外購數據庫在讀者門戶系統(tǒng)中的集成認證研究

魏達賢 季士妍 范書云

(國家圖書館，北京 100081)

外購數據庫在讀者門戶系統(tǒng)中的集成認證研究

魏達賢 季士妍 范書云

(國家圖書館，北京 100081)

基于SAML和VPN認證技術，將外購數據庫統(tǒng)一集成進讀者門戶系統(tǒng)內，旨在實現各個外購數據庫之間的單點登錄認證、權限管理、分類導航，使讀者登錄一次讀者門戶系統(tǒng)就可以訪問其權限范圍內的外購數據庫，為讀者提供“可見即可得”的資源服務。文章重點介紹了用戶訪問外購數據庫的流程，分析了基于SAML和VPN認證的實現方式。

外購數據庫；SAML認證；讀者門戶；VPN認證

隨著互聯(lián)網的普及，數字閱讀以其便利性，逐漸成長為人們主要的閱讀方式之一。作為公民終身學習課堂的圖書館紛紛投入數字圖書館建設，采購了大量的數據庫資源。然而，由于數據庫廠商的權限控制，大部分外購數據庫只能在館舍內訪問，嚴重限制了互聯(lián)網用戶的使用。本文即以國家圖書館在讀者門戶系統(tǒng)中的集成認證實踐為例，拋磚引玉，為業(yè)界同行提供參考。

近年來，國家圖書館一直致力于將更廣泛的數字資源服務于讀者，因此在采選、采購、租用外購數據庫時，注重提高數據庫內容的豐富性、數據庫訪問范圍的廣泛性、數據庫使用的便利性。目前，在采購的200多個中外文數據庫中，已經實現了100多個中外文數據庫的互聯(lián)網訪問，打破了空間限制，為廣大用戶提供了訪問資源的便利途徑和方式。為了能讓更多的互聯(lián)網用戶平等、自由地獲取外購數據庫資源，國家圖書館在“讀者門戶系統(tǒng)”內將外購數據庫進行集成，使所有用戶在任何時間、任何地點登錄“讀者門戶系統(tǒng)”就可獲取到所需的資源，極大提高了數據庫的使用人群和利用率。

1 外購數據庫在讀者門戶內的集成模式

1.1 基本思路

根據國家圖書館所購買/租用的外購數據庫的訪問授權范圍和服務方式，對所有外購數據庫進行集中管理、統(tǒng)一認證、授權控制，從而通過“國家圖書館讀者門戶”（http://mylib.nlc.gov.cn），用戶可以一次性地獲取到所有的在線資源。

（1）用戶一次性獲取資源

以往，用戶訪問國家圖書館的在線資源，需要從不同的入口進入，訪問不同的應用系統(tǒng)，這往往給用戶帶來使用的不便，也會降低資源的使用效率。通過“讀者門戶系統(tǒng)”將所有外購數據庫進行集中管理、統(tǒng)一認證、授權控制，可以為用戶提供一個單一的資源訪問入口。同時，根據授權控制，在用戶統(tǒng)一認證后，實現了一次登錄，可訪問其權限許可的所有數據庫的功能，避免了用戶多次登錄的麻煩，極大地方便了用戶使用圖書館提供的在線數據庫，也大大提升數據庫的使用效率。

（2）統(tǒng)一認證無縫獲取資源

“讀者門戶系統(tǒng)”對外購數據庫進行統(tǒng)一的認證集成，實現用戶的單點登錄[1]，即一次登錄就可以訪問眾多的數據庫。系統(tǒng)依據數據庫的系統(tǒng)軟件能否修改，將其分為可修改資源和不可修改資源。“可修改資源”即可將單點登錄組件嵌入到資源庫的系統(tǒng)軟件中，使之能接收和處理集成認證中心發(fā)送的各種消息，稱之為信任域內資源，反之為信任域外資源[2]。對于信任域內的數據庫，采用基于安全斷言標記語言SAML規(guī)范實現分布式數據庫的統(tǒng)一身份認證；對于信任域外的資源，采用基于VPN的RADIUS認證協(xié)議實現統(tǒng)一身份認證?；诖朔N模式，打破了以往用戶訪問外購資源庫，受到所處位置的限制，真正為用戶提供了“無圍墻”的數字圖書館服務。

（3）數據庫的統(tǒng)一授權管理

為了滿足不同層次用戶的資源獲取需求，同時根據外購數據的訪問授權范圍，將用戶分為普通注冊用戶、實名認證用戶、持有國家圖書館物理卡的用戶等幾種類型，每類的用戶可使用的數據庫種類和數量不同。系統(tǒng)對數據庫進行統(tǒng)一的授權管理，根據讀者的類型，授予每類用戶不同的角色，每種角色被授予不同的數據庫訪問權限。這樣，既嚴格遵守了各個外購數據庫的授權要求，又為每種類型的用戶提供了他們所能獲取的資源的最大化。

1.2 訪問流程

國家圖書館在設計“讀者門戶系統(tǒng)”時，本著“可見即可得”的原則，不同類型的用戶登錄后僅可以看到其權限范圍內許可的數據庫列表。在實現上，系統(tǒng)將眾多的數據庫以樹狀形式，按照資源類型進行分類導航，便于讀者找到所需的數據庫。用戶具體的訪問流程如圖1所示。

圖1 用戶的訪問流程

當用戶訪問“讀者門戶系統(tǒng)”網站時，在未登錄狀態(tài)下，系統(tǒng)默認為用戶呈現實名注冊用戶可訪問的所有資源。若用戶需要進一步訪問資源庫，則需進行用戶登錄，登錄成功后就可以進入到其權限允許的數據庫內了，同時“讀者門戶系統(tǒng)”資源導航樹更新為相應權限允許的數據庫列表。若用戶未注冊，則跳轉到注冊頁面。在注冊時，用戶可以首先注冊為普通用戶，當用戶想擁有更多的數據庫使用權限，可進一步完成實名驗證，從而成為“實名認證用戶”。持有國家圖書館讀者卡的用戶不需要注冊，使用讀者卡號就可以登錄。

另外，“讀者門戶系統(tǒng)”的外購數據庫服務分館舍內和互聯(lián)網兩種服務模式。系統(tǒng)可根據用戶所處的位置，智能區(qū)分到館用戶服務和互聯(lián)網用戶服務。到館用戶服務，則是系統(tǒng)為用戶提供不受流量限制的數據庫服務，使得用戶可以無限制地閱讀、下載所需資源。同時，由于在館域網內訪問，速度較快；互聯(lián)網用戶服務，則是系統(tǒng)為互聯(lián)網用戶提供有一定限制的數據庫服務，受國家圖書館購買的數據庫互聯(lián)網總流量的限制，一旦總流量使用完畢，則讀者暫時無法使用，需要國家圖書館繼續(xù)購買流量后方可使用。因此，為了更好地服務讀者，系統(tǒng)自動根據訪問用戶的IP信息，智能地區(qū)分互聯(lián)網用戶和到館用戶，引導這兩類用戶進入各自的訪問通道，最大限度地節(jié)省互聯(lián)網訪問流量。

1.3 訪問權限控制

由于國家圖書館的用戶和外購數據庫較多，每類用戶的資源需求不同。因此，采用RBAC訪問控制模型[3]，即通過用戶、角色、權限模型對用戶訪問控制進行管理。用戶、角色、外購數據庫的授權關系如圖2所示。

每個用戶屬于不同的角色，系統(tǒng)對不同角色的訪問權限進行授權，這樣，屬于不同角色的用戶也就具有了相應的數據庫訪問權限。同時保留用戶到數據庫訪問權限的直接分配，增加用戶權限分配的靈活性。

基于此模型，“讀者門戶系統(tǒng)”針對不同用戶群的資源需求，將用戶分為普通讀者、實名認證讀者、物理卡讀者（持有國家圖書館讀者卡的讀者），每類人群可使用的資源種類和數量各不相同。

圖2 訪問權限授權

2 外購數據庫集成平臺的實現

為了能對外購數據庫進行統(tǒng)一集成管理，讓用戶通過“讀者門戶系統(tǒng)”一次登錄就可以使用眾多外購數據庫，本平臺在架構設計上基于“統(tǒng)一用戶管理系統(tǒng)”和“讀者門戶系統(tǒng)”兩個子系統(tǒng)實現。兩個子系統(tǒng)的關系如圖3所示。

圖3 平臺總體架構

“統(tǒng)一用戶管理系統(tǒng)”作為后臺管理系統(tǒng)，主要實現用戶注冊登錄認證、系統(tǒng)間的單點登錄、外購數據庫的集成及用戶權限的管理等；“讀者門戶系統(tǒng)”是用戶訪問數字資源的前端入口，實現與統(tǒng)一用戶管理系統(tǒng)進行界面、功能上的集成，通過用戶登錄接口為用戶提供用戶注冊、登錄、認證服務，通過數據庫列表獲取接口獲取每位用戶可訪問的外購數據庫列表，以分類導航樹的方式提供給用戶。

由此可見，“讀者門戶系統(tǒng)”負責外購數據庫的分類揭示，提供統(tǒng)一的訪問入口，而外購數據庫的集成管理、用戶管理等工作都是由“統(tǒng)一用戶系統(tǒng)”負責，兩個系統(tǒng)間通過接口進行數據的傳輸。這樣降低了兩個系統(tǒng)之間的耦合度，方便了對外購數據庫增加、刪除及權限變更等管理。

單點登錄是本平臺的重要功能模塊，使用戶進行一次身份認證便可以訪問其被授權的所有網絡資源。目前主流的單點登錄實現方式是基于SAML框架協(xié)議的，該種方式需要對外購數據庫進行接口改造，使其符合標準接口。因此，對于可進行接口改造的外購數據庫，國家圖書館采用SAML框架協(xié)議進行單點登錄認證；否則，采用基于VPN的RADIUS認證協(xié)議實現單點登錄認證。

2.1 基于SAML的認證方式

SAML[4]是國際標準化組織OASIS安全服務協(xié)會制定的基于XML的安全標準，用于在Internet不同的安全域中交換身份驗證和授權憑證。SAML建立了一種獨立于協(xié)議和平臺的驗證和授權交換機制，且能夠用于集中式、分散式以及聯(lián)合式的部署場景。這樣使得SAML具有以下特點：它提供單次登錄身份驗證的功能，可以大幅度地減少站點之間的復制安全性和身份驗證信息的需求；SAML可令不同類型的安全服務系統(tǒng)之間實現交互；SAML不依賴于它所交互的任何系統(tǒng)，每個系統(tǒng)都可以為用戶的身份驗證和授權建立自己的策略。

2.1.1 基于SAML的單點登錄認證模型

該模型是基于SAML框架，在用戶瀏覽器、單點登錄服務器與應用系統(tǒng)之間進行用戶身份斷言的分配、傳輸、驗證，并采用SAML的安全機制（如SSL）保證信息傳輸的安全。該模型具體如圖4所示。

圖4 SAML單點登錄認證模型

第一步：用戶從登錄入口進行登錄，單點登錄服務器驗證用戶身份，并從讀者用戶庫獲取用戶的應用系統(tǒng)訪問權限列表。

第二步：單點登錄服務器為用戶生成SAML身份斷言，完成斷言的預簽名并保存在數據庫中，返回給用戶應用系統(tǒng)權限列表，并發(fā)給用戶身份Ticket票據。

用戶Ticket票據作為用戶身份憑證，由單點登錄系統(tǒng)在統(tǒng)一登錄后頒發(fā)，票據內提供用戶的臨時身份id、用戶賬號、有效期等信息，可作為用戶訪問應用系統(tǒng)時的身份驗證憑證。票據內容經過加密保護，防止用戶信息外泄。

第三步：用戶從應用系統(tǒng)權限列表中選擇所需訪問的應用系統(tǒng)。

第四步：應用系統(tǒng)接收到用戶的訪問請求，獲取用戶的Ticket票據信息，并根據該票據信息生成SAML身份斷言請求，詢問單點登錄系統(tǒng)用戶的身份。

第五步：單點登錄系統(tǒng)將該用戶預生成的斷言形成斷言回復，發(fā)送到應用系統(tǒng)，應用系統(tǒng)驗證用戶身份斷言的有效性后，準許用戶的訪問請求。

第六步：用戶從應用系統(tǒng)中獲取資源。

2.1.2 用戶登錄后訪問外購數據庫的具體流程

基于上述的單點登錄模型，國家圖書館設計開發(fā)了外購數據庫的SAML認證方式。用戶登錄后訪問外購數據庫的詳細流程如圖5所示。

在整個流程中，以瀏覽器cookie作為用戶Ticket票據載體，在用戶登錄時由單點登錄服務器寫入到用戶的客戶端上。當用戶訪問外購數據庫系統(tǒng)或訪問單點登錄服務器時，瀏覽器會攜帶該票據cookie進行訪問請求，從而實現用戶Ticket票據的傳遞。這樣，在登錄的有效期內，用戶可以通過手動輸入地址欄網址的方式訪問外購數據庫，用戶體驗較好。

2.1.3 外購數據庫接入實例（以清華同方知網為例）

統(tǒng)一用戶管理系統(tǒng)為外接系統(tǒng)提供了簡單、快捷的接入方式，外接系統(tǒng)需要對自身進行部分代碼改造。當外接系統(tǒng)接收到來自讀者門戶系統(tǒng)用戶的訪問時，外接系統(tǒng)運行單點訪問驗證流程，判斷用戶是否有效、是否有權限訪問本資源，從而實現與統(tǒng)一用戶管理系統(tǒng)間的單點登錄與控制。下面以清華同方知網為例子，說明外接系統(tǒng)如何與統(tǒng)一用戶管理系統(tǒng)實現對接。

（1）知網與統(tǒng)一用戶管理系統(tǒng)的認證過程

下面主要描述用戶登錄讀者門戶后訪問知網，知網與單點登錄服務器之間的認證過程。

第一步：用戶登錄國家圖書館讀者門戶系統(tǒng)，訪問同方知網資源鏈接，頁面跳轉到知網首頁；

第二步：知網系統(tǒng)通過Ticket操作接口獲取用戶Ticket票據信息；

第三步：知網系統(tǒng)將Ticket票據信息通過驗證接口發(fā)送給單點登錄服務器作認證；

第四步：如果單點登錄服務器返回認證失敗標識，則認證結束，知網系統(tǒng)跳轉到讀者門戶登錄界面，提示用戶進行登錄；

第五步：如果單點登錄服務器返回認證成功標識，知網系統(tǒng)則記錄用戶本地Session，認證完成，并打開同方知網頁面。

（2）知網系統(tǒng)代碼改造

第一步：配置文件

知網系統(tǒng)將統(tǒng)一用戶管理系統(tǒng)提供的keystore. jks、log4j.properties、spconfig.properties三個文件放到系統(tǒng)項目的src目錄下。keystore.jks為簽名用的證書；log4j.properties為日志log4j的配置文件；spconfig. properties文件為單點登錄所需的全局配置信息。

圖5 用戶登錄后訪問外購數據庫的流程

第二步：所需JAVA類庫

知網系統(tǒng)將統(tǒng)一用戶管理系統(tǒng)提供所需的ssocnlib.jar、opensaml-2.5.0.jar包復制到應用程序的WEB-INFlib目錄下，重新啟動WEB服務器后生效。其中sso-cnlib.jar為單點登錄模塊API所在jar包，opensaml-2.5.0.jar為SAML協(xié)議實現的jar包。

第三步：前端頁面JS代碼整合

a) 登錄驗證整合

首先，在知網系統(tǒng)的登錄網頁中的head部分加入代碼片段1，以獲得用戶ticket票據信息：

代碼片段1：引入獲取ticket的js

其中http://sso1.nlc.gov.cn/sso-login/為訪問單點登錄服務的根url。src屬性中的rand參數是為了防止產生緩存。

然后編寫ticket處理操作代碼，如代碼片段2所示：

代碼片段2：單點登錄處理

b) 單點退出整合

在知網系統(tǒng)退出頁面的head部分加入代碼片段3，獲取用戶ticket信息，然后將ticket信息發(fā)送給單點登錄服務器，單點登錄服務器刪除ticket信息，完成退出操作。

代碼片段3：退出處理

第四步：后端業(yè)務邏輯JAVA代碼整合

a) 登錄驗證整合

知網系統(tǒng)需依據代碼片段2編寫一個名稱為ssologin的servlet，完成系統(tǒng)讀者后臺認證功能。系統(tǒng)通過代碼片段1獲取到ticket后，發(fā)送到sso-login，判斷ticket是否有效，如果無效，則跳轉到讀者門戶登錄頁面，如果有效，打開知網頁面。

b) 退出整合

知網系統(tǒng)需依據代碼片段3編寫一個名稱為ssologout的servlet，完成系統(tǒng)讀者后臺退出功能。當讀者執(zhí)行退出系統(tǒng)操作時，系統(tǒng)將ticket信息發(fā)送到ssologout，從而退出系統(tǒng)。

第五步：其他

完成以上四步以后，基本上完成了知網系統(tǒng)與統(tǒng)一用戶管理系統(tǒng)的單點登錄集成。由于知網系統(tǒng)使用國家圖書館讀者數據庫，不需要讀者信息的同步，讀者信息同步環(huán)節(jié)可以省略。如果外接系統(tǒng)有自己的讀者信息庫，則需要讀者信息的同步工作，否則統(tǒng)一用戶管理系統(tǒng)不能識別讀者信息，不能完成系統(tǒng)間的單點登錄。

2.2 基于VPN的認證方式

VPN屬于遠程訪問技術，簡單地說就是利用公網鏈路架設私有網絡。在公用網絡上建立專用網絡的技術，也稱為虛擬網，它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展[5]。

國家圖書館針對無法通過SAML集成認證的外購數據庫，采用VPN認證的方式，使得通過認證的館外用戶通過VPN通道，訪問國家圖書館的資源。

基于VPN的認證流程如圖6所示。

整個流程中，統(tǒng)一用戶管理系統(tǒng)負責用戶信息的管理、用戶身份的認證，將驗證后的信息反饋給VPN設備；對通過驗證的用戶，VPN設備為其建立SSL訪問通道，這樣用戶就可以訪問到外購數據庫了。具體的流程如下：

第一步：用戶訪問國家圖書館讀者門戶系統(tǒng)，通過系統(tǒng)登錄頁面填寫已在統(tǒng)一用戶管理系統(tǒng)注冊的用戶名和密碼進行登錄。

第二步：讀者門戶系統(tǒng)將用戶填寫的用戶名和密碼發(fā)送至統(tǒng)一用戶管理系統(tǒng)進行認證，統(tǒng)一用戶管理系統(tǒng)對用戶下發(fā)單點登錄Ticket票據。

第三步：統(tǒng)一用戶管理系統(tǒng)將認證結果返回給讀者門戶系統(tǒng)，內容包括該用戶可訪問的外購數據庫列表及權限等信息。

第四步：通過認證后的用戶點擊門戶網站中受VPN保護的外購數據庫鏈接，VPN設備獲取用戶Ticket票據，并發(fā)送到統(tǒng)一用戶管理系統(tǒng)進行用戶身份認證。

第五步：認證通過后，VPN設備建立用戶與外購數據庫之間的SSL訪問通道，用戶即可進入外購數據庫系統(tǒng)。

3 結語

國家圖書館讀者門戶系統(tǒng)自2011年4月份上線運行以來，截至2014年1月份，通過統(tǒng)一用戶管理系統(tǒng)集成管理的外購數據庫已經有150多個，讀者日訪問量1萬次，日注冊用戶平均1000人，日在線用戶2000人左右。

通過將外購數據庫集成進“讀者門戶系統(tǒng)”內，改變了用戶訪問資源的方式，使讀者足不出戶就可以訪問到國家圖書館的數字資源，方便了資源的獲取、擴大了資源的服務人群、拓寬了服務渠道、提升了服務水平。

圖6 基于VPN認證流程

參考文獻

[1]黃坤.基于SAML的單點登錄技術研究[J].計算機與數字工程,2012,(8):90-93

[2]王小梅.國家科學圖書館遠程訪問系統(tǒng)的設計與實現[J].現代圖書情報技術,2008(8):79-83.

[3]國家圖書館.國家數字圖書館統(tǒng)一用戶管理系統(tǒng)項目需求書[R].2011-4.

[4]羅蘭.基于SAML 2.0的WebSphere Application Server SSO實現[EB/OL]. [2014-01-06]. http://www.ibm.com/developerworks/ cn/websphere/librar y/techar ticles/1111_luol_sso/ 1111_luol_sso.html.

[5]王澤賢.VPN與ILAS III統(tǒng)一用戶認證的設計與實現[J].現代圖書情報技術,2011(12):79-82.

季士妍，女，1978年生，碩士生，國家圖書館高級工程師。

范書云，男，1982年生，碩士生，國家圖書館工程師。

Research on Integrated Authentication of Outsourcing Databases in the Reader Portal System

WEI DaXian JI ShiYan FAN ShuYun
（National Library of China, Beijing 100081, China）

Outsourcing databases are integrated into the reader portal system based on the SAML and VPN authentication technology, aiming at the SSO, access control, classi fi ed navigation between different outsourcing databases. Readers log in the reader portal system once, then can access databases with its scope of authority, providing "visible can be available " for readers. The paper introduces the process of accessing outsourcing databases and analyzes the realization mode of SAML and VPN authentication.

Outsourcing database; SAML authentication; Reader portal; VPN authentication

G250

10.3772/j.issn.1673—2286.2014.04.005

魏達賢，男，1980年生，工程碩士，國家圖書館工程師。E-mail: weidx@nlc.gov.cn。

2014-03-11）