摘要：目前高校教學(xué)系統(tǒng)的認(rèn)證機(jī)制大多是采用用戶名和密碼來進(jìn)行登錄，若用戶需要訪問不同系統(tǒng)中的資源，傳統(tǒng)的認(rèn)證機(jī)制必然會(huì)耗費(fèi)大量的時(shí)間。因此在統(tǒng)一框架下，建立單點(diǎn)登錄的安全機(jī)制，降低多個(gè)系統(tǒng)不同登錄模式帶來的安全風(fēng)險(xiǎn)及用戶信息維護(hù)成本，已成為高校門戶網(wǎng)站建設(shè)中的重要課題。

關(guān)鍵詞：?jiǎn)吸c(diǎn)登錄；CAS；高校教務(wù)管理系統(tǒng)；認(rèn)證機(jī)制；高校門戶網(wǎng)站 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TP311 文章編號(hào)：1009-2374（2015）12-0017-02 DOI：10.13535/j.cnki.11-4406/n.2015.12.009

1 概述

隨著網(wǎng)絡(luò)技術(shù)的日益普及以及教育投入的不斷增加，校園網(wǎng)已經(jīng)逐漸成為了高校正常運(yùn)作中必不可少的部分。同時(shí)，校園網(wǎng)內(nèi)部建立了越來越多的系統(tǒng)以滿足不斷拓展的工作業(yè)務(wù)的需求。不同的系統(tǒng)大都是在不同時(shí)期建設(shè)的，設(shè)計(jì)針對(duì)于不同的功能，而且編寫系統(tǒng)的開發(fā)單位也會(huì)不同。所以，每個(gè)校園網(wǎng)站的內(nèi)部系統(tǒng)都有專屬的一套安全規(guī)范以及身份認(rèn)證體系。用戶必須使用該系統(tǒng)專門配置的對(duì)應(yīng)的賬號(hào)進(jìn)行登錄才可以使用這些系統(tǒng)。若用戶需要訪問不同系統(tǒng)中的資源，那么他每進(jìn)入一個(gè)系統(tǒng)就必須輸入一次相應(yīng)的賬號(hào)進(jìn)行登錄。這種訪問方式必然會(huì)耗費(fèi)用戶大量的時(shí)間去登錄系統(tǒng)，同時(shí)用戶也被迫需要花費(fèi)精力去記憶大量的賬號(hào)信息。因此，大多數(shù)的用戶會(huì)采用容易記憶卻過于簡(jiǎn)單的登錄賬號(hào)密碼；一些用戶會(huì)將登錄的賬號(hào)密碼記錄在紙條上，以避免遺忘；還有一些用戶為了節(jié)約登錄時(shí)間，在不使用系統(tǒng)服務(wù)時(shí)不退出。由此我們可以看到，利用傳統(tǒng)的登錄方式的系統(tǒng)既增加用戶的負(fù)擔(dān)，也很容易導(dǎo)致違反基本安全策略的事件發(fā)生，使得系統(tǒng)安全性降低，且更容易受到攻擊。

另外，目前采用的傳統(tǒng)的用戶名密碼認(rèn)證機(jī)制的校園網(wǎng)，內(nèi)部不同的系統(tǒng)都必須保存各自的用戶信息數(shù)據(jù)庫(kù)，這就給校園網(wǎng)的管理增加了很大的難度。例如當(dāng)學(xué)校新增了一名員工，校園網(wǎng)的管理員就必須在該員工有權(quán)訪問的校園網(wǎng)的所有系統(tǒng)中逐一為該員工建立一套賬號(hào)，而如果用戶忘記了密碼及系統(tǒng)提供的找回方式，就只能與管理員聯(lián)系，通過復(fù)雜的審查核實(shí)流程，取回密碼，這直接造成了系統(tǒng)和安全管理資源的開銷。若該員工離開學(xué)校，校園網(wǎng)的管理員又必須在各個(gè)系統(tǒng)中將其賬號(hào)一一刪除。這一做法無疑增加了管理員的工作量，而且很可能產(chǎn)生某些遺漏，埋下校園網(wǎng)安全隱患。

由此可見，如何才能更有效地對(duì)校園網(wǎng)信息系統(tǒng)進(jìn)行管理，是校園網(wǎng)所面臨的一個(gè)重要問題。我們發(fā)現(xiàn)這是由于分散的用戶信息管理所造成的，同一用戶的登錄信息在校園網(wǎng)內(nèi)部的各個(gè)系統(tǒng)之間完全沒有關(guān)聯(lián)，這就使得用戶每登錄一個(gè)系統(tǒng)就要進(jìn)行一次身份驗(yàn)證。因此將各系統(tǒng)用戶登錄信息進(jìn)行統(tǒng)一驗(yàn)證，成為校園網(wǎng)改善門戶網(wǎng)站整體用戶身份驗(yàn)證的關(guān)鍵問題之一。

2 教務(wù)管理系統(tǒng)需求分析

學(xué)院教務(wù)管理系統(tǒng)是一個(gè)涉及教務(wù)管理各環(huán)節(jié)、面向?qū)W校各部門以及各層次用戶的多模塊綜合管理信息系統(tǒng)，主要包含公共信息管理、收費(fèi)注冊(cè)管理、招生管理系統(tǒng)、畢業(yè)論文管理、課程選課管理、教學(xué)計(jì)劃管理、成績(jī)管理等多個(gè)子系統(tǒng)。各子系統(tǒng)之間既相互關(guān)聯(lián)，又相互獨(dú)立，構(gòu)成了一個(gè)復(fù)雜的綜合教務(wù)管理信息系統(tǒng)。

目前學(xué)院獨(dú)立的校園網(wǎng)系統(tǒng)包括招生管理系統(tǒng)、職業(yè)鑒定管理系統(tǒng)、畢業(yè)論文管理管理系統(tǒng)。這幾個(gè)校園網(wǎng)站系統(tǒng)都是在獨(dú)立服務(wù)器上運(yùn)行的，而且都是采用B/S（Browser/Server）結(jié)構(gòu)，管理用戶通過瀏覽器就可以訪問。

第一，教務(wù)處和學(xué)校各個(gè)部門管理工作有合理的分工和交互，各行其責(zé)。為便利日常工作，非常有必要開發(fā)校級(jí)的教務(wù)管理系統(tǒng)和其他系級(jí)的單點(diǎn)登錄應(yīng)用系統(tǒng)。這些系統(tǒng)應(yīng)具有統(tǒng)一的用戶名稱和密碼的管理、增刪、授權(quán)等功能。

第二，為了保證學(xué)校和院（系）兩級(jí)系統(tǒng)的數(shù)據(jù)的一致性，需要對(duì)相關(guān)的數(shù)據(jù)進(jìn)行安全管理，以保證良好的數(shù)據(jù)質(zhì)量。

第三，需要定期的數(shù)據(jù)備份和方便的數(shù)據(jù)恢復(fù)，以減少或避免不可抗力所造成的可能的數(shù)據(jù)損失。

第四，具有良好的人機(jī)交互界面。由于系統(tǒng)將有較大的數(shù)據(jù)量，原始數(shù)據(jù)的導(dǎo)入、輸入及編輯等操作應(yīng)當(dāng)簡(jiǎn)易，并支持多方式的修改。

根據(jù)以上教務(wù)管理的基本需求，本文設(shè)計(jì)系統(tǒng)主要完成的任務(wù)有兩個(gè)：前臺(tái)功能和后臺(tái)功能。前臺(tái)功能主要是運(yùn)行和用戶相關(guān)的處理，如提供課程信息、選課管理、學(xué)員注冊(cè)、成績(jī)查詢、教師評(píng)價(jià)等。后臺(tái)功能主要是運(yùn)行后臺(tái)管理員權(quán)限操作，用于對(duì)學(xué)員的信息管理和維護(hù)。

3 單點(diǎn)登錄技術(shù)

單點(diǎn)登錄系統(tǒng)（Single Sign On，縮寫SSO），這一解決方案正是針對(duì)這一關(guān)鍵問題而提出的。單點(diǎn)登錄系統(tǒng)集中保存和管理原來分散的用戶管理。各個(gè)系統(tǒng)之間可以進(jìn)行用戶身份的自動(dòng)認(rèn)證，于是校園網(wǎng)的管理員只需要在唯一的用戶信息數(shù)據(jù)庫(kù)中進(jìn)行添加和刪除用戶賬號(hào)。

在單點(diǎn)登錄系統(tǒng)中需采用中心認(rèn)證服務(wù)，CAS（Central Authentication Service）。采用CAS的目的就是集中分布在一個(gè)學(xué)院內(nèi)部各個(gè)異構(gòu)系統(tǒng)的認(rèn)證工作，通過一個(gè)公用的認(rèn)證系統(tǒng)統(tǒng)一管理和驗(yàn)證用戶身份。用戶若在CAS上認(rèn)證通過，將獲得CAS頒發(fā)的一個(gè)證書。用戶可以使用CAS證書在承認(rèn)此證書的各個(gè)內(nèi)部系統(tǒng)自由訪問，不需要重復(fù)登錄認(rèn)證。

4 系統(tǒng)設(shè)計(jì)

我們將教務(wù)管理系統(tǒng)應(yīng)用在職責(zé)上分成3層：表示層（Presentation Layer）、業(yè)務(wù)層（Business Layer）、持久層（Persistence Layer）。

表示層采用的是Struts2.0框架，Web頁(yè)面技術(shù)采用的是JavaScript技術(shù)。

業(yè)務(wù)層采用的是Spring框架，分為Web控制層、Service層、DAO層以分離控制層與業(yè)務(wù)邏輯層。

持久層采用實(shí)體關(guān)系映射工具Hibernate完成。它可以通過Hibernate將關(guān)系型的數(shù)據(jù)庫(kù)的數(shù)據(jù)映射成對(duì)象，以實(shí)現(xiàn)以面向?qū)ο蟮姆绞竭M(jìn)行操作數(shù)據(jù)庫(kù)。

系統(tǒng)的安全設(shè)計(jì)，大體分為數(shù)據(jù)存儲(chǔ)安全和數(shù)據(jù)傳輸安全兩部分。對(duì)于直接針對(duì)SSO的數(shù)據(jù)庫(kù)服務(wù)器和CAS認(rèn)證服務(wù)器進(jìn)行的嘗試竊取數(shù)據(jù)攻擊，在部署上可以在通過內(nèi)外網(wǎng)劃分，將數(shù)據(jù)服務(wù)器放在局域網(wǎng)內(nèi)來提高整體系統(tǒng)的安全性。在內(nèi)外網(wǎng)入口處，通過增加防火墻對(duì)訪問的域名和口地址進(jìn)行有效限制，針對(duì)數(shù)據(jù)存儲(chǔ)服務(wù)器直接進(jìn)行攻擊方式，實(shí)現(xiàn)了有效的防范。

將整個(gè)單點(diǎn)登錄系統(tǒng)部署分為內(nèi)外網(wǎng)部署，并在內(nèi)外網(wǎng)間設(shè)置了防火墻，提高了系統(tǒng)的安全性。數(shù)據(jù)庫(kù)服務(wù)器除SSO認(rèn)證服務(wù)外不需要其他服務(wù)器或客戶端直接訪問，因此放置在由局域網(wǎng)交換機(jī)連接的內(nèi)網(wǎng)之中可以極大提高數(shù)據(jù)的安全性。內(nèi)網(wǎng)的入口是唯一的，在途中是一臺(tái)CAS的SSO服務(wù)器，在實(shí)際系統(tǒng)環(huán)境中，為了保證內(nèi)網(wǎng)各服務(wù)器數(shù)據(jù)的安全性，在內(nèi)外網(wǎng)交叉的入口處加防火墻是必要的，利用防火墻本身的包過濾和訪問限制等設(shè)置，有效降低了服務(wù)器被攻擊的風(fēng)險(xiǎn)。

CAS的SSO服務(wù)器的合理部署可以使網(wǎng)絡(luò)對(duì)學(xué)院Web網(wǎng)站的直接攻擊減少。但是它不能預(yù)防被攔截攻擊的隱患，而且學(xué)院前臺(tái)Web服務(wù)器本來就要對(duì)信息進(jìn)行不斷的更新和維護(hù)，所以盡量不要把用戶基本信息和認(rèn)證信息放在數(shù)據(jù)庫(kù)服務(wù)器中，把用戶的登陸信息改放到CAS的SSO服務(wù)器是解決多系統(tǒng)用戶認(rèn)證的有效方式。

5 結(jié)語(yǔ)

現(xiàn)代化的校園管理離不開高效率的信息化手段。高校的教務(wù)處作為主管高校的教學(xué)工作的職能部門，負(fù)責(zé)全校的教學(xué)運(yùn)行管理，在高校運(yùn)行中處于相當(dāng)重要的位置。為了避免同一身份多個(gè)賬號(hào)管理的繁瑣以及安全問題，我們?cè)O(shè)計(jì)了基于CAS的單點(diǎn)登錄系統(tǒng)的解決方案及相應(yīng)實(shí)現(xiàn)方法，并且具體針對(duì)學(xué)院訪問量大、安全性高的需求特點(diǎn)，提出了使用基于Spring、Struts、Hibernate等多種框架技術(shù)的，適應(yīng)高并發(fā)、高安全性的單點(diǎn)登錄系統(tǒng)解決方案。

參考文獻(xiàn)

[1] 李臘元，李春林.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：國(guó)防工業(yè)出版社，2001.

[2] 羅時(shí)飛.敏捷Acegi、CAS：構(gòu)建安全的Java系統(tǒng)[M].北京：電子工業(yè)出版社，2007.

[3] 夏昕，曹曉鋼，唐勇.深入淺出Hibernate[M].北京：電子工業(yè)出版社，2005.

作者簡(jiǎn)介：鄭翊（1979-），男，福建福州人，供職于福建工程學(xué)院國(guó)脈信息學(xué)院，碩士，研究方向：軟件工程。

（責(zé)任編輯：周 瓊）