基于Domino LDAP的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄的設(shè)計(jì)與實(shí)現(xiàn)

范佳寧

摘 要： 隨著“數(shù)字化校園”的飛速發(fā)展，校園網(wǎng)環(huán)境下的應(yīng)用系統(tǒng)不斷增加。由于校園網(wǎng)內(nèi)各個(gè)應(yīng)用系統(tǒng)的開(kāi)發(fā)平臺(tái)和用戶(hù)管理的相互獨(dú)立性，使得同一用戶(hù)在訪問(wèn)不同應(yīng)用系統(tǒng)時(shí)不得不多次進(jìn)行身份認(rèn)證和確認(rèn)，這給用戶(hù)帶來(lái)了麻煩。

為解決這一問(wèn)題，本文從校園網(wǎng)現(xiàn)有應(yīng)用系統(tǒng)的實(shí)際情況出發(fā)，在較深入地研究了各種單點(diǎn)登錄現(xiàn)有技術(shù)基礎(chǔ)上，提出了基于Domino LDAP（Lightweight Directory Access Protocol）的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄解決方案，以方便用戶(hù)。該方案的基本思想是采用已有的LDAP目錄服務(wù)提供用戶(hù)身份數(shù)據(jù)，以Cookie作為系統(tǒng)間登錄信息傳遞的手段。

論文詳細(xì)分析了校園網(wǎng)單點(diǎn)登錄（SSO）所需的關(guān)鍵技術(shù)和具體實(shí)現(xiàn)方法，以已有的基于兩個(gè)不同開(kāi)發(fā)平臺(tái)的應(yīng)用系統(tǒng)（辦公自動(dòng)化系統(tǒng)和工資管理系統(tǒng)）間的單點(diǎn)登錄為例，實(shí)現(xiàn)了基于LDAP的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄，并對(duì)系統(tǒng)性能進(jìn)行了分析。

關(guān)鍵詞：LDAP 單點(diǎn)登錄 統(tǒng)一身份認(rèn)證 Cookie

中圖分類(lèi)號(hào)：TP311.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）05-0018-03

一、引言

隨著網(wǎng)絡(luò)技術(shù)的日益普及、教育投入的不斷增加和教育水平的不斷提高，“數(shù)字化校園”和“無(wú)紙化辦公”工作的不斷推進(jìn)，校園的信息化水平也在逐步提升。大部分學(xué)校在原有的電子設(shè)備的基礎(chǔ)上，又引進(jìn)了諸多辦公應(yīng)用系統(tǒng)，如辦公自動(dòng)化系統(tǒng)，工資管理系統(tǒng)，學(xué)籍管理系統(tǒng)，郵件管理系統(tǒng)，校訊通系統(tǒng)，師訓(xùn)教育管理系統(tǒng)以及相關(guān)的FTP服務(wù)等等，以滿(mǎn)足不同的教育教學(xué)需求。每種應(yīng)用系統(tǒng)都需要進(jìn)行身份的識(shí)別認(rèn)證并且對(duì)不同身份所擁有的操作權(quán)限進(jìn)行授權(quán)。一般的方法是在每一個(gè)應(yīng)用系統(tǒng)中建立獨(dú)立的身份認(rèn)證模塊，使用獨(dú)立的認(rèn)證機(jī)制在各自的身份認(rèn)證文件或數(shù)據(jù)庫(kù)中認(rèn)證。這種管理模式和方法暴露出許多問(wèn)題：因?yàn)檫@些應(yīng)用系統(tǒng)在建設(shè)的初期往往各自獨(dú)立，特別是用戶(hù)管理的功能都是各自為政，沒(méi)有進(jìn)行統(tǒng)一的規(guī)劃，甚至連開(kāi)發(fā)平臺(tái)也不統(tǒng)一，這造成同個(gè)用戶(hù)在不同系統(tǒng)中的用戶(hù)名、密碼和權(quán)限都各自獨(dú)立，互不相關(guān)，在訪問(wèn)不同應(yīng)用系統(tǒng)時(shí)不得不多次進(jìn)行身份認(rèn)證和確認(rèn)。

在學(xué)校統(tǒng)計(jì)辦公系統(tǒng)使用情況時(shí)我們發(fā)現(xiàn)，由于校園網(wǎng)內(nèi)教師們?cè)谛畔⒓夹g(shù)應(yīng)用水平上的差異性和局限性，更由于繁多的用戶(hù)帳號(hào)，教師們?cè)谑褂眠@些應(yīng)用系統(tǒng)時(shí)十分不便，各個(gè)系統(tǒng)的用戶(hù)名和密碼容易混淆甚至忘記，大多數(shù)用戶(hù)會(huì)選擇簡(jiǎn)單易記的用戶(hù)名和密碼，有人把用戶(hù)帳號(hào)寫(xiě)在字條上，有人把所有的用戶(hù)名和密碼都設(shè)為統(tǒng)一的最簡(jiǎn)單的口令；有人為了避免重復(fù)登錄系統(tǒng)，干脆在不使用服務(wù)的情況下也不退出系統(tǒng)；更有甚者干脆就嫌麻煩而棄置不用。這樣的系統(tǒng)既增加了用戶(hù)的負(fù)擔(dān)，也容易導(dǎo)致違反基本安全策略的事件發(fā)生，使系統(tǒng)更容易受到攻擊，降低了系統(tǒng)的安全性。而且各處室部門(mén)對(duì)于辦公系統(tǒng)的使用情況的不平衡也成了學(xué)校推行“數(shù)字化校園”的瓶頸。

分析其原因，這一切都是由于分散的用戶(hù)管理造成的，各個(gè)系統(tǒng)間沒(méi)有聯(lián)系。這就迫使用戶(hù)在進(jìn)入每一個(gè)系統(tǒng)時(shí)都要重新提交自己的身份標(biāo)識(shí)，來(lái)通過(guò)系統(tǒng)的認(rèn)證?？傊谛屎桶踩囊蛩?，人們必須改變傳統(tǒng)的認(rèn)證機(jī)制，設(shè)計(jì)出一個(gè)更為高效、安全的網(wǎng)絡(luò)認(rèn)證機(jī)制，即校園網(wǎng)內(nèi)一個(gè)統(tǒng)一的登錄方案，使校園網(wǎng)絡(luò)用戶(hù)能在最初訪問(wèn)校園網(wǎng)絡(luò)時(shí)的一次身份驗(yàn)證，對(duì)所有被授權(quán)的多系統(tǒng)網(wǎng)絡(luò)資源進(jìn)行無(wú)縫的訪問(wèn)，即校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)。

二、校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)

單點(diǎn)登錄Single Sign-On（SSO）系統(tǒng)能夠通過(guò)一次身份認(rèn)證，進(jìn)而透明登錄所有授權(quán)應(yīng)用。也就是用戶(hù)只需要在網(wǎng)絡(luò)中主動(dòng)地進(jìn)行一次身份認(rèn)證過(guò)程，然后就可以訪問(wèn)其被授權(quán)使用的所有處在網(wǎng)絡(luò)上的資源而不需要其主動(dòng)參與其后的身份認(rèn)證過(guò)程。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的目的就是為校園內(nèi)多個(gè)應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游”的目標(biāo)，方便用戶(hù)使用，減少系統(tǒng)管理開(kāi)銷(xiāo)，增強(qiáng)安全性能。具體來(lái)說(shuō)，即規(guī)范、統(tǒng)一和科學(xué)的用戶(hù)身份和網(wǎng)絡(luò)資源基礎(chǔ)信息結(jié)構(gòu)；建立校園網(wǎng)絡(luò)用戶(hù)統(tǒng)一身份認(rèn)證的基本模型，實(shí)現(xiàn)一個(gè)建立在上述基礎(chǔ)信息結(jié)構(gòu)基礎(chǔ)上的校園網(wǎng)統(tǒng)一身份認(rèn)證實(shí)驗(yàn)系統(tǒng)；實(shí)現(xiàn)基于Domino LDAP的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄，真正減輕校園網(wǎng)用戶(hù)的負(fù)擔(dān)，減少系統(tǒng)管理的開(kāi)銷(xiāo)。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)應(yīng)遵循如下原則：

第一個(gè)原則是WEB環(huán)境：該模型的設(shè)計(jì)是為了解決單點(diǎn)登錄的問(wèn)題。即用戶(hù)端使用通用的瀏覽器，并且該瀏覽器使用了Cookie技術(shù)。

第二個(gè)原則是方便性：使用該模型能改善以前獨(dú)立登錄帶來(lái)的問(wèn)題，同時(shí)為了不給用戶(hù)增加額外的負(fù)擔(dān)，該模型也不會(huì)在用戶(hù)方安裝任何插件。即對(duì)于用戶(hù)來(lái)說(shuō)完全是綠色的。但是會(huì)在第三方應(yīng)用安裝可以和第三方應(yīng)用通信的。

第三個(gè)原則是安全性：該模型在設(shè)計(jì)過(guò)程中，既為用戶(hù)帶來(lái)了巨大的方便性，又考慮到了安全性。既保證了用戶(hù)的秘密信息不被非法竊取，同時(shí)也保證了合法用戶(hù)難以被冒充。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)思路：不同的系統(tǒng)之間應(yīng)該有信任關(guān)系的建立，這樣才能不斷重用用戶(hù)的電子身份標(biāo)識(shí)，免去其多次登錄的苦惱。在協(xié)議中，信任關(guān)系的建立都是基于客戶(hù)端和應(yīng)用服務(wù)器都信任認(rèn)證服務(wù)器。因?yàn)榭蛻?hù)端與應(yīng)用服務(wù)器的長(zhǎng)期密鑰都保存在認(rèn)證服務(wù)器，從而可以通過(guò)正確的加/解密數(shù)據(jù)，來(lái)判定對(duì)方是一個(gè)可以被信賴(lài)的實(shí)體，從而達(dá)到相互信任的關(guān)系。另外單點(diǎn)登錄系統(tǒng)的一個(gè)重要特點(diǎn)是統(tǒng)一了用戶(hù)的管理，這在協(xié)議中體現(xiàn)為在認(rèn)證服務(wù)器上的用戶(hù)信息數(shù)據(jù)庫(kù)。在那里保存有本系統(tǒng)所有用戶(hù)的相關(guān)信息，系統(tǒng)對(duì)用戶(hù)的管理都是通過(guò)這個(gè)數(shù)據(jù)庫(kù)來(lái)完成的。正是有了這樣一個(gè)集中的用戶(hù)信息數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)了統(tǒng)一用戶(hù)管理的功能。

整體的單點(diǎn)登錄平臺(tái)展現(xiàn)在用戶(hù)（學(xué)生，教師，職員等）面前的是一個(gè)總體的綜合信息門(mén)戶(hù)平臺(tái)。綜合信息門(mén)戶(hù)由統(tǒng)一身份認(rèn)證模塊、單點(diǎn)登錄模塊、信息組織及用戶(hù)界面組成。整個(gè)系統(tǒng)的總體框架如圖1所示：

圖1 系統(tǒng)總體框架圖

統(tǒng)一身份認(rèn)證模塊，為所有用戶(hù)提供身份認(rèn)證機(jī)制，統(tǒng)一控制用戶(hù)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)。用戶(hù)只須在進(jìn)入門(mén)戶(hù)時(shí)進(jìn)行一次身份認(rèn)證，即可漫游訪問(wèn)校園網(wǎng)內(nèi)的各種應(yīng)用系統(tǒng)和信息資源，例如辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)、人事工資系統(tǒng)等而無(wú)需重新登錄。

單點(diǎn)登錄模塊，滿(mǎn)足用戶(hù)“一點(diǎn)登錄，多點(diǎn)漫游”的需求，切實(shí)減輕用戶(hù)的負(fù)擔(dān)。

用戶(hù)界面管理可以提供用戶(hù)界面管理，包括用戶(hù)界面模版的管理，用戶(hù)界面?zhèn)€性化的設(shè)置等。并根據(jù)用戶(hù)的身份、權(quán)限、界面模版和用戶(hù)的個(gè)性化設(shè)置生成個(gè)性化用戶(hù)使用界面，包括生成用戶(hù)有權(quán)訪問(wèn)的應(yīng)用系統(tǒng)鏈接列表和根據(jù)用戶(hù)身份組織信息資源等。

信息的組織和管理可以對(duì)校園網(wǎng)內(nèi)的靜態(tài)信息，如辦公通知、規(guī)章制度等，進(jìn)行分類(lèi)、組織和管理。

三、校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的兩個(gè)關(guān)鍵模塊設(shè)計(jì)

系統(tǒng)的兩個(gè)關(guān)鍵模塊——單點(diǎn)登錄模塊和統(tǒng)一身份認(rèn)證模塊的具體設(shè)計(jì)如下：

1.單點(diǎn)登錄模塊設(shè)計(jì)

單點(diǎn)登錄模塊的核心設(shè)計(jì)思想。單點(diǎn)登錄模塊從內(nèi)部結(jié)構(gòu)的組成來(lái)看，由以下三個(gè)方面構(gòu)成：登錄過(guò)程；記錄Cookie過(guò)程；注銷(xiāo)過(guò)程。

當(dāng)用戶(hù)登錄應(yīng)用服務(wù)器1時(shí)：（1）用戶(hù)訪問(wèn)應(yīng)用服務(wù)器1，被轉(zhuǎn)向指向統(tǒng)一登錄服務(wù)器；（2）統(tǒng)一登錄服務(wù)器接收用戶(hù)輸入的用戶(hù)名和密碼；（3）統(tǒng)一登錄服務(wù)器向目錄服務(wù)器提出驗(yàn)證用戶(hù)名密碼請(qǐng)求，目錄服務(wù)器返回驗(yàn)證結(jié)果；（4）統(tǒng)一登錄服務(wù)器將接收到的驗(yàn)證結(jié)果以cookie的方式存放在服務(wù)器的Session中；（5）統(tǒng)一登錄服務(wù)器將cookie信息共享給應(yīng)用服務(wù)器1，同時(shí)返回給瀏覽器用戶(hù)。

此時(shí)，當(dāng)用戶(hù)訪問(wèn)應(yīng)用服務(wù)器2時(shí)：（1）用戶(hù)向應(yīng)用服務(wù)器2發(fā)出請(qǐng)求；（2）應(yīng)用服務(wù)器2向統(tǒng)一登錄服務(wù)器發(fā)出驗(yàn)證請(qǐng)求；（3）統(tǒng)一登錄服務(wù)器將之前的cookie信息共享給應(yīng)用服務(wù)器2；（4）應(yīng)用服務(wù)器2根據(jù)共享的cookie內(nèi)容，返回給瀏覽器用戶(hù)。

此時(shí)，用戶(hù)已經(jīng)通過(guò)了統(tǒng)一身份認(rèn)證了。其余應(yīng)用服務(wù)器登錄情況類(lèi)似于應(yīng)用服務(wù)器2。

單點(diǎn)登錄模塊功能流程設(shè)計(jì)如下：

登錄過(guò)程：任意應(yīng)用系統(tǒng)進(jìn)行登錄的時(shí)候，應(yīng)用系統(tǒng)都要對(duì)Session中的cookie信息進(jìn)行判斷。如果存在匹配的cookie信息，說(shuō)明已經(jīng)有其他的應(yīng)用系統(tǒng)成功進(jìn)行了登錄，那么應(yīng)用系統(tǒng)直接就可以把cookie里的信息進(jìn)行分解，取得相應(yīng)的用戶(hù)名及其權(quán)限等信息，便登錄完畢。

如果不存在匹配的cookie信息，說(shuō)明當(dāng)前還沒(méi)有其他應(yīng)用系統(tǒng)處于登錄成功狀態(tài)。這時(shí)，應(yīng)用系統(tǒng)可以調(diào)出“用戶(hù)登錄”界面，等待用戶(hù)輸入認(rèn)證信息。當(dāng)用戶(hù)完成信息輸入并且提交驗(yàn)證申請(qǐng)之后，統(tǒng)一用戶(hù)登錄模塊就可以與目錄服務(wù)器取得聯(lián)系，完成驗(yàn)證身份后，目錄服務(wù)器會(huì)返回狀態(tài)信息給統(tǒng)一登錄模塊，并在客戶(hù)端的Session中生成格式化的cookie信息。這時(shí)，由于應(yīng)用系統(tǒng)可以讀到匹配的cookie信息，就可以完成登錄了。

任何通過(guò)目錄服務(wù)進(jìn)行單點(diǎn)登錄的系統(tǒng)，都是按照上述的登錄流程進(jìn)行身份認(rèn)證和單點(diǎn)登錄的。記錄Cookie過(guò)程：互聯(lián)網(wǎng)中的應(yīng)用WEB服務(wù)以http協(xié)議作為主要的通訊協(xié)議，http協(xié)議本質(zhì)上事務(wù)型的，當(dāng)用戶(hù)在瀏覽器的地址欄輸入U(xiǎn)RL并按下回車(chē)鍵后，即產(chǎn)生一個(gè)請(qǐng)求的報(bào)文，服務(wù)器收集報(bào)文中信息并提交處理后，產(chǎn)生一個(gè)響應(yīng)報(bào)文返回給用戶(hù)瀏覽器，由此一次請(qǐng)求和響應(yīng)結(jié)束，客戶(hù)機(jī)和服務(wù)器的信息交互完成。http是無(wú)狀態(tài)的，每次請(qǐng)求和響應(yīng)都重新開(kāi)始，不保留以前請(qǐng)求的任何信息。但是對(duì)于實(shí)際問(wèn)題的處理需要WEB編程中識(shí)別哪些請(qǐng)求是來(lái)自于同一個(gè)用戶(hù)，需要將每個(gè)用戶(hù)請(qǐng)求和響應(yīng)的狀態(tài)保留下來(lái)以便以后請(qǐng)求中能夠使用。Cookie可以解決http協(xié)議無(wú)狀態(tài)的弊端。

Cookie的內(nèi)容主要包括：名字，值，過(guò)期時(shí)間，路徑和域。Cookie有會(huì)話cookie和永久cookie兩種形式。前者是臨時(shí)的，只有瀏覽器打開(kāi)的時(shí)候存在，一般存儲(chǔ)在用戶(hù)機(jī)的內(nèi)存中，當(dāng)瀏覽器關(guān)閉時(shí)，cookie也隨之消失；后者是永久的，存在于用戶(hù)的硬盤(pán)上并在指定過(guò)期日期之前一直可以使用。本論文中所涉及的cookie是指會(huì)話cookie。Cookie的路徑和域合在一起就構(gòu)成了cookie的作用范圍。由于在校園中是處在同一個(gè)域里，故可以把校園當(dāng)中提供WEB服務(wù)的多臺(tái)服務(wù)器規(guī)劃成同一個(gè)域，但名稱(chēng)各異的二級(jí)域名。例如：www.nbsyedu.com，oa.nbsyedu.com，app1.nbsyedu.com，app2. nbsyedu.com，……app（n）.nbsyedu.com等。這樣的規(guī)劃可以使得Cookie值可以在多臺(tái)二級(jí)域名的服務(wù)器中共享，從而達(dá)到信息傳遞的目的。

注銷(xiāo)過(guò)程：

應(yīng)用系統(tǒng)的注銷(xiāo)相對(duì)系統(tǒng)登錄的過(guò)程而言非常簡(jiǎn)單，只是在用戶(hù)退出登錄的方式上存在2種方式：其一是直接關(guān)閉瀏覽器，其二是由用戶(hù)點(diǎn)擊“注銷(xiāo)”按鈕。無(wú)論那種方式，其實(shí)只需要簡(jiǎn)單的將Session中的cookie過(guò)期或刪除即可，這樣當(dāng)用戶(hù)再次訪問(wèn)應(yīng)用系統(tǒng)的時(shí)候，系統(tǒng)會(huì)因?yàn)檎也坏娇梢云ヅ涞腸ookie而進(jìn)入再次登錄的流程。

2.基于LDAP的統(tǒng)一身份認(rèn)證的模塊設(shè)計(jì)

該模塊設(shè)計(jì)思路如下：統(tǒng)一的、集中化的校園基礎(chǔ)信息平臺(tái)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺(tái)上的第一層軟件系統(tǒng)。遵照“校園網(wǎng)絡(luò)信息一體化”的理念，結(jié)合校園應(yīng)用系統(tǒng)現(xiàn)狀和實(shí)際應(yīng)用需求，提出了基于LDAP目錄服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng)模型。該框架模型建立了校園網(wǎng)基礎(chǔ)平臺(tái)，將網(wǎng)內(nèi)的應(yīng)用系統(tǒng)集成在一起，為“正確的用戶(hù)”在任何時(shí)間、任何地點(diǎn)通過(guò)internet（或intranet）訪問(wèn)授權(quán)信息提供保證。

模塊邏輯結(jié)構(gòu)簡(jiǎn)單講包括三個(gè)部分：接入層、用戶(hù)身份目錄、信息系統(tǒng)資源。

接入層：提供通過(guò)瀏覽器和移動(dòng)設(shè)備的接入方式，用戶(hù)可以在連通Internet的任何地方訪問(wèn)系統(tǒng)。

用戶(hù)身份目錄：利用目錄和安全身份管理技術(shù)，建立校園目錄服務(wù)服務(wù)系統(tǒng)，作為校園各業(yè)務(wù)應(yīng)用系統(tǒng)用戶(hù)身份標(biāo)識(shí)和安全認(rèn)證的數(shù)據(jù)基礎(chǔ)。

信息系統(tǒng)資源：指的是校園網(wǎng)中各種應(yīng)用系統(tǒng)，包括上網(wǎng)代理、Email、用戶(hù)接入端口、圖書(shū)資源、辦公自動(dòng)化系統(tǒng)、教務(wù)管理系統(tǒng)等。

該模塊功能流程設(shè)計(jì)如下：解決方案模型基本上實(shí)現(xiàn)了基于LDAP目錄校園網(wǎng)信息系統(tǒng)的身份認(rèn)證目標(biāo)。目錄服務(wù)器是基于LDAP的，存放這各種用戶(hù)的基本信息和訪問(wèn)權(quán)限；普通用戶(hù)可以通過(guò)web頁(yè)面訪問(wèn)目錄服務(wù)器，但只能看到指定的信息，管理用戶(hù)可以訪問(wèn)目錄服務(wù)器，并且可以對(duì)其進(jìn)行各種操作（增加、刪除、修改等）；信息資源（代理服務(wù)器、email服務(wù)器、接入交換機(jī)等資源）與目錄服務(wù)器交互，通過(guò)各種方式認(rèn)證用戶(hù)信息。對(duì)該模型進(jìn)行分析劃分下面三個(gè)功能模塊：

目錄服務(wù)器的建立：在redhat linux 9.0操作系統(tǒng)下實(shí)現(xiàn)。openldap目錄服務(wù)器

統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)：實(shí)現(xiàn)信息資源的統(tǒng)一身份認(rèn)證，包括三個(gè)部分：squid代理服務(wù)認(rèn)證、email服務(wù)收發(fā)郵件認(rèn)證、用戶(hù)接入交換機(jī)端口認(rèn)證

用戶(hù)查詢(xún)和管理模塊的實(shí)現(xiàn)：用PHP實(shí)現(xiàn)web與ldap目錄服務(wù)器的連接，實(shí)現(xiàn)用戶(hù)通過(guò)web訪問(wèn)目錄服務(wù)器，管理員可以對(duì)目錄服務(wù)器進(jìn)行各種操作。

該模塊的安全設(shè)計(jì)：

隨著大量的數(shù)據(jù)存放在目錄中，安全問(wèn)題變得非常重要了。隨便一個(gè)人篡改了其中的數(shù)據(jù)將對(duì)用戶(hù)產(chǎn)生極大的影響。盡管所有的口令是加密的，但是如果有人從目錄中獲得這種加密的口令，還是有辦法破解的，因此對(duì)這些信息應(yīng)該保護(hù)起來(lái)，防止沒(méi)有授權(quán)的用戶(hù)得到它。更敏感的是，如果有人竊得客戶(hù)/服務(wù)器的連接，偽造一個(gè)用戶(hù)的信息，或者使用這個(gè)用戶(hù)的身份篡改服務(wù)器的數(shù)據(jù)，這也是要高度重視的。所有的目錄服務(wù)器中的數(shù)據(jù)都需要保護(hù)，現(xiàn)在LDAP己經(jīng)提供許多工具來(lái)保護(hù)它們。

提供了目錄服務(wù)后，對(duì)于LDAP來(lái)說(shuō)防止黑客對(duì)目錄信息的有效攻擊就是一個(gè)重要的安全問(wèn)題了。LDAP在目錄服務(wù)的安全地位上來(lái)說(shuō)已經(jīng)成為看護(hù)者的角色，決定了誰(shuí)可以訪問(wèn)什么信息。LDAP承擔(dān)了兩個(gè)重要的任務(wù)，一個(gè)是對(duì)目錄數(shù)據(jù)的認(rèn)證，另一個(gè)是一旦一個(gè)用戶(hù)的身份建立了，它控制該用戶(hù)訪問(wèn)的資源、應(yīng)用和服務(wù)等。

四、基于Domino LDAP的校園網(wǎng)多應(yīng)用單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)

該系統(tǒng)的實(shí)現(xiàn)包含3大部分內(nèi)容：1、建立Domino LDAP目錄服務(wù)；2、實(shí)現(xiàn)多應(yīng)用系統(tǒng)的統(tǒng)一用戶(hù)身份認(rèn)證；3、實(shí)現(xiàn)多應(yīng)用系統(tǒng)的單點(diǎn)登錄

打開(kāi)寧波市實(shí)驗(yàn)學(xué)校的網(wǎng)站首頁(yè) — 在“用戶(hù)入口”處輸入用戶(hù)名和密碼 — 進(jìn)入到單點(diǎn)登錄后的寧波市實(shí)驗(yàn)學(xué)校網(wǎng)站OA界面 — 單擊OA內(nèi)“進(jìn)入工資查詢(xún)系統(tǒng)”，不需要輸入用戶(hù)名和密碼，就可以直接進(jìn)入“我的工資查詢(xún)”界面 — 這樣，就可以實(shí)現(xiàn)OA和工資查詢(xún)系統(tǒng)的統(tǒng) 一 身份認(rèn)證和單點(diǎn)登錄。

五、總結(jié)

通過(guò)實(shí)現(xiàn)校園網(wǎng)內(nèi)的2個(gè)不同平臺(tái)，不同技術(shù)路線的應(yīng)用系統(tǒng)的單點(diǎn)登錄，該校園網(wǎng)多應(yīng)用單點(diǎn)登錄系統(tǒng)的性能具有如下優(yōu)勢(shì)：

1.從管理者的角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，那么會(huì)存在多系統(tǒng)用戶(hù)身份不唯一，在各個(gè)應(yīng)用系統(tǒng)中重復(fù)出現(xiàn)、重復(fù)管理，用戶(hù)信息的更新不能及時(shí)反映到各個(gè)子系統(tǒng)中。這樣會(huì)造成管理上的效率低下。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，管理員只需統(tǒng)一維護(hù)用戶(hù)身份即可，從而提高了維護(hù)的一致性與穩(wěn)定性。

2.從用戶(hù)的角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，無(wú)法享受到優(yōu)質(zhì)的服務(wù)，需要擁有多個(gè)身份，多次登錄。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，可以一站式登錄多個(gè)系統(tǒng)，避免了繁瑣的登錄過(guò)程，從而提高了系統(tǒng)使用的方便性，而且不需要記錄多個(gè)用戶(hù)信息，更改起來(lái)也更加便捷。

3.從服務(wù)提供者角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，無(wú)法實(shí)施整體的安全策略，從而產(chǎn)生較大的安全風(fēng)險(xiǎn)。各個(gè)系統(tǒng)獨(dú)立運(yùn)行，無(wú)法實(shí)現(xiàn)資源的共享。用戶(hù)身份和權(quán)限無(wú)法聯(lián)系，無(wú)法提供基于組織、基于個(gè)人的人性化服務(wù)。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，可以避免以上弊端，提高效率。

隨著校園網(wǎng)的各種應(yīng)用不斷涌現(xiàn)和進(jìn)一步的發(fā)展，單點(diǎn)登錄系統(tǒng)會(huì)有很好的發(fā)展前景，是未來(lái)實(shí)現(xiàn)“數(shù)字化校園”的基礎(chǔ)。

參考文獻(xiàn)

[1]駱俐倩等. LDAP在校園網(wǎng)公匙認(rèn)證體系中的應(yīng)用. 計(jì)算機(jī)工程與設(shè)計(jì). 2002年3月

[2]程宏斌.孫霞. 單點(diǎn)登錄技術(shù)研究 [J].計(jì)算機(jī)時(shí)代，2004年5月

[3]林南暉等. 目錄服務(wù)在郵件系統(tǒng)中的應(yīng)用研究. 計(jì)算機(jī)工程與科學(xué). 2002年第5期

[4]Heinz Johner， Michel Melot， Harri Stranden， Permana Widiasta. "Understanding LDAP" IBM.1999

[5]駱俐倩等. LDAP在校園網(wǎng)公匙認(rèn)證體系中的應(yīng)用.計(jì)算機(jī)工程與設(shè)計(jì). 2002年3月

[6]馮濤等. 基于LDAP的電子政務(wù)系統(tǒng)研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用. 2003.25.214-216.

[7]http：//www.sist.ecupl.edu.cn/showdetail.asp？id=947. 2007-10-25

[8]張穎江.鄭秋華.李臘元.單點(diǎn)登錄技術(shù)分析及集中身份認(rèn)證平臺(tái)設(shè)計(jì). 武漢理工大學(xué)學(xué)報(bào). 2004-04-01

[9]陸松年.蔡亦波.LDAP與Kerberos系統(tǒng)的集成.計(jì)算機(jī)工程.2001.第2期

范佳寧

摘 要： 隨著“數(shù)字化校園”的飛速發(fā)展，校園網(wǎng)環(huán)境下的應(yīng)用系統(tǒng)不斷增加。由于校園網(wǎng)內(nèi)各個(gè)應(yīng)用系統(tǒng)的開(kāi)發(fā)平臺(tái)和用戶(hù)管理的相互獨(dú)立性，使得同一用戶(hù)在訪問(wèn)不同應(yīng)用系統(tǒng)時(shí)不得不多次進(jìn)行身份認(rèn)證和確認(rèn)，這給用戶(hù)帶來(lái)了麻煩。

為解決這一問(wèn)題，本文從校園網(wǎng)現(xiàn)有應(yīng)用系統(tǒng)的實(shí)際情況出發(fā)，在較深入地研究了各種單點(diǎn)登錄現(xiàn)有技術(shù)基礎(chǔ)上，提出了基于Domino LDAP（Lightweight Directory Access Protocol）的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄解決方案，以方便用戶(hù)。該方案的基本思想是采用已有的LDAP目錄服務(wù)提供用戶(hù)身份數(shù)據(jù)，以Cookie作為系統(tǒng)間登錄信息傳遞的手段。

論文詳細(xì)分析了校園網(wǎng)單點(diǎn)登錄（SSO）所需的關(guān)鍵技術(shù)和具體實(shí)現(xiàn)方法，以已有的基于兩個(gè)不同開(kāi)發(fā)平臺(tái)的應(yīng)用系統(tǒng)（辦公自動(dòng)化系統(tǒng)和工資管理系統(tǒng)）間的單點(diǎn)登錄為例，實(shí)現(xiàn)了基于LDAP的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄，并對(duì)系統(tǒng)性能進(jìn)行了分析。

關(guān)鍵詞：LDAP 單點(diǎn)登錄 統(tǒng)一身份認(rèn)證 Cookie

中圖分類(lèi)號(hào)：TP311.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）05-0018-03

一、引言

隨著網(wǎng)絡(luò)技術(shù)的日益普及、教育投入的不斷增加和教育水平的不斷提高，“數(shù)字化校園”和“無(wú)紙化辦公”工作的不斷推進(jìn)，校園的信息化水平也在逐步提升。大部分學(xué)校在原有的電子設(shè)備的基礎(chǔ)上，又引進(jìn)了諸多辦公應(yīng)用系統(tǒng)，如辦公自動(dòng)化系統(tǒng)，工資管理系統(tǒng)，學(xué)籍管理系統(tǒng)，郵件管理系統(tǒng)，校訊通系統(tǒng)，師訓(xùn)教育管理系統(tǒng)以及相關(guān)的FTP服務(wù)等等，以滿(mǎn)足不同的教育教學(xué)需求。每種應(yīng)用系統(tǒng)都需要進(jìn)行身份的識(shí)別認(rèn)證并且對(duì)不同身份所擁有的操作權(quán)限進(jìn)行授權(quán)。一般的方法是在每一個(gè)應(yīng)用系統(tǒng)中建立獨(dú)立的身份認(rèn)證模塊，使用獨(dú)立的認(rèn)證機(jī)制在各自的身份認(rèn)證文件或數(shù)據(jù)庫(kù)中認(rèn)證。這種管理模式和方法暴露出許多問(wèn)題：因?yàn)檫@些應(yīng)用系統(tǒng)在建設(shè)的初期往往各自獨(dú)立，特別是用戶(hù)管理的功能都是各自為政，沒(méi)有進(jìn)行統(tǒng)一的規(guī)劃，甚至連開(kāi)發(fā)平臺(tái)也不統(tǒng)一，這造成同個(gè)用戶(hù)在不同系統(tǒng)中的用戶(hù)名、密碼和權(quán)限都各自獨(dú)立，互不相關(guān)，在訪問(wèn)不同應(yīng)用系統(tǒng)時(shí)不得不多次進(jìn)行身份認(rèn)證和確認(rèn)。

在學(xué)校統(tǒng)計(jì)辦公系統(tǒng)使用情況時(shí)我們發(fā)現(xiàn)，由于校園網(wǎng)內(nèi)教師們?cè)谛畔⒓夹g(shù)應(yīng)用水平上的差異性和局限性，更由于繁多的用戶(hù)帳號(hào)，教師們?cè)谑褂眠@些應(yīng)用系統(tǒng)時(shí)十分不便，各個(gè)系統(tǒng)的用戶(hù)名和密碼容易混淆甚至忘記，大多數(shù)用戶(hù)會(huì)選擇簡(jiǎn)單易記的用戶(hù)名和密碼，有人把用戶(hù)帳號(hào)寫(xiě)在字條上，有人把所有的用戶(hù)名和密碼都設(shè)為統(tǒng)一的最簡(jiǎn)單的口令；有人為了避免重復(fù)登錄系統(tǒng)，干脆在不使用服務(wù)的情況下也不退出系統(tǒng)；更有甚者干脆就嫌麻煩而棄置不用。這樣的系統(tǒng)既增加了用戶(hù)的負(fù)擔(dān)，也容易導(dǎo)致違反基本安全策略的事件發(fā)生，使系統(tǒng)更容易受到攻擊，降低了系統(tǒng)的安全性。而且各處室部門(mén)對(duì)于辦公系統(tǒng)的使用情況的不平衡也成了學(xué)校推行“數(shù)字化校園”的瓶頸。

分析其原因，這一切都是由于分散的用戶(hù)管理造成的，各個(gè)系統(tǒng)間沒(méi)有聯(lián)系。這就迫使用戶(hù)在進(jìn)入每一個(gè)系統(tǒng)時(shí)都要重新提交自己的身份標(biāo)識(shí)，來(lái)通過(guò)系統(tǒng)的認(rèn)證?？傊谛屎桶踩囊蛩?，人們必須改變傳統(tǒng)的認(rèn)證機(jī)制，設(shè)計(jì)出一個(gè)更為高效、安全的網(wǎng)絡(luò)認(rèn)證機(jī)制，即校園網(wǎng)內(nèi)一個(gè)統(tǒng)一的登錄方案，使校園網(wǎng)絡(luò)用戶(hù)能在最初訪問(wèn)校園網(wǎng)絡(luò)時(shí)的一次身份驗(yàn)證，對(duì)所有被授權(quán)的多系統(tǒng)網(wǎng)絡(luò)資源進(jìn)行無(wú)縫的訪問(wèn)，即校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)。

二、校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)

單點(diǎn)登錄Single Sign-On（SSO）系統(tǒng)能夠通過(guò)一次身份認(rèn)證，進(jìn)而透明登錄所有授權(quán)應(yīng)用。也就是用戶(hù)只需要在網(wǎng)絡(luò)中主動(dòng)地進(jìn)行一次身份認(rèn)證過(guò)程，然后就可以訪問(wèn)其被授權(quán)使用的所有處在網(wǎng)絡(luò)上的資源而不需要其主動(dòng)參與其后的身份認(rèn)證過(guò)程。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的目的就是為校園內(nèi)多個(gè)應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)“一點(diǎn)登錄、多點(diǎn)漫游”的目標(biāo)，方便用戶(hù)使用，減少系統(tǒng)管理開(kāi)銷(xiāo)，增強(qiáng)安全性能。具體來(lái)說(shuō)，即規(guī)范、統(tǒng)一和科學(xué)的用戶(hù)身份和網(wǎng)絡(luò)資源基礎(chǔ)信息結(jié)構(gòu)；建立校園網(wǎng)絡(luò)用戶(hù)統(tǒng)一身份認(rèn)證的基本模型，實(shí)現(xiàn)一個(gè)建立在上述基礎(chǔ)信息結(jié)構(gòu)基礎(chǔ)上的校園網(wǎng)統(tǒng)一身份認(rèn)證實(shí)驗(yàn)系統(tǒng)；實(shí)現(xiàn)基于Domino LDAP的校園網(wǎng)多系統(tǒng)單點(diǎn)登錄，真正減輕校園網(wǎng)用戶(hù)的負(fù)擔(dān)，減少系統(tǒng)管理的開(kāi)銷(xiāo)。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)應(yīng)遵循如下原則：

第一個(gè)原則是WEB環(huán)境：該模型的設(shè)計(jì)是為了解決單點(diǎn)登錄的問(wèn)題。即用戶(hù)端使用通用的瀏覽器，并且該瀏覽器使用了Cookie技術(shù)。

第二個(gè)原則是方便性：使用該模型能改善以前獨(dú)立登錄帶來(lái)的問(wèn)題，同時(shí)為了不給用戶(hù)增加額外的負(fù)擔(dān)，該模型也不會(huì)在用戶(hù)方安裝任何插件。即對(duì)于用戶(hù)來(lái)說(shuō)完全是綠色的。但是會(huì)在第三方應(yīng)用安裝可以和第三方應(yīng)用通信的。

第三個(gè)原則是安全性：該模型在設(shè)計(jì)過(guò)程中，既為用戶(hù)帶來(lái)了巨大的方便性，又考慮到了安全性。既保證了用戶(hù)的秘密信息不被非法竊取，同時(shí)也保證了合法用戶(hù)難以被冒充。

校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)思路：不同的系統(tǒng)之間應(yīng)該有信任關(guān)系的建立，這樣才能不斷重用用戶(hù)的電子身份標(biāo)識(shí)，免去其多次登錄的苦惱。在協(xié)議中，信任關(guān)系的建立都是基于客戶(hù)端和應(yīng)用服務(wù)器都信任認(rèn)證服務(wù)器。因?yàn)榭蛻?hù)端與應(yīng)用服務(wù)器的長(zhǎng)期密鑰都保存在認(rèn)證服務(wù)器，從而可以通過(guò)正確的加/解密數(shù)據(jù)，來(lái)判定對(duì)方是一個(gè)可以被信賴(lài)的實(shí)體，從而達(dá)到相互信任的關(guān)系。另外單點(diǎn)登錄系統(tǒng)的一個(gè)重要特點(diǎn)是統(tǒng)一了用戶(hù)的管理，這在協(xié)議中體現(xiàn)為在認(rèn)證服務(wù)器上的用戶(hù)信息數(shù)據(jù)庫(kù)。在那里保存有本系統(tǒng)所有用戶(hù)的相關(guān)信息，系統(tǒng)對(duì)用戶(hù)的管理都是通過(guò)這個(gè)數(shù)據(jù)庫(kù)來(lái)完成的。正是有了這樣一個(gè)集中的用戶(hù)信息數(shù)據(jù)庫(kù)，從而實(shí)現(xiàn)了統(tǒng)一用戶(hù)管理的功能。

整體的單點(diǎn)登錄平臺(tái)展現(xiàn)在用戶(hù)（學(xué)生，教師，職員等）面前的是一個(gè)總體的綜合信息門(mén)戶(hù)平臺(tái)。綜合信息門(mén)戶(hù)由統(tǒng)一身份認(rèn)證模塊、單點(diǎn)登錄模塊、信息組織及用戶(hù)界面組成。整個(gè)系統(tǒng)的總體框架如圖1所示：

圖1 系統(tǒng)總體框架圖

統(tǒng)一身份認(rèn)證模塊，為所有用戶(hù)提供身份認(rèn)證機(jī)制，統(tǒng)一控制用戶(hù)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)。用戶(hù)只須在進(jìn)入門(mén)戶(hù)時(shí)進(jìn)行一次身份認(rèn)證，即可漫游訪問(wèn)校園網(wǎng)內(nèi)的各種應(yīng)用系統(tǒng)和信息資源，例如辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)、人事工資系統(tǒng)等而無(wú)需重新登錄。

單點(diǎn)登錄模塊，滿(mǎn)足用戶(hù)“一點(diǎn)登錄，多點(diǎn)漫游”的需求，切實(shí)減輕用戶(hù)的負(fù)擔(dān)。

用戶(hù)界面管理可以提供用戶(hù)界面管理，包括用戶(hù)界面模版的管理，用戶(hù)界面?zhèn)€性化的設(shè)置等。并根據(jù)用戶(hù)的身份、權(quán)限、界面模版和用戶(hù)的個(gè)性化設(shè)置生成個(gè)性化用戶(hù)使用界面，包括生成用戶(hù)有權(quán)訪問(wèn)的應(yīng)用系統(tǒng)鏈接列表和根據(jù)用戶(hù)身份組織信息資源等。

信息的組織和管理可以對(duì)校園網(wǎng)內(nèi)的靜態(tài)信息，如辦公通知、規(guī)章制度等，進(jìn)行分類(lèi)、組織和管理。

三、校園網(wǎng)多系統(tǒng)單點(diǎn)登錄系統(tǒng)的兩個(gè)關(guān)鍵模塊設(shè)計(jì)

系統(tǒng)的兩個(gè)關(guān)鍵模塊——單點(diǎn)登錄模塊和統(tǒng)一身份認(rèn)證模塊的具體設(shè)計(jì)如下：

1.單點(diǎn)登錄模塊設(shè)計(jì)

單點(diǎn)登錄模塊的核心設(shè)計(jì)思想。單點(diǎn)登錄模塊從內(nèi)部結(jié)構(gòu)的組成來(lái)看，由以下三個(gè)方面構(gòu)成：登錄過(guò)程；記錄Cookie過(guò)程；注銷(xiāo)過(guò)程。

當(dāng)用戶(hù)登錄應(yīng)用服務(wù)器1時(shí)：（1）用戶(hù)訪問(wèn)應(yīng)用服務(wù)器1，被轉(zhuǎn)向指向統(tǒng)一登錄服務(wù)器；（2）統(tǒng)一登錄服務(wù)器接收用戶(hù)輸入的用戶(hù)名和密碼；（3）統(tǒng)一登錄服務(wù)器向目錄服務(wù)器提出驗(yàn)證用戶(hù)名密碼請(qǐng)求，目錄服務(wù)器返回驗(yàn)證結(jié)果；（4）統(tǒng)一登錄服務(wù)器將接收到的驗(yàn)證結(jié)果以cookie的方式存放在服務(wù)器的Session中；（5）統(tǒng)一登錄服務(wù)器將cookie信息共享給應(yīng)用服務(wù)器1，同時(shí)返回給瀏覽器用戶(hù)。

此時(shí)，當(dāng)用戶(hù)訪問(wèn)應(yīng)用服務(wù)器2時(shí)：（1）用戶(hù)向應(yīng)用服務(wù)器2發(fā)出請(qǐng)求；（2）應(yīng)用服務(wù)器2向統(tǒng)一登錄服務(wù)器發(fā)出驗(yàn)證請(qǐng)求；（3）統(tǒng)一登錄服務(wù)器將之前的cookie信息共享給應(yīng)用服務(wù)器2；（4）應(yīng)用服務(wù)器2根據(jù)共享的cookie內(nèi)容，返回給瀏覽器用戶(hù)。

此時(shí)，用戶(hù)已經(jīng)通過(guò)了統(tǒng)一身份認(rèn)證了。其余應(yīng)用服務(wù)器登錄情況類(lèi)似于應(yīng)用服務(wù)器2。

單點(diǎn)登錄模塊功能流程設(shè)計(jì)如下：

登錄過(guò)程：任意應(yīng)用系統(tǒng)進(jìn)行登錄的時(shí)候，應(yīng)用系統(tǒng)都要對(duì)Session中的cookie信息進(jìn)行判斷。如果存在匹配的cookie信息，說(shuō)明已經(jīng)有其他的應(yīng)用系統(tǒng)成功進(jìn)行了登錄，那么應(yīng)用系統(tǒng)直接就可以把cookie里的信息進(jìn)行分解，取得相應(yīng)的用戶(hù)名及其權(quán)限等信息，便登錄完畢。

如果不存在匹配的cookie信息，說(shuō)明當(dāng)前還沒(méi)有其他應(yīng)用系統(tǒng)處于登錄成功狀態(tài)。這時(shí)，應(yīng)用系統(tǒng)可以調(diào)出“用戶(hù)登錄”界面，等待用戶(hù)輸入認(rèn)證信息。當(dāng)用戶(hù)完成信息輸入并且提交驗(yàn)證申請(qǐng)之后，統(tǒng)一用戶(hù)登錄模塊就可以與目錄服務(wù)器取得聯(lián)系，完成驗(yàn)證身份后，目錄服務(wù)器會(huì)返回狀態(tài)信息給統(tǒng)一登錄模塊，并在客戶(hù)端的Session中生成格式化的cookie信息。這時(shí)，由于應(yīng)用系統(tǒng)可以讀到匹配的cookie信息，就可以完成登錄了。

任何通過(guò)目錄服務(wù)進(jìn)行單點(diǎn)登錄的系統(tǒng)，都是按照上述的登錄流程進(jìn)行身份認(rèn)證和單點(diǎn)登錄的。記錄Cookie過(guò)程：互聯(lián)網(wǎng)中的應(yīng)用WEB服務(wù)以http協(xié)議作為主要的通訊協(xié)議，http協(xié)議本質(zhì)上事務(wù)型的，當(dāng)用戶(hù)在瀏覽器的地址欄輸入U(xiǎn)RL并按下回車(chē)鍵后，即產(chǎn)生一個(gè)請(qǐng)求的報(bào)文，服務(wù)器收集報(bào)文中信息并提交處理后，產(chǎn)生一個(gè)響應(yīng)報(bào)文返回給用戶(hù)瀏覽器，由此一次請(qǐng)求和響應(yīng)結(jié)束，客戶(hù)機(jī)和服務(wù)器的信息交互完成。http是無(wú)狀態(tài)的，每次請(qǐng)求和響應(yīng)都重新開(kāi)始，不保留以前請(qǐng)求的任何信息。但是對(duì)于實(shí)際問(wèn)題的處理需要WEB編程中識(shí)別哪些請(qǐng)求是來(lái)自于同一個(gè)用戶(hù)，需要將每個(gè)用戶(hù)請(qǐng)求和響應(yīng)的狀態(tài)保留下來(lái)以便以后請(qǐng)求中能夠使用。Cookie可以解決http協(xié)議無(wú)狀態(tài)的弊端。

Cookie的內(nèi)容主要包括：名字，值，過(guò)期時(shí)間，路徑和域。Cookie有會(huì)話cookie和永久cookie兩種形式。前者是臨時(shí)的，只有瀏覽器打開(kāi)的時(shí)候存在，一般存儲(chǔ)在用戶(hù)機(jī)的內(nèi)存中，當(dāng)瀏覽器關(guān)閉時(shí)，cookie也隨之消失；后者是永久的，存在于用戶(hù)的硬盤(pán)上并在指定過(guò)期日期之前一直可以使用。本論文中所涉及的cookie是指會(huì)話cookie。Cookie的路徑和域合在一起就構(gòu)成了cookie的作用范圍。由于在校園中是處在同一個(gè)域里，故可以把校園當(dāng)中提供WEB服務(wù)的多臺(tái)服務(wù)器規(guī)劃成同一個(gè)域，但名稱(chēng)各異的二級(jí)域名。例如：www.nbsyedu.com，oa.nbsyedu.com，app1.nbsyedu.com，app2. nbsyedu.com，……app（n）.nbsyedu.com等。這樣的規(guī)劃可以使得Cookie值可以在多臺(tái)二級(jí)域名的服務(wù)器中共享，從而達(dá)到信息傳遞的目的。

注銷(xiāo)過(guò)程：

應(yīng)用系統(tǒng)的注銷(xiāo)相對(duì)系統(tǒng)登錄的過(guò)程而言非常簡(jiǎn)單，只是在用戶(hù)退出登錄的方式上存在2種方式：其一是直接關(guān)閉瀏覽器，其二是由用戶(hù)點(diǎn)擊“注銷(xiāo)”按鈕。無(wú)論那種方式，其實(shí)只需要簡(jiǎn)單的將Session中的cookie過(guò)期或刪除即可，這樣當(dāng)用戶(hù)再次訪問(wèn)應(yīng)用系統(tǒng)的時(shí)候，系統(tǒng)會(huì)因?yàn)檎也坏娇梢云ヅ涞腸ookie而進(jìn)入再次登錄的流程。

2.基于LDAP的統(tǒng)一身份認(rèn)證的模塊設(shè)計(jì)

該模塊設(shè)計(jì)思路如下：統(tǒng)一的、集中化的校園基礎(chǔ)信息平臺(tái)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺(tái)上的第一層軟件系統(tǒng)。遵照“校園網(wǎng)絡(luò)信息一體化”的理念，結(jié)合校園應(yīng)用系統(tǒng)現(xiàn)狀和實(shí)際應(yīng)用需求，提出了基于LDAP目錄服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng)模型。該框架模型建立了校園網(wǎng)基礎(chǔ)平臺(tái)，將網(wǎng)內(nèi)的應(yīng)用系統(tǒng)集成在一起，為“正確的用戶(hù)”在任何時(shí)間、任何地點(diǎn)通過(guò)internet（或intranet）訪問(wèn)授權(quán)信息提供保證。

模塊邏輯結(jié)構(gòu)簡(jiǎn)單講包括三個(gè)部分：接入層、用戶(hù)身份目錄、信息系統(tǒng)資源。

接入層：提供通過(guò)瀏覽器和移動(dòng)設(shè)備的接入方式，用戶(hù)可以在連通Internet的任何地方訪問(wèn)系統(tǒng)。

用戶(hù)身份目錄：利用目錄和安全身份管理技術(shù)，建立校園目錄服務(wù)服務(wù)系統(tǒng)，作為校園各業(yè)務(wù)應(yīng)用系統(tǒng)用戶(hù)身份標(biāo)識(shí)和安全認(rèn)證的數(shù)據(jù)基礎(chǔ)。

信息系統(tǒng)資源：指的是校園網(wǎng)中各種應(yīng)用系統(tǒng)，包括上網(wǎng)代理、Email、用戶(hù)接入端口、圖書(shū)資源、辦公自動(dòng)化系統(tǒng)、教務(wù)管理系統(tǒng)等。

該模塊功能流程設(shè)計(jì)如下：解決方案模型基本上實(shí)現(xiàn)了基于LDAP目錄校園網(wǎng)信息系統(tǒng)的身份認(rèn)證目標(biāo)。目錄服務(wù)器是基于LDAP的，存放這各種用戶(hù)的基本信息和訪問(wèn)權(quán)限；普通用戶(hù)可以通過(guò)web頁(yè)面訪問(wèn)目錄服務(wù)器，但只能看到指定的信息，管理用戶(hù)可以訪問(wèn)目錄服務(wù)器，并且可以對(duì)其進(jìn)行各種操作（增加、刪除、修改等）；信息資源（代理服務(wù)器、email服務(wù)器、接入交換機(jī)等資源）與目錄服務(wù)器交互，通過(guò)各種方式認(rèn)證用戶(hù)信息。對(duì)該模型進(jìn)行分析劃分下面三個(gè)功能模塊：

目錄服務(wù)器的建立：在redhat linux 9.0操作系統(tǒng)下實(shí)現(xiàn)。openldap目錄服務(wù)器

統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)：實(shí)現(xiàn)信息資源的統(tǒng)一身份認(rèn)證，包括三個(gè)部分：squid代理服務(wù)認(rèn)證、email服務(wù)收發(fā)郵件認(rèn)證、用戶(hù)接入交換機(jī)端口認(rèn)證

用戶(hù)查詢(xún)和管理模塊的實(shí)現(xiàn)：用PHP實(shí)現(xiàn)web與ldap目錄服務(wù)器的連接，實(shí)現(xiàn)用戶(hù)通過(guò)web訪問(wèn)目錄服務(wù)器，管理員可以對(duì)目錄服務(wù)器進(jìn)行各種操作。

該模塊的安全設(shè)計(jì)：

隨著大量的數(shù)據(jù)存放在目錄中，安全問(wèn)題變得非常重要了。隨便一個(gè)人篡改了其中的數(shù)據(jù)將對(duì)用戶(hù)產(chǎn)生極大的影響。盡管所有的口令是加密的，但是如果有人從目錄中獲得這種加密的口令，還是有辦法破解的，因此對(duì)這些信息應(yīng)該保護(hù)起來(lái)，防止沒(méi)有授權(quán)的用戶(hù)得到它。更敏感的是，如果有人竊得客戶(hù)/服務(wù)器的連接，偽造一個(gè)用戶(hù)的信息，或者使用這個(gè)用戶(hù)的身份篡改服務(wù)器的數(shù)據(jù)，這也是要高度重視的。所有的目錄服務(wù)器中的數(shù)據(jù)都需要保護(hù)，現(xiàn)在LDAP己經(jīng)提供許多工具來(lái)保護(hù)它們。

提供了目錄服務(wù)后，對(duì)于LDAP來(lái)說(shuō)防止黑客對(duì)目錄信息的有效攻擊就是一個(gè)重要的安全問(wèn)題了。LDAP在目錄服務(wù)的安全地位上來(lái)說(shuō)已經(jīng)成為看護(hù)者的角色，決定了誰(shuí)可以訪問(wèn)什么信息。LDAP承擔(dān)了兩個(gè)重要的任務(wù)，一個(gè)是對(duì)目錄數(shù)據(jù)的認(rèn)證，另一個(gè)是一旦一個(gè)用戶(hù)的身份建立了，它控制該用戶(hù)訪問(wèn)的資源、應(yīng)用和服務(wù)等。

四、基于Domino LDAP的校園網(wǎng)多應(yīng)用單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)

該系統(tǒng)的實(shí)現(xiàn)包含3大部分內(nèi)容：1、建立Domino LDAP目錄服務(wù)；2、實(shí)現(xiàn)多應(yīng)用系統(tǒng)的統(tǒng)一用戶(hù)身份認(rèn)證；3、實(shí)現(xiàn)多應(yīng)用系統(tǒng)的單點(diǎn)登錄

打開(kāi)寧波市實(shí)驗(yàn)學(xué)校的網(wǎng)站首頁(yè) — 在“用戶(hù)入口”處輸入用戶(hù)名和密碼 — 進(jìn)入到單點(diǎn)登錄后的寧波市實(shí)驗(yàn)學(xué)校網(wǎng)站OA界面 — 單擊OA內(nèi)“進(jìn)入工資查詢(xún)系統(tǒng)”，不需要輸入用戶(hù)名和密碼，就可以直接進(jìn)入“我的工資查詢(xún)”界面 — 這樣，就可以實(shí)現(xiàn)OA和工資查詢(xún)系統(tǒng)的統(tǒng) 一 身份認(rèn)證和單點(diǎn)登錄。

五、總結(jié)

通過(guò)實(shí)現(xiàn)校園網(wǎng)內(nèi)的2個(gè)不同平臺(tái)，不同技術(shù)路線的應(yīng)用系統(tǒng)的單點(diǎn)登錄，該校園網(wǎng)多應(yīng)用單點(diǎn)登錄系統(tǒng)的性能具有如下優(yōu)勢(shì)：

1.從管理者的角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，那么會(huì)存在多系統(tǒng)用戶(hù)身份不唯一，在各個(gè)應(yīng)用系統(tǒng)中重復(fù)出現(xiàn)、重復(fù)管理，用戶(hù)信息的更新不能及時(shí)反映到各個(gè)子系統(tǒng)中。這樣會(huì)造成管理上的效率低下。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，管理員只需統(tǒng)一維護(hù)用戶(hù)身份即可，從而提高了維護(hù)的一致性與穩(wěn)定性。

2.從用戶(hù)的角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，無(wú)法享受到優(yōu)質(zhì)的服務(wù)，需要擁有多個(gè)身份，多次登錄。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，可以一站式登錄多個(gè)系統(tǒng)，避免了繁瑣的登錄過(guò)程，從而提高了系統(tǒng)使用的方便性，而且不需要記錄多個(gè)用戶(hù)信息，更改起來(lái)也更加便捷。

3.從服務(wù)提供者角度來(lái)說(shuō)，如果沒(méi)有實(shí)施單點(diǎn)登錄系統(tǒng)，無(wú)法實(shí)施整體的安全策略，從而產(chǎn)生較大的安全風(fēng)險(xiǎn)。各個(gè)系統(tǒng)獨(dú)立運(yùn)行，無(wú)法實(shí)現(xiàn)資源的共享。用戶(hù)身份和權(quán)限無(wú)法聯(lián)系，無(wú)法提供基于組織、基于個(gè)人的人性化服務(wù)。而如果實(shí)施了單點(diǎn)登錄系統(tǒng)，可以避免以上弊端，提高效率。

隨著校園網(wǎng)的各種應(yīng)用不斷涌現(xiàn)和進(jìn)一步的發(fā)展，單點(diǎn)登錄系統(tǒng)會(huì)有很好的發(fā)展前景，是未來(lái)實(shí)現(xiàn)“數(shù)字化校園”的基礎(chǔ)。

參考文獻(xiàn)

[1]駱俐倩等. LDAP在校園網(wǎng)公匙認(rèn)證體系中的應(yīng)用. 計(jì)算機(jī)工程與設(shè)計(jì). 2002年3月

[2]程宏斌.孫霞. 單點(diǎn)登錄技術(shù)研究 [J].計(jì)算機(jī)時(shí)代，2004年5月

[3]林南暉等. 目錄服務(wù)在郵件系統(tǒng)中的應(yīng)用研究. 計(jì)算機(jī)工程與科學(xué). 2002年第5期

[4]Heinz Johner， Michel Melot， Harri Stranden， Permana Widiasta. "Understanding LDAP" IBM.1999

[5]駱俐倩等. LDAP在校園網(wǎng)公匙認(rèn)證體系中的應(yīng)用.計(jì)算機(jī)工程與設(shè)計(jì). 2002年3月

[6]馮濤等. 基于LDAP的電子政務(wù)系統(tǒng)研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用. 2003.25.214-216.

[7]http：//www.sist.ecupl.edu.cn/showdetail.asp？id=947. 2007-10-25

[8]張穎江.鄭秋華.李臘元.單點(diǎn)登錄技術(shù)分析及集中身份認(rèn)證平臺(tái)設(shè)計(jì). 武漢理工大學(xué)學(xué)報(bào). 2004-04-01

[9]陸松年.蔡亦波.LDAP與Kerberos系統(tǒng)的集成.計(jì)算機(jī)工程.2001.第2期