基于单点登录的档案管理系统的研究与实现

戈妍妍

【摘 要】在如今知识信息时代，计算机网络技术的发展、通讯技术的革新、高校信息化管理的推进，都在促使基于网络信息应用处理生活工作上的事物。档案应用系统随着云技术和计算机应用技术的发展也在逐步完善，不同的系统认证方式都会产生新的问题。为了便于档案管理工作高效便捷地完成，发展和完善高校信息化建设就极为重要，本文从单点登录着手分析发展高校信息化建设的重要性。

【关键词】单点登录；档案管理；身份认证

1 单点登录研究的背景和意义

如今，信息技术已经渗透到了社会各个角落，覆盖在生活、工作的方方面面。利用信息化高速發展的趋势，高校将注重数字校园化和数字教育化的发展。数字化校园建设也给高校档案工作带来了新的历史机遇，加快高校档案馆向数字化方向发展，实现对高校档案从收集、管理、利用直至销毁全过程的数字化与集成化，使档案信息可以被有效的利用并成为重要的数字资源用于共享，进一步优化档案工作模式，延伸档案的服务功能，使其成为高校公共服务体系中的一个重要部分。[1]

目前我校档案馆正在使用的管理软件包括：“南大之星档案管理系统”，“照片档案管理系统”，“荣誉与专利档案管理系统”，“档案编研及资料管理系统”，；“档案信息查询系统”，“中英文成绩翻译系统”，“借阅登记系统”，“硕士学位论文在线提交系统”。但是，因为不同系统开发部署时间不一样，运行平台也繁多，而且是相互不干扰、彼此独立的管理界面以及其子系统。由于认证机制不统一，新的应用系统不断更新和引进，这就造成管理员工作变得复杂繁重。对于最终用户而言，也存在同样的烦恼。在档案馆使用不同数据库服务时，会出现多次重复注册和认证的情况，这样就会造成使用效率低，浪费时间和精力，给使用者带来极大的不便和混乱。为了有效的解决这些问题，加速数字化校园建设，各大高校都积极采取了对应的解决方案。其中提供交互数据的单点登录系统是一种很有效的解决方案，这样能够让校园网处于独立、安全的运行状态，实现统一身份认证状态。[2]

单点登录是存在多个相关但是互相独立的系统软件之中的一种访问控制方式，单点登录是相关但统一软件系统和独立的访问控制模式，用户只需使用门户网站的登录ID和密码认证，就可以进入其他子系统而不需再次输入身份信息。单点注销与单点登录是相反的，当用户从其中一个系统退出，那么它的所有权限都被收回，不能够进入其他系统了。

最近，学术界和技术行业提出了很多解决途径。目前耶鲁大学协议、 OpenSSO、微软的 Passport 协议、国际商业机器的Websphere技术等是最为常见和广为采纳的解决方案。

用户单点登录具有以下几方面优点：

第一，用户使用方便。避免多次反复输入认证信息，避免的所谓的“密码疲劳”现象，同时也节省时间。

第二，降低服务成本。只需要记住一个密码而不需要多次输入。

第三，便于统一管理和降低管理成本。

第四，增强了安全性，由于退一全退的单点注销模式可以避免用户忘记注销而导致信息泄露等。

第五，统一对用户信息储存在终端，方便用户数据统计。

2 国内外研究现状（Research status at home and abroad）

一个典型的单点登录过程如下：第一步，拦截和检查是否有令牌，如果令牌符合要求也有效，就可以同意请求；如果不符合要求或是无效过期，那么就会对此拦截，并且发送给认证平台，提醒用户登录认证。一般这样的令牌是以cookie形式提供，如果用户禁用cookie，可以通过隐藏域获得令牌。

国外研究主要集中在大学和企业，较为先进的单点登录系统主要是Passport[3]、Liberty[4]、Websphere等等。国内研究还处于初级阶段，不过建立在单点登录技术上开发的应用是较为广泛的。

其中北大与清华分别于 2003 年在“校园网统一身份认证系统”中实现了单点登录，之后中国电信也在其旗下产品中实现了。腾讯公司和阿里巴巴公司也分别实现了相关的单点登录功能。此外，在金融、税务、工商等领域也有相关的应用。

近年来，很多学校在数字化校园进展中对统一身份认证系统上进行了一定的研究和开发。但是结果差强人意，存在着很多漏洞和不足。因此本文研究工作具有一定的实用价值和学术意义。

3 核心技术（The core technology）

网络安全性和可靠性在网络技术的迅速发展下显得极为重要。网络安全是指给硬件、软件和数据提供良好的网络保护，不轻易被偶然或是恶意的原因篡改程序，造成破坏、改变甚至是泄露的情况。而且系统能够稳定连续的运转，网络服务不会中断。因此单点登录符合安全要求，能够保障网络稳定，因为它是一个登录和多系统访问。

信息安全技术主要在身份验证、加密、安全传输通道技术等方面。身份验证技术主要是提供了一种能够使双方确认真实身份的方式，而这种确认方式是控制访问的核心技术；加密技术组要是确保信息传输过程中不被拦截和更改；安全传输技术主要是确保源用户和目标用户能够接收到且这两方能收到信息，保证了数据在传输过程中安全。在接下来的论述中简要分析认证和安全传输技术。

3.1 身份认证技术

作为第一道防线，身份认证[5]在网络安全的不可替代的作用。认真机制一般分为简单认证机制和强认证机制。简单的认证机制仅仅包括用户名和口令，当两者都被服务系统接受，那就认证通过。明文在互联网上传输时，很容易遭到窃听截取，常用一次性口令OTP （One-Time-Password）机制解决这个问题。OPT机制的最大特点就是其不会暴露用户的真正口令，而且是一次性的。强制认证机制是采用多加密方式确保信息交换时安全，较为广泛应用的是Kerberos协议。

（1）理论原理endprint

当用户初次访问档案系统时，会直接被拦截转发到认证平台，直接提醒用户认证。按照用户输入的的登录信息，认证系统开始对用户进行身份校验，如果身份校验通过了，则会返回用户一个票据（ticket），它是系统自动为合法登录的用户发而放许可证。凭借这个许可证实现对所有应用系统的统一访问。票据对用户身份进行了绑定，在整个系统的支撑体系中也是唯一存在的，杜绝用户伪造或交换票据等方式而非法访问系统。时间戳和一些用户属性都存放在票据中，系统可以通过浏览用户属性从而实现对个性化的访问控制；下次该用户登录服务器中其他应用时也将附带此认证凭证，接收到登录请求后，应用系统直接将票据送至认证系统中检查该票据的合法性。只要票据合法，用户即可访问应用系统 2 和3 了，不再需要重新进行登录验证。登录过程如图1所示：

图1 单点登录流程图

Figure.1 SSO flow chart

在没有实施单点登录之前服务器系统内部的用户管理非常分散，单点登录不仅集成了系统的用户管理，依靠彼此的信赖关系服务器内各系统之间完成了身份的统一认证。独立的用户信息管理模块把用户账号信息统一保存管理，管理员只要在用户信息数据库中进行统一的账号增删修改，而不用在每个系统下分别设置信息数据库，要实现这些目标，需要实现几种基本功能：

1）共享身份认证系统

2）识别、提取票据信息

3）用户信息数据库的建立

4）认证服务器的多样性

3.2 实施方案

SSO系统当前的实施模型主要有基于网关、经纪人、代理人三种单点登录。

1）基于网关的模型（Gateway-Based）[6]

这种模型是提供类似门的网关且能够安全接入可信网络服务。在确定的环境下安装和设置网关都非常方便。

2）基于經纪人的模型（Broker-based SSO）

在这个模型中，必须设置一个能够集中认证并能够管理用户帐号的服务器。使用中央数据库减轻了管理的难度并提供一个独立、公共的“第三方”。这种模型主要是确定现有的某些应用程序需要被修改，改造旧系统。

3）基于代理的单点登录（Agent-based SSO）模型

针对目前的应用环境，按照这几种模型的特点，我们采用基于经纪人[7]的单点登录模型（Broker-based SSO），并引入代理认证的机制，这样既能集中管理，又能够减少修改量。

4 系统实现（system implementation）

4.1 身份信息的后台管理

在校园网环境下使用档案应用程序的时候，不同的用户数据都使用独自的数据库管理系统进行管理。所以现有用户的管理系统中间的信息交互构成了用户管理的重点。

通过对用户信息统一管理，并且确认身份认证，形成异构数据库和目录数据库之间数据传输，利用XML格式作为中间介质，可以很方便的实现数据传递。基本的信息交互如图2所示：

图2 消息交互过程

Figure.2 message interaction process

使用SOAP消息传递机制可以在大量添加数据时提高效率。

4.2 服务器端实现（The server implementation）

4.2.1 初次登录

第一次登入，其流程如图3所示：

图3 登录流程图

Figure.3 login process map

（1）用户请求服务，客户端将用户身份信息标识发到认证服务器认证。

（2）认证服务器接收到用户登录请求后，随机返回一个数 ；

（3）客户端接收服务器返回的认证信息，用户的签名信息，并发送给认证服务器认证。

（4）如果通过验证，认证服务器生成的登录会话密钥，用户的在线信息和加密密钥发送到客户端

（5）客户端从认证器接受的信息，解密的会话密钥，加密存储在本地，以后需要使用身份认证信息

（6）完成上述几个步骤，用户就可以对应用系统进行访问了。

4.2.2 检验后的登录

已经登录，进一步访问档案各个业务应用系统，其执行流程如图4：

图4 登录流程图

Figure4 login process map

（1）客户端构造用户身份标识，发往认证服务器。

（2）用户搜索登录发出的请求被认证器接受到时，如果用户已经登录列表，且状态有效，就加入业务系统登录系统进列表，并将确认信息返回给客户端。

（3）客户端和服务器的信息来判断，如果一个用户登录，系统直接访问，不需要重复登录，验证过程结束；否则，为第一次登录过程。

通过身份信息的后台管理和服务端的实现，就可以实现档案管理系统只需通过一次登录，就可以访问其他档案服务系统了，这样可以节省时间和精力，简化档案管理人员的反复重复的登录，从而极大的提高工作效率。

5 结束与体会

随着大数据时代的到来，档案资料也井喷式增加，在档案管理中就显露出很多问题和漏洞。比如系统分散、资源利用率低，用户不能集中管理、网络安全不能保障等。展开对单点登录的研究就找到了这些问题的突破口。

笔者在对国内外单点登录的发展情况进行了一定研究和学习的基础上，进行了分析和比较，在总结单点登录的特点、优势的基础上，针对发展校园网统一认证设计的具体需求，提出了一个安全稳定的单点登录模型。实践表明本文提出的认证和授权方法的单点登录方案可以灵活地实现所需要求。

【参考文献】

[1]冯有辉.大数据理念下高校档案管理服务体系研究[J].山西档案，2016，06：55-57.

[2]吴贤平.基于指纹识别和CAS的单点登录模型技术研究[J].计算机应用研究，2012，29（4）：1381-1383，1390.

[3]沈杰，朱程荣.基于Yale-CAS的单点登录的设计与实现[J].计算机技术与发展，2007，17（12）：144-146，150.

[4]张平，郑津，汪立欣等.一种基于CAS的校园网统一平台单点登录方法[J].电脑编程技巧与维护，2013（16）：146，155.

[5]刘峰，王峥，曹华平，等.基于CAS的门户单点登录方案[J].计算机系统应用，2011，20（6）：77-80，102.

[6]吴秋兵.基于代理的单点登录系统模型研究[J].广东石油化工学院学报，2012，22（3）：41-44，48.

[7]杨帆.高校公共信息管理系统基于单点登录的统一认证技术设计与研究[D].华东师范大学，2010.endprint