数字图书馆统一认证系统的研究与设计

周青松

（云南省图书馆，云南 昆明 650031）

为用户提供个性化、深层次的服务，是建设数字图书馆的根本目的。但用户在不同的数字图书馆平台上获取信息，需要进行多次注册，这影响了用户访问数字图书馆资源的积极性。随着数字图书馆向跨平台、跨媒体发展，建立统一认证系统，为用户提供一体化服务，成为目前数字图书馆研究的一个热点。统一认证系统不仅能够有效解决各个系统之间用户管理和安全认证的差异问题，便于增强认证的安全性，给用户一个统一的使用界面，而且能够有效解决用户信息同步问题，降低系统的复杂性和管理成本，提高系统管理效率，极大地促进数字图书馆的建设与发展。

1 数字图书馆统一认证系统的定义、特点和功能

数字图书馆集成多资源、多服务、多媒体的特点决定了数字图书馆本身是一个多系统的集合体，即是一个系统集群。在数字图书馆体系架构（如图1）中，应用层中的各个应用系统相对独立，可以单独运行，影响使用的主要因素在于各个应用系统的用户管理和登录认证方式。如果要让各个应用系统集成在一起，统一运行和方便用户使用，就必须在服务层建立统一认证系统，然后通过数字图书馆门户发布，供用户使用。

1.1 数字图书馆统一认证系统的定义及特点

数字图书馆统一认证系统是指运用相关的技术手段对系统群内各个应用系统的用户管理和认证系统进行整合集成，而建立能够对系统群中的各个应用系统的用户信息进行统一管理和认证的应用系统。

该系统能克服数字图书馆系统群中不同系统由于用户管理和认证差异带来的使用和管理不便的弊端，具有以下特点：第一，能够对相关系统群内的用户信息进行集中统一管理，有效解决各系统用户信息的信息同步问题，保证用户信息的规范、一致和准确；第二，方便用户使用。用户只需一次登录，就可以使用系统群中的各个应用系统；第三，能有效避免对现有系统进行大规模的修改，把分散管理变为集中管理，提高了系统的安全性，降低管理成本；第四，便于扩展。由于统一认证通过标准的接口与系统群内的应用系统进行整合集成，只要新加入的系统按标准调用接口，就可以加入到统一认证系统集成的系统群中。同时，新加入的系统可以不带用户系统，也能等价实现用户管理和认证的功能。

1.2 数字图书馆统一认证系统的功能

数字图书馆统一认证系统主要有三大功能：（1）用户信息管理功能，包括用户注册、管理用户信息、管理用户角色与权限；（2）应用系统与接口管理功能，即实现与集成的应用系统的对接和管理；（3）用户认证功能，即采用合适的用户认证技术和方式实现用户认证，记录和管理用户登录日志。

2 数字图书馆统一认证系统实现的原理和模式

2.1 数字图书馆统一认证系统实现的原理

数字图书馆统一认证系统是在对用户信息进行管理的基础上，通过定制的标准接口与系统群内的各系统进行用户认证信息交互和用户账号映射，实现用户认证和权限管理，从而对系统群内的各系统进行有效整合。其中，尤以定制标准接口最为关键。接口实现的方式主要有两种：一是基于HTTP协议进行参数传递的方式。这种方式方便简单，但缺点是功能比较单一，安全性不强；二是基于webservice调用的方式。Webservice是一种通过web部署方式对业务功能进行访问的技术，并且是自包含、自描述、模块化的应用。它是一种新型的分布式计算模式，是解决互操作、应用集成（EI）等需求的良好方案，并以其良好的跨平台能力以及开放、简单、分布式等特点得到越来越广泛的应用，具有良好的安全性。这种方式只是在构建开发上比第一种方式复杂。可以看出，基于webservice调用的方式将逐渐成为数字图书馆统一认证系统进行接口开发和定制的主要方式。

2.2 数字图书馆统一认证系统实现的模式

数字图书馆统一认证系统一般有三种实现模式，即认证组件、单点登录和信任代理。

2.2.1 认证组件模式

认证组件模式是统一认证系统作为应用系统的一个身份认证组件的方式进行工作，在这种模式下，应用系统本身不存在用户系统或并不使用应用系统本身的用户系统，其相应的用户账号信息全部保存在统一认证系统上。如图2所示，认证组件模式具体的实现过程为：用户使用在统一认证系统注册过的用户信息，包括用户名和密码，或者是其他的注册授权信息，登录对应的应用系统；应用系统把用户登录信息和应用系统通过的标识一起转发给统一认证系统，需要进行有关登录操作；统一认证系统查看应用系统注册库，检查该应用系统是否已经在统一认证系统中注册过，并查询用户注册库核查转发过来的用户认证信息；核查完成后，统一认证系统回应应用系统，完成登录操作；应用系统按照系统自身的机制建立一个对应的系统会话，然后把应用系统自身的访问令牌回传或返回给访问用户，用户便能通过该返回的访问令牌对此应用系统进行持续访问，直到系统退出或会话超时。

2.2.2 单点登录模式

单点登录模式是统一认证系统作为应用系统的核心的方式进行工作，在这种模式下，用户登录统一认证系统后，便能使用所有在统一认证系统注册过并支持统一认证的相关应用系统。如图3所示，单点登录模式具体的实现过程为：用户利用在统一认证系统注册过的用户信息，包括用户和密码，或者是其他的注册授权信息，登录统一认证系统；通过认证以后，统一认证系统便会创建一个系统会话，并把和该会话有关的访问认证令牌返回给访问用户；用户使用该令牌对支持统一认证的应用系统进行访问；应用系统将相应的访问认证令牌传送给统一认证系统，请求统一认证系统检查令牌的有效性；统一认证系统确认令牌的有效性；在确认令牌有效的情况下，应用系统接收用户访问，直到退出系统或会话超时，令牌失效。应用系统也可以返回一个自身的令牌，以提高访问效率。

2.2.3 信任代理模式

信任代理模式是对应用系统的访问全部由统一认证系统代理的使用模式。此时，所有相关的应用系统只接收从统一认证系统来的访问请求，不接收用户直接提交的请求，与用户直接交互，这样可以集中进行安全管理，在统一认证系统端部署主要的安全投入。如图4所示，信任代理模式具体的实现过程为：访问用户利用在统一认证系统注册过的用户信息，包括用户名和密码，或者是其他的注册授权信息，登录统一认证系统；通过认证后，统一认证系统便会创建一个系统会话，并把与该会话有关的访问认证令牌返回给用户；访问用户用返回的令牌访问支持统一认证的应用系统，但不直接把访问请求传递给应用系统，而是传递给统一认证系统，并在请求中包含要访问的应用系统的ID；统一认证系统接受请求后，查询应用系统注册库，对要访问的应用系统是否支持统一认证进行确认；通过确认后，统一认证系统将应用请求转发给要访问的应用系统；相应的应用系统对请求进行处理，并把处理结果返回给统一认证系统，最后，统一认证系统把响应消息返回给用户，完成访问调用。

在数字图书馆统一认证系统的三种实现模式中，一般采用组件认证模式和单点登录模式相结合的方式，而信任代理模式一般适用于对安全要求比较高的系统，虽然安全性很高，但是其性能也会受到一定的影响。

3 数字图书馆统一认证系统的设计原则与思路

要设计既符合实际和要求又方便、经济、实用的统一认证系统，需要把握好四个设计原则：第一，要具备良好兼容性和系统兼容性以及有较好的可行性和经济的平台；第二，要便于扩展，能够适应未来发展的需要；第三，系统要具备良好的安全性，能满足应用安全需求；第四，要综合权衡，合理规划系统功能，分步实施。

数字图书馆统一认证系统的设计思路是：第一，对需要进行统一认证的应用系统进行调查研究，掌握各应用系统的相关技术细节；第二，根据各个应用系统自身的实际情况，分析并确定需要进行统一管理的用户信息、认证实现方式、权限控制和映射等，规划系统功能，画出系统流程图；第三，确定实施的方法和步骤。

4 结束语

数字图书馆统一认证系统建设是数字图书馆建设中一项十分重要的内容，是数字图书馆各子系统连接整合的纽带。数字图书馆统一认证系统的建设，是实现数字图书馆内部系统的有机整合以及与外部系统的有机互联的基础，是扩大数字图书馆的功能，促进数字图书馆的建设与发展的动力。

[1]Web服务实战：统一身份认证服务[EB/OL].[2011-11-17].http://www.qs-168.com/computer/base/2924.html.

[2]郭庆军,周坤.统一用户认证系统的设计与实施[J].山东电力技术,2009(5):78-80.

[3]郭楚杰.数字化校园中统一身份认证平台的设计[J].湖南工业大学学报,2010(3):77-80.

[4]胡泽,廖闻剑,彭艳兵.WebService技术研究及应用[J].硅谷,2009(5):48-48.

[5]李捷,李杰.WebService及其相关技术初探[J].九江职业技术学院学报,2010(2):27-28.

[6]杨灵,邹娟.基于Web Services的统一认证系统研究与实现[J].现代计算机(专业版),2009(11):195-197.