數(shù)字校園產(chǎn)品解決方案中基礎(chǔ)開放平臺(tái)的功能設(shè)計(jì)與實(shí)現(xiàn)

潘文婷

摘要：作為數(shù)字校園產(chǎn)品解決方案中最基本且最核心的功能平臺(tái)，基礎(chǔ)開放平臺(tái)涵蓋了身份鑒權(quán)、數(shù)據(jù)整合、門戶管理、第三方應(yīng)用整合等全面核心的功能，本文就基礎(chǔ)開放平臺(tái)的功能設(shè)計(jì)進(jìn)行了詳細(xì)闡述。

關(guān)鍵詞：數(shù)字校園；開放平臺(tái)；解決方案；設(shè)計(jì)

一、校園身份認(rèn)證及授權(quán)管理平臺(tái)

建設(shè)以目錄服務(wù)和認(rèn)證服務(wù)為基礎(chǔ)的統(tǒng)一用戶管理、授權(quán)管理和身份認(rèn)證安全體系，將組織信息、用戶信息統(tǒng)一存儲(chǔ)，進(jìn)行分級(jí)授權(quán)和集中身份認(rèn)證，提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實(shí)現(xiàn)全部應(yīng)用的單點(diǎn)登錄，同時(shí)能詳細(xì)記錄用戶對(duì)系統(tǒng)資源的所有訪問(wèn)記錄和操作情況，以便事后對(duì)用戶操作進(jìn)行審計(jì)，建立完善的事后追溯機(jī)制。在學(xué)校工作人員進(jìn)行了調(diào)動(dòng)、調(diào)級(jí)、調(diào)職等變更后，或者學(xué)校體制改革、組織機(jī)構(gòu)變動(dòng)后，使用戶的身份和權(quán)限在各系統(tǒng)之間協(xié)調(diào)同步，減少應(yīng)用系統(tǒng)的開發(fā)和維護(hù)成本。

（一）統(tǒng)一身份認(rèn)證管理

校園身份認(rèn)證及授權(quán)管理平臺(tái)是以統(tǒng)一用戶管理中心為基礎(chǔ)，對(duì)所有應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略，以識(shí)別用戶身份的合法性。

統(tǒng)一用戶認(rèn)證應(yīng)支持以下幾種認(rèn)證方式：

用戶名/密碼認(rèn)證：這是最基本的認(rèn)證方式。

PKI/CA數(shù)字證書認(rèn)證：通過(guò)數(shù)字證書的方式認(rèn)證用戶的身份。

IP地址認(rèn)證：用戶只能從指定的IP地址或者IP地址段訪問(wèn)系統(tǒng)。

時(shí)間段認(rèn)證：用戶只能在某個(gè)指定的時(shí)間段訪問(wèn)系統(tǒng)。

以上認(rèn)證方式采用模塊化設(shè)計(jì)，管理員可靈活地進(jìn)行裝載和卸載，同時(shí)還可按照用戶的要求方便地?cái)U(kuò)展新的認(rèn)證模塊。

數(shù)字證書認(rèn)證通常應(yīng)用在安全級(jí)別要求較高的環(huán)境中。PKI（Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書來(lái)確保系統(tǒng)信息安全的一種體系。

數(shù)字證書有時(shí)被稱為數(shù)字身份證，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性。

（二）授權(quán)訪問(wèn)控制

校園身份認(rèn)證及授權(quán)管理平臺(tái)的另外一個(gè)最主要的機(jī)制就是授權(quán)訪問(wèn)控制，該功能對(duì)學(xué)校全局資源做訪問(wèn)控制。在一個(gè)校園網(wǎng)中實(shí)施一致的訪問(wèn)控制策略，是管理校園網(wǎng)資源的有效手段。校園身份認(rèn)證及授權(quán)管理平臺(tái)的訪問(wèn)控制機(jī)制實(shí)現(xiàn)這一目的，為不同應(yīng)用提供統(tǒng)一的訪問(wèn)控制策略。

上圖說(shuō)明了RBAC訪問(wèn)控制模型，訪問(wèn)控制策略體現(xiàn)在RBAC模型里是用戶/角色、角色/權(quán)限和角色/角色之間的關(guān)系。采用RBAC的最大的好處在于將用戶和它具有的權(quán)限分離開來(lái)，給用戶授予角色來(lái)實(shí)現(xiàn)用戶的授權(quán)操作。在集中式管理中，這些授權(quán)信息通常是由一個(gè)指定的管理員來(lái)管理；而在分布式環(huán)境中，它們可以由多個(gè)具有不同管理權(quán)限域的管理員來(lái)管理。在校園身份認(rèn)證及授權(quán)管理平臺(tái)中，還需要對(duì) RBAC 理論模型進(jìn)行組件化實(shí)現(xiàn)，使訪問(wèn)控制管理包含可以控制細(xì)化到單個(gè)文件級(jí)別訪問(wèn)的權(quán)限配置模塊、用于角色定義的管理員模塊、定義角色之間關(guān)系的模塊以及配置用戶權(quán)限的模塊。

（三）角色管理

角色是訪問(wèn)權(quán)限的集合，用戶通過(guò)賦予不同的角色獲得角色所擁有的訪問(wèn)權(quán)限。用戶通過(guò)角色享有權(quán)限，它不直接與權(quán)限相關(guān)聯(lián)，權(quán)限對(duì)存取對(duì)象的操作許可是通過(guò)活躍角色實(shí)現(xiàn)的。在RBAC模型系統(tǒng)中，每個(gè)用戶進(jìn)入系統(tǒng)時(shí)得到一個(gè)會(huì)話，一個(gè)用戶會(huì)話可能激活的角色是該用戶的全部角色的子集。

RBAC作為傳統(tǒng)訪問(wèn)機(jī)制的理想候選近年來(lái)得到廣泛的研究，并以其靈活性、方便性和安全性在許多系統(tǒng)尤其是大型數(shù)據(jù)庫(kù)系統(tǒng)的權(quán)限管理中得到應(yīng)用。

RBAC由于不是直接授權(quán)給用戶，而是先授權(quán)給角色，然后再授予用戶角色，這樣在用戶和權(quán)限之間引入角色，從而大大降低了系統(tǒng)的復(fù)雜度，同時(shí)RBAC體現(xiàn)了系統(tǒng)的組織結(jié)構(gòu)，大大降低了系統(tǒng)管理員誤操作的可能性，角色之間的互斥關(guān)系也可以很容易地實(shí)現(xiàn)任務(wù)分離。

（四）組織機(jī)構(gòu)及用戶組維護(hù)

組織機(jī)構(gòu)數(shù)據(jù)是身份認(rèn)證的基礎(chǔ)，組織的結(jié)構(gòu)以及組織內(nèi)部的職務(wù)（用戶組）等相應(yīng)信息都需要在身份認(rèn)證和權(quán)限管理系統(tǒng)中注冊(cè)，組織機(jī)構(gòu)為系統(tǒng)劃分權(quán)限以及授權(quán)提供了有效的方式。組織中人員的權(quán)限通過(guò)包含組織下的角色權(quán)限來(lái)體現(xiàn)。

二、校園數(shù)據(jù)整合及決策輔助平臺(tái)

根據(jù)學(xué)校業(yè)務(wù)需求的不同，建設(shè)主題數(shù)據(jù)庫(kù)、元數(shù)據(jù)庫(kù)、公共數(shù)據(jù)庫(kù)、歷史切片數(shù)據(jù)庫(kù)，規(guī)范學(xué)校信息化建設(shè)數(shù)據(jù)標(biāo)準(zhǔn)，支持各種主流數(shù)據(jù)庫(kù)的公共數(shù)據(jù)存取，支持將數(shù)據(jù)集直接生成可訪問(wèn)的數(shù)據(jù)接口。提供對(duì)信息標(biāo)準(zhǔn)以及代碼維護(hù)管理工具（ETL數(shù)據(jù)工具），支持?jǐn)?shù)據(jù)導(dǎo)入、導(dǎo)出、數(shù)據(jù)表檢索、更正模式，完成對(duì)系統(tǒng)間數(shù)據(jù)的清洗、加載、傳輸?shù)裙ぷ鳌?/p>

（一）ETL管理工具

ETL工具擁有直觀的圖形化界面，用戶只需簡(jiǎn)單的鼠標(biāo)拖拽即可完成ETL過(guò)程；ETL工具還提供異步的ETL過(guò)程處理模式，使數(shù)據(jù)抽取、轉(zhuǎn)換及數(shù)據(jù)裝載等操作能夠并行執(zhí)行，實(shí)現(xiàn)數(shù)據(jù)的高速處理；此外，ETL工具還具備計(jì)劃任務(wù)功能，可以按計(jì)劃定時(shí)執(zhí)行 ETL和圖形化任務(wù)，不需要用戶時(shí)時(shí)監(jiān)控。

（二）報(bào)表系統(tǒng)

校園數(shù)據(jù)整合及決策輔助平臺(tái)采用強(qiáng)大的Birt報(bào)表系統(tǒng)。Birt基于開源設(shè)計(jì)，具有開發(fā)方便、操作界面友好、擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)，并且可靈活定義表單樣式，圖形化拖拽構(gòu)建工作流。另外，Birt能夠?qū)崿F(xiàn)列表、圖表、混合報(bào)表等多種報(bào)表形式，用于展示概要數(shù)據(jù)和詳細(xì)數(shù)據(jù)，完美的支撐校情展示與決策分析系統(tǒng)。

（三）數(shù)據(jù)開放平臺(tái)

平臺(tái)支持使用Weservice等方式來(lái)獲取數(shù)據(jù)中心的標(biāo)準(zhǔn)數(shù)據(jù)，同時(shí)提供Restful方式的數(shù)據(jù)訪問(wèn)，支持xml、Json等數(shù)據(jù)格式。對(duì)于個(gè)人類應(yīng)用程序也提供基于OAuth2.0的授權(quán)認(rèn)證數(shù)據(jù)訪問(wèn)。

通過(guò)開放數(shù)據(jù)管理，平臺(tái)可以根據(jù)需要在系統(tǒng)中定制需要的數(shù)據(jù)訪問(wèn)接口，而無(wú)需定制開發(fā)。

三、校園門戶管理平臺(tái)

提供一個(gè)支持信息訪問(wèn)、傳遞、以及協(xié)作化的集成化環(huán)境，把各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集成到學(xué)校門戶之下，形成學(xué)校統(tǒng)一的信息入口。通過(guò)數(shù)據(jù)與應(yīng)用的集成及個(gè)人桌面?zhèn)€性化工作區(qū)服務(wù)定制，為校領(lǐng)導(dǎo)、教師、學(xué)生、家長(zhǎng)等提供提供面向個(gè)人、自助式服務(wù)支持，管理公共信息，選擇性地展示學(xué)校的動(dòng)態(tài)信息和應(yīng)用對(duì)社會(huì)公眾和校內(nèi)師生提供不同的信息服務(wù)和進(jìn)入相應(yīng)校園信息管理系統(tǒng)的入口。該平臺(tái)位于信息化校園平臺(tái)體系結(jié)構(gòu)中的最上層，實(shí)現(xiàn)信息化校園各應(yīng)用系統(tǒng)與用戶的人機(jī)交互服務(wù)平臺(tái)，是信息化校園的信息集中展示的窗口。

（一）權(quán)限控制

統(tǒng)一門戶平臺(tái)針對(duì)角色和用戶多種粒度進(jìn)行權(quán)限控制，按照不同角色和用戶的信息獲取特性，對(duì)其提供貼合需求的信息及應(yīng)用空間。

（二）常駐的桌面入口

不僅提供了基于網(wǎng)頁(yè)訪問(wèn)的統(tǒng)一入口實(shí)現(xiàn)，并且提供了校內(nèi)通桌面客戶端，隨桌面開機(jī)啟動(dòng)，常駐在系統(tǒng)右下角，為教師提供了瀏覽器以外的更容易的訪問(wèn)應(yīng)用的方式。

做為常駐桌面程序，可以時(shí)刻將通知和消息送達(dá)教師面前。通過(guò)桌面程序，用戶能夠更方便進(jìn)入到各數(shù)字校園程序中，更方便的實(shí)時(shí)獲取數(shù)字校園各應(yīng)用程序推送的內(nèi)容和消息。

四、第三方應(yīng)用整合系統(tǒng)

（一）數(shù)字校園應(yīng)用一站式管理

門戶平臺(tái)通過(guò)建立底層結(jié)構(gòu)來(lái)聯(lián)系橫貫整個(gè)組織內(nèi)外的異構(gòu)系統(tǒng)、應(yīng)用、數(shù)據(jù)源等，完成在組織內(nèi)外的數(shù)據(jù)庫(kù)、數(shù)據(jù)倉(cāng)庫(kù)、辦公自動(dòng)化、電子郵件系統(tǒng)，以及其它重要的內(nèi)部系統(tǒng)之間無(wú)縫地共享和交換數(shù)據(jù)的需要。

（二）第三方應(yīng)用系統(tǒng)數(shù)據(jù)整合

基礎(chǔ)平臺(tái)是各個(gè)應(yīng)用系統(tǒng)的基礎(chǔ)，可以使每個(gè)應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的身份權(quán)限審計(jì)、數(shù)據(jù)推送共享、統(tǒng)一門戶展示，實(shí)現(xiàn)數(shù)字校園全部應(yīng)用的單點(diǎn)登錄及應(yīng)用系統(tǒng)產(chǎn)生的所有新消息進(jìn)行多渠道的推送。

（作者單位：湖北郵電規(guī)劃設(shè)計(jì)有限公司）