周加強

（山東大學(xué)圖書館，山東 濟南250100）

聯(lián)合認證在CALIS省級區(qū)域中心的應(yīng)用

周加強

（山東大學(xué)圖書館，山東 濟南250100）

本文論述了聯(lián)合認證的基本概念和原理，并基于J2EE平臺開發(fā)實現(xiàn)了高校圖書館和CALIS省級區(qū)域共享域平臺的聯(lián)合認證，展望了通過該技術(shù)建立一個三級聯(lián)合認證平臺，通過網(wǎng)絡(luò)實現(xiàn)區(qū)域乃至全國圖書文獻保障體系任何時點登錄，隨時隨地享受便捷服務(wù)的遠景。

聯(lián)合認證；單點登錄；全國圖書文獻保障體系

1、聯(lián)合認證的基本概念

高等學(xué)校各個區(qū)域性的共享域中心、地區(qū)文化共享工程等如雨后竹筍般涌現(xiàn)在互聯(lián)網(wǎng)上，為學(xué)校或社會的讀者提供文獻的檢索和獲取等服務(wù)。然而用戶在使用的過程中，為了簡化管理，系統(tǒng)一般都采用了IP登錄方式，即只要讀者的IP地址在許可的范圍內(nèi)，可以直接使用系統(tǒng)提供的服務(wù)。為了能在區(qū)域中更廣泛的使用，以及涉及到財務(wù)數(shù)據(jù)的系統(tǒng)中，需要實名用戶登錄，用戶名密碼的登錄方式成為一種不可缺少的登錄策略。

共享域中心的用戶與各個機構(gòu)或者高校做統(tǒng)一認證和統(tǒng)一授權(quán)管理，需要兩種方式，一種是用戶數(shù)據(jù)同步，另外一種是聯(lián)合認證。

用戶數(shù)據(jù)同步是指把機構(gòu)或者高校圖書館的用戶信息，定期同步到共享域中心的用戶庫中。這種方法實施簡單，但由于同步不會實時的進行，經(jīng)常帶來用戶的信息不一致的情況發(fā)生。而聯(lián)合認證是指一個機構(gòu)A信任另一個機構(gòu)B，并使用機構(gòu)B提供的認證服務(wù)來對登錄其機構(gòu)的用戶進行認證；聯(lián)合認證使不同機構(gòu)的系統(tǒng)能更好的進行合作，進一步提高跨機構(gòu)用戶的體驗。

2、聯(lián)合認證的登錄流程場景

聯(lián)合認證的登錄流程場景如圖1所示的10個步驟來完成：需要圖書閱覽或查詢的讀者從瀏覽器發(fā)起對共享域平臺中的應(yīng)用系統(tǒng)“館際互借讀者網(wǎng)關(guān)”發(fā)起訪問（第1步），館際互借讀者網(wǎng)關(guān)發(fā)現(xiàn)讀者未登錄，便重定向到區(qū)域統(tǒng)一認證中心SP（第2步）。SP也發(fā)現(xiàn)該讀者未在此登錄過，于是又重定向到該讀者所在機構(gòu)的聯(lián)合認證中心IDP（第3步）。IDP向讀者瀏覽器發(fā)送登錄頁面（第4步），讀者輸入用戶名密碼后點登錄（第5步），聯(lián)合認證中心IDP驗證用戶名密碼在本機構(gòu)是否合法。如果合法，則重定向到統(tǒng)一認證中心SP（第6步），統(tǒng)一認證中心根據(jù)回傳回來的令牌ID，通過第7步和第8步調(diào)用聯(lián)合認證中心的WEBService，返回該讀者的詳細信息，并保存到SP緩存中，登錄成功。然后重定向到館際互借讀者網(wǎng)關(guān)（第9步）告知登錄成功，然后返回登錄成功后的頁面給讀者（第10步），至此，一次聯(lián)合認證的登錄流程全部完成。

3、聯(lián)合認證的優(yōu)點

通過圖書館區(qū)域中心和共享域認證中心實施聯(lián)合認證，會帶來以下優(yōu)點。

（1）不再需要往共享域平臺同步和導(dǎo)入用戶數(shù)據(jù)了；共享域?qū)D書館區(qū)域的認證，完全依賴該圖書館區(qū)域提供的聯(lián)合認證接口來實現(xiàn)。這樣給圖書館的管理帶來了極大的靈活性，圖書館可以完全控制用戶的登錄行為。

（2）實現(xiàn)一個用戶名和密碼，可以登錄圖書館區(qū)域的所有應(yīng)用系統(tǒng)，比如門戶平臺、

圖1　聯(lián)合認證登錄流程場景圖

OPAC系統(tǒng)、電子閱覽室系統(tǒng)等，而且可以實現(xiàn)單點登錄（SSO），在圖書館系統(tǒng)登錄成功后，可以直接訪問共享域平臺的所有被許可的系統(tǒng)資源。

4、聯(lián)合認證的數(shù)據(jù)來源

對于高校圖書館，聯(lián)合認證的最重要的數(shù)據(jù)來源之一，是各高校圖書館自動化系統(tǒng)中的讀者數(shù)據(jù)。這些用戶數(shù)據(jù)信息非常全面，而且由圖書館自動化系統(tǒng)進行增刪查改維護，只需要做個簡單接口就可以，省去了很大的工作量。

特別是目前越來越多的高校已經(jīng)實施了校園一卡通的項目，因此聯(lián)合認證的另一個重要的數(shù)據(jù)來源可以直接采用校園卡數(shù)據(jù)；使用該校園卡數(shù)據(jù)可以實現(xiàn)一個學(xué)校校園的統(tǒng)一認證。但是鑒于校外讀者一般沒有校園卡，因此聯(lián)合認證接口同時必須要具備能夠維護這部分校外讀者數(shù)據(jù)的功能。

5、某試點高校圖書館聯(lián)合認證的基本環(huán)境

在某省圖書資源共享域平臺的各個成員圖書館中，我們首先以某高校為試點，開發(fā)并實現(xiàn)了聯(lián)合認證接口。某高校圖書館認證環(huán)境如圖2所示。

圖2　某高校圖書館認證環(huán)境

學(xué)校圖書館的本地認證中心，掛接在本地WEB服務(wù)總線LSB（Library Service Bus）上，為館內(nèi)其他應(yīng)用服務(wù)器（如圖書館門戶、OPAC、資源校外訪問等等）提供統(tǒng)一認證服務(wù)。本地認證中心的讀者數(shù)據(jù)和校園卡管理中心實現(xiàn)實時同步。為了用戶數(shù)據(jù)安全，用戶密碼字段不做同步，通過一卡通的API來進行用戶名和密碼的驗證。聯(lián)合認證接口服務(wù)部署在本地認證中心的服務(wù)器上。這樣，讀者通過校園卡的用戶名和密碼，可以訪問圖書館提供給讀者的各項服務(wù)。

6、聯(lián)合認證接口的實現(xiàn)

聯(lián)合認證接口是基于J2EE平臺進行的開發(fā)，使用Eclipse 3.6作為開發(fā)工具，采用Tomcat 6作為WEB容器，數(shù)據(jù)庫采用Oracle 10g，使用開源框架SSH（Spring Struts Hibernate）。

圖3　聯(lián)合認證接口架構(gòu)圖

聯(lián)合認證服務(wù)程序分為三層。分別為處理層、頁面層、DAO層，處理層是讀者和CALIS認證中心進行交互的頁面處理層，用來處理用戶名密碼登錄以及CALIS的認證中心的Web服務(wù)回調(diào)。頁面層接收到請求后，調(diào)用服務(wù)層的CalisFederalService（圖4）服務(wù)來完成驗證。DAO層負責(zé)用戶數(shù)據(jù)的持久層的存取訪問。通過分層，帶來的最大好處是，當給其他高?；驒C構(gòu)圖書館部署聯(lián)合認證的時候，只需要替換DAO層的組件即可，大大減少開發(fā)工作量。

在登錄頁面的IdpAction處理里，會接收3個參數(shù)：sp、goto和idp。sp是CALIS統(tǒng)一認證中心的URL地址，goto是應(yīng)用系統(tǒng)的地址，idp是聯(lián)合認證中心的代碼。

IdpAction首先調(diào)用 CalisFederalService的login方法進行登錄。該方法會調(diào)用UasUserDAO提供的getUser方法返回一個用戶實體UasUser。該實體包含用戶的全部信息，用戶名密碼驗證成功后，會在聯(lián)合認證服務(wù)器上創(chuàng)建一個 Session項（UasSessionItem）， 其成員如圖 6所示。 然后IdpAction將請求重定向到sp參數(shù)指定的地址，另外給這個地址加上3個參數(shù)goto和idp和artifact。

圖4　CalisFederalService接口

圖5　UasUserDAO接口

圖6　UasSessionItem成員

當CALIS統(tǒng)一認證中心接收到這3個參數(shù)的時候，會將artifact作為參數(shù)調(diào)用聯(lián)合認證中心ArtifactAction的WEB服務(wù)，請求該artifact對應(yīng)的讀者的信息。信息為XML格式的，模版如下：

圖7　ArtifactAction回應(yīng)的格式

最后全部完成聯(lián)合認證接口的任務(wù)。

7、展望

在開發(fā)、調(diào)試和運行的過程中，系統(tǒng)遇到了一些問題，經(jīng)過分析和研究，都得到了妥善解決。采用了一些網(wǎng)絡(luò)嗅探器，進行跟蹤HTTP請求，這樣可以很清晰的理解和調(diào)試聯(lián)合認證的整個流程，解決了所有HTTP跳轉(zhuǎn)過程怎樣跟蹤和分析的問題。聯(lián)合認證中心的artifact由聯(lián)合認證中心創(chuàng)建和維護，生命周期可以根據(jù)情況設(shè)置，1小時或其他時限過期，明確了權(quán)限，保證了其生命周期的管理。經(jīng)過開發(fā)、部署和運行，該省級共享域平臺的聯(lián)合認證接口運行穩(wěn)定。學(xué)校讀者使用自己的校園卡卡號和密碼，就可以登錄到共享域平臺，使用平臺提供的文獻服務(wù)。該技術(shù)可通過建立一個三級聯(lián)合認證的平臺，推廣到各機構(gòu)或高校圖書館，使這些成員館和省共享域平臺，乃至全國的文獻保障體系網(wǎng)絡(luò)實現(xiàn)任何時點登錄，隨時隨地享受便捷的服務(wù)。

［1］王文清，陳凌.CALIS數(shù)字圖書館云服務(wù)平臺模型［J］.大學(xué)圖書館學(xué)報，2009，（04）.

［2］楊新涯，王文清，張潔，王寧.CALIS三期共享域與圖書館

系統(tǒng)整合的實踐研究［J］.大學(xué)圖書館學(xué)報，2012，（01）.

［3］姚曉霞，趙永超，陳凌，王文清.基于SaaS的CALIS共享服務(wù)實踐［J］.大學(xué)圖書館學(xué)報，2012，（04）.

［4］周君平，孔德新，付偉，杜佳穎.云服務(wù)中跨安全域的聯(lián)合身份認證技術(shù)分析［J］.信息安全與通信保密，2012，（11）.

編輯：馮惟榘

Application of Joint Certification in CALIS Platform Center on Provincial Level

ZHOU Jiaqiang
（Library of Shandong University，Jinan Shandong 250100）

This airticle discussed the the basic concept and principle of Joint certification.The exploration of J2EE platform have achieved the joint certification of university library and CALIS platform of Shared domain on provincial level.The airticla also look ahead the development of 3 level joint certification based on this technology，realize the convenient service in long-term prospects that login service in any place and anytime through the internet to bring about literature safeguard system in regional and even the whole country.

Joint certification；Single Sign-On；CALI

F326

A

2095-7327（2016）-01-0036-04

周加強（1971-），男，山東濟南人，山東大學(xué)圖書館高級工程師，研究方向：計算機應(yīng)用。