基于CAS單點登錄的高校教務管理系統設計探討

摘要：目前高校教學系統的認證機制大多是采用用戶名和密碼來進行登錄，若用戶需要訪問不同系統中的資源，傳統的認證機制必然會耗費大量的時間。因此在統一框架下，建立單點登錄的安全機制，降低多個系統不同登錄模式帶來的安全風險及用戶信息維護成本，已成為高校門戶網站建設中的重要課題。

關鍵詞：單點登錄；CAS；高校教務管理系統；認證機制；高校門戶網站 文獻標識碼：A

中圖分類號：TP311 文章編號：1009-2374（2015）12-0017-02 DOI：10.13535/j.cnki.11-4406/n.2015.12.009

1 概述

隨著網絡技術的日益普及以及教育投入的不斷增加，校園網已經逐漸成為了高校正常運作中必不可少的部分。同時，校園網內部建立了越來越多的系統以滿足不斷拓展的工作業務的需求。不同的系統大都是在不同時期建設的，設計針對于不同的功能，而且編寫系統的開發單位也會不同。所以，每個校園網站的內部系統都有專屬的一套安全規范以及身份認證體系。用戶必須使用該系統專門配置的對應的賬號進行登錄才可以使用這些系統。若用戶需要訪問不同系統中的資源，那么他每進入一個系統就必須輸入一次相應的賬號進行登錄。這種訪問方式必然會耗費用戶大量的時間去登錄系統，同時用戶也被迫需要花費精力去記憶大量的賬號信息。因此，大多數的用戶會采用容易記憶卻過于簡單的登錄賬號密碼；一些用戶會將登錄的賬號密碼記錄在紙條上，以避免遺忘；還有一些用戶為了節約登錄時間，在不使用系統服務時不退出。由此我們可以看到，利用傳統的登錄方式的系統既增加用戶的負擔，也很容易導致違反基本安全策略的事件發生，使得系統安全性降低，且更容易受到攻擊。

另外，目前采用的傳統的用戶名密碼認證機制的校園網，內部不同的系統都必須保存各自的用戶信息數據庫，這就給校園網的管理增加了很大的難度。例如當學校新增了一名員工，校園網的管理員就必須在該員工有權訪問的校園網的所有系統中逐一為該員工建立一套賬號，而如果用戶忘記了密碼及系統提供的找回方式，就只能與管理員聯系，通過復雜的審查核實流程，取回密碼，這直接造成了系統和安全管理資源的開銷。若該員工離開學校，校園網的管理員又必須在各個系統中將其賬號一一刪除。這一做法無疑增加了管理員的工作量，而且很可能產生某些遺漏，埋下校園網安全隱患。

由此可見，如何才能更有效地對校園網信息系統進行管理，是校園網所面臨的一個重要問題。我們發現這是由于分散的用戶信息管理所造成的，同一用戶的登錄信息在校園網內部的各個系統之間完全沒有關聯，這就使得用戶每登錄一個系統就要進行一次身份驗證。因此將各系統用戶登錄信息進行統一驗證，成為校園網改善門戶網站整體用戶身份驗證的關鍵問題之一。

2 教務管理系統需求分析

學院教務管理系統是一個涉及教務管理各環節、面向學校各部門以及各層次用戶的多模塊綜合管理信息系統，主要包含公共信息管理、收費注冊管理、招生管理系統、畢業論文管理、課程選課管理、教學計劃管理、成績管理等多個子系統。各子系統之間既相互關聯，又相互獨立，構成了一個復雜的綜合教務管理信息系統。

目前學院獨立的校園網系統包括招生管理系統、職業鑒定管理系統、畢業論文管理管理系統。這幾個校園網站系統都是在獨立服務器上運行的，而且都是采用B/S（Browser/Server）結構，管理用戶通過瀏覽器就可以訪問。

第一，教務處和學校各個部門管理工作有合理的分工和交互，各行其責。為便利日常工作，非常有必要開發校級的教務管理系統和其他系級的單點登錄應用系統。這些系統應具有統一的用戶名稱和密碼的管理、增刪、授權等功能。

第二，為了保證學校和院（系）兩級系統的數據的一致性，需要對相關的數據進行安全管理，以保證良好的數據質量。

第三，需要定期的數據備份和方便的數據恢復，以減少或避免不可抗力所造成的可能的數據損失。

第四，具有良好的人機交互界面。由于系統將有較大的數據量，原始數據的導入、輸入及編輯等操作應當簡易，并支持多方式的修改。

根據以上教務管理的基本需求，本文設計系統主要完成的任務有兩個：前臺功能和后臺功能。前臺功能主要是運行和用戶相關的處理，如提供課程信息、選課管理、學員注冊、成績查詢、教師評價等。后臺功能主要是運行后臺管理員權限操作，用于對學員的信息管理和維護。

3 單點登錄技術

單點登錄系統（Single Sign On，縮寫SSO），這一解決方案正是針對這一關鍵問題而提出的。單點登錄系統集中保存和管理原來分散的用戶管理。各個系統之間可以進行用戶身份的自動認證，于是校園網的管理員只需要在唯一的用戶信息數據庫中進行添加和刪除用戶賬號。

在單點登錄系統中需采用中心認證服務，CAS（Central Authentication Service）。采用CAS的目的就是集中分布在一個學院內部各個異構系統的認證工作，通過一個公用的認證系統統一管理和驗證用戶身份。用戶若在CAS上認證通過，將獲得CAS頒發的一個證書。用戶可以使用CAS證書在承認此證書的各個內部系統自由訪問，不需要重復登錄認證。

4 系統設計

我們將教務管理系統應用在職責上分成3層：表示層（Presentation Layer）、業務層（Business Layer）、持久層（Persistence Layer）。

表示層采用的是Struts2.0框架，Web頁面技術采用的是JavaScript技術。

業務層采用的是Spring框架，分為Web控制層、Service層、DAO層以分離控制層與業務邏輯層。

持久層采用實體關系映射工具Hibernate完成。它可以通過Hibernate將關系型的數據庫的數據映射成對象，以實現以面向對象的方式進行操作數據庫。

系統的安全設計，大體分為數據存儲安全和數據傳輸安全兩部分。對于直接針對SSO的數據庫服務器和CAS認證服務器進行的嘗試竊取數據攻擊，在部署上可以在通過內外網劃分，將數據服務器放在局域網內來提高整體系統的安全性。在內外網入口處，通過增加防火墻對訪問的域名和口地址進行有效限制，針對數據存儲服務器直接進行攻擊方式，實現了有效的防范。

將整個單點登錄系統部署分為內外網部署，并在內外網間設置了防火墻，提高了系統的安全性。數據庫服務器除SSO認證服務外不需要其他服務器或客戶端直接訪問，因此放置在由局域網交換機連接的內網之中可以極大提高數據的安全性。內網的入口是唯一的，在途中是一臺CAS的SSO服務器，在實際系統環境中，為了保證內網各服務器數據的安全性，在內外網交叉的入口處加防火墻是必要的，利用防火墻本身的包過濾和訪問限制等設置，有效降低了服務器被攻擊的風險。

CAS的SSO服務器的合理部署可以使網絡對學院Web網站的直接攻擊減少。但是它不能預防被攔截攻擊的隱患，而且學院前臺Web服務器本來就要對信息進行不斷的更新和維護，所以盡量不要把用戶基本信息和認證信息放在數據庫服務器中，把用戶的登陸信息改放到CAS的SSO服務器是解決多系統用戶認證的有效方式。

5 結語

現代化的校園管理離不開高效率的信息化手段。高校的教務處作為主管高校的教學工作的職能部門，負責全校的教學運行管理，在高校運行中處于相當重要的位置。為了避免同一身份多個賬號管理的繁瑣以及安全問題，我們設計了基于CAS的單點登錄系統的解決方案及相應實現方法，并且具體針對學院訪問量大、安全性高的需求特點，提出了使用基于Spring、Struts、Hibernate等多種框架技術的，適應高并發、高安全性的單點登錄系統解決方案。

參考文獻

[1] 李臘元，李春林.計算機網絡技術[M].北京：國防工業出版社，2001.

[2] 羅時飛.敏捷Acegi、CAS：構建安全的Java系統[M].北京：電子工業出版社，2007.

[3] 夏昕，曹曉鋼，唐勇.深入淺出Hibernate[M].北京：電子工業出版社，2005.

作者簡介：鄭翊（1979-），男，福建福州人，供職于福建工程學院國脈信息學院，碩士，研究方向：軟件工程。

（責任編輯：周 瓊）