摘 要:随着智慧交通的发展,高速公路监控信息业务开发数量逐渐增多,为解决每个信息业务系统都需要单独的账号和密码登录问题,提出了基于CAS的统一身份认证平台。在这个平台上只需完成一次身份验证操作,就能访问监控网中各个信息业务系统,大大简化了用户访问系统资源的过程。对于监控网中各个系统独立分散的状况,该平台通过可视化图标方式进行整理统计,为完善高速公路监控网信息业务系统管理提供帮助。
关键词:智慧交通;CAS;统一身份认证;系统管理
中图分类号:TP39 文献标识码:A 文章编号:2096-4706(2025)02-0149-05
Application of the Unified Identity Authentication Platform Based on CAS in the Highway Surveillance Network
HUANG Zhaoyu1, SONG Jingfeng2
(1.Guangxi Communications Investment Group Chongzuo Expressway Operation Co., Ltd., Chongzuo 532200, China;
2.Guangxi Transportation Comprehensive Administrative Law Enforcement Bureau, Nanning 530028, China)
Abstract: With the development of intelligent transportation, the number of highway surveillance information business developments is gradually increasing. In order to solve the problem that each information business system needs a separate account and password for login, a unified identity authentication platform based on CAS is proposed. On this platform, users only need to complete one identity verification operation to access various information business systems in the surveillance network, greatly simplifying the process of accessing system resources of users. For the independent and scattered situation of each system in the surveillance network, this platform organizes and summarizes through visual icons, and provides help for improving the management of the information business system of the highway surveillance network.
Keywords: intelligent transportation; CAS; unified identity authentication; system management
DOI:10.19850/j.cnki.2096-4706.2025.02.028
0 引 言
高速公路监控网承载大量信息业务,为满足用户对不同道路信息的采集分析,各种基于监控网的信息业务系统应运而生,数量逐渐增多。当前高速公路监控网信息业务系统环境中,不同的信息业务系统由不同的厂家搭建,每个信息业务系统都有自己的账号密码,需要用户在不同的系统间频繁切换,给用户带来极大的不便。此外,监控网信息业务系统的用户数量多,为方便操作,各用户之间经常共享用户名和密码,使得用户名、密码等敏感信息长期暴露,带来信息安全隐患。基于CAS(Central Authentication Service)的统一身份认证平台,为多个相互信任的信息业务系统提供认证服务的接口,实现统一身份认证,即用户只需要登录一次,就可以访问高速公路监控网中所有信息业务系统[1]。该平台通过安全可靠的方式,提高监控网信息业务系统访问的便捷性和可操作性,有效地保护用户信息隐私,增强网络安全。
1 高速公路监控网信息业务系统现状分析
目前高速公路监控网已经开发并使用了多个系统,包括道路视频监控系统、电力监控系统、火灾报警系统、隧道数据采集系统和隧道紧急电话系统,等等,这些信息业务系统操作便捷,信息收集及时有效,能够按照使用者的意愿实现特定的功能,给道路业务工作者带来了便利。随着用户对道路业务需求的增加,信息业务系统数量持续增长,用户群体越来越庞大,许多问题也随之暴露出来。
首先,用户需要单独登录每个不同的信息业务系统,且需要记住对应的用户名和密码,这对于需要切换多个业务信息系统进行资源访问的用户来说,操作烦琐,体验差。其次,每开发一个高速公路信息业务系统,开发人员都要重新编写登录验证、用户的注册、修改、注销等模块。这类重复的工作不仅加大了开发人员的工作量,还会使开发的系统出现代码冗余的情况[2]。另外,用户信息分布在不同数据库中,每当添加新用户时,管理员须在各信息业务系统数据库中都录入对应的用户信息。当需要注销或修改用户信息时,管理员还需查找该用户注册过的所有信息业务系统。这样反复的切换增加了管理难度和维护成本。再者,目前在用的各个信息业务系统的用户数量大,为方便访问,经常设置一些共享账号和简单密码,安全系数低,一旦信息泄露,系统容易遭到入侵。
2 基于CAS的统一身份认证平台工作原理
为解决以上遇到的问题,本文提出将基于CAS的统一身份认证平台应用到高速公路监控网中,以简化工作量,提高工作效率,增强网络安全。
CAS是由耶鲁大学推出的开源项目,各行业在此项目基础上进行功能模块开发,以实现统一身份认证和单点登录。高速公路监控网已建成较为完善的信息业务系统,将基于CAS的统一身份认证平台接入现有信息业务系统模块中,用户通过一次登录就可以访问监控网中所有信息业务系统。
CAS统一身份认证平台由CAS身份认证服务器和CAS客户端组成[3]。CAS客户端主要功能是管理高速公路监控网中各个信息业务系统的访问端口。
当用户初次访问CAS客户端中任意一个信息业务系统时,CAS客户端会将用户重定向到CAS身份认证服务器进行身份验证,身份验证成功后,CAS身份认证服务器生成票据TGT(Ticket Granting Ticket)存储在用户浏览器的Cookie中。TGT包含登录该信息业务系统需要的用户身份信息,用户凭TGT中含有的身份信息登录该信息业务系统,其过程如图1所示。
当用户访问CAS客户端中其他信息业务系统时,CAS身份认证服务器会检查用户Cookie中的TGT,如果存在有效的TGT,CAS身份认证服务器将TGT替换,生成服务票据ST(Service Ticket),并将用户重定向回该系统,该系统再次将ST发送给CAS身份认证服务器中进行验证,通过验证后,生成携带对应的信息业务系统用户信息的ST,用户凭借ST可以访问对应的信息业务系统,以此类推,其过程如图2所示。
3 基于CAS的统一身份认证平台整体构架
基于CAS的统一身份认证平台主要由CAS身份认证服务器和CAS客户端组成。平台整体构架设计如图3所示。
3.1 CAS身份认证服务器
CAS身份认证服务器是高速公路监控网中统一身份认证平台的关键设备。主要职责是验证用户的身份信息,作为登录系统的唯一认证通道。用户访问CAS客户端凭证,包括用户名、密码等安全信息,在CAS认证服务器中完成自动验证过程,如分析、比对、重新编码等[4]。完成身份验证后,身份认证服务器负责颁发访问各信息业务系统所需的各种票据。
3.2 CAS客户端
CAS客户端集中管理高速公路监控网中各个信息业务系统服务器的访问端口,为了实现与CAS身份认证服务器的交互认证,它将统一标记的库文件嵌入到每个信息业务系统中。
CAS客户端可支持PHP、JSP、ASP.NET等多种格式的信息业务系统[5]。当用户发起访问时,CAS客户端中的信息业务系统不直接进行身份认证,而是将请求重定向到CAS身份认证服务器进行统一身份认证。
4 基于CAS的统一身份认证平台软件设计逻辑
基于CAS的统一身份认证平台兼容性强,在不影响在用的信息业务系统运行软件的情况下编写开发,待其功能完善后接入现有系统即可。其软件设计逻辑如图4所示。
当用户初次访问CAS客户端中的某个子业务信息系统时,首先会经过身份过滤器。该身份过滤器检查是否携带有效的TGT票据,若票据无效,该访问会被重定向到CAS身份认证服务器中。CAS身份认证服务器需要用户提供用户名、密码等身份信息,用于进行登录验证。验证成功后会生成一个有效的TGT票据并返回给用户。当用户携带票据访问信息业务系统资源时,被访问系统会将TGT票据重定向至CAS身份认证服务器进行验证。验证成功后,用户可以使用该票据与CAS客户端中的信息业务系统建立局部会话。
用户再次访问CAS客户端信任域中的其他信息业务系统时,用户将被重定向到CAS身份认证服务器。CAS身份认证服务器检测到用户已登录,会生成TS票据并将用户跳转至被访问系统。被访问系统随后将TS票据重定向给CAS身份认证服务器进行身份验证,验证成功后,用户携带该TS票据即可以访问CAS客户端中相互信任的其他信息业务系统[6]。
5 平台在高速公路监控网应用意义
基于CAS的统一身份认证平台运用到高速公路监控网中,将对高速公路信息化建设产生积极的影响。主要体现在以下几个方面:
1)操作更便捷。用户只需进行一次身份验证,通过验证后,就可以直接访问其他受信资源,用户不需要多次输入每个系统对应的用户名和密码,这极大地简化了用户操作。
2)开发管理效率高。开发人员只需编写一次统一身份认证平台的身份验证模块,在新系统接入时可以直接引用,无须重复编写[7]。此外,CAS统一身份认证平台会将用户信息集中存储在同一数据库中,方便统一维护和管理,系统管理者只需在该数据库中进行用户的修改、增加、删除操作,降低了维护难度,节约企业维护成本。
3)数据传输更安全。CAS的统一身份认证平台提供了一种安全可靠的数据传输方式,该平台随机生成TGT和ST参数,提高了系统访问的安全性[8]。在信息传输过程中,所有数据通过HTTPS/SSL加密。此外,在浏览器和信息业务系统之间减少了用户敏感信息频繁传输,极大地降低了系统遭受攻击的风险。
6 平台在高速公路监控网中应用功能模块设计
CAS统一身份认证平台在高速公路监控网中主要实现两大功能,一是监控网业务系统展示,二是监控网业务系统的后台管理。
6.1 监控网业务系统展示功能
监控网业务系统展示功能如图5所示,系统展示功能内容如下:
1)统一登录平台首页展示。登录平台后,平台首面为用户推送各个信息业务系统相关的最新通知,通知消息以列表形式留存,方便用户查阅。此外,平台页面提供访问各个信息业务系统的入口。
2)平台公告。统一登录平台首页汇总罗列各个信息业务系统的公告,登录具体的信息业务系统之后,业务信息系统平台展示本业务平台公告,用户无须返回统一登录平台首页查看。公告相关内容,由管理员在后台添加、修改、删除等管理操作。
3)各信息业务系统首页。登录平台后,系统会展示在统一平台下已集成的各个信息业务系统,各个信息业务系统以图标的形式排列展示给用户,用户只需点击图标即可访问,无须再输入用户名和密码等用户信息。
4)浏览器-服务器(B/S)到客户端-服务器(C/S)登录。高速公路监控网中,部分应用是本地安装的,统一身份认证平台可实现从浏览器端直接登录到本地安装的应用客户端,同样无须重复输入用户名、密码等身份验证信息。
6.2 监控网业务系统的后台管理
监控网业务系统的后台管理内容如下:
1)统一平台登录首页管理。主要是对各个业务系统的通知公告进行集中管理。可对公告内容进行查询、新增、编辑和发布等操作。
2)信息业务系统同步管理。统一平台需要实时同步管辖范围内的各个信息业务系统用户信息。包括用户名、密码、机构信息、表信息、系统信息、数据库信息等[4]。各信息业务系统的用户信息发生变化时,统一平台也同步更新。
3)用户管理。对统一平台用户基本信息、权限进行配置管理,支持对这些数据执行包括增加、删除、修改和查询等操作。同时维护权限映射信息、权限基础信息、系统基本信息以及分组信息等内容。
7 基平台在高速公路监控网中的实现
根据上述设计思路,以下主要介绍基于CAS的统一身份认证平台在高速公路监控网中具体实现过程。其主要涉及CAS身份认证服务器和CAS客户端两大方面[8]。
7.1 CAS身份认证服务器实现过程
CAS身份认证服务器的实现需要完成运行环境和LDAP目录数据库两个方面的配置。
首先,运行环境的配置需要将CAS身份认证服务器存放在Web容器中,Web容器可选择Tomcat,完成Web容器制作后,采用overlay的配置模板,修改cas-overlay-template文件,配置CAS身份认证服务器。为了使CAS身份认证服务器实现单点登录的功能,可以采用keytool证书管理工具生成CAS身份认证服务器安全证书。此外,还需找到Tomcat配置文件ever.xml,添加支持HTTPS协议。
其次,当用户名和密码需要验证时,CAS身份认证服务器需要匹配LDPA目录数据库中的用户信息。因此,可通过修改WEB-INF/deployerConfigContext.xml文件来实现CAS身份认证服务器和LDPA目录数据库之间的连接。
7.2 CAS客户端的实现过程
CAS客户端支持多种格式的信息业务系统,各个信息业务系统以库的形式集成在可信任域的系统中,访问该信任区域需要合法授权,非授权用户不可访问。CAS身份认证服务器具体是通过将用户的访问请求重定向至CAS身份认证服务器,由其进行身份核验。该重定向的实现主要通过配置身份过滤器(Filter)来实现,需要配置4个不同功能的Filter,分别为AuthenticationFilter、TicketValidationFilter、HttpServletRequestWrapperFilter和AssertionThreadLocalFilter这四个Filter必须按照固定的顺序来进行配置[9-10]。
首先进行AuthenticationFilter的配置,Authenti-
cationFilter有两个必须指定的参数:casServerLoginUrl
用来指定CAS身份认证服务器的登录地址,server-
Name或service用来指定认证成功后需要跳转地址。然后进行TicketValidationFilter的配置,其主要的目的是通过AuthenticationFilter的认证之后,对携带的票据进行校验。接着进行HttpServletRequestWrapperFilter的配置,用于将每一个请求对应的HttpServletRequest封装为其内部定义的CasHttpServletRequestWrapper,这样可以从HttpServletRequest中获取到用户的相关信息。最后配置AssertionThreadLocalFilter,其目的是为了方便用户在应用的其他地方获取Assertion对象。AssertionThreadLocalFilter具体配置如下:
lt;filtergt;
lt;filter-namegt;casAssertionThreadLocalFilterlt;/filter-namegt;
lt;filter-classgt;org.jasig.cas.client.util.AssertionThreadLocalFilterlt;/filter-classgt;
lt;/filtergt;
lt;filter-mappinggt;
lt;filter-namegt;casAssertionThreadLocalFilterlt;/filter-namegt;
lt;url-patterngt;/*lt;/url-patterngt;
lt;/filter-mappinggt;
完成以上CAS身份认证服务器和CAS客户端配置,高速公路监控网统一身份认证平台登录页面如图6所示。
8 结 论
基于CAS的统一身份认证平台采用旁路部署,不影响原有高速公路监控网络
架构。在高速公路监控网中建立CAS统一身份认证平台,对高速公路监控网各个信息业务系统的基础数据进行梳理、整合,结束了监控网中各个信息业务系统“各自为战”的局面。同时,新增信息业务系统时,避免重复开发登录认证模块的工作可以节约开发时间,简化系统结构,从而提高系统运行效率。监控网中各个信息业务系统可自动引用CAS统一身份认证数据,使用户在使用过程中减少部分基础数据的维护工作量,方便统一管理,提升操作体验。
参考文献:
[1] 苏亚涛.基于CAS框架的高校统一身份认证平台研究与实现 [J].西安文理学院学报:自然科学版,2018,21(4):78-83.
[2] 王晓晴,谢仪頔.统一身份认证系统的关键设计 [J].电信工程技术与标准化,2023,36(4):57-63.
[3] 张帆.统一登录平台的应用及实现方法 [C]//第三十三届中国(天津)2019IT、网络、信息技术、电子、仪器仪表创新学术会议论.天津:天津市电子计算机研究所有限公司,2019:377-380.
[4] GALLAGHER A E .Choosing the Right Password Manager [J].Serials Review,2019,45(1-2):84-87.
[5] 柯家海,黄劲荣,杜岭,等.高校统一身份认证平台的单点登录技术探究 [J].自动化与信息工程,2023,44(6):60-63.
[6] 王群,李馥娟.一种基于单点登录的实验室统一身份认证方案 [J].实验技术与管理,2020,37(5):219-223.
[7] 于锐,邓晨,赵洋,等.数字社会身份管理的现状、问题及对策 [J].中国工程科学,2024,26(3):207-216.
[8] 贺建荣,刘明昌,王欢.基于CAS神东身份认证与管理平台的设计与实现 [J].科技创新与应用,2020(31):68-70.
[9] 龚欢欢.改进的CAS多Web应用单点登录 [D].南京:南京大学,2021.
[10] 何治民,王磊.一种开放的统一身份认证实现 [C]//中国计算机用户协会网络应用分会2023年第二十七届网络新技术与应用年会.镇江:[出版者不详],2023:278-281.
作者简介:黄昭宇(1992—),男,壮族,广西南宁人,工程师,本科,研究方向:高速公路机电工程设备维护。
收稿日期:2024-06-14
