数字化校园已经成为目前高等院校发展信息化建设的一个重要目标。作为数字化校园的基础,各个学校纷纷对校园的硬件和网络进行建设,一些学校已引入或者自行开发了很多业务管理系统,实现了部分管理的自动化,使得校园网得到充分的利用。但是这种发展也带来了一些新的问题,如由于应用系统在不同时间由不同人群研发完成,缺乏全局的系统规划,容易造成各应用系统彼此分割、各自分散,出现众多分散的、异构的、相互封闭的信息资源系统。每个应用系统有自己的数据库,自编的一套应用软件,系统内部缺乏合理的通道,系统之间信息无法共享、无法交换,导致资源浪费,并对数字化校园的信息通、教学通、资源通和管理通等需求造成严重的障碍。针对这一现象,本文通过比较当前数字化校园应用系统的技术路线,提出了一个数字化校园应用系统整体的逻辑架构以及技术实现的手段。
一、数字化校园总体架构
数字化校园的建设目标可借用下面的一幅场景来描述。如某个学生选择一门课程之后,当他再次登录或返回自己的个性化页面时,他应该可以看到:①这门课程的授课老师、课程安排和教学计划等;② 这门课程在图书馆内的参考书籍的链接;③ 这门课程的学分是多少,自己已经完成了多少学分,本学期还需要几个学分;④ 这门课程需要缴纳的费用是多少,同时在此页面提供付费确认链接。
在上述4 个步骤中,用户对一个应用系统的动作,触动其他3个不同的应用系统进行工作,最终将结果通过个性化页面反馈给用户,从而实现一站式服务。从以上描述可以知道一个数字化校园的应用系统必须是一个总的校园信息系统的集成,它从全局的高度分析校园内部的关系,并通过建立统一的信息标准,提供平台与接口规范,将各种信息系统以松散耦合的方式集成起来,以统一的形象为用户提供个性化的服务。为了解决当前校园信息化建设过程中缺乏发展规划、资源不能共享、应用难以集成及用户使用繁杂等问题,本文提出以下数字化校园总体架构模型(图1)。
从图1可以看出整个系统与操作系统无关,遵循J2EE 规范。统一身份认证与授权平台为各业务应用系统提供数据加密、数字签名、身份认证和授权管理等安全服务,应用集成平台通过异构数据接口平台协同多个其他业务系统进行计算。网上校园通过业务工作流等中间件实现数字化校园的应用互动。整个系统按照这种一体化的思想设计,即一体化的安全平台、一体化的接口技术及一体化的业务平台。一体化的安全平台指各业务系统都可以建立在统一身份认证与授权服务平台之上,这样解决了一个用户进入校园网的不同应用系统可能需要不同的密码,甚至不同的身份标识的问题;一体化的接口技术指各个应用系统通过统一的Web Service 技术实现与统一身份认证/授权平台、异构数据库接口平台、校园内部各业务系统的接口,解决了各应用系统之间无法直接访问相互间的数据和功能,可能需要人为的处理,如数据交换的问题。一体化的业务平台指公网和内网在确保安全的前提下合二为一、实现了信息无缝共享,公网和内网使用同一个数据库管理系统。这样一个数字化校园网体系可以实现一体化的安全、一体化的业务和一体化的访问控制。[nextpage]
二、技术路线选型
就目前的技术而言,实现数字化校园有两条技术路线:EAI(企业应用集成)解决方案和Web 服务。EAI 可以说是建立一个灵活的、标准化的企业应用底层架构,可以允许新的基于IT 的应用能够更容易更有效地被部署。新的底层架构允许企业中的应用能够实时地、无缝地互相通信。从技术角度来说,EAI 可以看作许多不同集成方法的集合,例如数据适配器、消息代理和其他类型的中间件等,来实现对不同应用的合并与协调,从而实现企业信息系统的集成。Web服务则是一种通过URI 识别的模块化软件应用,它通过标准的 XML 格式接口来访问网络(包括Internet,Intranet,Extranet),通过Internet 的基本协议和其他软件代理交换XML 信息。传统的EAI 是一种紧耦合集成模式,比较适用于那些对性能要求较高的、需要多种层次集成的应用集成系统。Web 服务是一种标准化的松耦合集成模式,比较适用于那些需要更大的灵活性,改动频繁的应用集成系统。结合了Web 服务的EAI 系统则实现了一种面向服务层的松耦合的企业应用集成系统,可以最大限度地同时满足性能和灵活性的要求。
所以在数字化校园的建设进程中,不能单靠某一技术或某一厂商的产品一蹴而就。从诸多成功和失败的案例可以看出:跨多个操作系统、编程语言和硬件平台集成软件应用程序不可能由任何一个专门的环境来解决。这个问题一直是一个紧耦合问题,即调用远程网络的应用程序通过自己发出的函数调用和请求的参数与远程网络紧密地联系在一起。如果采用固定接口,当环境或需要改变时,就会显得缺乏灵活性或适用性。
为了数字化校园进程的顺利推动,采用以技术标准结合厂商产品的方法为主线,两种技术相结合,以EAI 的技术框架结构实现面向多种层次的集成,如数据层、应用层、商业逻辑层、用户(界面)接口层、服务层的集成。其中服务层的集成,通过引入 Web服务的相关技术标准实现。这样可以做到让任何平台上的用任何语言编写的服务进行交互;可以将应用程序功能概念化成任务,从而形成面向任务的开发和工作流;允许松耦合,每当其中某个或多个服务在设计或实现中发生变更时,服务应用程序之间的交互作用不会因此而中断,使现有的应用程序能适应变化中的业务条件和客户需要;向现有或原有的软件应用程序提供服务接口,而无需改变原来的应用程序,从而使这些应用程序完全可以运行在这种服务环境下。
三、实现手段
(一)应用系统的逻辑结构
根据上节的设计思想,系统可设计成一个基于J2EE 的Web 应用系统,从构架结构上来讲,采用三层或多层构架的组件化设计思想,这样做可以满足系统的性能、缩放性、安全性、可访性、重用性及可维护性的要求。这一架构遵循统一数据出口和统一数据入口的原则,通过统一的一站式服务门户对外给用户提供闭环式服务和共享机制,对内整合各业务应用系统。通过对上层应用服务的请求,调度下层业务逻辑及其相关业务系统的资源,完成以事件为驱动的工作流和数据流的运行。
系统整体的逻辑架构以及技术实现的手段如图2所示。
[nextpage]
系统从逻辑上可划分为用户表现层、应用层、数据访问层和数据库层。用户表现层采用MVC(模块-示图-控制)构架结构设计,它是由Weblogic 或WebSphere 等主流应用服务器所支持的JavaServlet,JSP 和JavaBean 去实现的。应用层采用EJB(Enterprise JavaBean)去执行业务规则和形成业务对象。由于应用程序集中放置在这一层上,由所有用户共享,使得系统的维护和更新变得简单。当业务逻辑发生变化时,只需更新服务器上相应的应用组件,之后所有的用户就可以使用新的业务处理逻辑,避免了用户端应用程序版本控制和更新的困难。而且这些组件可以镜像到多台机器上同时运行,从而分担多用户的负载。
数据访问层使用JDBC的应用层可以访问多种数据资源而不会影响业务本身的逻辑。应用程序组件可以共享与数据库的连接,数据库服务器不再是为每个活动的用户保持一个连接,从而降低了数据库服务器的负担,提高了性能。
数据库层可以分为三类:信息数据库,业务管理综合数据库以及决策支持使用的数据仓库。这些数据库将存贮所有业务信息和管理信息以及一些系统应用参数。
这样的体系结构适合大规模配置的应用系统,而在中间层的业务逻辑不必信任客户机,极大地提高了系统的效率,而这些业务逻辑共享数据库连接,就可以使大量的用户有机会使用系统,这样增加的是用户数量而不是数据库的连接数量,不会影响服务器的工作效率和增加系统的负担。
(二)统一认证和授权系统的具体实现
从图1 可以看出统一认证和授权是实现数字化校园的前提,统一身份认证与授权属于安全管理的范畴。通过认证与授权的集中统一,实现授权主体对客体的安全访问。由于多应用涉及到异构系统的互联与互操作问题,除应用本身考虑跨平台设计外,安全设计要求考虑通用安全服务机制。技术发展趋势包括Intel CDSA,Microsoft Crypto API 和Sun JCA/JCE等规范。信息系统的通用安全服务可以通过建设应用安全服务平台来实现,通过安全平台向各应用提供统一的安全服务如信息加密/解密、数字签名/验证、数据完整性校验及密钥管理等功能。安全服务平台可以基于统一的身份鉴别(如认证中心)和统一授权管理(如访问控制中心)实现。
安全服务平台采用安全层次体系和模块化设计,并通过标准通用接口向信息系统提供信息安全服务。通过安全服务平台实现:
(1)一次登录,全网通行。对整个学校的信息系统平台主体(如老师和学生)的身份标识与鉴别,即用户只需在网络的任一台计算机上登录一次,经过身份验证后,便可访问各应用系统中其有权访问的功能。
(2)统一资源管理。对网络中客体(如应用资源)的安全属性定义和级别划分,即对整个系统范围内的所有用户、各种应用系统及各种资源进行统一管理。系统管理员对整个网络资源有一个清晰的了解。用户基于一种树型层次化规则对资源和应用系统进行管理和访问。
(3)统一组织、权限管理。主体对客体的访问控制与授权管理。同时,通过应用安全服务平台提供系统安全审计和统一管理的能力。即将人员按自然的组织结构以树状形式组织。人员调动的操作就好像在目录间移动一个文件。不同权限的用户只能访问与自己权限一致的资源。角色权限改变时,管理人员只需修改角色权限,该角色所有用户自动继承相应的权限。
1.系统结构
系统设计的主要思想是应用目录服务集中存储用户的信息和各个应用系统的信息,然后通过统一身份认证服务实现对用户的集中管理、集中认证和统一授权。其结构如图3 所示。
系统主要包括三部分功能:
(1)用户的认证。为了在校园网中实现基于用户的网络管理,要求所有用户在使用网络资源以前要先登录认证服务器以确认身份,之后,将用户的身份和他所使用的IP 地址绑定,以解决IP 地址盗用的问题,同时实现基于用户的计费等管理。用户登录应用系统申请服务时,提供一个由统一身份认证系统发给的身份认证令牌,由应用系统将这个认证令牌交给统一身份认证服务进行认证,确认用户身份后应用系统根据用户的组别授予用户相应的访问权限。
(2)用户的集中管理。在学校里,每个人都有自己的一个身份,它是由学校相应的管理部门负责维护和管理的,例如,学校的人事处管理所有教职工的资料。各个管理部门有自己的一套数据库系统维护着相应的资料。作为网络管理部门,进行用户的身份的集中管理,主要的任务就是实现用户的真实身份到用户的电子身份的一个映射,确保每个校园网的用户得到一个和他的真实身份相对应的电子身份,并享有和他的身份相对应的网络使用权限。因此,用户集中管理部分的设计重点在于实现和现有用户管理系统之间的信息交互,实现异构数据库之间的数据交流。
(3)应用系统注册。每个应用系统要使用统一身份认证模式,它必须先向统一身份认证系统进行注册,提供必要的信息,包括应用系统的身份信息、应用系统所有合法用户的信息、应用系统的访问控制信息和应用资源的访问控制信息等。[nextpage]
2.授权策略实现
授权策略的具体实现是,应用系统根据用户权限的不同将合法用户分为若干组,根据用户的身份信息决定用户属于哪个用户组别。应用系统注册后其用户组信息存储在目录数据库中,应用系统要求统一身份认证系统认证用户身份信息时,统一身份认证系统根据用户身份查找该用户在应用系统中所属的用户组,并将该信息返回给应用系统,应用系统再根据用户所属组别决定用户权限。
用户得到应用系统的授权经过下面3个步骤:登录统一身份认证系统确认身份;向应用系统提出服务申请,并提交身份证明;应用系统将用户的身份证明交统一身份认证系统认证并得到用户授权信息,然后根据用户授权信息返回给用户服务申请应答。
3.SSO(单点登录)实现
有了统一认证和授权的基础,便可进行SSO 的实施。在用户通过认证之后,可以通过反向代理服务器结合策略管理器产生授权凭证,或利用插件方式拦截会话,从而达到一次登录,全网通行的目的。如图4 所示。
四、结束语
数字化校园的基础是解决应用系统集成的问题,在进行建设时要通盘考虑,其系统结构上要有可扩展性。本文通过分析讨论与应用集成相关的技术发展趋势,指出数字化校园并不能简单靠采用新技术而一蹴而就,它必须由清晰的目标和战略进行管理,关键在于提供方向、控制变更和提高整个系统运行的整体效能,本系统结构的设计已经应用到一些校园网中并得到认可。