摘 要：本文针对数字化校园讨论并分析了单点登录的多种技术实现方案，结合数字化校园的实际情况，达成了一种契合实际并拥有较低综合成本的单点登录解决方案。该方案以CAS为基础实行统一认证，并结合轻量级目录服务技术作为用户身份管理，为学校提供了一个较易管理和实现的单点登录体系，解决现有多账号问题，并为信息化发展提供良好的扩展基础。

关键词：单点登录；SSO；CAS；轻量级目录访问协议；LDAP

中图分类号：TP311.52 文献标识码：A 文章编号：2096-4706（2017）03-0073-05

The Whole Design of Campus SSO System

ZHOU Jun

（Guangzhou Construction Engineering Vocational School，Guangzhou 510000，China）

Abstract： Aiming at the digital campus， this paper discusses and analyzes a variety of technology implementations of single sign on，combined with the actual situation of digital campus， a single sign on solution has been found which is practical and has lower integrated cost.This scheme is based on CAS unified authentication， and combined with the lightweight directory service as the user identity management， provides a relatively easy management and implementation of SSO system to solve the existing problems of school， multiple accounts and provide extended， good foundation for the development of information technology.

Keywords： single sign on； SSO； CAS； lightweight directory access protocol； LDAP

1 背景及設计方向

在广州的中职、中小学中，计算机网络与通信技术为数字化校园的不断普及搭建了一个强大的舞台，信息技术的触角伸展到了校园的每一个角落，校园网内各类应用系统也不断增加，越来越多的人享受到了信息化时代工作与生活的便利。但问题也随之而来，其中之一就是校园网中各种应用系统的登录与验证问题日益突出，频繁登录各类系统造成的效率低下，账号管理的混乱，重复记忆的负累，账户的安全问题等，都是信息化建设中急需解决的。本文试图达成一种可行的、契合实际并拥有与较低综合成本的单点登录解决方案。解决现有多账号问题，并为信息化发展提供良好的扩展基础。

1.1 设计原则

（1）低成本。在学校信息化过程中，各方面原因都决定了低成本无疑总是会处于最优先考虑的因素范围内。

（2）易用、简单、实用。易用则体现在人机交互上，尤其是用户水平差距较大时，良好的人机交互将是大家对系统设计是否合理最直观的体会，这也包括管理人员是否能方便的管理系统，增加效率；合理的简单，体现在系统易于实现，以及后期容易维护，也影响到系统的成本与易用性；实用，花哨的功能总是会占据大量的系统资源与成本，也增加了设计复杂度。

（3）易于实现。难于实现的方案不但浪费人力、物力、金钱与时间，也提升了系统复杂度与管理难度，甚至失去前瞻性而影响将来系统的扩展性，有成为空中楼阁的可能性。

（4）兼容性。良好的设计，要保证系统原有的应用能够兼容，但通常对于众多应用系统往往很难全部兼顾，或者需要显著增加设计难度与成本，此时只能根据需要进行合理的取舍，或者做个较长期的设计规划，依计划实行。庞大复杂的系统很难一蹴而就，有时候也并非是件好事。

（5）扩展性。扩展性涉及到以后信息化道路上新增加的应用系统能够更容易的集成到现有校园网平台中来。从这点来看，这关系到长远的规划，主流的技术通常能对将来众多的应用给予更多的前瞻性支持，应予以相应的重视。

（6）安全性。认证过程是一个较为敏感的过程，用户身份信息、个人信息、密码凭证等都需要得到较高的安全保障。单点登录统一认证本身决定了一旦信息泄密，将有可能造成比传统独立分布认证严重得多的后果，甚至造成不可估量的损失。

（7）结合实际使用环境合理设计，分步实现。由于SSO系统的集成与实现一般都涉及到比较多的方面，比较复杂，我们一定要结合实际使用环境进行设计，脱离现实环境，往往造成系统方案难于落实。我们还可以考虑由易入难，阶段性实施，分步完成，在较长时期内进行研究改进与完善，无疑将使SSO系统更容易实现。

1.2 设计目标

在充分考虑校园网的具体环境与需求，并遵守设计原则的前提下，单点登录系统需满足以下基本功能。

（1）统一身份认证。统一身份认证是单点登录系统的核心功能，用户只需要提交一次身份及凭证信息进行认证，就可以在网络中无缝的访问所有经过授权的软硬件资源，不同应用系统之间的身份认证过程在后台自动完成，对用户是透明的。

统一身份认证包含认证方式统一、认证身份与凭证统一两个方面：①认证方式统一，不再是以前的各应用系统种类多样的认证方式，在某些应用系统中及将来增加的应用系统中甚至可以考虑认证界面与入口都统一。②认证身份与凭证统一，即只使用一种身份标识与凭证，方便用户记忆与管理。不再像以前一样需要记忆多种身份标识，比如有的用身份证号、有的用次序编号、有的用学号，多种多样，记忆混乱，很难与应用系统一一对应起来。

（2）统一用户管理。统一用户管理也是SSO系统的核心功能。从各应用系统或权威信息源獲取标准信息，汇总后建立统一的标准信息，形成校级用户身份信息库。并集中对用户信息包括身份与凭证进行管理维护。

（3）整合衔接各应用系统。利用统一的平台和接口规范，将各个相关系统与各种信息资源纳入到统一的认证平台中集成起来。为保持用户认证操作习惯的连续性，对原有系统可以视情况保留其原来的登录界面与认证方式进行过渡。而对新应用系统，则最好嵌入单点登录客户端模块用统一的方式认证。

（4）高度的安全性与可靠性。由于集中认证服务本身的功能性质，一旦出现问题，影响的可能是整个的校园信息化平台，这就要求系统架构设计考虑周详，保证SSO系统持续、稳定、可靠和安全的运行。

针对这些要求，考虑实际情况，将用户的认证与授权、用户信息管理两大功能作为SSO实现重点，这也是SSO系统必须实现的核心功能，是本文的讨论重点。

2 统一认证方案的比较与选择

2.1 SSO软件产品分类与比较

单点登录的具体实现方案有多种，还未有统一标准，主要可归结为三大类产品，如表1。

在三大类产品中，综合成本最低、无版权问题的开源产品是学校类单位的最佳选择，并且学校可根据自身的实际情况进行必要的二次开发。

2.2 开源SSO产品对比

上表我们对SSO三大类产品进行了横向对比，得出开源产品是学校类单位的最佳选择。那么对于开源SSO产品，也有几种方案，我们对其中的三种开源方案进行对比，如表2。

2.3 几种SSO具体实现方法的比较

我们对流行的几种SSO具体实现方法的也进行一下对比，如表3。

综合以上产品方案与实现方法的比较，以及校园网单点登录系统的设计需求和实际情况，Yale大学的CAS是较好的单点登录方案，而且它所支持的代理功能在实际环境中对很多老旧的系统也有一定优势。

3 统一用户管理方案的选择

3.1 目录服务

用户身份信息的集中存储与管理需要与原各应用系统的用户身份数据库进行信息交互，也要与异构数据库进行数据交流。通过目录服务，可以实现这些功能。而一个良好的目录服务在可管理性、安全性、扩展性、响应速度等方面应具有比较优势的特点。

3.2 LDAP

身份信息数据的结构、作用、以及运作机制，对存储和管理身份信息选择采用什么方式有决定作用。SSO系统使用的身份信息如：用户标识、姓名、组织机构等通常比较固定，基本上很少改动，而单点登录统一认证主要是频繁查询这些信息，也很少进行修改。此种机制特性决定了，可以选用LDAP来构建目录服务器。LDAP是此种情况下最好的数据存储方式之一，LDAP不但简洁易于实现，而且支持面向数据的查询服务和分布式管理。这使其适用于快速响应大容量的查询并且提供多目录服务器的信息，并且具有管理方便、安全可靠、扩展性好的优点。

4 整合衔接各应用系统的认证集成模式

认证集成的三种模式：（1）基于认证平台的应用漫游；（2）基于共享密钥的协议登录；（3）基于自配置的模拟登录。

在SSO系统认证集成方案选择中，作为单点登录系统，还是应该以基于认证平台的应用漫游模式为主进行优先考虑，将来新增加应用系统时，可以要求新应用接入统一认证平台，才是比较利于管理的较长远的解决方案。

但考虑到校园网内原有的应用系统的现实情况，原应用系统种类多，环境复杂，要全部进行修改显然不太容易完成，且成本高昂，那么部分旧有应用还是采用基于共享密钥的协议登录或者基于自配置的模拟登录模式比较合理，尤其是比较陈旧且难于改造的系统。而且为保持用户认证操作习惯的连续性，对原有系统可以视情况保留少量其原来的登录界面与认证方式进行习惯过渡，也可以使项目更平滑透明的应用到用户之中。

那么，由此就形成了一主二辅，三种模式混合共存的解决方案，这也是属于基于代理与经纪人的单点登录模式，正好与CAS方案机制相合。

5 安全设计与可靠性

5.1 信息交互安全性

SSO系统信息交互频繁，交互过程通常分为2个部分：

（1）身份认证服务和应用系统、使用用户之间的信息交互。（2）用户和应用系统之间的认证信息交互。在各方通信时，通常可使用SSL安全传输通道进行通信，保障通信安全。

5.2 CAS认证机制的可靠性

在CAS中采用Kerberos协议，Kerberos基于DES对称加密体制的认证系统，可以保护客户数据库和密钥，进行安全的身份验证。

会话内容的加密：也可以采用Kerberos保护会话密钥用以加密会话信息

5.3 LDAP信息传输安全性

采用TLS（Transport Layer Security，传输层安全） 和 SASL（simple Authentication and Security layer，简单认证安全层） 保证信息传输的安全性。

5.4 LDAP信息管理稳健性

对LDAP用户数据的维护，在校园网内新生入校时，大量的学生信息维护将产生的频繁的信息更新与交换，可以采用SOAP（Simple Object Access Protocol简单对象访问协议）提供异步消息传递，提高效率，增加系统的稳健性。

6 SSO系统整体结构

遵照本系统预先设定的设计原则，在结合实际应用环境与具体要求的情况下，经过以上的充分探讨、分析和论证，紧紧围绕着设计目标，最终形成了一个可行的相对容易实现与管理的单点登录模型方案，其整体结构如图1。

7 LDAP目录树设计与实现

LDAP中最重要的是目录树的设计，数据是按属性结構储存，称之为DIT（目录信息树），DIT的叶子为入口，每个入口由1个该目录树唯一名称（DN）和任何树的属性/值对组成，每个属性可以对应多个值。目录树总体结构如图2。

8 业务系统认证集成的实现

8.1 认证集成的实现要点

三种业务系统认证集成方式，其具体实现过程与要点分别如下[7-8]：

（1）对于基于认证平台的通过接入客户端进行系统集成的方式，一般需要通过四个步骤实现：部署接入客户端文件、修改业务系统登录验证配置、配置客户端认证模块和获取用户名。（2）对于共享密钥的协议登录方式，要为校园门户和应用系统设计一个比较复杂的密钥，然后形成协议数据并传递到应用系统中。（3）对于基于自配置的模拟登录方式，需要在入口系统部署相应的连接认证程序，模拟登录界面，然后建立一个入口系统账号表并映射到相应的各个应用系统账号。

8.2 认证集成的循序渐进

除了较新的应用系统之外，为了衔接老旧的系统，通常需要使用全部三种集成认证方式，但每种的侧重点是不同的，其重要性与实现的成本也是不同的。通常我们希望尽可能的将更多的应用系统集成进来，但要考虑财力、物力、人力以及时间等综合成本，这将会非常高昂或者无法承受的，尤其是对那些已经无法得到应用开发商支持的陈旧应用系统。

因此，在项目的实际集成过程中，我们可以：（1）对每个应用系统视情况采用合适的认证集成方式，不应过度强求改变为另外的认证集成方式。（2）采用循序渐进的策略，在较长的一段时间里将应用系统逐个集成进来，不应强求项目一次性集成所有应用系统的认证，这将有利于降低项目的实施难度，为顺利完成项目赢得更多时间，并有利于测试认证系统的安全性与稳定性。

9 结 论

本文针对数字化校园中单点登录在遵照实际应用环境与具体要求的情况下，设定了一些设计原则，并通过探讨、分析、对比、充分论证与研究，最终形成了一个可行的、容易实现与管理的、拥有较低综合成本的单点登录模型方案，以此实现了SSO系统两大核心功能：用户的统一认证、身份管理，达到了预订的设计目标，是一个比较典型的简单、快速、高效、低价的方案，在信息化建设中能够作为本类学校的有效实行方案。

参考文献：

[1] 高勃.单点登录技术的概述 [J].中国科技信息，2007（23）：127-129.

[2] Microsoft Corporation. Microsoft .NET Passport Technical Overview，2001.

[3] 李景峰，祝跃飞，张栋.用户控制下Cookies安全研究与实现 [J].计算机工程，2005（14）：150-152.

[4] 郭晓明.数字校园中Web单点登录体系的研究与应用 [D].大连理工大学，2011.

[5] 江海龙，刘伟祥，邵志骅.单点登录在交通管理信息系统中的应用研究[J].中国公共安全（学术版），2010（02）：101-104.

[6] 曹晔.基于校园网的单点登录系统的研究与设计 [D].首都经贸大学，2009（03）：21-22.

[7] 李国金.基于角色的访问控制在企业电子商务系统中的应用研究 [D].辽宁工程技术大学，2006.

[8] 严悍，张宏，许满武.基于角色访问控制对象建模及实现 [J].计算机学报，2000（10）：1065-1069.

作者简介：周军（1977.07—），男，江西萍乡人，本科，计算机实验师，毕业于江西师范大学。研究方向：计算机网络技术。