用户在访问本信息门户时,通过浏览器发送HTTP请求,Web服务器将收到的请求传递给Sezvlet容器,Servlet容器调用门户引擎(t-J户服务器Servlet),门户引擎将请求转换为Portlet请求,依次调用Portlet容器,根据需要经过多次调用后将多个Portlet的输出合成起来生成结果页面。
4.2 统一身份认证技术
统一身份认证是校园应用平台实现资源整合、提供个性化服务的前提和基础,由认证服务系统接管各自的认证模块,各应用系统只需要遵循统一认证服务调用接口,即可实现用户身份的认证。系统利用身份认证服务提供的安全认证协议来保证用户身份信息、密码的存储以及在网络上传输的安全性,同时通过传输层安全(TLS)与简单认证和安全层(SASL)认证机制来保护数据的完整性和私密性。统一身份认证包括认证整合、统一用户授权及单点登录(SSO)。
随着数字校园的深入建设,需要对学校的身份认证体系重新规划,将卡作为统一身份认证的载体,把原有一卡通系统的用户管理、用户组管理模块和统一身份认证系统集成,使统一身份认证系统作为添加用户和获取身份信息的唯一人口。针对学校的组织结构和安全性策略,对其所有用户进行分组,并基于学校业务模块的应用权限为组和用户统一分配角色。通过LDAP目录服务将校内的用户或组织的信g(称为属性)以层次结构、面向对象数据库的方式加以收集和管理,对用户信息进行统一管理,保证数据的一致性和完整性,为校园各类应用系统提供用户信息的共享。考虑到校园一卡通系统的特殊应用场景,根据专网设计和脱机使用的要求,统一身份认证中心支持一卡通系统建立单独的数据库,定制开发后台数据复制的服务,使校园一卡通系统可以保持和统一身份认证数据的一致;对于校园一卡通系统的Web应用部分,将其纳入信息发布门户体系,使用统一身份认证系统接口,自然地支持单点登录。
4.3统一的数据交换中心
数字化校园有其阶段性建设的特点,各应用系统松耦合、相对独立。为了使目前的应用系统得到有效利用,在结构上统一数据中心和其他应用系统也应是松耦合的关系。数据层面所需的信息集中存储,各应用子系统共享,可以有效防止信息的冗余和不一致,保证数据的准确性和可靠性,实现核心数据的集中管理、备份,提高系统的安全性,减少设备的投资和管理的人力成本。数据中心在数据级对“一卡通”和其他系统的数据进行无缝集成,便于信息的共享、交流和各项业务的协作。
一卡通系统使用统一数据交换中心提供的公共数据编码、身份信息等数据,同时一卡通系统拥有自己的业务数据库,将其他应用系统需要的信息纳入共享数据库的统一设计中,实现校园一卡通系统数据对整个数字化校园的共享。
(1)XML数据交换引擎的设计与实现。XML数据交换引擎是数据交换系统的核心部分,主要负责异构数据信息的转换。在数据转换过程中,引擎根据系统中已注册的传人源文件与输出目标文件,从XLST"映射文件库中调用与之对应转换映射文件XLST(Sourse--D)将源文件转换为系统标准XML文档。随后,引擎再次调用XLST (Destination)文件,将系统标准XML文档转换为目标文件,完成一次转换过程。引擎采用多线程处理机制,主要由数据转换模块与XSLT数据转换映射文件库组成。
(2)XML数据交换接口的设计与实现。数据交换接口主要实现两个方面的功能:(1)将待交换数据映射为XML文档,即数据的输出。数据输出根据各系统后台数据库的具体情况与其建立连接,从数据库中获取需要转换的数据生成DataSet数据集,并将数据转换为XML文档,完成转换后关闭与数据库的连接。(2)对转换后的输入XML文档进行合法性检查,通过检查的数据被读人数据库实现数据的更新,即数据的输入。输人数据的身份验证主要验证传人数据是否为系统的合法数据、数据的来源及目标是否有效。利用XSD架构定义语言进一步对转换后的XML输人数据进行结构及合法性检查,确保输入数据的完整性及正确性。然后,建立与数据库的连接,将数据读人系统,并对数据库进行更新。
4.4 统一的用户管理
一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。在数据同步的过程中,既有上行也有下行。所以,对于统一数据交换中心应建立一套任务调度机制,保证在系统运行的过程中产生的差异数据能被准确地捕获和复制。解决用户数据同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
UUMS分为两大子系统:用户集中管理和用户信息服务。用户集中管理子系统通过JNDI访问LDAP目录服务,进行人员信息的集中管理、更新和查询。当组织结构变化时,只需在这里修改一次,无需去维护每个相关的应用系统。用户信息服务子系统提供应用系统访问统一用户管理服务的接口,采用简单对象访问协议(SOAP)实现的用户信息远程查询接口和采用ServletFilter代理技术实现的认证服务是其中两种核心服务。
基于LDAP目录服务开发统一用户管理系统,实现校园网用户权限的分级、分层管理,并充分利用目录服务的树状信息存储结构、快速响应大容量查询和分布式复制信息的特性,一方面降低数字化校园应用系统中用户管理的成本,提高新应用系统的开发效率,尤其提供包括单点登陆在内的认证服务;另一方面,有了通用的用户信息基础结构,可以集中地管理用户角色,制定安全政策,大大减少了各个应用系统权限管理的维护量。
5 结束语
依托数字化校园应用平台的建设,对一卡通和校园资源进行“1+x”整合,将校园网原来的单一服务转为多元化服务,为“数字化校园”提供全面的数据采集网络平台。通过一卡通系统,实现校园网用户访问权限的集中管理,统一控制用户对信息资源和应用系统的访问,为用户提供集成的访问人口,并根据用户身份提供满足其需求的特定信息资源和业务数据,为用户提供个性化的服务。一卡通系统在身份认证和密码识别以及用户授权方面具有优良的特性,因此整合高校现有一卡通和校园网资源是构建数字化校园概念下的校园网应用平台关键的第一步。目前,学校新闻发布系统、学生管理系统、机房管理系统、食堂消费系统等网络应用系统已实现基于Web Service的“1+X”整合。通过一卡通,对各种资源的有效集成、整合和优化,实现了资源的有效配置和充分利用,实现了校务管理和后勤服务的改进,实现了教学、学习、生活过程的优化,从而提高了各种管理和服务工作的效率和效果,很好地解决了校园复杂网络环境下各类网络应用的统一身份认证、数据同步、用户权限管理等问题。