rèn)證系統(tǒng)操作程序步驟，具體見圖2.1。圖2.1統(tǒng)一認(rèn)證系統(tǒng)結(jié)構(gòu)檢查用戶的標(biāo)識(shí)，在用戶信息數(shù)據(jù)庫中如檢查用戶名已經(jīng)存在，則返回信息，并要求用戶進(jìn)行重新；在信息數(shù)據(jù)庫中的標(biāo)記用戶的為了確保安全的用戶信息數(shù)據(jù)庫不能直接用戶，而是使用加密的密文辨識(shí)用戶的。同時(shí)，在認(rèn)證服務(wù)器服務(wù)數(shù)據(jù)庫中各應(yīng)用系統(tǒng)的L和私鑰；戶口令并，用戶輸入的比較，以驗(yàn)證用戶的；將應(yīng)用程序服務(wù)器的L和密鑰發(fā)送到認(rèn)證服務(wù)器上的客戶端并生成用戶標(biāo)識(shí)，包括用戶名、用戶、登錄時(shí)間、應(yīng)用程序服務(wù)器的L和密鑰的哈希函數(shù)值等；通過客戶端的應(yīng)用服務(wù)器登錄時(shí)間、URL、密鑰和他們的標(biāo)統(tǒng)一認(rèn)證模（1）認(rèn)證組件模統(tǒng)一認(rèn)證系統(tǒng)下的賬號(hào)，該種模式下的主要模塊是各個(gè)子系統(tǒng)。其工作模2.2所示。圖2.2認(rèn)證組件模式工作流冊(cè)賬號(hào)來登錄子系統(tǒng)A。當(dāng)子系統(tǒng)A接收到用戶發(fā)送的賬戶后將其和該站點(diǎn)的唯一標(biāo)識(shí)一起發(fā)送統(tǒng)一認(rèn)證模塊等待認(rèn)證登錄。當(dāng)統(tǒng)一認(rèn)證模塊接收到發(fā)送來的信息之后，首先根據(jù)站點(diǎn)標(biāo)識(shí)查看子系統(tǒng)是否接入統(tǒng)一認(rèn)證系統(tǒng)，然后在用戶數(shù)據(jù)中心中對(duì)子系統(tǒng)發(fā)送過來的用戶賬戶進(jìn)行比對(duì)匹配。站點(diǎn)的權(quán)限令牌，之后該用戶將使用該令牌子系統(tǒng)直到會(huì)話過期。統(tǒng)一認(rèn)證服務(wù)是該模式的主體。當(dāng)用戶登錄統(tǒng)一認(rèn)證服務(wù)之后，在認(rèn)證通過的情況下即可接入該統(tǒng)一認(rèn)證系統(tǒng)的所有子系統(tǒng)，該模式2.3所示：圖2.3用戶某個(gè)接入統(tǒng)一認(rèn)證模塊的子系統(tǒng)時(shí)，將令牌一起發(fā)送統(tǒng)一在令牌被驗(yàn)證合法的情況下，用戶可直接子系統(tǒng)，子系統(tǒng)向統(tǒng)一認(rèn)證模塊返回結(jié)果。為了高效性，子系統(tǒng)可以直接將自身的令牌發(fā)送給用戶，用戶下一次可直接持有該令牌子系統(tǒng)。信任模在如今的網(wǎng)絡(luò)環(huán)境中，系統(tǒng)的將注意力放在安全性與可靠性層面，對(duì)于系統(tǒng)而言，怎樣避免的和針對(duì)系統(tǒng)驗(yàn)證的是一個(gè)系統(tǒng)開發(fā)之前首要需要解決的問題，數(shù)據(jù)的修改或丟失對(duì)于系統(tǒng)的所有者而言是嚴(yán)—認(rèn)證模塊的認(rèn)證。統(tǒng)一認(rèn)證模塊相當(dāng)于所有接入子系統(tǒng)的安全提供安全認(rèn)證保障提供安全認(rèn)證保障[30]2.4圖2.4信任模式工作流接到請(qǐng)求之后統(tǒng)一認(rèn)證模塊創(chuàng)建一個(gè)session，將通過認(rèn)證之后與該會(huì)話問接入統(tǒng)一認(rèn)證模塊的子系統(tǒng)。這個(gè)過程中用戶并不是直接將請(qǐng)求發(fā)送給子系統(tǒng)的，而是通過了統(tǒng)一認(rèn)證模塊進(jìn)行跳轉(zhuǎn)。統(tǒng)一認(rèn)證模塊首先通過子系統(tǒng)的唯一標(biāo)識(shí)ID檢索到子系統(tǒng)的地址，再檢查該子系統(tǒng)是否接入了統(tǒng)一認(rèn)證模塊。卻確定該子系統(tǒng)接入了統(tǒng)一認(rèn)證模塊之后，就將請(qǐng)求轉(zhuǎn)發(fā)到子系統(tǒng)，當(dāng)接入的子系統(tǒng)擁有自己的認(rèn)證模塊，那么請(qǐng)求中包含的信息與子系統(tǒng)的認(rèn)證的信息進(jìn)行關(guān)聯(lián)判定。子系統(tǒng)將認(rèn)證結(jié)果返回給統(tǒng)一認(rèn)證模塊，再由統(tǒng)一認(rèn)證模塊將這種模方式的優(yōu)點(diǎn)在于將統(tǒng)一認(rèn)證模塊作為認(rèn)證的唯一接口，為了防止和一些網(wǎng)絡(luò)，僅需要重點(diǎn)加強(qiáng)統(tǒng)一認(rèn)證模塊的安全防單點(diǎn)登（SS的意思是指用戶通過一次認(rèn)證即可多個(gè)需要進(jìn)行認(rèn)證的系統(tǒng)。SSO可以集中管理用戶，每個(gè)系統(tǒng)取決于信任關(guān)系而進(jìn)行用戶身份認(rèn)證31]。管理員只需要在數(shù)據(jù)庫中對(duì)用戶賬戶操作，因此提高了系統(tǒng)的安全性同時(shí)方便管理一般SSO模型包括用戶提供人以及服務(wù)提供ntrokr基于SL和基于Gteay的實(shí)現(xiàn)[32]teay的解決方案的處理方式是為眾多子系統(tǒng)提供一個(gè)類似門的安全裝置，所有的請(qǐng)求都需要通過們的處理和轉(zhuǎn)發(fā)，而在門上可以設(shè)置一些安全防護(hù)配置保障系統(tǒng)安全，所有子系統(tǒng)通過門來接入外部網(wǎng)絡(luò)基于nt的方案就是提供一個(gè)中間為不同的rokr則是將認(rèn)證和賬號(hào)管理集中在一起進(jìn)行操作管理。SL是一個(gè)L框架，可以用來傳輸安全，它能夠不同的域來進(jìn)行認(rèn)證信息傳輸和權(quán)限信息交目前單點(diǎn)登錄的產(chǎn)品主要有:SUN公司的OpenSSO耶魯大學(xué)開發(fā)的CAS(CentralAuthenticationService,認(rèn)證服務(wù)),的.NetPassport,BEAWebLogic,SAMLOpenSAML[i8]CAS已經(jīng)是一個(gè)可靠該方案的主要由服務(wù)器、瀏覽器和網(wǎng)絡(luò)應(yīng)用構(gòu)成，當(dāng)用戶子系統(tǒng)時(shí)必須經(jīng)過CAS服務(wù)器的認(rèn)證，網(wǎng)絡(luò)應(yīng)用主要負(fù)責(zé)url請(qǐng)求的過濾、重定向和的系統(tǒng)繁多意味著用戶需要多次輸入賬號(hào)進(jìn)行驗(yàn)證才能這也要求用戶必須記住多個(gè)賬號(hào)，而單點(diǎn)登錄技術(shù)使得用戶能夠登錄一次多個(gè)系統(tǒng)無需單獨(dú)進(jìn)行數(shù)據(jù)實(shí)現(xiàn)認(rèn)證，這種集中管理的模式方便管理員對(duì)各個(gè)系統(tǒng)的和數(shù)據(jù)及時(shí)更新，同時(shí)也提高了系統(tǒng)的開發(fā)效率。Agent的所謂的人實(shí)際上就是實(shí)現(xiàn)分布式計(jì)算，它能夠在分布式系統(tǒng)或者一些息[34]。另外人能夠通過自身的狀態(tài)并且檢測(cè)網(wǎng)絡(luò)環(huán)境，針對(duì)某個(gè)實(shí)體根據(jù)基于人的單點(diǎn)登錄解決方案的實(shí)現(xiàn)過程中，認(rèn)證模塊作為一個(gè)中nt的一個(gè)典型的單點(diǎn)登錄解決方案就是SS?；谌藢?shí)現(xiàn)的單點(diǎn)登錄方案能夠支持不同平臺(tái)系統(tǒng)的接入，對(duì)于系統(tǒng)的管理也可分開設(shè)置，它特有的應(yīng)急處理方式也使得它能夠快速然而該方式的實(shí)現(xiàn)需要服務(wù)器、客戶端添加程序，這種方式增加了服務(wù)器性能消耗，另外瀏覽器端的用戶憑證也有遺失的安全問題?；贐roker的在基于經(jīng)紀(jì)人的單點(diǎn)登錄方案中，服務(wù)器統(tǒng)一進(jìn)行認(rèn)證，認(rèn)證通過之后憑證，它是將用戶賬號(hào)信息和認(rèn)證過程統(tǒng)一在服務(wù)器中實(shí)現(xiàn)。這種模式圖2.5錄系統(tǒng)。另外基于經(jīng)紀(jì)人的單點(diǎn)登錄要求每一個(gè)的用戶都必須輸入信息進(jìn)行驗(yàn)證才能接入的系統(tǒng)，因此一些用戶無法對(duì)系統(tǒng)進(jìn)行[35]。基于SAML的基于SL的單點(diǎn)登錄首先由客戶端向認(rèn)證服務(wù)器發(fā)送一個(gè)符合SL規(guī)L作為請(qǐng)求，在服務(wù)器經(jīng)過處理之后返回一個(gè)相同格式的信息。SLSPSL的規(guī)范由幾個(gè)部分構(gòu)成：SLrtion，SLPrtotol，SLbinding等。在使用SL中就存在一些安全。一旦乙方出現(xiàn)了安全問題，信息之后，那么另一個(gè)站點(diǎn)的數(shù)據(jù)信息也同樣會(huì)受到[36]為了保障基于SL的通訊，SSL.509協(xié)議。為了能夠保障兩個(gè)站點(diǎn)之間不會(huì)發(fā)生，還可以采用來防止這種情況的發(fā)生。SAML的規(guī)范包含有和協(xié)議、綁定和概要、安全和隱私注意事項(xiàng)和一致性程序規(guī)范。和協(xié)議主要負(fù)責(zé)定義格式，包含斷言中涉及的三種屬性的和認(rèn)證中的請(qǐng)求、查詢和響應(yīng)時(shí)的協(xié)議。綁定和概要說明了SAML請(qǐng)求/響應(yīng)消息映射到標(biāo)準(zhǔn)通信協(xié)議的規(guī)則,以及在通信協(xié)議嵌入或抽取SAML聲SSLSSL技術(shù)普遍采用的是公開秘鑰的技術(shù)，其提供的服務(wù)主要包含三個(gè)方面：信息的加密服務(wù)、信息的完整性服務(wù)、信息的相互認(rèn)證服務(wù)。SSL協(xié)議可以為通信雙方提供信息的服務(wù)及兩者的認(rèn)證服務(wù)。SSL協(xié)議是位于TCP/IP模SSLSSL2.6SSL記錄協(xié)議（SSLRecordProtocol）:這是在TCP協(xié)議基礎(chǔ)之上的為上Protocol礎(chǔ)之上，在進(jìn)行數(shù)據(jù)交互之前用來確認(rèn)上方的協(xié)議，它的功能主要包括兩SSL協(xié)議的實(shí)現(xiàn)需要握手協(xié)議、SSL修改密文協(xié)議、SSLSSL記錄協(xié)議組成的一個(gè)協(xié)議集合協(xié)同作業(yè)來完SSLSSLSSL記錄協(xié)議能夠保障在建立的SSL連接互數(shù)據(jù)的性和完整性。SSLSSL協(xié)議傳輸?shù)臄?shù)據(jù)都是寫入記錄中進(jìn)行傳輸?shù)?。SSL記錄協(xié)議同時(shí)也定義了記錄頭和記錄中數(shù)據(jù)的格式[38]SSL通訊需要經(jīng)過SSL記錄層、記錄協(xié)議封裝的上層握手協(xié)議、協(xié)議和修改密文協(xié)議。SSLTCP、UDP等協(xié)議的上層協(xié)議，它可以對(duì)一些協(xié)議進(jìn)行封裝。進(jìn)行分組組合、壓縮解壓SSL2.7增加SSLSSL協(xié)

圖2.7SSLSSL協(xié)議是在雙方進(jìn)行數(shù)據(jù)交互過程中，如果任何一方發(fā)生了異常情Fatal錯(cuò)誤,當(dāng)數(shù)據(jù)交互過程中任何一方發(fā)現(xiàn)物理地址有誤，那么此時(shí)發(fā)送一個(gè)fatal錯(cuò)誤同時(shí)關(guān)閉連接并且將所有的會(huì)話記錄清空。Warning消息,這種情況下連接將會(huì)繼續(xù)保持，雙方只會(huì)在日志中記錄當(dāng)SSL了雙方傳輸數(shù)據(jù)的安全需要在一定的時(shí)間內(nèi)更換SSL加密協(xié)議屬于SSL特定協(xié)議的其中一個(gè)當(dāng)雙方完成了握手協(xié)議之后客戶端需要通知服務(wù)器端之后傳送的數(shù)據(jù)使用之前商定的加密并且只能用于其對(duì)應(yīng)的秘鑰才能，同時(shí)協(xié)調(diào)客戶端的相關(guān)模塊也根據(jù)協(xié)調(diào)的和秘鑰處理信息[40]。SSLSSLSSL連接時(shí)進(jìn)行數(shù)據(jù)交互，該協(xié)議是被封裝商加密算法和秘鑰等途徑來確認(rèn)雙方[41]。建立加密SSL據(jù)。的長度和寬度上均可以寫入二進(jìn)制數(shù)據(jù)，因此二維條碼的數(shù)據(jù)容量二維條形碼可以分為很多總類，按照排列方式可以分為堆疊式和矩陣式。不同種類的的編碼和的方式都是不同的。QR下圖2.8是一個(gè)標(biāo)準(zhǔn)的 的結(jié)構(gòu)圖圖2.8 一個(gè)碼字序列。這個(gè)碼子序列就完整的表示了中寫入數(shù)據(jù)的內(nèi)容[43]。糾錯(cuò)級(jí)別和分塊之后的碼字序列得到糾錯(cuò)碼字，將其添加到數(shù)據(jù)碼字序列的尾掩摸：利用掩模圖形平均分配到符號(hào)編碼區(qū)域，使得圖形中的黑目前市面上使用的許多APP均支持掃描，通過移動(dòng)設(shè)備的頭對(duì)條碼定位：條碼定位包括預(yù)處理、定位、角度糾正、特征值提取等多個(gè)步驟首先需要找到二維條碼的區(qū)域相當(dāng)于使用P進(jìn)行掃描時(shí)聚焦 然后不同的條碼具有不同的結(jié)構(gòu)特征，需要根據(jù)特征對(duì)條碼符號(hào)進(jìn)行下一步的處理[45]。條碼分割： 在經(jīng)過邊緣檢測(cè)之后的邊界并不是完整的，只有經(jīng)過進(jìn)一步的修正才可以其中的數(shù)據(jù)，在數(shù)據(jù)之前需要分割出一個(gè)完整的條碼區(qū)域。它的基本步驟就是從符號(hào)的小區(qū)域開始，這個(gè)小區(qū)域可以稱為為了修正條碼的邊界需要加長這個(gè)區(qū)域的范圍使得該范圍能夠包含二維條碼中的所有點(diǎn)。然后可以使用凸殼計(jì)算出結(jié)果然后準(zhǔn)確分割得到整個(gè)數(shù)據(jù)[46]。譯碼。譯碼時(shí)一般是采用激光進(jìn)行識(shí)別或者通過CCD識(shí)別器進(jìn)行識(shí)別，在完成網(wǎng)絡(luò)采樣之后根據(jù)設(shè)置的閾值來分配黑色和白域[47]。一般情況下使制的序列值，再對(duì)得到的序列值進(jìn)行糾錯(cuò)和譯碼整理之后，根據(jù)條碼的邏輯編ASCII碼，這第3章解決方案及技術(shù)研會(huì)話技HTTP協(xié)議是屬于后者，該協(xié)議在客戶進(jìn)行簡(jiǎn)單的資源請(qǐng)求時(shí)是完全可以勝任的，然而當(dāng)涉及到實(shí)時(shí)的用戶的狀態(tài)，及時(shí)的用戶在服務(wù)器中狀態(tài)的情況下，簡(jiǎn)單的無連接協(xié)議是無法實(shí)現(xiàn)的。所謂的會(huì)話技本課題是在統(tǒng)一認(rèn)證的基礎(chǔ)之上采用移動(dòng) 信息進(jìn)行認(rèn)證，認(rèn)證成功之后即可多個(gè)不同系統(tǒng)。在以上的過，客戶端與web客戶端進(jìn)行第一步交互時(shí)，需要在第二部與服務(wù)器進(jìn)行交互時(shí)攜帶第一步web客戶端的信息，即在掃描 得服務(wù)器端能夠通過信息找到具體的會(huì)話并在之后的步驟中對(duì)該會(huì)話進(jìn)行相在瀏覽器與服務(wù)器之間建立連接，進(jìn)行數(shù)據(jù)時(shí)，兩者之間是通過會(huì)話器接收到請(qǐng)求之后創(chuàng)建一個(gè)會(huì)話，即session，該session具備唯一標(biāo)識(shí)符，即sessionId，當(dāng)在會(huì)話的有效期內(nèi)瀏覽器需要另外一個(gè)資源時(shí)，需要將sessionIdsessionIdsessionIdsessionId來標(biāo)識(shí)瀏覽器與服務(wù)器之間的會(huì)sessionId以下是使用sessionId當(dāng)靜態(tài)資源時(shí)，由于無需編譯，因此不會(huì)產(chǎn)生sessionId當(dāng)用戶打開一個(gè)頁面進(jìn)行的時(shí)候，服務(wù)器根據(jù)收到的請(qǐng)求為該頁面自動(dòng)分配一個(gè)session會(huì)話，并通過sessionId作為該會(huì)話的唯一標(biāo)識(shí)符，上文提到在瀏覽器第二次資源是，所發(fā)送的請(qǐng)求頭部將會(huì)加上：sessionIdsessionId來找到該會(huì)話。進(jìn)行數(shù)據(jù)。這種機(jī)制針對(duì)的是session沒有被掉的情況。在使用的瀏覽器中，部分瀏覽器是支持打開多個(gè)頁面的，這種情況下，如果在同一個(gè)瀏覽器中多個(gè)頁面中同一個(gè)頁面，此時(shí)建立的會(huì)話標(biāo)eionId為不同的。web頁面進(jìn)行不同的響應(yīng)，當(dāng)用戶掃描了頁面顯示的后，web頁面做出相應(yīng)的反饋，此時(shí)需要jax在服務(wù)器端接收到發(fā)送來的請(qǐng)求之后進(jìn)行相應(yīng)的響應(yīng)，響應(yīng)的同時(shí)關(guān)閉連接。但是其中的大部分請(qǐng)求是無用的，這就造成了服務(wù)器資源的浪費(fèi)，占用了大量帶寬，造成系統(tǒng)的性能下降。OpenOpenOpenOpenOpenConnectionConnection連接，而是持續(xù)住該連接，直到下一個(gè)請(qǐng)求收到，響應(yīng)完成后才關(guān)閉連接。這種模式的優(yōu)點(diǎn)是在空閑時(shí)段不會(huì)頻繁的請(qǐng)求數(shù)據(jù)，因此損耗的資源較少。另一方面，在服務(wù)器保持連接的過會(huì)消耗資源，返回?cái)?shù)據(jù)的順序沒有保證，不方便后期的管理。下圖OpenOpenOpenOpenOpenConnectionConnection

圖3.1在瀏覽器數(shù)據(jù)是發(fā)送請(qǐng)求之后即進(jìn)入持續(xù)等待狀態(tài)這種情況之下iframesrc屬性，在屬性中設(shè)置為長連接的請(qǐng)求，服務(wù)Websocket:html5websocket技術(shù)的目的就是為了能夠使b/s架構(gòu)的系統(tǒng)具備類似c/s架構(gòu)軟件的實(shí)時(shí)信息處理能力。這種技術(shù)目前正在javascript請(qǐng)求服務(wù)器websockettcp進(jìn)行數(shù)ajax技術(shù)來長時(shí)第4章基于移動(dòng)驗(yàn)證的統(tǒng)一認(rèn)證的系統(tǒng)設(shè)繁瑣程序以及這種機(jī)制所形成的信息孤島，在深化現(xiàn)代化教學(xué)過，要求高建立統(tǒng)一認(rèn)證系統(tǒng)，使得高校系統(tǒng)的用戶群體能夠通過該認(rèn)證系統(tǒng)的操作。對(duì)統(tǒng)一認(rèn)證的工作原理和過程進(jìn)行分析，發(fā)現(xiàn)在用戶賬號(hào)的情較強(qiáng)的移動(dòng)驗(yàn)證方式來解決該，采用QR 種方式有效的解決了賬號(hào)安全，同時(shí)在不影響原有系統(tǒng)工作效率的前提之用戶掃 ，遞交登陸請(qǐng)用戶經(jīng)過統(tǒng)一認(rèn)證可對(duì)多個(gè)系統(tǒng)進(jìn)行本課題的實(shí)現(xiàn)主要依托于java語言來實(shí)現(xiàn)移動(dòng)驗(yàn)證的客戶端是以roid平臺(tái)為基礎(chǔ)進(jìn)行編碼實(shí)現(xiàn)。同時(shí)，為了高校能夠統(tǒng)一管理信息數(shù)據(jù)，建立一個(gè)統(tǒng)一信息數(shù)據(jù)中心，行信息匹配過查閱該信息數(shù)據(jù)中心，對(duì)賬號(hào)信息進(jìn)行驗(yàn)證。本課題中所涉及到的主要在于 陸時(shí)b和服務(wù)器端之間的數(shù)據(jù)交互，客戶端與服務(wù)器之間的實(shí)時(shí)信息交互，對(duì)于以上的問題本課題采用長連接的通訊機(jī)制目前有很多方式來實(shí)現(xiàn)b和服務(wù)器之間的長連接客戶端輪詢、flah的okt、基于html5的webokt，以上三種方式均能實(shí)現(xiàn)長連接，然而客戶端輪詢機(jī)制造成的時(shí)間差導(dǎo)致了服務(wù)器負(fù)載的浪費(fèi)，flah的okt目前而言不是所有瀏覽器支持并且在安全方面考慮部分對(duì)其有個(gè)系統(tǒng)的可靠性和普適性，本課題采用js來實(shí)現(xiàn)長連接，最終能夠使得系本課題是在針對(duì)高校實(shí)現(xiàn)的基于移動(dòng)驗(yàn)證的統(tǒng)一認(rèn)證系統(tǒng)采用QR二維碼、統(tǒng)一認(rèn)證、單點(diǎn)登錄等技術(shù)來實(shí)現(xiàn)一個(gè)可靠性高、實(shí)用性強(qiáng)的應(yīng)用覽器，打開了多個(gè)頁面，當(dāng)用戶使用移動(dòng)設(shè)備掃描了某頁面上的，服務(wù)器端需要知道對(duì)眾多頁面中的哪一個(gè)頁面進(jìn)行操作，下一步的響應(yīng)應(yīng)該針對(duì)某一個(gè)具體頁面。在將移動(dòng)驗(yàn)證與統(tǒng)一認(rèn)證系統(tǒng)整合的過，需要全面的上的之后，web頁面端需要知道用戶已經(jīng)掃描，可以進(jìn)行后續(xù)的流程。選web頁面和服務(wù)器的通CAS，該方案是企業(yè)級(jí)的單點(diǎn)登錄解決方案，同時(shí)，CAS的端支持多種客戶端，包括java、.net、php等，這在很大程度本課題是針對(duì)校園網(wǎng)大環(huán)境設(shè)計(jì)的統(tǒng)一認(rèn)證系統(tǒng)，在該之下，發(fā)性較高，因此在系統(tǒng)設(shè)計(jì)過需要考慮到至少2萬的用戶數(shù)目，同時(shí)在系5秒以內(nèi)。之下進(jìn)行統(tǒng)一認(rèn)證功能的接入。一認(rèn)證系統(tǒng)實(shí)現(xiàn)技術(shù)能夠保障平臺(tái)的可靠性，進(jìn)而為高校信息數(shù)據(jù)提供了體現(xiàn)系統(tǒng)性能優(yōu)勢(shì)，方便在日后平臺(tái)升級(jí)過保際先進(jìn)水平。院院

圖4.1web客戶端，兩者負(fù)web客戶端的標(biāo)識(shí)，再將用戶與設(shè)備綁定的唯一標(biāo)識(shí)傳輸給服務(wù)器進(jìn)行驗(yàn)證，再根據(jù)服務(wù)器用戶信息的驗(yàn)證結(jié)單點(diǎn)登錄模塊的實(shí)現(xiàn)能夠保證用戶在登錄系統(tǒng)進(jìn)行認(rèn)證之后，能夠?qū)λ性摍?quán)限管理模塊的主要職能是為用戶分配資源，可以按照用戶和角色將會(huì)按照之前分配好的角色信息來處理用戶的請(qǐng)求，通過以上的過程，基本實(shí)現(xiàn)了對(duì)用戶、角色、權(quán)限和資源的統(tǒng)一分配和管理。塊，此時(shí)由Ticket-granting生成serviceticket發(fā)給用戶并且將連接重定向至A站點(diǎn)，此時(shí)用戶端的帶有票據(jù)，因此不用跳轉(zhuǎn)直接發(fā)送驗(yàn)證票據(jù)即登錄第一次的A站點(diǎn)第一次子系統(tǒng)中的另一站點(diǎn)此時(shí)用戶的客戶端沒有票據(jù)同時(shí)session中也沒有消息，因此跳轉(zhuǎn)至認(rèn)證，然后認(rèn)證模塊從用戶客戶端的請(qǐng)求中得到ticket并驗(yàn)證。在用戶在此之前的A站點(diǎn)時(shí)，此時(shí)客戶端傳遞的請(qǐng)求中沒有票據(jù)了，直接允許用戶對(duì)站點(diǎn)再次進(jìn)行。模塊的業(yè)務(wù)流程以及統(tǒng)一驗(yàn)證的業(yè)務(wù)流程，在統(tǒng)一驗(yàn)證模塊下又涉及314 網(wǎng)頁登2314 網(wǎng)頁登2、綁定56陸服

圖4.2 統(tǒng)一認(rèn)證登錄頁面在頁面中服務(wù)器會(huì)自動(dòng)為該頁面分配一個(gè)會(huì)話并用sessionId唯一的標(biāo)識(shí)該會(huì)話，在得到sessionId的情況下生成與之對(duì)應(yīng)的QR 與sessionId是一一對(duì)應(yīng)的關(guān)系并且兩者都是唯一存在的。在第一步中已經(jīng)獲取了該頁面唯一的信息，即該頁面的sessionId標(biāo)識(shí)，用戶通過移動(dòng)設(shè)備對(duì)頁面中顯示的進(jìn)行掃描，掃描完成之后移動(dòng)客longpooling來保web客戶端發(fā)送信息通知頁面本地瀏覽器綁定地的瀏覽器需要將該票據(jù)寫入瀏覽器中，在之后用戶資源過，所有的請(qǐng)求都將帶有參數(shù)。系統(tǒng)進(jìn)行。它的整體架構(gòu)如下圖4.3所示：統(tǒng) 認(rèn)證登錄界教家圖4.3統(tǒng)一認(rèn)證整體結(jié)統(tǒng)一認(rèn)證系統(tǒng)的目的就是將分布在高校內(nèi)部的各個(gè)不同異構(gòu)系統(tǒng)的認(rèn)證工作集中在一起，統(tǒng)一進(jìn)行驗(yàn)證處理，通過一個(gè)公用的認(rèn)證系統(tǒng)統(tǒng)一管理和驗(yàn)證用戶的。通過統(tǒng)一認(rèn)證系統(tǒng)認(rèn)證的用戶將會(huì)獲得一個(gè)系統(tǒng)頒發(fā)的，使用該，用戶可以在與統(tǒng)一認(rèn)證系統(tǒng)有接口對(duì)接的系統(tǒng)之間自由的數(shù)據(jù)，不需要不同子系統(tǒng)時(shí)多次輸入賬號(hào)信息。因此設(shè)計(jì)統(tǒng)一認(rèn)證系統(tǒng)需要基本實(shí)現(xiàn)的功能在于首先實(shí)現(xiàn)一個(gè)方便的、跨平臺(tái)的單點(diǎn)登錄認(rèn)證中心，其次，實(shí)現(xiàn)統(tǒng)一認(rèn)證能有效提高系統(tǒng)的易用性和實(shí)用性提高用戶體驗(yàn)度，增加系統(tǒng)率，也有效規(guī)避了多接口導(dǎo)致的安全。本文是基于耶魯大學(xué)的開源項(xiàng)目CAS來實(shí)現(xiàn)一種可靠性高的單點(diǎn)登錄方法，許多企業(yè)利用它來建立自己的單點(diǎn)登錄平臺(tái)，這也意味著其具備成架的客戶端支持非常多的客戶端，這一點(diǎn)對(duì)于高校系統(tǒng)統(tǒng)一認(rèn)證系統(tǒng)的實(shí)現(xiàn)從結(jié)構(gòu)上而言，CAS包含有兩個(gè)部分，這兩個(gè)部分負(fù)責(zé)了單點(diǎn)登錄的主要工作。CASServer證工作。CAS客戶端則是進(jìn)行url過濾，在用戶發(fā)送請(qǐng)求的時(shí)候，根據(jù)其的url判定是否含有認(rèn)證票據(jù)，并分情況進(jìn)行處理，下圖4.4展示了CAS圖4.4CAS以上的CAS認(rèn)證流，客戶端的職責(zé)就是檢查http請(qǐng)求中的票據(jù)進(jìn)行訪問url地址的過濾，在沒有發(fā)現(xiàn)票據(jù)的情況下即說明該用戶沒有登錄系統(tǒng)，此時(shí)客戶端就需要重新將請(qǐng)求url定向至初始頁面。在上圖的第三步中，當(dāng)用戶將認(rèn)證至認(rèn)證服務(wù)器，當(dāng)認(rèn)證通過的情況下，認(rèn)證服務(wù)器將會(huì)隨機(jī)生成一個(gè)相當(dāng)長度、唯一、不可的服務(wù)票據(jù)并且將其緩存，以便將來發(fā)送請(qǐng)求時(shí)用到。之后系統(tǒng)自動(dòng)重定向到服務(wù)器所在的認(rèn)證地址，為客戶端的瀏覽器設(shè)置一個(gè)T，客戶端在拿到了新產(chǎn)生的票據(jù)之后接著將會(huì)進(jìn)行上圖中第五、六步的操作驗(yàn)證，客戶端與服務(wù)器端進(jìn)行核實(shí)，確保票據(jù)的。在以上的過，所有的信息交互都采用第二章中提到的SSL協(xié)議以確保服務(wù)票據(jù)與TGC的安全。另外需要提到的是，CAS還提供模式，即章中提到的單點(diǎn)登錄的認(rèn)證模式，這為更為高級(jí)、復(fù)雜的驗(yàn)證場(chǎng)景實(shí)現(xiàn)提供C/SB/S模式一般不會(huì)采5本課題中在統(tǒng)一驗(yàn)證系統(tǒng)平臺(tái)接入的系統(tǒng)有多種不同的架構(gòu)，目前高B/Sweb系統(tǒng)，一般都是采用三層架前較為穩(wěn)定、安全的模式。本課題是基于Javaweb應(yīng)用系統(tǒng)，Myeclipse作為Eclipse一個(gè)功能強(qiáng)大的插件，集成了許多擴(kuò)展功能。J2EE的開發(fā)環(huán)境和數(shù)據(jù)庫整合在了一起，利用該軟件，可以進(jìn)Myeclipse8.5版本。等版本。TomcatJavaJDK就可以使用,不需要考慮操作系同時(shí)，Tomcatservletjsp引擎和一些擴(kuò)展功能。具備先進(jìn)的本課題針對(duì)的是高校系統(tǒng)的統(tǒng)一認(rèn)證系統(tǒng)的實(shí)現(xiàn)，在本文第三章中提其對(duì)于數(shù)據(jù)的速度是選擇數(shù)據(jù)庫一個(gè)非常重要的標(biāo)準(zhǔn)。它作為微軟一款優(yōu)的，SQLServer2008提供了兩種對(duì)用戶進(jìn)行驗(yàn)證的模式。它提多情況下的數(shù)據(jù)需求。綜合能和安全性兩點(diǎn)，本課題采用的是SQLServer2008數(shù)據(jù)庫。構(gòu)建統(tǒng)一認(rèn)證平臺(tái)中最為重要的實(shí)現(xiàn)就是單點(diǎn)登錄模塊下圖5.1是單點(diǎn)登錄過的用戶進(jìn)行單點(diǎn)登錄時(shí)的時(shí)序圖：圖5.1用戶業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)設(shè)置的過濾配置發(fā)現(xiàn)用戶尚未登錄，這種情況下將用戶的url重定向至認(rèn)證服務(wù)器的登陸端，同時(shí)在重定向的url參數(shù)中當(dāng)用戶瀏覽器接收到票據(jù)后，根據(jù)目標(biāo)地址重新業(yè)務(wù)系統(tǒng)，此并給用戶相應(yīng)的權(quán)限。否是的，此時(shí)業(yè)務(wù)系統(tǒng)將會(huì)將向認(rèn)證服務(wù)器發(fā)送請(qǐng)求確認(rèn)接收到的票據(jù)憑范圍初始請(qǐng)求的業(yè)務(wù)系統(tǒng)，當(dāng)識(shí)別失敗時(shí)，又將連接重定向至登錄驗(yàn)證界JDBC，由于用戶的認(rèn)證信息大多保存在數(shù)據(jù)庫中，因此需要配置數(shù)據(jù)庫連接接口來進(jìn)行數(shù)據(jù)信息的認(rèn)證C認(rèn)證方法支持多種數(shù)據(jù)庫SLSrvr、yqlrleB2.xml，：<beanid="TestdataSource"class="org.springframework.jdbc.datasource.D<property<value>com.<property<propertyid代表的數(shù)據(jù)源名稱，在之后的認(rèn)證模塊設(shè)置中需要調(diào)用。此處配CAS認(rèn)證支持三種模式的認(rèn)證方法，以下是其認(rèn)證的機(jī)制和對(duì)該模式進(jìn)行protectedfinalbooleanthrowsAuthenticationExceptionfinalStringusername=finalStringpassword=tryfinalConnectionc=.getConnection(username,DataSourceUtils.releaseConnection(c,this.getDataSource());}catch(finalSQLExceptione)}}<propertyname="dataSource"ref="TestdataSource"<propertyvalue="selectpasswordfromAccountwherelower(userName)=lower(?)"<beanid="SearodeSearchDatabaseAuthenticationHandler" ="false"singleton="true"lazy-init="default" <property<property<property<propertyname="dataSource"ref="casDataSource"（3）配使用的加密方法，在deployerConfigContext.xml文件中我們可以為具體的類配置一個(gè)property，指定加密器類。<propertyname="passwordEncoder"CAS的初始解決方案中，以下的四個(gè)頁面是必不可少的，每個(gè)頁面都有casGenericSuccess.jsp:在用戶沒有目的地址時(shí)顯示的頁casLoginView.jsp:casLogoutView.jsp:<beanid="viewResolver"<property<value>SSL將機(jī)器A加入Btrust圖5.2AB分開部署在不同的機(jī)器上時(shí)，需要在每個(gè)業(yè)務(wù)系統(tǒng)中需要添加過濾配置來無認(rèn)證的，此處修web.xml<filter-name>CASFilter</filter- <filter-name>CASFilter</filter-單點(diǎn)登錄成功之后即通過服務(wù)器端認(rèn)證之后，會(huì)將發(fā)送至瀏覽器客Session，我們需要在各個(gè)業(yè)務(wù)系統(tǒng)中獲取登錄用戶的信息，CAS的Filter已經(jīng)做好了處理，在登錄成功后，就可以直接從Session的屬性中獲取，方法如下：驗(yàn)證信息使用的是用戶名、獲取到的用戶移端號(hào)碼來進(jìn)行匹配驗(yàn)證如之前章節(jié)所述，首先將獲得的用戶名信息，這里得到的用戶名信息為明文傳送，在數(shù)據(jù)中心進(jìn)行查詢，得到其在數(shù)據(jù)中心中相匹配的移動(dòng)端號(hào)碼，將從數(shù)據(jù)中心得到的移動(dòng)端號(hào)碼來與傳送過來的信息進(jìn)行比對(duì)，如果兩者相同，則認(rèn)為認(rèn)證通過，反之，如果兩者不相同則視為認(rèn)證未通過[5]。在上述信息中，用戶名為明文在數(shù)據(jù)中心中用戶的移動(dòng)端號(hào)碼是通過3DES加密之后保存在數(shù)據(jù)中心中，在服務(wù)器得到客戶端傳送過來的用戶信息時(shí)，其中的用戶標(biāo)識(shí)，即用戶移動(dòng)端號(hào)碼也是加密之后進(jìn)行傳送的，因此兩個(gè)數(shù)據(jù)進(jìn)行比對(duì)時(shí)需要先票據(jù)之后才可對(duì)該系統(tǒng)中的其他站點(diǎn)進(jìn)行，因此用戶需要將服務(wù)器發(fā)送的票據(jù)在本地，這相當(dāng)于一個(gè)令牌。服務(wù)器端在驗(yàn)證通過之后會(huì)創(chuàng)建一個(gè)session來用戶的登陸信息，系統(tǒng)通過檢索該信息來保持用戶的登陸狀態(tài)，對(duì)于該session時(shí)以一個(gè)唯一標(biāo)識(shí)進(jìn)行標(biāo)記，在以后用戶登錄時(shí)，不用每一次登錄請(qǐng)求都對(duì)數(shù)據(jù)中心提取信息進(jìn)行匹配，可以直接通過唯一標(biāo)識(shí)值來查找session是否存在，同時(shí)查看該session是否有效。同時(shí)在客戶端，該sessionId的值也會(huì)在中，由服務(wù)器發(fā)送至覽器客戶端。之后客戶端對(duì)成員站點(diǎn)發(fā)送請(qǐng)求時(shí)，也要將該sessionId一同用戶在認(rèn)證中心登錄成功之后，重定向至初始的成員站點(diǎn)，成員站點(diǎn)移動(dòng)驗(yàn)證模塊的功能實(shí)現(xiàn)主要包含著三個(gè)功能模塊，用戶客戶端，瀏覽器客戶端以及服務(wù)器端，三個(gè)模塊各自負(fù)責(zé)實(shí)現(xiàn)不同的功能，通過模塊之間的通訊進(jìn)行數(shù)據(jù)傳送，客戶端負(fù)責(zé)的主職能是在對(duì) 進(jìn)行掃描之后獲取用戶唯一標(biāo)識(shí)信息，將信息傳送至服務(wù)器進(jìn)行驗(yàn)證。該模塊中瀏覽器的主要職能是獲取 ，實(shí)時(shí)的與服務(wù)器進(jìn)行交互，將執(zhí)行結(jié)果顯示至頁面上，與用戶進(jìn)行交互。服務(wù)器的職能則是上一節(jié)中提到的認(rèn)證，將移動(dòng)端發(fā)送的唯一標(biāo)識(shí)信息進(jìn)行比對(duì)得到驗(yàn)證結(jié)果據(jù)以上所述可以得到下圖5.3中的流程圖： 圖5.3StringstrPhoneNum=phoneMgr.getLine1Number();三、獲取頁面的生成必須包含有頁面的sessionId頁面之后，該頁面有唯一的標(biāo)識(shí)，當(dāng)用戶掃描了該頁面的之后，后續(xù)步QRcode擴(kuò)展功能，它webhttp.createServer(function(req,res){varURL=url.parse(req.url);varuuid4=UUID.create();varsessionId=uuid4.toString();if(PATH=="/qrcodeimage"){varsessionId=URL.query;if(typeof(sessionId)!="undefined"){generateQRCode(sessionId,req,res);}elseconsole.log("no}}elseif(PATH=="/"){generateIndex(sessionId,req,res);}}).listen(8888,在web服務(wù)器的代碼中，我們8080端口，并對(duì)url做分析，如url為/generateIndex方法，這個(gè)方法返回歡迎頁面。如果qrcodeimage頁面則調(diào)用生成方法，該方法負(fù)責(zé)生成，此處的generateQRCode()方法實(shí)現(xiàn)如下所示：functiongenerateQRCode(sessionId,req,res){res.writeHead(200,{'Content-Type':QRCode.draw(sessionId,function(err,canvas){}用戶在首頁的時(shí)候，服務(wù)器創(chuàng)建sessionId，并將這個(gè)ID作為創(chuàng)建二維碼的參數(shù)，而服務(wù)器再根據(jù)這個(gè)參數(shù)創(chuàng)建響應(yīng)的，頁面和是在用戶接入統(tǒng)一認(rèn)證的站點(diǎn)時(shí)，通過sessionId生成信息顯示在登錄頁面，該中包含了瀏覽器sessionId值以及服務(wù)器端的地址，其5.4所示：圖5.4Activity，分別是掃描和zbarjava使用cnativelibrary，zxingsessionIdstrPhoneNumPreviewCallbackpreviewCb=newPreviewCallback()publicvoidonPreviewFrame(byte[]data,Cameracamera){Camera.Parametersparameters=camera.getParameters();Sizesize=parameters.getPreviewSize();Imagebarcode=newImage(size.width,size.height,"Y800");intresult=scanner.scanImage(barcode);StringqrcodeString=null;if(result!=0){previewing=false;SymbolSetsyms=scanner.getResults();for(Symbolsym:syms){qrcodeString=}}if(qrcodeString!=null){Intentintent=newIntent();intent.putExtra("qrcodestring",qrcodeString);intent.putExtra("strPhoneNum",strPhoneNum);}}將獲取到的sessionId和strPhoneNum傳送給第二個(gè)Activity，當(dāng)?shù)诙€(gè)Activity啟動(dòng)的時(shí)候，此時(shí)說明用戶已經(jīng)掃描成功，需要通知服務(wù)器用戶已經(jīng)掃privatefinalstatichttpsessionId和strPhoneNum。5.5圖5.5在用戶掃描了頁面上的5.6圖5.6服務(wù)器端的任務(wù)非常繁多，既要與客戶端進(jìn)行交互，也要與瀏覽器端5.7產(chǎn)生產(chǎn)生Long使用數(shù) 進(jìn)圖5.7http.createServer(function(req,res)//parsevarurl_parts=url.parse(req.url);varpath=url_parts.pathname;varuuid4=UUID.create();var_sessionId=uuid4.toString();if(path=='/'){}elseif(path=='/poll')//}elseif(path=='/qrcodeimage') 的請(qǐng)求，參數(shù)為}elseif(path=='/moblogin')}elseif(path=='/scanned'){}elseif(path=='/confirmed'){}elseres.writeHead(200,'Content-Type':'text/html;charset=UTF-}}).listen(9999,3DES對(duì)該唯一標(biāo)識(shí)進(jìn)行加密，將加密之后的信息到redis中以備之后驗(yàn)證在首頁模塊需要處理的是為頁面添加sessionId，當(dāng)用戶首次系統(tǒng)首頁if(path=='/')varsessionId=if(typeof(sessionId)=="undefined"||sessionId==""){res.writeHead(200,{

'Refresh':'0;url=/?'+'Content-Type':'text/html;charset=UTF-}elsegenerateIndex(sessionId,req,}} 面章節(jié)進(jìn)行了闡述，此處不再說明Longpollingif(path=='/poll')//varsessionId=url_parts.query;varsessionObj={'sessionId':sessionId,'res':resconsole.log('added'+}在longpolling維持情況之下，處理已掃描和確認(rèn)登錄功能的實(shí)現(xiàn)，是通過varpoll=function()$.getJSON('/poll?SESSIONID',function(response){varcmd=response.cmd;if(cmd=='scanned'){}elseif(cmd=='pclogin')varusername=response.username;}}varpclogin=function(username)$('#output').text('：'+username+'，您已成功登錄}varscanned=function()}了該，因此實(shí)時(shí)得將頁面狀態(tài)進(jìn)行跳轉(zhuǎn)。如圖5.8所示：圖5.8在用戶掃描完信息之后，客戶端也點(diǎn)擊確認(rèn)登錄系統(tǒng)之后，系統(tǒng)將會(huì)根據(jù)