基礎(chǔ)中間件在新一代數(shù)字化校園中的應(yīng)用

摘 要： 新一代數(shù)字化校園的建設(shè)已開始邁入“數(shù)據(jù)集成”階段，文章從基礎(chǔ)中間件的概念出發(fā)，提出基于SOA體系結(jié)構(gòu)的基礎(chǔ)中間件的服務(wù)架構(gòu)，并選擇信息門戶、身份管理與訪問控制這兩個(gè)重要的基礎(chǔ)中間件進(jìn)行研究，實(shí)現(xiàn)了各個(gè)業(yè)務(wù)系統(tǒng)的應(yīng)用集成和數(shù)據(jù)集成，實(shí)現(xiàn)了身份管理和訪問控制，從而充分發(fā)揮基礎(chǔ)中間件在數(shù)字化校園建設(shè)中的重要作用，為數(shù)字化校園基礎(chǔ)中間件的選擇與系統(tǒng)建設(shè)提供參考。

關(guān)鍵詞： 數(shù)字化校園； 基礎(chǔ)中間件； 數(shù)據(jù)集成； SOA； 信息門戶； 身份管理與訪問控制

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）01-23-03

Application of basic middle-wares in new generation digital campus

Tang Wei

（Information Science School， Nanjing Audit University， Nanjing， Jiangsu 211815， China）

Abstract： The construction of the new generation digital campus has started to enter the \"data integration\" stage. From the concept of basic middleware， the service architecture of basic middleware based on SOA is put forward， and two kinds of important basic middleware are introduced which are information portal， identity management and access control. The application integration and data integration of business systems are realized， together with ID management and access control. The important role of basic middleware in constructing digital campus is fully embodied， providing a reference for the selection and construction of basic middleware in digital campus.

Key words： digital campus； basic middleware； data integration； SOA； information portal； identity management and access control

0 引言

目前國內(nèi)很多高?；就瓿闪诵@網(wǎng)的建設(shè)，在信息化硬件基礎(chǔ)設(shè)施和軟件建設(shè)方面有了長足的發(fā)展，形成了多個(gè)業(yè)務(wù)系統(tǒng)。但是，由于這些系統(tǒng)在建設(shè)之初僅是從自身的業(yè)務(wù)需要出發(fā)，沒有考慮校園內(nèi)部其他應(yīng)用的需求，導(dǎo)致各個(gè)系統(tǒng)采用了不同的數(shù)據(jù)庫系統(tǒng)和不同的開發(fā)技術(shù)，沒有統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，也沒有提供數(shù)據(jù)共享和訪問的接口，因此在校園網(wǎng)內(nèi)部形成了多個(gè)“信息孤島”。

為了實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)同步，保證校園內(nèi)部數(shù)據(jù)的一致性、完整性和正確性，新一代數(shù)字化校園的建設(shè)已開始啟動(dòng)，高校的信息化開始邁入“數(shù)據(jù)集成”階段。通過建立統(tǒng)一的信息標(biāo)準(zhǔn)和軟硬件支撐平臺(tái)，在此基礎(chǔ)上集成、開發(fā)高校的應(yīng)用系統(tǒng)，并通過信息門戶集成起來，形成一個(gè)有機(jī)集成的高校信息化環(huán)境。新一代數(shù)字化校園的組成可以采用分層模型來描述，如圖1所示。

為了解決分布異構(gòu)問題，人們提出了中間件的概念。中間件是位于平臺(tái)（硬件和操作系統(tǒng)）和應(yīng)用程序之間的通用服務(wù)系統(tǒng)，具有標(biāo)準(zhǔn)的程序接口和協(xié)議，可實(shí)現(xiàn)不同硬件和操作系統(tǒng)平臺(tái)上的數(shù)據(jù)共享和應(yīng)用互操作[1]。

基礎(chǔ)中間件是新一代數(shù)字化校園的軟件基礎(chǔ)，在新一代數(shù)字化校園整體框架中占據(jù)著重要的位置。基礎(chǔ)中間件作為公共的、基礎(chǔ)的服務(wù)組件，為各層軟件提供服務(wù)，構(gòu)筑信息服務(wù)流程，實(shí)現(xiàn)信息的高度共享與集成，為數(shù)據(jù)集成打下良好的基礎(chǔ)。圖1中的信息門戶和公共服務(wù)軟件等都屬于基礎(chǔ)中間件。

1 基礎(chǔ)中間件的服務(wù)架構(gòu)

面向服務(wù)的架構(gòu)（Service Oriented Architecture，SOA）是一種分布式的軟件架構(gòu)模型，它將應(yīng)用程序的不同功能單元（稱為服務(wù)單元）通過這些單元之間定義良好的接口和契約聯(lián)系起來，使得構(gòu)建在系統(tǒng)中的服務(wù)單元可以以一種統(tǒng)一和通用的方法進(jìn)行調(diào)用。這種具有中立的接口定義（沒有強(qiáng)制綁定到特定的實(shí)現(xiàn)上）的特征稱為服務(wù)單元之間的松耦合，松耦合系統(tǒng)的好處有兩點(diǎn)：一是它的靈活性；另一點(diǎn)是當(dāng)整個(gè)應(yīng)用程序的每個(gè)服務(wù)單元的內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)逐漸地發(fā)生改變時(shí)，它能夠繼續(xù)存在。

SOA是一種在計(jì)算環(huán)境中設(shè)計(jì)、開發(fā)、部署和管理服務(wù)單元的模型，它要求開發(fā)人員將應(yīng)用設(shè)計(jì)為服務(wù)單元的集合，跳出應(yīng)用本身來思考，考慮現(xiàn)有服務(wù)單元的重用。單獨(dú)的、獨(dú)立的、封裝完善的服務(wù)單元所具有的好處是，可以采用多種不同的方法將它們組合成較大型的服務(wù)，以此來實(shí)現(xiàn)重用。在新一代數(shù)字化校園方案中，基于SOA體系結(jié)構(gòu)的基礎(chǔ)中間件的服務(wù)架構(gòu)如圖2所示。

根據(jù)功能的不同，基礎(chǔ)中間件的種類繁多，包括信息門戶中間件、身份管理與訪問控制中間件、流程服務(wù)中間件、信息發(fā)布中間件、網(wǎng)絡(luò)存儲(chǔ)中間件、全文檢索中間件、安全審計(jì)中間件等，本文重點(diǎn)介紹前兩類基礎(chǔ)中間件。

2 信息門戶中間件

信息門戶作為用戶訪問數(shù)字化校園應(yīng)用與資源的統(tǒng)一入口，是基礎(chǔ)中間件中最為重要的一個(gè)部分。它外接用戶，內(nèi)接系統(tǒng)、資源以及其他中間件，是貫穿整個(gè)數(shù)字化校園的一條重要紐帶。隨著高校信息化的普及，人們對(duì)于個(gè)性化信息服務(wù)、功能更多更強(qiáng)的信息服務(wù)需求越來越高，這極大地促進(jìn)了高校信息門戶的發(fā)展。

與一般的門戶網(wǎng)站相比，校園信息門戶同樣是以Web方式展現(xiàn)于用戶面前，但不一樣的是，傳統(tǒng)的Web以信息提供商為中心，而門戶以用戶為中心，信息和服務(wù)是依據(jù)用戶特征來提供的。用三個(gè)詞可以從根本上來區(qū)別門戶與傳統(tǒng)網(wǎng)頁，即“集成”、“應(yīng)用展現(xiàn)”和“單點(diǎn)登錄”，這三點(diǎn)是門戶的特色，也是傳統(tǒng)網(wǎng)頁所不具備的[2]。

2.1 應(yīng)用集成與數(shù)據(jù)集成

2.1.1 應(yīng)用集成

信息門戶能通過應(yīng)用集成平臺(tái)提供的通用服務(wù)接口實(shí)現(xiàn)數(shù)字化校園各類信息化應(yīng)用系統(tǒng)的有效集成，并提供了完善的應(yīng)用系統(tǒng)管理功能，學(xué)校信息化管理部門可以通過該功能對(duì)數(shù)字化校園的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一管理，包括應(yīng)用系統(tǒng)的注冊(cè)、應(yīng)用系統(tǒng)信息的管理和應(yīng)用系統(tǒng)訪問權(quán)限的管理等[3]。

由于各應(yīng)用系統(tǒng)建設(shè)的時(shí)期不同，可能采用的技術(shù)也不同，運(yùn)行的模式也不同。因此，對(duì)應(yīng)用的集成也是分不同的形式進(jìn)行的。

⑴ 鏈入集成模式：支持單點(diǎn)登錄，在門戶上僅僅提供該應(yīng)用的入口鏈接地址，用戶可以很方便地漫游到該應(yīng)用中。

⑵ 緊密集成模式：要求應(yīng)用不僅支持單點(diǎn)登錄，還遵循一定的界面規(guī)范，這樣應(yīng)用界面可以作為門戶的一部分嵌入到門戶中，對(duì)用戶來說應(yīng)用服務(wù)界面與門戶成為一體，對(duì)用戶個(gè)性化支持也更強(qiáng)。

⑶ 整合集成模式：在緊密集成要求的前提下，還要求應(yīng)用以功能單元為基本元素，以Web Service的方式提供服務(wù)，這樣門戶可以根據(jù)配置信息以及用戶的請(qǐng)求，自動(dòng)調(diào)用合適的服務(wù)。通過門戶呈現(xiàn)的是一個(gè)一體化的、不可分割的、個(gè)性化的數(shù)字化校園統(tǒng)一信息系統(tǒng)。

2.1.2 數(shù)據(jù)集成

信息門戶能通過數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)數(shù)字化校園各類信息資源的有效共享，獲得完整、同步、一致性的數(shù)據(jù)視圖，進(jìn)而保證為用戶提供準(zhǔn)確及時(shí)的信息服務(wù)[3]。數(shù)據(jù)交換中心采用XML作為數(shù)據(jù)交換標(biāo)準(zhǔn)，利用Web Service技術(shù)進(jìn)行組件和應(yīng)用系統(tǒng)的包裝，將應(yīng)用系統(tǒng)的數(shù)據(jù)需求看作一種服務(wù)，通過服務(wù)的請(qǐng)求和調(diào)用，實(shí)現(xiàn)應(yīng)用系統(tǒng)間的數(shù)據(jù)交換和共享。

2.2 應(yīng)用展現(xiàn)

信息門戶由若干頁面組成，每個(gè)頁面包含若干窗口。應(yīng)用展現(xiàn)是信息門戶的主要功能。

⑴ 門戶配置管理

信息門戶提供圖形化的門戶配置管理工具，讓門戶的管理員通過瀏覽器對(duì)門戶進(jìn)行配置，包括門戶首頁的配置、校內(nèi)訪問地址的配置、用戶登錄事件的配置等。

⑵ 用戶模版管理

用戶登錄信息門戶后，根據(jù)用戶身份類型的不同將會(huì)顯示一組不同的模版頁面。用戶身份類型是一組預(yù)先定義好的用戶類型，如本科生、研究生、教師等。同一類型的用戶一般具有相同或相似的系統(tǒng)訪問要求，因而可以作為模版頁面設(shè)計(jì)的依據(jù)。

用戶可以在模版頁面中的任意位置添加具有訪問權(quán)限的其他窗口，但不允許刪除模版頁面中管理員預(yù)定義的初始窗口。模版頁面顯示時(shí)將進(jìn)行權(quán)限過濾，若當(dāng)前用戶不具備其中某窗口的訪問權(quán)限，該窗口將被最小化或隱藏。

⑶ 個(gè)性化使用環(huán)境

門戶的出現(xiàn)改變了原有應(yīng)用系統(tǒng)的服務(wù)模式。原有應(yīng)用系統(tǒng)實(shí)現(xiàn)的是面向功能的服務(wù)模式，每個(gè)應(yīng)用系統(tǒng)提供的只是可以滿足某種需求的功能。門戶提供的是面向人的服務(wù)模式，個(gè)性化的訪問環(huán)境包括個(gè)性化頁面和個(gè)性化的內(nèi)容訂制服務(wù)。個(gè)性化的內(nèi)容訂制就是利用數(shù)據(jù)挖掘技術(shù)分析用戶的使用數(shù)據(jù)，并將用戶感興趣的內(nèi)容推送到用戶的面前，這點(diǎn)就是與傳統(tǒng)的網(wǎng)頁形式的最大區(qū)別。

2.3 單點(diǎn)登錄

單點(diǎn)登錄（Single Sign On，SSO）是一種用于方便用戶訪問網(wǎng)絡(luò)的技術(shù)。無論多么復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，便可獲得系統(tǒng)和應(yīng)用軟件的訪問授權(quán)，以后便可以在網(wǎng)絡(luò)中自由跳轉(zhuǎn)，不必多次輸入用戶名和口令來確定身份[4]。

單點(diǎn)登錄的前提是需要身份管理與服務(wù)系統(tǒng)的支持。在用戶身份全局統(tǒng)一的前提下，各應(yīng)用系統(tǒng)通過使用身份管理系統(tǒng)提供的專用接口，才能與門戶協(xié)同實(shí)現(xiàn)單點(diǎn)登錄。

結(jié)合門戶使用單點(diǎn)登錄功能，不僅給用戶提供了很大的便利，而且減少了不少利用認(rèn)證攻擊應(yīng)用系統(tǒng)的可能性，管理員無需修改或干涉用戶登錄就能方便地實(shí)施安全控制，極大地提高了系統(tǒng)的安全性和可用性。

3 身份管理與訪問控制中間件

身份管理與訪問控制包括兩部分：用戶身份管理與認(rèn)證、權(quán)限管理與訪問控制。

為了統(tǒng)一訪問入口，必須使用信息門戶，而為了給用戶更安全、更人性化的服務(wù)，必須提供單點(diǎn)登錄功能。為了支持單點(diǎn)登錄，首先應(yīng)該實(shí)現(xiàn)統(tǒng)一的用戶身份管理，然后在此基礎(chǔ)上提供統(tǒng)一的身份認(rèn)證服務(wù)和統(tǒng)一的票據(jù)服務(wù)。

通過為數(shù)字化校園用戶提供統(tǒng)一的電子身份，實(shí)現(xiàn)用戶的集中化和統(tǒng)一的管理，規(guī)范用戶管理流程，大大提高用戶管理工作的效率。在統(tǒng)一身份管理系統(tǒng)建立后，統(tǒng)一的身份認(rèn)證服務(wù)也就能相應(yīng)地建立起來。

身份認(rèn)證服務(wù)給所有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供統(tǒng)一的用戶認(rèn)證服務(wù)，實(shí)現(xiàn)單憑統(tǒng)一的用戶電子身份就可以訪問所有網(wǎng)絡(luò)應(yīng)用系統(tǒng)，彌補(bǔ)了原來的網(wǎng)絡(luò)應(yīng)用系統(tǒng)用戶相互獨(dú)立、互不通用的弊端，極大地增強(qiáng)了用戶使用系統(tǒng)的安全性和簡(jiǎn)便性，提高了系統(tǒng)的人性化程度。

隨著對(duì)信息系統(tǒng)安全性要求的提高，基于電子證書的身份認(rèn)證也將逐步得到支持。身份認(rèn)證服務(wù)在進(jìn)行認(rèn)證時(shí)，摒棄了原先簡(jiǎn)單的用戶名、密碼明文傳輸?shù)恼J(rèn)證方式，防止密碼明文在網(wǎng)絡(luò)上傳輸而導(dǎo)致泄密的可能，通過一種安全的認(rèn)證協(xié)議，使服務(wù)器和用戶之間可以實(shí)現(xiàn)雙向認(rèn)證，杜絕任何一方身份假冒的可能，提高系統(tǒng)以及用戶自身的安全性[5]。

權(quán)限管理與訪問控制服務(wù)為各應(yīng)用系統(tǒng)提供統(tǒng)一的權(quán)限管理平臺(tái)和權(quán)限數(shù)據(jù)訪問服務(wù)。實(shí)際上，信息門戶在應(yīng)用展現(xiàn)時(shí)也涉及權(quán)限控制的問題，因此也需要使用相應(yīng)的權(quán)限管理與服務(wù)功能。統(tǒng)一權(quán)限管理與訪問控制的目標(biāo)主要包括：統(tǒng)一管理數(shù)字化校園內(nèi)各系統(tǒng)的權(quán)限；支持分級(jí)授權(quán)管理等靈活的授權(quán)機(jī)制。數(shù)字化校園身份管理與訪問控制體系如圖3所示。

應(yīng)用架構(gòu)主要展示了整個(gè)系統(tǒng)內(nèi)部的組成，它用組件的形式將本系統(tǒng)劃分為：Web管理界面、Web Service接口、用戶管理模塊、應(yīng)用系統(tǒng)管理模塊、角色管理模塊、權(quán)限管理模塊、證書管理模塊、系統(tǒng)管理模塊、用戶認(rèn)證模塊以及數(shù)據(jù)庫訪問模塊[6]。通過這些模塊來完成與外部應(yīng)用系統(tǒng)、管理人員和數(shù)據(jù)庫的通訊。

Web管理界面是管理員用于用戶信息管理、應(yīng)用系統(tǒng)管理以及進(jìn)行權(quán)限分配和管理的接口，具體的功能由其他業(yè)務(wù)組件實(shí)現(xiàn)。

Web Service接口主要提供其他應(yīng)用系統(tǒng)使用本平臺(tái)的接口，其他應(yīng)用系統(tǒng)通過這些接口實(shí)現(xiàn)用戶信息及權(quán)限信息的查詢。

用戶管理模塊負(fù)責(zé)管理和維護(hù)用戶信息。實(shí)現(xiàn)基本信息的添加、刪除、修改等操作；提供一定范圍內(nèi)的關(guān)鍵字查詢；為用戶添加應(yīng)用角色，并為用戶分配用戶組。

應(yīng)用系統(tǒng)管理模塊是管理注冊(cè)的應(yīng)用系統(tǒng)，主要實(shí)現(xiàn)身份管理與訪問控制系統(tǒng)中注冊(cè)或注銷應(yīng)用系統(tǒng)，以及維護(hù)應(yīng)用系統(tǒng)信息，實(shí)現(xiàn)應(yīng)用系統(tǒng)下資源組的管理，以及資源的添加、修改、刪除等功能。

角色管理模塊實(shí)現(xiàn)了各應(yīng)用系統(tǒng)角色的管理，包括角色信息管理以及角色權(quán)限的管理，如角色權(quán)限的增加、刪除、修改等。

權(quán)限管理模塊主要負(fù)責(zé)用戶權(quán)限的管理，指的是對(duì)應(yīng)用系統(tǒng)下的資源建立權(quán)限信息，并為權(quán)限設(shè)置功能操作以及約束。

證書管理模塊主要管理用戶數(shù)字證書和應(yīng)用系統(tǒng)數(shù)字證書，包括對(duì)數(shù)字證書的更新、查詢及下載等操作。

系統(tǒng)管理模塊主要負(fù)責(zé)身份管理與訪問控制系統(tǒng)的相關(guān)配置，如系統(tǒng)本身的配置、功能屬性管理、系統(tǒng)日志管理等，這樣使得系統(tǒng)配置更加靈活，便于多樣化定制。

用戶認(rèn)證模塊負(fù)責(zé)與CA認(rèn)證中心（專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)）進(jìn)行通信，是對(duì)用戶身份進(jìn)行統(tǒng)一認(rèn)證、實(shí)現(xiàn)單點(diǎn)登錄功能的關(guān)鍵組件。

數(shù)據(jù)庫訪問模塊是所有其他組件訪問數(shù)據(jù)庫的接口，通過該模塊實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的增加、刪除、修改、查詢等操作。

4 結(jié)束語

基礎(chǔ)中間件的重要性體現(xiàn)在兩個(gè)方面：一方面，信息門戶是學(xué)校數(shù)字化校園的信息展示平臺(tái)，也是校內(nèi)各個(gè)業(yè)務(wù)系統(tǒng)的服務(wù)集成平臺(tái)，作為各應(yīng)用系統(tǒng)的統(tǒng)一入口，直接為用戶提供全方位、個(gè)性化的訪問服務(wù)；另一方面，公共服務(wù)中間件為數(shù)字化校園各應(yīng)用系統(tǒng)提供關(guān)鍵的運(yùn)行時(shí)支持和服務(wù)，提供統(tǒng)一的運(yùn)行框架和安全的公共訪問服務(wù)。因此，基礎(chǔ)中間件的選擇與建設(shè)，不僅影響到新一代數(shù)字化校園的用戶服務(wù)水平，而且還體現(xiàn)了新一代數(shù)字化校園的技術(shù)水平。

參考文獻(xiàn)：

[1] 周蕾，劉虎.中間件技術(shù)在校園一卡通系統(tǒng)的應(yīng)用[J].金卡工程，2008.4：51-53

[2] 郭盛，鮑劍洋.數(shù)字化中醫(yī)藥校園信息門戶的構(gòu)建[J].醫(yī)學(xué)信息，2009.4：450-452

[3] 高山，吳曉明，謝惠芳.基于J2EE的高校信息門戶研究與實(shí)現(xiàn)[J].計(jì)算技術(shù)與自動(dòng)化，2008.1：131-135

[4] 李國勇，陳蜀宇，高崢.Web服務(wù)中的跨應(yīng)用單點(diǎn)登錄[J].重慶理工大學(xué)學(xué)報(bào)，2011.2：68-73

[5] 李建，沈昌祥，韓臻等.身份管理研究綜述[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009.6：1365-1370

[6] 張?zhí)K，李培峰，楊季文等.面向Web應(yīng)用集成的統(tǒng)一授權(quán)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2006.8：1369-1371