基于智能客戶端技術的企業(yè)業(yè)務的統(tǒng)一管理平臺設計與實現

摘要：基于通信業(yè)務能力的提供和多種IT業(yè)務整合的需要，該文依據智能客戶端（Smart Client） 技術設計思想，設計了企業(yè)業(yè)務統(tǒng)一管理平臺。實際應用表明，該平臺實用、高效，能根據客戶的需求任意組合不同的軟終端產品，具有廣闊的應用前景。

關鍵詞：智能客戶端；業(yè)務功能；統(tǒng)一管理平臺

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)22-777-03

Based on Smart Client Technology Businesses Unified Management Platform for Design and Implementation

ZHU Peng， SHI Bu-hai

(College of Automation Science and Engineering，South China University of Technology，Guangzhou 510641，China)

Abstract: Based on the ability of the communications business and provide a variety of IT business integration needs， the paper based on smart client (Smart Client) technology design， design a unified management platform for businesses. Practical applications show that the platform for practical， efficient and based on customer needs any combination of different soft-end products， has broad prospects.

Key words: smart client; business function; unified management platform

1 引言

網絡簡單化和終端智能化是未來網絡發(fā)展方向，因此軟終端將成為寬帶業(yè)務和多媒體業(yè)務的重要提供手段。不同的軟終端業(yè)務提供商都會針對于自己的軟終端建立不同的服務器后臺。因此，統(tǒng)一的客戶端管理平臺就成為建設的必然，不同的軟終端均可以通過統(tǒng)一的平臺接入，并且根據業(yè)務配置情況顯示不同的業(yè)務特征，提供給用戶不同的業(yè)務感受。

客戶端作為系統(tǒng)與用戶的交互界面，是系統(tǒng)的重要組成部分。智能客戶端（Smart Client）代表了一種全新的開發(fā)模式。它允許用戶的本地應用程序通過Web服務(Web Service)和服務器應用程序交互，既有Windows程序的強大用戶界面， 又可以享受Web應用升級和更新的便捷。.NET框架可以幫助我們實現智能客戶端應用程序的許多特征。通過使用公共語言運行庫(CLR)，可以利用任何受到.NET支持的語言來開發(fā)智能客戶端。

2 統(tǒng)一管理平臺功能需求分析

多個應用系統(tǒng)，各種應用軟件都有自身的認證管理模塊，用戶在使用不同的應用系統(tǒng)都要進行認證，而且需要對每個應用系統(tǒng)的用戶進行單獨的授權以確保用戶不能訪問未被授權訪問的資源，多個業(yè)務系統(tǒng)之間存在安全隱患。

需求可以分為以下幾點：統(tǒng)一的認證門戶；多個B/S結構業(yè)務系統(tǒng)接入平臺；接入系統(tǒng)信息的集中展示；平臺對用戶統(tǒng)一授權和認證；用戶只使用一個KEY訪問所有被授權的系統(tǒng)；接入系統(tǒng)的原有認證體系保留，與統(tǒng)一身分管理系統(tǒng)并行使用。平臺是以資源整合為目的，通過對用戶身份的統(tǒng)一認證和訪問控制，實現各個業(yè)務系統(tǒng)單點登錄（SSO）的服務平臺。所謂單點登錄就是通過一次認證就能訪問所有授權的應用系統(tǒng)，這樣提高了工作效率和整體安全性。

3 統(tǒng)一管理平臺系統(tǒng)架構

統(tǒng)一管理平臺是企業(yè)客戶端用戶使用業(yè)務的第一個入口點，用戶通過統(tǒng)一管理平臺完成認證鑒權，并同時獲得自己的業(yè)務能力信息和各個業(yè)務功能的認證信息，再向應用服務器發(fā)起使用業(yè)務的請求。統(tǒng)一管理平臺完成用戶認證鑒權、業(yè)務信息表管理、用戶業(yè)務屬性管理、統(tǒng)計分析和系統(tǒng)管理等基本功能，如系統(tǒng)架構圖中的黃色模塊所示；同時，統(tǒng)一管理平臺還將支持共享數據（包括企業(yè)電話本、個人電話本、用戶信息庫等）管理和數據同步通知等功能。

■

圖1 系統(tǒng)架構圖

系統(tǒng)配置管理為用戶提供本管理系統(tǒng)各內部配置信息的管理功能。具體功能項如下：系統(tǒng)配置總覽；認證方式配置；認證服務器配置；訪問控制器配置；管理員管理；注冊信息管理；用戶及權限管理。平臺用戶對業(yè)務系統(tǒng)的訪問權限通過用戶分組和訪問控制策略進行控制。同時，相應映射表中設置用戶訪問權限標識，可針對單個用戶訪問某個業(yè)務的權限進行停用/啟用。

平臺提供兩種安全通道。一種是應用層安全通道，一種是網絡層安全通道。它們?yōu)閮染W應用之間或外網應用之間提供安全的傳輸通道，保證其中傳輸的數據的安全性。

4 統(tǒng)一管理平臺業(yè)務功能

業(yè)務系統(tǒng)配置管理功能是對各業(yè)務系統(tǒng)各配置項，映射接口及相關訪問控制策略等信息的管理。具體配置管理功能包括：業(yè)務系統(tǒng)基本信息；業(yè)務系統(tǒng)映射接口配置；業(yè)務訪問接口配置；業(yè)務系統(tǒng)訪問控制策略；系統(tǒng)審計管理。系統(tǒng)支持日志備份及查找功能，可按時間范圍導出備份系統(tǒng)日志信息，并具實時監(jiān)控功能，可實時監(jiān)控用戶日志。具體包括：日志管理；實時監(jiān)控；認證與SSO實現。主要有以下四個方面：

1)統(tǒng)一授權：證書作為用戶訪問平臺及各應用系統(tǒng)的憑據，并對用戶訪問應用系統(tǒng)的權限進行授權。在此次系統(tǒng)實施中，使用原有CA為統(tǒng)一身份管理平臺所有用戶頒發(fā)證書。

2)身份認證：用戶在訪問平臺及各應用系統(tǒng)時，都使用相同的憑據（即包含用戶證書和私鑰的KEY及其硬件保護口令PIN），并利用數字簽名技術在平臺進行身份認證，證明其身份的真實性。

3)單點登錄（SSO）：用戶在通過平臺認證后，可直接訪問已授權的各應用系統(tǒng)，實現不同應用系統(tǒng)的身份認證共享，從而達到多應用系統(tǒng)的單點登錄。

4)數據共享：包括用戶資源與接入系統(tǒng)信息集中展示兩方面。認證平臺存儲了用戶的基本信息和證書信息，所有應用系統(tǒng)均可以充分利用這些信息，減少用戶信息的重復錄入。

業(yè)務系統(tǒng)訪問前置由SSL加密通道模塊和解密驗證線程模塊組成。SSL加密通道模塊：默認監(jiān)聽443端口，配置為單向SSL，接收經平臺加密簽名的用戶映射請求或訪問請求，并中轉至業(yè)務系統(tǒng)的WEB/應用服務器。解密驗證線程模塊：默認監(jiān)聽5555端口，業(yè)務系統(tǒng)通過調用接口包（Java或COM組件），將接收的加密簽名的用戶信息提交至解密驗證線程模塊。

5 關鍵技術方案設計及實現

5.1 認證鑒權

統(tǒng)一管理平臺應具備認證鑒權能力或（和）代理認證鑒權能力。通過帳號/密碼（還可包括驗證碼）方式對用戶的身份進行驗證，并告知用戶登錄是否成功，如果登錄失敗，還能提供失敗的原因。登陸成功后獲得的TOKEN需要具有加密功能。平臺認證鑒權流程如下圖所示：

■

1)用戶登錄到統(tǒng)一管理平臺；

2)認證成功，平臺會返回用戶一個TOKEN；

3)用戶帶著該TOKEN去訪問各業(yè)務系統(tǒng)；

4)各業(yè)務系統(tǒng)收到該TOKEN；

5)業(yè)務系統(tǒng)拿著該TOKEN到統(tǒng)一管理進行驗證用戶身份，并獲取用戶數據等；

6)用戶使用業(yè)務系統(tǒng)能力；

該門戶可以進一步擴展為企業(yè)內部信息的發(fā)布平臺，實現內部信息的共享。

5.2 信息下發(fā)

用戶成功登錄到統(tǒng)一管理平臺后，平臺會主動將用戶的信息推送給客戶端，以便用戶進行下一步的操作。下發(fā)的內容需要加密；

5.2.1 需要下發(fā)的信息內容

1)用戶的基本信息：包括用戶名、地址、Email、各種電話號碼信息、個人簽名檔等（去掉，應用信息）；

2)用戶的業(yè)務能力權限：例如VOIP權限、短信權限、傳真權限等；

3)用戶登錄第三方應用系統(tǒng)的登錄信息，例如用戶具有VOIP權限，那么需推送SIP號碼、密碼、SIP Proxy的地址、端口號這些登錄信息。

5.2.2 下發(fā)方式

統(tǒng)一管理平臺提供根據用戶的賬號查詢用戶信息、用戶的業(yè)務權限功能；1)客戶端從平臺查詢，如圖2所示；2)平臺主動將需實時下發(fā)的信息推送到客戶端，如圖3所示。

■

圖2客戶曾幾何時從平臺查詢 圖3 平臺主動將需要信息至客戶端

5.3 數據同步

數據同步功能包括：

5.3.1 企業(yè)電話本數據同步

當企業(yè)電話本發(fā)生數據同步改變時，更改后的信息能夠通知到所有登錄的此企業(yè)的用戶；

5.3.2 用戶信息同步

當某個用戶的信息發(fā)生改變時，更改后的信息能夠通知到所有訂閱了此用戶數據同步的登錄用戶；有二種情況：一種是用戶在統(tǒng)一平臺上修改的，統(tǒng)一平臺要通知到對應的業(yè)務系統(tǒng)；第二種是用戶在業(yè)務系統(tǒng)是修改的，業(yè)務系統(tǒng)要通知統(tǒng)一平臺；以上二種，如果用戶有登錄到統(tǒng)一平臺的，統(tǒng)一平臺會通知到相對應訂閱該用戶的登錄客戶端。

1)用戶在統(tǒng)一平臺更改信息：統(tǒng)一平臺調用對應的業(yè)務系統(tǒng)接口發(fā)出通知；統(tǒng)一平臺通知到相對應訂閱該用戶的登錄客戶端。

2)用戶在業(yè)務系統(tǒng)更改信息：統(tǒng)一平臺提供用戶信息同步接口；統(tǒng)一平臺通知到相對應訂閱該用戶的登錄客戶端。

5.3.3 業(yè)務信息同步

1)統(tǒng)一平臺業(yè)務信息更改（業(yè)務管理功能）；

2)統(tǒng)一平臺通知到相對應使用該業(yè)務的登錄客戶端。

5.4 權限管理

系統(tǒng)管理功能采用分權分級方式實現，權限級別包括：系統(tǒng)管理員、企業(yè)管理員、終端用戶。

1)分配權限管理功能包括：①系統(tǒng)管理員管理，包括增加，修改，刪除，查詢；②企業(yè)管理員管理，包括增加，修改，刪除，查詢；

2)系統(tǒng)管理員的管理能力包括：①維護企業(yè)列表，增加、修改和刪除企業(yè)；②維護個人用戶列表，增加、修改和刪除個人用戶；

3)企業(yè)管理員的管理能力包括：①維護本企業(yè)的組織架構：包括組織架構的建立和調整；②維護本企業(yè)的用戶列表；

4)終端用戶的管理能力包括（終端用戶包括個人用戶和企業(yè)用戶）：個人信息的維護和管理，僅包括修改功能。

6 結束語

智能客戶端技術是頗有前途的新一代客戶端技術，它能夠在客戶端完成大部分的工作，減少對服務器的訪問次數和對網路的過分依賴。即使在網絡斷開的情況下也能保證工作的正常進行，并且可以很方便的進行程序的升級和部署。應用這種技術設計的企業(yè)信息統(tǒng)一管理平臺系統(tǒng)更加符合現代企業(yè)管理工作的需要。

參考文獻：

[1] 唐韶華，馬衛(wèi)華.基于數字簽名的用戶認證方案[J].計算機工程與應用，1999，35(4):4-5.

[2] 趙小寶.基于J2EE的統(tǒng)一網絡管理平臺客戶端的設計與實現[D].西南交通大學碩士學位論文，2004.

[3] 周宏艷.淺談智能客戶端及其應用[J].沈陽航空工業(yè)學院學報，2005，22(5):43-45.

[4] 李濤.面向服務的智能客戶端分布式應用模型研究[D].華中科技大學碩士學位論文，2004.

[5] 關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業(yè)出版社，2002.