趙海寧

（中國(guó)鐵路成都局集團(tuán)有限公司 科技和信息化部，成都 610000）

隨著鐵路的快速發(fā)展、鐵路運(yùn)營(yíng)里程的不斷增加，各類信息系統(tǒng)在鐵路局集團(tuán)公司生產(chǎn)經(jīng)營(yíng)中被大量投入使用。這些信息系統(tǒng)支撐鐵路運(yùn)輸生產(chǎn)和經(jīng)營(yíng)管理工作，在各級(jí)生產(chǎn)經(jīng)營(yíng)工作中發(fā)揮著重要作用。

大量信息系統(tǒng)投入使用帶來管理和效率提升的同時(shí)，也帶來諸多問題和不便。（1）各級(jí)系統(tǒng)的用戶賬號(hào)不統(tǒng)一，安全保護(hù)措施不一致，造成各級(jí)用戶的重復(fù)登錄、口令遺失、非授權(quán)使用等情況時(shí)有發(fā)生，影響工作效率。其次，隨著鐵路車間、班組、工區(qū)及人員不斷優(yōu)化調(diào)整，各級(jí)信息系統(tǒng)中的用戶及人員數(shù)據(jù)、用戶權(quán)限難以做到同步調(diào)整，影響用戶使用。（2）信息系統(tǒng)不斷深入各種業(yè)務(wù)場(chǎng)景，迫切需要用戶及人員信息在各級(jí)系統(tǒng)中準(zhǔn)確、一致。（3）信息系統(tǒng)使用量的不斷提高，對(duì)系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行的現(xiàn)實(shí)需求日益迫切，給系統(tǒng)架構(gòu)設(shè)計(jì)提出了更高的要求。為此，有必要建立一種適用于鐵路生產(chǎn)實(shí)際需求的鐵路企業(yè)信息系統(tǒng)統(tǒng)一門戶。

本文基于鐵路局集團(tuán)公司的現(xiàn)狀，設(shè)計(jì)了一種鐵路企業(yè)信息系統(tǒng)門戶架構(gòu)。該架構(gòu)部署應(yīng)用于鐵路內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)用戶的單點(diǎn)登錄，統(tǒng)一用戶權(quán)限管理，以及各級(jí)應(yīng)用的集成控制，提供可靠、穩(wěn)定、均衡的訪問服務(wù)[1-3]。

1 架構(gòu)設(shè)計(jì)

1.1 總體架構(gòu)

鐵路企業(yè)信息系統(tǒng)門戶總體架構(gòu)由用戶表示層、業(yè)務(wù)服務(wù)層和基礎(chǔ)服務(wù)層組成，如圖1所示。

圖1 鐵路企業(yè)信息系統(tǒng)門戶總體架構(gòu)

用戶表示層為用戶提供基于常見Web瀏覽器的基礎(chǔ)展示界面，為集成接入的業(yè)務(wù)系統(tǒng)提供基礎(chǔ)的Web前端展示框架。用戶通過瀏覽器訪問系統(tǒng)門戶。

業(yè)務(wù)服務(wù)層為用戶提供人員、用戶、應(yīng)用、身份驗(yàn)證、待辦工作等基礎(chǔ)性功能，為業(yè)務(wù)系統(tǒng)提供集成接入管理功能。

基礎(chǔ)服務(wù)層為用戶提供數(shù)據(jù)庫存儲(chǔ)、域名（DNS，Domain Name System）解析、文件存儲(chǔ)、網(wǎng)路均衡的服務(wù)，支撐整個(gè)統(tǒng)一門戶的運(yùn)行。

1.2 網(wǎng)絡(luò)架構(gòu)

本文結(jié)合鐵路局集團(tuán)公司網(wǎng)絡(luò)的特點(diǎn)，基于內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN，Content Delivery Network）[4-5]、Nginx技術(shù)[6]，在鐵路局集團(tuán)公司機(jī)關(guān)所在地建立中心站點(diǎn)、各大地區(qū)建立鏡像站點(diǎn)，設(shè)計(jì)出一種符合鐵路特點(diǎn)的網(wǎng)絡(luò)架構(gòu)。本文以某鐵路局集團(tuán)公司為例，在其所在地的中心機(jī)房建立中心站點(diǎn)，兩大地區(qū)建立鏡像站點(diǎn)，分別服務(wù)于兩省一市的鐵路用戶。其信息系統(tǒng)門戶網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 某鐵路局集團(tuán)公司信息系統(tǒng)門戶網(wǎng)絡(luò)架構(gòu)

1.3 服務(wù)架構(gòu)

鑒于鐵路信息系統(tǒng)門戶是為所有鐵路信息系統(tǒng)用戶提供高并發(fā)、高可靠的服務(wù)需求，本文基于Nginx技術(shù)，在每個(gè)服務(wù)站點(diǎn)建立服務(wù)集群，在中心站點(diǎn)建立主數(shù)據(jù)庫，在鏡像站點(diǎn)建立鏡像數(shù)據(jù)庫。

例如，根據(jù)某鐵路局集團(tuán)公司機(jī)關(guān)用戶使用量測(cè)算，鐵路信息系統(tǒng)門戶的服務(wù)架構(gòu)為：鐵路局集團(tuán)公司中心站點(diǎn)前端使用一臺(tái)Nginx服務(wù)器提供均衡負(fù)載，后端使用3臺(tái)Web服務(wù)器組成Web服務(wù)集群，其中，Web服務(wù)器連接數(shù)據(jù)庫服務(wù)器；其他兩個(gè)地區(qū)的數(shù)據(jù)庫鏡像與中心站段數(shù)據(jù)庫服務(wù)保持同步。其服務(wù)架構(gòu)如圖3所示。

圖3 某鐵路局集團(tuán)公司信息系統(tǒng)門戶服務(wù)架構(gòu)

1.4 功能架構(gòu)

鐵路企業(yè)信息系統(tǒng)門戶需要滿足用戶的單點(diǎn)登錄[7-8]、統(tǒng)一用戶管理、集成接入的業(yè)務(wù)應(yīng)用管理、統(tǒng)一的待辦工作管理[9]等，以實(shí)現(xiàn)用戶在同一站點(diǎn)不同應(yīng)用的登錄和處理待辦工作，實(shí)現(xiàn)用戶快速操作其他業(yè)務(wù)系統(tǒng)，其功能架構(gòu)如圖4所示。

圖4 鐵路企業(yè)信息系統(tǒng)門戶功能架構(gòu)

2 功能設(shè)計(jì)

2.1 人員管理

人員管理是門戶最基本功能， 提供人員所在單位（部門）的新增、刪除、修改， 以及人員基礎(chǔ)信息管理等功能。 人員管理功能如圖5所示。

圖5 人員管理功能

在人員管理功能中， 人員基礎(chǔ)信息管理功能是人員管理功能的核心功能， 主要實(shí)現(xiàn)人員基礎(chǔ)信息查詢、人員基礎(chǔ)信息修改、人員單位內(nèi)部調(diào)動(dòng)、人員跨單位調(diào)動(dòng)、人員離職、新入職人員錄入等。 人員以身份證號(hào)作為唯一標(biāo)識(shí)條件， 如果存在相同身份證號(hào)則不能被錄入或修改， 以確保人員數(shù)據(jù)的唯一性和準(zhǔn)確性。

同時(shí)， 人員基礎(chǔ)信息管理功能還提供人員注冊(cè)、身份驗(yàn)證和人員其他信息接口。 人員注冊(cè)接口用于鐵路人員在門戶中的用戶注冊(cè)。身份驗(yàn)證接口用千通過身份證、手機(jī)號(hào)、用戶名、密碼在人員注冊(cè)庫進(jìn)行校驗(yàn)， 并同時(shí)提取相應(yīng)的人員信息， 實(shí)現(xiàn)用戶的身份驗(yàn)證。 人員其他信息接口用千同步各集成接入到門戶中的各類業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)應(yīng)人員的其他信息， 如常見的職教信息、勞資信息。

2.2 應(yīng)用管理

應(yīng)用管理功能主要提供各單位對(duì)應(yīng)的業(yè)務(wù)應(yīng)用系統(tǒng)集成、系統(tǒng)功能模塊結(jié)構(gòu)樹維護(hù)管理、用戶組維護(hù)管理、功能模塊頁面注冊(cè)管理等。應(yīng)用管理是鐵路企業(yè)信息提供門戶實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)功能模塊統(tǒng)一管理、用戶權(quán)限分配的核心功能，其主要數(shù)據(jù)對(duì)象如圖6所示。

圖6 應(yīng)用管理主要數(shù)據(jù)對(duì)象關(guān)系

應(yīng)用管理下級(jí)主要子功能如圖7所示。

圖7 應(yīng)用管理下級(jí)主要子功能

在應(yīng)用管理中，頁面管理和用戶相關(guān)接口（模塊樹、權(quán)限、參數(shù)）是其核心功能。

頁面管理主要實(shí)現(xiàn)接入的業(yè)務(wù)系統(tǒng)的Web頁面注冊(cè)、頁面權(quán)限、頁面所需框架參數(shù)配置等功能，是業(yè)務(wù)系統(tǒng)集成接入到門戶的基礎(chǔ)。

用戶相關(guān)的數(shù)據(jù)接口是門戶與業(yè)務(wù)系統(tǒng)之間用戶信息共享的橋梁。用戶模塊樹接口主要實(shí)現(xiàn)通過指定的用戶信息查找用戶對(duì)應(yīng)的功能模塊，方便在門戶和業(yè)務(wù)系統(tǒng)間展示用戶可用的功能。用戶權(quán)限接口主要實(shí)現(xiàn)獲取當(dāng)前用戶對(duì)指定的功能模塊的操作權(quán)限，實(shí)際卡控用戶使用功能。用戶參數(shù)接口主要實(shí)現(xiàn)門戶與業(yè)務(wù)系統(tǒng)間的用戶基本信息共享傳遞，一般包括用戶姓名、所在單位、職務(wù)等。

2.3 用戶管理

用戶管理主要實(shí)現(xiàn)用戶的注冊(cè)。用戶注冊(cè)提供通過用戶身份證綁定用戶名和手機(jī)號(hào)功能。

用戶注冊(cè)流程分為以下兩個(gè)步驟。

（1）用戶輸入身份證號(hào)和姓名，系統(tǒng)通過用戶注冊(cè)接口提取相應(yīng)的在冊(cè)人員，如果不存在，則返回錯(cuò)誤；如果存在，則進(jìn)入步驟（2）。

（2）用戶輸入用戶名、手機(jī)號(hào)、密碼，系統(tǒng)判斷用戶名、手機(jī)號(hào)是否重復(fù)，如果不重復(fù)，則通過用戶注冊(cè)接口寫入用戶注冊(cè)信息；如果重復(fù)，則返回，讓用戶修改注冊(cè)信息。

初始空段落

2.4 身份驗(yàn)證管理

身份驗(yàn)證主要提供通過用戶名、身份證、手機(jī)號(hào)進(jìn)行用戶身份、權(quán)限提取，并生成基礎(chǔ)功能頁面。

身份驗(yàn)證分為以下兩個(gè)步驟。

（1）用戶通過瀏覽器訪問系統(tǒng)，系統(tǒng)首先通過安全技術(shù)驗(yàn)證用戶合法性判斷用戶是否屬于免登陸用戶，如果合法則進(jìn)入步驟（2）；如果不合法，則要求輸入用戶登錄信息和密碼，并通過登錄信息進(jìn)行用戶合法性驗(yàn)證。

（2）系統(tǒng)根據(jù)用戶信息調(diào)用模塊樹、用戶權(quán)限接口，查詢當(dāng)前用戶對(duì)應(yīng)的模塊樹分布、用戶組信息、頁面控制權(quán)限信息，然后根據(jù)模塊樹和用戶組生成用戶對(duì)應(yīng)框架界面。

2.5 接口管理

接口模塊分為兩類接口：（1）外部訪問接口，提供用戶注冊(cè)、用戶驗(yàn)證、讀取用戶信息等。（2）訪問參數(shù)接口，用于門戶調(diào)用集成接入的業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，通過統(tǒng)一資源定位符（URL，Uniform Resource Locator）參數(shù)的方式傳遞用戶信息、控制權(quán)限等。接口管理各類接口如圖8所示。

圖8 接口管理各類接口

2.6 待辦工作

待辦工作功能主要提供統(tǒng)一的待辦事項(xiàng)列表、統(tǒng)一的待辦事項(xiàng)提醒，以及配套的待辦工作監(jiān)控，支撐待辦工作提醒的及時(shí)性和高可靠性。

2.6.1 待辦事項(xiàng)列表

待辦事項(xiàng)列表為用戶提供統(tǒng)一的待辦事項(xiàng)操作處理界面。按照規(guī)范的待辦工作接口，集成接入的業(yè)務(wù)系統(tǒng)須向門戶提供具體的待辦工作數(shù)量和待辦工作處理界面。待辦事項(xiàng)列表界面如圖9所示。

圖9 待辦事項(xiàng)列表界面

2.6.2 待辦事項(xiàng)提醒

待辦事項(xiàng)提醒支持短信、門戶主界面彈窗、移動(dòng)辦公類App等多種提示方式，方便用戶快速掌握需要處理的待辦工作事項(xiàng)，避免忽略或遺漏工作內(nèi)容。

2.6.3 待辦工作監(jiān)控

待辦工作是用戶日常處理工作的重要入口，其需要具備高可靠性，因而對(duì)待辦工作功能運(yùn)行情況須日常監(jiān)控。待辦工作監(jiān)控提供待辦工作功能當(dāng)前負(fù)載被后臺(tái)處理情況的實(shí)時(shí)監(jiān)控，方便運(yùn)維人員掌握相關(guān)運(yùn)行情況。

3 相關(guān)技術(shù)

3.1 OAuth 2.0

OAuth是常見的驗(yàn)證授權(quán)框架標(biāo)準(zhǔn)，其為開發(fā)者開發(fā)Web應(yīng)用、桌面端應(yīng)用程序、移動(dòng)端應(yīng)用程序提供特定的授權(quán)流程。該規(guī)范是IETF OAuth WG工作組下基于OAuth WRAP制訂，OAuth 2.0版本為常用版本。OAuth實(shí)現(xiàn)了第三方應(yīng)用與當(dāng)前應(yīng)用間的重要數(shù)據(jù)交互，而無須將用戶口令等提供給第三方，確保數(shù)據(jù)安全。

鐵路企業(yè)信息系統(tǒng)門戶基于OAuth 2.0，實(shí)現(xiàn)與第三方信息系統(tǒng)的應(yīng)用集成，以及單點(diǎn)登錄。

3.2 CDN

CDN主要實(shí)現(xiàn)網(wǎng)站靜態(tài)資源（如圖片、媒體、JS文件、CSS文件等）的加速訪問，提高用戶訪問速度和穩(wěn)定性。

針對(duì)鐵路生產(chǎn)站段部署分散、點(diǎn)多線長(zhǎng)的特點(diǎn)，鐵路企業(yè)信息系統(tǒng)門戶通過CDN網(wǎng)絡(luò)，實(shí)現(xiàn)穩(wěn)定、快速的訪問。需要注意的是，使用CDN網(wǎng)絡(luò)加速一般需要配置域名服務(wù)。

3.3 Nginx

Nginx是一款常見的輕量級(jí)的Web服務(wù)、反向代理服務(wù)器。鐵路企業(yè)信息系統(tǒng)門戶通過Nginx快速組件服務(wù)集群，提供高并發(fā)的門戶服務(wù)。

4 結(jié)束語

本文設(shè)計(jì)一種穩(wěn)定可靠、方便高效的鐵路企業(yè)信息系統(tǒng)門戶架構(gòu)，并應(yīng)用于某鐵路局集團(tuán)公司，在兩省一市建立主從站點(diǎn)，通過CDN為用戶提供訪問服務(wù)；同時(shí)將該鐵路局集團(tuán)公司管理信息系統(tǒng)作為門戶的統(tǒng)一展示平臺(tái)，實(shí)現(xiàn)用戶的單點(diǎn)登錄和集中訪問控制，解決了鐵路點(diǎn)多線長(zhǎng)、用戶分散的訪問可靠性問題，滿足了鐵路用戶日常生產(chǎn)辦公的效率要求。未來，本文將在普適性方面進(jìn)行研究，讓該架構(gòu)更好地適配其他鐵路局集團(tuán)公司的需求。