康琳琳

摘 要：隨著校園網(wǎng)的普及和計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)字化校園的信息應(yīng)用也在不斷深入。然而早期的各種應(yīng)用系統(tǒng)由于開發(fā)技術(shù)和使用的數(shù)據(jù)庫(kù)不同，導(dǎo)致它們之間不能共享信息，存在嚴(yán)重的信息孤島現(xiàn)象，缺乏統(tǒng)一的門戶信息展示平臺(tái)。該文針對(duì)大學(xué)校園信息化集成的需要設(shè)計(jì)了數(shù)字化信息門戶系統(tǒng)，對(duì)系統(tǒng)的總體結(jié)構(gòu)、軟件實(shí)現(xiàn)等進(jìn)行詳細(xì)的闡述。

關(guān)鍵詞：數(shù)字化 信息門戶 Portal技術(shù) 設(shè)計(jì)

中圖分類號(hào)：G647 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）06（b）-0036-03

隨著高校信息化建設(shè)進(jìn)程的不斷加快，校內(nèi)建設(shè)的信息化管理系統(tǒng)越來越多，需要處理的信息量不斷增多。然而由于歷史的原因，這些信息系統(tǒng)使用的開發(fā)技術(shù)和設(shè)計(jì)模式不盡相同，彼此之間沒有聯(lián)系，每一個(gè)系統(tǒng)都有自己的用戶認(rèn)證體系。管理人員在進(jìn)行工作時(shí)，經(jīng)常需要登錄訪問不同的應(yīng)用系統(tǒng)，每個(gè)系統(tǒng)都需要用戶輸入不同的用戶名和密碼。這樣，隨著信息量的增大，用戶的記憶也受到考驗(yàn)，忘記用戶名、或者密碼的情況是有發(fā)生。長(zhǎng)期以來，高校建立的信息應(yīng)用系統(tǒng)的功能也得不到充分的發(fā)揮，嚴(yán)重阻礙了校園信息化建設(shè)的進(jìn)程。因此，該文利用門戶技術(shù)，將分散在各處的應(yīng)用系統(tǒng)集成在一起，實(shí)現(xiàn)單點(diǎn)登錄、統(tǒng)一身份認(rèn)證來解決以上問題。

1 Portal技術(shù)概述

Portal英文含義是“門戶”，隨著技術(shù)的發(fā)展，它的功能和含義也在不斷更新和演化，對(duì)于門戶的至今還沒有一個(gè)統(tǒng)一的定義。但一般認(rèn)為，門戶是一個(gè)具有單一入口的網(wǎng)絡(luò)系統(tǒng)，用戶可以在不同的時(shí)間和地點(diǎn)獲取信息，主要為用戶提供安全的數(shù)據(jù)、程序和服務(wù)。對(duì)于一個(gè)組織來說，建立Portal，可以統(tǒng)一組織內(nèi)的信息資源，內(nèi)部人員可以通過Portal及時(shí)掌握組織內(nèi)的信息，參加各種討論，與同事進(jìn)行協(xié)同工作?？梢哉f，門戶技術(shù)將組織內(nèi)部原來分散的業(yè)務(wù)系統(tǒng)和信息孤島聯(lián)系起來，組建一個(gè)跨平臺(tái)的信息聯(lián)合體，實(shí)現(xiàn)信息的傳遞、訪問和集成管理。

從技術(shù)方面來分析，Portal實(shí)際上也是一個(gè)程序界面，根據(jù)功能被分割成多個(gè)窗口，展示不同的頁(yè)面元素，可以是一個(gè)WEB鏈接、一段文本、也可以是一個(gè)圖片或視頻等。從組成上來看，Portal系統(tǒng)包括各種服務(wù)器，用來支持JAVA應(yīng)用服務(wù)、LDAP服務(wù)以及Java應(yīng)用服務(wù)等。Portal技術(shù)最大的優(yōu)勢(shì)是可以定制，各種定制信息存儲(chǔ)在數(shù)據(jù)庫(kù)中，有些Portal系統(tǒng)也支持使用數(shù)據(jù)庫(kù)來管理用戶身份和權(quán)限。

門戶信息能夠通過各種應(yīng)用集成、流程集成和頁(yè)面集成等將原來分散在各處的資源整合在一起，通過一個(gè)統(tǒng)一的頁(yè)面來展示，它支持各種數(shù)據(jù)源的訪問，或以是文本資料、電子郵件、數(shù)據(jù)庫(kù)或Web頁(yè)面等，實(shí)現(xiàn)門戶內(nèi)各業(yè)務(wù)系統(tǒng)間的信息交換和共享。

2 系統(tǒng)需求分析

高校數(shù)字化校園門戶系統(tǒng)不是一個(gè)簡(jiǎn)單的信息疊加，而是一個(gè)為師生提供一個(gè)集成的、安全的資源訪問統(tǒng)一入口，實(shí)現(xiàn)對(duì)學(xué)校應(yīng)用系統(tǒng)和信息資源的整合與管理。將校內(nèi)的人事管理、科研管理、教學(xué)管理和生活服務(wù)等信息通過計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)被全面數(shù)字化，然后形成一個(gè)統(tǒng)一的用戶管理、身份認(rèn)證和系統(tǒng)，使得各類資源能夠得到充分的共享和交互。總體來說，數(shù)字化校園門戶系統(tǒng)的功能需求如下。

（1）統(tǒng)一帳戶管理。

將學(xué)校內(nèi)的用戶按照校內(nèi)組織機(jī)構(gòu)進(jìn)行統(tǒng)一的管理，為門戶系統(tǒng)提供統(tǒng)一的用戶數(shù)據(jù)服務(wù)。對(duì)用戶進(jìn)行全生命周期的管理，包括新用戶申請(qǐng)、注冊(cè)、信息維護(hù)、密碼修改等功能；在LDAP目錄的基礎(chǔ)上，建立用戶信息目錄庫(kù)，支持將統(tǒng)一的用戶信息存儲(chǔ)于LDAP目錄中，提供目錄服務(wù)功能。部門崗位角色樹狀層次模型，根據(jù)工作人員的崗位分配相應(yīng)的角色，賦予相應(yīng)的操作權(quán)限和數(shù)據(jù)權(quán)限。

（2）單點(diǎn)登錄。

系統(tǒng)支持多種認(rèn)證方式和系統(tǒng)平臺(tái)，用戶在第一次登錄系統(tǒng)時(shí)，統(tǒng)一認(rèn)證系統(tǒng)對(duì)用戶的登錄信息和身份信息進(jìn)行驗(yàn)證，驗(yàn)證通過后，用戶就獲得了系統(tǒng)的信任，不用再登錄就可以訪問其他應(yīng)用系統(tǒng)。身份認(rèn)證可以為多個(gè)不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)。

（3）應(yīng)用系統(tǒng)集成。

目前，高校內(nèi)部使用的信息系統(tǒng)主要包括辦公OA、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、教學(xué)教務(wù)管理系統(tǒng)、郵件服務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)、研究生管理系統(tǒng)等。門戶系統(tǒng)建設(shè)的目標(biāo)之一就是要實(shí)現(xiàn)對(duì)這些系統(tǒng)的整合，并且根據(jù)系統(tǒng)的應(yīng)用情況，提供兩種集成方式：一是緊耦合模式，即應(yīng)用系統(tǒng)不能獨(dú)立于門戶外運(yùn)行，必須通過門戶來訪問；二是松耦合方式，即應(yīng)用系統(tǒng)可以獨(dú)立于門戶運(yùn)行。

3 系統(tǒng)總體設(shè)計(jì)

數(shù)字化校園門戶系統(tǒng)在數(shù)字證書的基礎(chǔ)上實(shí)現(xiàn)單點(diǎn)登錄技術(shù)，使得門戶中的各種信息應(yīng)用系統(tǒng)與數(shù)字資源成為一個(gè)統(tǒng)一的整體。為了保障信息的安全性，在信息資源端安裝訪問控制中間件與具有防護(hù)功能的認(rèn)證服務(wù)器進(jìn)行通信。單點(diǎn)登錄功能與權(quán)限管理實(shí)現(xiàn)無縫結(jié)合，簽發(fā)合法用戶的權(quán)限票據(jù)，對(duì)用戶實(shí)行集中統(tǒng)一的管理和身份認(rèn)證。系統(tǒng)的體系架構(gòu)如圖1所示。

系統(tǒng)在LDAP協(xié)議的基礎(chǔ)上進(jìn)行開發(fā)，在應(yīng)用層實(shí)現(xiàn)單點(diǎn)登錄、異構(gòu)數(shù)據(jù)庫(kù)集成等功能，真正實(shí)現(xiàn)“一次登錄，全校漫游”的訪問機(jī)制。身份認(rèn)證與單點(diǎn)登錄的實(shí)現(xiàn)方式與操作系統(tǒng)、數(shù)據(jù)庫(kù)、WEB服務(wù)器、開發(fā)語(yǔ)言等無關(guān)，可以在不改變?cè)袘?yīng)用系統(tǒng)的基礎(chǔ)上，無縫將其整合到門戶系統(tǒng)中。

4 系統(tǒng)實(shí)現(xiàn)

4.1 統(tǒng)一身份認(rèn)證

統(tǒng)一身份認(rèn)證功能是在CAS認(rèn)證技術(shù)的基礎(chǔ)上實(shí)現(xiàn)。在登錄過程中，用戶只要擁有CAS頒發(fā)的證書，就獲得了CAS的信任，同時(shí)也意味著獲得了門戶其它業(yè)務(wù)系統(tǒng)的信任。只要這個(gè)證書不過期，用戶就可以直接訪問系統(tǒng)內(nèi)的其它業(yè)務(wù)系統(tǒng)，不需要重新登錄和認(rèn)證。CAS的核心就是其票據(jù)（Ticket），及其在Ticket之上的一系列處理操作。CAS的主要票據(jù)有TGT和ST等。其中ST票據(jù)是CAS為用戶簽發(fā)的訪問某一service服務(wù)的票據(jù)；而TGT是CAS為用戶簽發(fā)的登錄票據(jù)，擁有了TGT，用戶就可以證明自己在CAS成功登錄過，TGT封裝了Cookie值以及此Cookie值對(duì)應(yīng)的用戶信息。基于CAS的用戶認(rèn)證流程如圖2所示。

在具體實(shí)現(xiàn)時(shí)，使用SUN公司的keytool工具來創(chuàng)建用戶的安全證書，創(chuàng)建完成后，再配置到WEB應(yīng)用服務(wù)器中，以獲得HTTPS訪問協(xié)議的支持。首先由keytool工具將產(chǎn)生的安全證書和密鑰存放在一個(gè)叫作keystore的文件中，用以保存配對(duì)的公鑰和保存SSL協(xié)議的私鑰。實(shí)現(xiàn)過程如下：

（1）創(chuàng)建一個(gè)用于保存密鑰的文件，并命名為aisa，然后利用Keytool工具的genkey命令，生成一個(gè)安全證書。命令如下：

keytool -genkey -alias aisa_key -keyalg RSA -storepass 123456 -keystore server.keystore -validity 360

（2）使用Keytool工具的export命令，導(dǎo)出安全證書，然后將密鑰文件保存在本地文件server.cer中。命令如下：

keytool -export -trustcacerts -alias aisa_key -file server.cer -keystore server.keystore -storepass 123456

（3）證書注冊(cè)。

keytool -import -trustcacerts -alias tomcat_key -file server.cer –keystore %JAVA_HOME%

/jre/lib/security/cacerts -storepass 123456

（4）Tomcat服務(wù)器配置，在server.xml文件編寫SSL連接器的程序代碼，設(shè)置公鑰、信任證書庫(kù)和數(shù)字證書等信息。配置代碼如下：

4.2 用戶訪問權(quán)限控制

系統(tǒng)基于用戶角色對(duì)權(quán)限進(jìn)行管理，角色模型建立在部門崗位樹的基礎(chǔ)之上，提供用戶目錄管理、目錄復(fù)制、權(quán)限控制等多種屬性。用戶角色采用樹狀層次模型，崗位角色按學(xué)校/分支機(jī)構(gòu)/部門/科室/崗位的結(jié)構(gòu)層次進(jìn)行定義和管理；用戶信息以組織/部門/崗位角色以樹狀的層次結(jié)構(gòu)來組織和管理。在用戶角色樹狀層次模型中，用戶職位稱為崗位，或稱用戶角色，包含崗位角色的組織機(jī)構(gòu)稱為部門，大部門可以包含小部門。

在權(quán)限管理時(shí)，先建立用戶組，為組分配資源，然后關(guān)聯(lián)組中的角色的資源。使用DML（Data Manipulation Language）將portlet中的資源分配到特定的片段中，然后為片段中的portlet資源分配角色。在不同的組中，一個(gè)資源可以關(guān)聯(lián)多個(gè)不同的角色；而在同一個(gè)用戶組中，一個(gè)資源只能關(guān)聯(lián)一個(gè)角色。用戶與角色相關(guān)聯(lián)后，角色擁有權(quán)限，系統(tǒng)也可得到相應(yīng)的權(quán)限。

為了對(duì)用戶的權(quán)限進(jìn)行有效的控制，采用基于角色的訪問控制技術(shù)，將用戶的賬號(hào)、角色和權(quán)限三者建立一定的關(guān)聯(lián)關(guān)系。將用戶劃分為不同的角色，不同角色又擁有相應(yīng)的權(quán)限，達(dá)到用戶賬號(hào)與權(quán)限的級(jí)聯(lián)變化控制。當(dāng)用戶的角色發(fā)生變化時(shí)，可以在不改變用戶賬號(hào)的情況下，通過更改用戶的角色來改變用戶的權(quán)限，當(dāng)更改了用戶的角色后，該用戶的權(quán)限也相應(yīng)的得到了更新。用戶權(quán)限訪問控制模型如圖3所示。

用戶的屬性信息主要包括用戶賬號(hào)信息、角色和權(quán)限信息，這些屬性信息存放在用戶屬性信息表中。當(dāng)用戶申請(qǐng)?jiān)L問系統(tǒng)資源時(shí)，系統(tǒng)首先提取自己的屬性信息，訪問控制執(zhí)行點(diǎn)讀取申請(qǐng)?jiān)L問的用戶信息和請(qǐng)求類型。這時(shí)候，請(qǐng)求訪問控制判決點(diǎn)根據(jù)用戶的角色的權(quán)限信息判定此次請(qǐng)求是否在用戶的權(quán)限范圍內(nèi)。如果此次訪問在用戶的權(quán)限范圍內(nèi)，就允許用戶訪問此資源，否則就不允許訪問。

4.3 應(yīng)用系統(tǒng)集成

對(duì)應(yīng)用系統(tǒng)的集成采用Portal組件提供的Web應(yīng)用聚合器實(shí)現(xiàn)，通過此組件，可以直接將Web應(yīng)用系統(tǒng)嵌入門戶中。Web應(yīng)用聚合器是在業(yè)務(wù)系統(tǒng)的頁(yè)面中嵌入門戶的主題導(dǎo)航、顯示風(fēng)格等元素，以讓業(yè)務(wù)系統(tǒng)的操作界面保持與門戶系統(tǒng)一致。具體集成步驟如下：

（1）在門戶中創(chuàng)建一個(gè)標(biāo)準(zhǔn)的Portal URL頁(yè)面，并將頁(yè)面鏈接指定到需要集成的Web應(yīng)用的頁(yè)面。

（2）使用WebAppIntegrator portlet為該Web應(yīng)用頁(yè)面生成一段HTML標(biāo)記代碼。

5 結(jié)語(yǔ)

信息門戶是學(xué)校數(shù)字化校園建設(shè)的重要組成部分，也是師生獲取資源信息的最重要的途徑之一。門戶系統(tǒng)的建設(shè)是一個(gè)不斷完善和發(fā)展的過程，隨著學(xué)校數(shù)字化進(jìn)程的深入，門戶系統(tǒng)更多的將向服務(wù)型轉(zhuǎn)化，聯(lián)合校園內(nèi)的各種服務(wù)系統(tǒng)，實(shí)現(xiàn)真正的數(shù)字化校園服務(wù)。

參考文獻(xiàn)

[1] 劉鵬，王龍.數(shù)字化校園信息門戶的設(shè)計(jì)與實(shí)現(xiàn)[J].信息系統(tǒng)工程，2014（12）：16.

[2] 胥獻(xiàn)偉，楊贛川.高校數(shù)字化校園信息門戶網(wǎng)建設(shè)規(guī)劃探討[J].信息安全與技術(shù)，2014（11）：51-53.

[3] 李靜.基于改建Portlet技術(shù)的數(shù)字化校園信息門戶建設(shè)[J].創(chuàng)新科技，2013（9）：81-82.

[4] 汪迅寶.用Portlet技術(shù)實(shí)現(xiàn)數(shù)字化校園信息門戶設(shè)計(jì)研究[J].電腦知識(shí)與技術(shù)，2013（2）：448-450.