基礎中間件在新一代數字化校園中的應用

摘 要： 新一代數字化校園的建設已開始邁入“數據集成”階段，文章從基礎中間件的概念出發，提出基于SOA體系結構的基礎中間件的服務架構，并選擇信息門戶、身份管理與訪問控制這兩個重要的基礎中間件進行研究，實現了各個業務系統的應用集成和數據集成，實現了身份管理和訪問控制，從而充分發揮基礎中間件在數字化校園建設中的重要作用，為數字化校園基礎中間件的選擇與系統建設提供參考。

關鍵詞： 數字化校園； 基礎中間件； 數據集成； SOA； 信息門戶； 身份管理與訪問控制

中圖分類號：TP311 文獻標志碼：A 文章編號：1006-8228（2013）01-23-03

Application of basic middle-wares in new generation digital campus

Tang Wei

（Information Science School， Nanjing Audit University， Nanjing， Jiangsu 211815， China）

Abstract： The construction of the new generation digital campus has started to enter the \"data integration\" stage. From the concept of basic middleware， the service architecture of basic middleware based on SOA is put forward， and two kinds of important basic middleware are introduced which are information portal， identity management and access control. The application integration and data integration of business systems are realized， together with ID management and access control. The important role of basic middleware in constructing digital campus is fully embodied， providing a reference for the selection and construction of basic middleware in digital campus.

Key words： digital campus； basic middleware； data integration； SOA； information portal； identity management and access control

0 引言

目前國內很多高?；就瓿闪诵@網的建設，在信息化硬件基礎設施和軟件建設方面有了長足的發展，形成了多個業務系統。但是，由于這些系統在建設之初僅是從自身的業務需要出發，沒有考慮校園內部其他應用的需求，導致各個系統采用了不同的數據庫系統和不同的開發技術，沒有統一的數據標準，也沒有提供數據共享和訪問的接口，因此在校園網內部形成了多個“信息孤島”。

為了實現數據的實時同步，保證校園內部數據的一致性、完整性和正確性，新一代數字化校園的建設已開始啟動，高校的信息化開始邁入“數據集成”階段。通過建立統一的信息標準和軟硬件支撐平臺，在此基礎上集成、開發高校的應用系統，并通過信息門戶集成起來，形成一個有機集成的高校信息化環境。新一代數字化校園的組成可以采用分層模型來描述，如圖1所示。

為了解決分布異構問題，人們提出了中間件的概念。中間件是位于平臺（硬件和操作系統）和應用程序之間的通用服務系統，具有標準的程序接口和協議，可實現不同硬件和操作系統平臺上的數據共享和應用互操作[1]。

基礎中間件是新一代數字化校園的軟件基礎，在新一代數字化校園整體框架中占據著重要的位置。基礎中間件作為公共的、基礎的服務組件，為各層軟件提供服務，構筑信息服務流程，實現信息的高度共享與集成，為數據集成打下良好的基礎。圖1中的信息門戶和公共服務軟件等都屬于基礎中間件。

1 基礎中間件的服務架構

面向服務的架構（Service Oriented Architecture，SOA）是一種分布式的軟件架構模型，它將應用程序的不同功能單元（稱為服務單元）通過這些單元之間定義良好的接口和契約聯系起來，使得構建在系統中的服務單元可以以一種統一和通用的方法進行調用。這種具有中立的接口定義（沒有強制綁定到特定的實現上）的特征稱為服務單元之間的松耦合，松耦合系統的好處有兩點：一是它的靈活性；另一點是當整個應用程序的每個服務單元的內部結構和實現逐漸地發生改變時，它能夠繼續存在。

SOA是一種在計算環境中設計、開發、部署和管理服務單元的模型，它要求開發人員將應用設計為服務單元的集合，跳出應用本身來思考，考慮現有服務單元的重用。單獨的、獨立的、封裝完善的服務單元所具有的好處是，可以采用多種不同的方法將它們組合成較大型的服務，以此來實現重用。在新一代數字化校園方案中，基于SOA體系結構的基礎中間件的服務架構如圖2所示。

根據功能的不同，基礎中間件的種類繁多，包括信息門戶中間件、身份管理與訪問控制中間件、流程服務中間件、信息發布中間件、網絡存儲中間件、全文檢索中間件、安全審計中間件等，本文重點介紹前兩類基礎中間件。

2 信息門戶中間件

信息門戶作為用戶訪問數字化校園應用與資源的統一入口，是基礎中間件中最為重要的一個部分。它外接用戶，內接系統、資源以及其他中間件，是貫穿整個數字化校園的一條重要紐帶。隨著高校信息化的普及，人們對于個性化信息服務、功能更多更強的信息服務需求越來越高，這極大地促進了高校信息門戶的發展。

與一般的門戶網站相比，校園信息門戶同樣是以Web方式展現于用戶面前，但不一樣的是，傳統的Web以信息提供商為中心，而門戶以用戶為中心，信息和服務是依據用戶特征來提供的。用三個詞可以從根本上來區別門戶與傳統網頁，即“集成”、“應用展現”和“單點登錄”，這三點是門戶的特色，也是傳統網頁所不具備的[2]。

2.1 應用集成與數據集成

2.1.1 應用集成

信息門戶能通過應用集成平臺提供的通用服務接口實現數字化校園各類信息化應用系統的有效集成，并提供了完善的應用系統管理功能，學校信息化管理部門可以通過該功能對數字化校園的應用系統進行統一管理，包括應用系統的注冊、應用系統信息的管理和應用系統訪問權限的管理等[3]。

由于各應用系統建設的時期不同，可能采用的技術也不同，運行的模式也不同。因此，對應用的集成也是分不同的形式進行的。

⑴ 鏈入集成模式：支持單點登錄，在門戶上僅僅提供該應用的入口鏈接地址，用戶可以很方便地漫游到該應用中。

⑵ 緊密集成模式：要求應用不僅支持單點登錄，還遵循一定的界面規范，這樣應用界面可以作為門戶的一部分嵌入到門戶中，對用戶來說應用服務界面與門戶成為一體，對用戶個性化支持也更強。

⑶ 整合集成模式：在緊密集成要求的前提下，還要求應用以功能單元為基本元素，以Web Service的方式提供服務，這樣門戶可以根據配置信息以及用戶的請求，自動調用合適的服務。通過門戶呈現的是一個一體化的、不可分割的、個性化的數字化校園統一信息系統。

2.1.2 數據集成

信息門戶能通過數據交換平臺實現數字化校園各類信息資源的有效共享，獲得完整、同步、一致性的數據視圖，進而保證為用戶提供準確及時的信息服務[3]。數據交換中心采用XML作為數據交換標準，利用Web Service技術進行組件和應用系統的包裝，將應用系統的數據需求看作一種服務，通過服務的請求和調用，實現應用系統間的數據交換和共享。

2.2 應用展現

信息門戶由若干頁面組成，每個頁面包含若干窗口。應用展現是信息門戶的主要功能。

⑴ 門戶配置管理

信息門戶提供圖形化的門戶配置管理工具，讓門戶的管理員通過瀏覽器對門戶進行配置，包括門戶首頁的配置、校內訪問地址的配置、用戶登錄事件的配置等。

⑵ 用戶模版管理

用戶登錄信息門戶后，根據用戶身份類型的不同將會顯示一組不同的模版頁面。用戶身份類型是一組預先定義好的用戶類型，如本科生、研究生、教師等。同一類型的用戶一般具有相同或相似的系統訪問要求，因而可以作為模版頁面設計的依據。

用戶可以在模版頁面中的任意位置添加具有訪問權限的其他窗口，但不允許刪除模版頁面中管理員預定義的初始窗口。模版頁面顯示時將進行權限過濾，若當前用戶不具備其中某窗口的訪問權限，該窗口將被最小化或隱藏。

⑶ 個性化使用環境

門戶的出現改變了原有應用系統的服務模式。原有應用系統實現的是面向功能的服務模式，每個應用系統提供的只是可以滿足某種需求的功能。門戶提供的是面向人的服務模式，個性化的訪問環境包括個性化頁面和個性化的內容訂制服務。個性化的內容訂制就是利用數據挖掘技術分析用戶的使用數據，并將用戶感興趣的內容推送到用戶的面前，這點就是與傳統的網頁形式的最大區別。

2.3 單點登錄

單點登錄（Single Sign On，SSO）是一種用于方便用戶訪問網絡的技術。無論多么復雜的網絡結構，用戶只需在登錄時進行一次注冊，便可獲得系統和應用軟件的訪問授權，以后便可以在網絡中自由跳轉，不必多次輸入用戶名和口令來確定身份[4]。

單點登錄的前提是需要身份管理與服務系統的支持。在用戶身份全局統一的前提下，各應用系統通過使用身份管理系統提供的專用接口，才能與門戶協同實現單點登錄。

結合門戶使用單點登錄功能，不僅給用戶提供了很大的便利，而且減少了不少利用認證攻擊應用系統的可能性，管理員無需修改或干涉用戶登錄就能方便地實施安全控制，極大地提高了系統的安全性和可用性。

3 身份管理與訪問控制中間件

身份管理與訪問控制包括兩部分：用戶身份管理與認證、權限管理與訪問控制。

為了統一訪問入口，必須使用信息門戶，而為了給用戶更安全、更人性化的服務，必須提供單點登錄功能。為了支持單點登錄，首先應該實現統一的用戶身份管理，然后在此基礎上提供統一的身份認證服務和統一的票據服務。

通過為數字化校園用戶提供統一的電子身份，實現用戶的集中化和統一的管理，規范用戶管理流程，大大提高用戶管理工作的效率。在統一身份管理系統建立后，統一的身份認證服務也就能相應地建立起來。

身份認證服務給所有的網絡應用系統提供統一的用戶認證服務，實現單憑統一的用戶電子身份就可以訪問所有網絡應用系統，彌補了原來的網絡應用系統用戶相互獨立、互不通用的弊端，極大地增強了用戶使用系統的安全性和簡便性，提高了系統的人性化程度。

隨著對信息系統安全性要求的提高，基于電子證書的身份認證也將逐步得到支持。身份認證服務在進行認證時，摒棄了原先簡單的用戶名、密碼明文傳輸的認證方式，防止密碼明文在網絡上傳輸而導致泄密的可能，通過一種安全的認證協議，使服務器和用戶之間可以實現雙向認證，杜絕任何一方身份假冒的可能，提高系統以及用戶自身的安全性[5]。

權限管理與訪問控制服務為各應用系統提供統一的權限管理平臺和權限數據訪問服務。實際上，信息門戶在應用展現時也涉及權限控制的問題，因此也需要使用相應的權限管理與服務功能。統一權限管理與訪問控制的目標主要包括：統一管理數字化校園內各系統的權限；支持分級授權管理等靈活的授權機制。數字化校園身份管理與訪問控制體系如圖3所示。

應用架構主要展示了整個系統內部的組成，它用組件的形式將本系統劃分為：Web管理界面、Web Service接口、用戶管理模塊、應用系統管理模塊、角色管理模塊、權限管理模塊、證書管理模塊、系統管理模塊、用戶認證模塊以及數據庫訪問模塊[6]。通過這些模塊來完成與外部應用系統、管理人員和數據庫的通訊。

Web管理界面是管理員用于用戶信息管理、應用系統管理以及進行權限分配和管理的接口，具體的功能由其他業務組件實現。

Web Service接口主要提供其他應用系統使用本平臺的接口，其他應用系統通過這些接口實現用戶信息及權限信息的查詢。

用戶管理模塊負責管理和維護用戶信息。實現基本信息的添加、刪除、修改等操作；提供一定范圍內的關鍵字查詢；為用戶添加應用角色，并為用戶分配用戶組。

應用系統管理模塊是管理注冊的應用系統，主要實現身份管理與訪問控制系統中注冊或注銷應用系統，以及維護應用系統信息，實現應用系統下資源組的管理，以及資源的添加、修改、刪除等功能。

角色管理模塊實現了各應用系統角色的管理，包括角色信息管理以及角色權限的管理，如角色權限的增加、刪除、修改等。

權限管理模塊主要負責用戶權限的管理，指的是對應用系統下的資源建立權限信息，并為權限設置功能操作以及約束。

證書管理模塊主要管理用戶數字證書和應用系統數字證書，包括對數字證書的更新、查詢及下載等操作。

系統管理模塊主要負責身份管理與訪問控制系統的相關配置，如系統本身的配置、功能屬性管理、系統日志管理等，這樣使得系統配置更加靈活，便于多樣化定制。

用戶認證模塊負責與CA認證中心（專門提供網絡身份認證服務，負責簽發和管理數字證書，且具有權威性和公正性的第三方信任機構）進行通信，是對用戶身份進行統一認證、實現單點登錄功能的關鍵組件。

數據庫訪問模塊是所有其他組件訪問數據庫的接口，通過該模塊實現對數據庫的增加、刪除、修改、查詢等操作。

4 結束語

基礎中間件的重要性體現在兩個方面：一方面，信息門戶是學校數字化校園的信息展示平臺，也是校內各個業務系統的服務集成平臺，作為各應用系統的統一入口，直接為用戶提供全方位、個性化的訪問服務；另一方面，公共服務中間件為數字化校園各應用系統提供關鍵的運行時支持和服務，提供統一的運行框架和安全的公共訪問服務。因此，基礎中間件的選擇與建設，不僅影響到新一代數字化校園的用戶服務水平，而且還體現了新一代數字化校園的技術水平。

參考文獻：

[1] 周蕾，劉虎.中間件技術在校園一卡通系統的應用[J].金卡工程，2008.4：51-53

[2] 郭盛，鮑劍洋.數字化中醫藥校園信息門戶的構建[J].醫學信息，2009.4：450-452

[3] 高山，吳曉明，謝惠芳.基于J2EE的高校信息門戶研究與實現[J].計算技術與自動化，2008.1：131-135

[4] 李國勇，陳蜀宇，高崢.Web服務中的跨應用單點登錄[J].重慶理工大學學報，2011.2：68-73

[5] 李建，沈昌祥，韓臻等.身份管理研究綜述[J].計算機工程與設計，2009.6：1365-1370

[6] 張蘇，李培峰，楊季文等.面向Web應用集成的統一授權平臺的設計與實現[J].計算機工程與設計，2006.8：1369-1371