1概述
随着网络技术的口益普及以及教育投入的不断增加,校园网已经逐渐成为了高校正常运作中必不可少的部分。同时,校园网内部建立了越来越多的系统以满足不断拓展的工作业务的需求。不同的系统大都是在不同时期建设的,设计针对于不同的功能,而且编写系统的开发单位也会不同。所以,每个校园网站的内部系统都有专属的一套安全规范以及身份认证体系。用户必须使用该系统专门配置的对应的账号进行登录才可以使用这些系统。若用户需要访问不同系统中的资源,那么他每进入一个系统就必须输入一次相应的账号进行登录。这种访问方式必然会耗费用户大量的时间去登录系统,同时用户也被迫需要花费精力去记忆大量的账号信息。因此,大多数的用户会采用容易记忆却过于简单的登录账号密码;一些用户会将登录的账号密码记录在纸条上,以避免遗忘;还有一些用户为了节约登录时间,在不使用系统服务时不退出。山此我们可以看到,利用传统的登录方式的系统既增加用户的负担,也很容易导致违反基本安全策略的事件发生,使得系统安全性降低,且更容易受到攻击。
另外,目前采用的传统的用户名密码认证机制的校园网,内部不同的系统都必须保存各自的用户信息数据库,这就给校园网的管理增加了很大的难度。例如当学校新增了一名员工,校园网的管理员就必须在该员工有权访问的校园网的所有系统中逐一为该员工建立一套账号,而如果用户忘记了密码及系统提供的找回方式,就只能与管理员联系,通过复杂的审查核实流程,取回密码,这直接造成了系统和安全管理资源的开销。若该员工离开学校,校园网的管理员又必须在各个系统中将其账号-一一删除。这一做法无疑增加了管理员的工作量,而且很可能产生某些遗漏,埋下校园网安全隐患。
由此可见,如何才能更有效地对校园网信息系统进行管理,是校园网所面临的一个重要问题。我们发现这是山于分散的用户信息管理所造成的,同一用户的登录信息在校园网内部的各个系统之间完全没有关联,这就使得用户每登录一个系统就要进行一次身份验证。因此将各系统用户登录信息进行统一验证,成为校园网改善门户网站整体用户身份验证的关键问题之一。
2教务管理系统需求分析
学院教务管理系统是一个涉及教务管理各环节、面向学校各部门以及各层次用户的多模块综合管理信息系统,主要包含公共信息管理、收费注册管理、招生管理系统、毕业论文管理、课程选课管理、教学计划管理、成绩管理等多个子系统。各子系统之间既相互关联,又相互独立,构成了一个复杂的综合教务管理信息系统。
目前学院独立的校园网系统包括招生管理系统、职业鉴定管理系统、毕业论文管理管理系统。这儿个校园网站系统都是在独立服务器上运行的,而且都是采用B/S (Browse州Server)结构,管理用户通过浏览器就可以访问。
第一,教务处和学校各个部门管理工作有合理的分工和交互,各行其责。为便利口常工作,非常有必要开发校级的教务管理系统和其他系级的单点登录应用系统。这些系统应具有统一的用户名称和密码的管理、增删、授权等功能。
第二,为了保证学校和院(系)两级系统的数据的一致性,需要对相关的数据进行安全管理,以保证良好的数据质量。
第三,需要定期的数据备份和方便的数据恢复,以减少或避免不可抗力所造成的可能的数据损失。
第四,具有良好的人机交互界面。山于系统将有较大的数据量,原始数据的导入、输入及编辑等操作应当简易,并支持多方式的修改。 根据以上教务管理的基本需求,本文设计系统主要完成的任务有两个:前台功能和后台功能。前台功能主要是运行和用户相关的处理,如提供课程信息、选课管理、学员注册、成绩查询、教师评价等。后台功能主要是运行后台管理员权限操作,用于对学员的信息管理和维护。
3单点登录技术
单点登录系统(Single Sign On,缩写sso,这一解决方案正是针对这一关键问题而提出的。单点登录系统集中保存和管理原来分散的用户管理。各个系统之间可以进行用户身份的自动认证,于是校园网的管理员只需要在唯一的用户信息数据库中进行添加和删除用户账号一。
在单点登录系统中需采用中心认证服务,CAS (Central Authentication Service)。采用CAS的目的就是集中分布在一个学院内部各个异构系统的认证工作,通过一个公用的认证系统统一管理和验证用户身份。用户若在CAS上认证通过,将获得CAS颁发的一个证书。用户可以使用CAS证书在承认此证书的各个内部系统自由访问,不需要重复登录认证。
4系统设计
我们将教务管理系统应用在职责上分成3层:表T层(Presentation Layer)、业务层(BusinessLayer)、持久层(Persistence Layer)。
表T层采用的是Struts2.。框架,Web页面技术采用的是JavaScript技术。
业务层采用的是Spring框架,分为Web控制层、Service层、DAO层以分离控制层与业务逻辑层。
持久层采用实体关系映射工具Hibernate完成。它可以通过Hibernate将关系型的数据库的数据映射成对象,以实现以面向对象的方式进行操作数据库。
系统的安全设计,大体分为数据存储安全和数据传输安全两部分。对于直接针对SSO的数据库服务器和CAS认证服务器进行的尝试窃取数据攻击,在部署上可以在通过内外网划分,将数据服务器放在局域网内来提高整体系统的安全性。在内外网入口处,通过增加防火墙对访问的域名和口地址进行有效限制,针对数据存储服务器直接进行攻击方式,实现了有效的防范。
将整个单点登录系统部署分为内外网部署,并在内外网间设置了防火墙,提高了系统的安全性。数据库服务器除SSO认证服务外不需要其他服务器或客户端直接访问,因此放置在山局域网交换机连接的内网之中可以极大提高数据的安全性。内网的入口是唯一的,在途中是一台CAS的SSO服务器,在实际系统环境中,为了保证内网各服务器数据的安全性,在内外网交叉的入口处加防火墙是必要的,利用防火墙本身的包过滤和访问限制等设置,有效降低了服务器被攻击的风险。
CAS的SSO服务器的合理部署可以使网络对学院Web网站的直接攻击减少。但是它不能预防被拦截攻击的隐患,而且学院前台Web服务器本来就要对信息进行不断的更新和维护,所以尽量不要把用户基本信息和认证信息放在数据库服务器中,把用户的登陆信息改放到CAS的SSO服务器是解决多系统用户认证的有效方式。
5结语
现代化的校园管理离不开高效率的信息化手段。高校的教务处作为主管高校的教学工作的职能部门,负责全校的教学运行管理,在高校运行中处于相当重要的位置。为了避免同一身份多个账号管理的繁琐以及安全问题,我们设计了基于CAS的单点登录系统的解决方案及相应实现方法,并且具体针对学院访问量大、安全性高的需求特点,提出了使用基于Spring. Struts.Hibernate等多种框架技术的,适应高并发、高安全性的单点登录系统解决方案。