張 蘇，華 英

(蘇州市職業(yè)大學 計算機工程系，江蘇 蘇州 215104）

遺產(chǎn)系統(tǒng)的整合涉及很多層次，可以是業(yè)務(wù)流程的整合，也可以是數(shù)據(jù)的整合，其主要目的是將企業(yè)的業(yè)務(wù)流程、應(yīng)用軟件、硬件和各種標準聯(lián)合起來，在多個企業(yè)應(yīng)用之間實現(xiàn)無縫集成.而遺產(chǎn)系統(tǒng)的整合和統(tǒng)一企業(yè)平臺的構(gòu)建的區(qū)別在于遺產(chǎn)系統(tǒng)是企業(yè)在各個時期已經(jīng)開發(fā)完成的，每個系統(tǒng)都有其各自的用戶管理、訪問控制管理和數(shù)據(jù)管理模塊，而且系統(tǒng)結(jié)構(gòu)也不一樣，有客戶機/服務(wù)器(C／S—Client/Server)也有瀏覽器/服務(wù)器(B／S—Browser/Server)結(jié)構(gòu).對于這些已經(jīng)開發(fā)完成的系統(tǒng)，希望將他們整合在一起，提供統(tǒng)一的入口，架構(gòu)集成的企業(yè)基礎(chǔ)平臺.這樣既能避免由于信息冗余，用戶身份不一致帶來的安全性問題，又可提高企業(yè)的工作效率.同時在開發(fā)新系統(tǒng)時也可盡量利用已有的系統(tǒng)資源，使所有企業(yè)應(yīng)用系統(tǒng)以一致的面貌對外提供服務(wù)[1-2].

1 企業(yè)集成基礎(chǔ)架構(gòu)的單點登陸平臺

單點登陸指在企業(yè)級的信息系統(tǒng)環(huán)境下，一個使用者登陸一次，即可使用所有他有權(quán)限訪問的應(yīng)用系統(tǒng).希望達到這樣的效果：在門戶網(wǎng)站或企業(yè)集成基礎(chǔ)架構(gòu)的某一個應(yīng)用中登陸之后，訪問其他相關(guān)應(yīng)用無需重復(fù)登陸，系統(tǒng)提供統(tǒng)一的身份認證和訪問控制管理，各個應(yīng)用系統(tǒng)之間共享用戶信息[2].

對于遺產(chǎn)系統(tǒng)來說，系統(tǒng)本身已經(jīng)有開發(fā)完善的身份認證和訪問控制模塊，而要將這些模塊統(tǒng)一到一個平臺上，勢必需要改寫這些模塊，這里討論的是如何以較小的代價來完成這些工作.首先統(tǒng)一的身份認證是必須要實現(xiàn)的部分，而訪問控制管理是否要統(tǒng)一需要具體情況具體分析，可以提供統(tǒng)一的管理，也可以仍由遺產(chǎn)系統(tǒng)原來的訪問控制模塊來管理.而各個應(yīng)用系統(tǒng)的用戶信息是否需要完全共享也需要具體情況具體分析[4].

圖1所示為企業(yè)集成基礎(chǔ)架構(gòu)單點登陸平臺的網(wǎng)絡(luò)拓撲結(jié)構(gòu).該平臺主要由統(tǒng)一的身份認證和統(tǒng)一訪問控制組成.通過用戶名/密碼、Windows域等多種認證方式，進行身份認證.LDAP目錄服務(wù)存儲企業(yè)總部與分支機構(gòu)的數(shù)字身份數(shù)據(jù)，是企業(yè)范圍內(nèi)最完整、最準確的身份庫.當用戶輸入用戶名/密碼登陸時，首先由身份認證管理模塊將身份信息向LDAP目錄服務(wù)進行驗證.通過驗證后，由訪問控制模塊對用戶提出的對于子系統(tǒng)的訪問請求根據(jù)其相應(yīng)權(quán)限進行訪問控制[4].

圖1 企業(yè)集成基礎(chǔ)架構(gòu)單點登陸平臺網(wǎng)絡(luò)拓撲結(jié)構(gòu)

2 單點登陸平臺系統(tǒng)結(jié)構(gòu)

要將已開發(fā)完成的系統(tǒng)集成起來，構(gòu)建企業(yè)集成基礎(chǔ)架構(gòu)，需要解決以下問題：

(1) 如何實現(xiàn)用戶身份信息在遺產(chǎn)系統(tǒng)間的共享；

(2) 各個系統(tǒng)如何檢查用戶的登陸狀態(tài)；

(3) 如何提供統(tǒng)一的訪問控制管理；

(4) 如何對遺產(chǎn)系統(tǒng)原有的身份認證和訪問控制模塊進行改造，以最小的代價獲得滿意的效果.

為了實現(xiàn)單點登陸，需要建立一個中心的認證服務(wù).當用戶提出對于某個應(yīng)用系統(tǒng)的訪問請求后，由應(yīng)用系統(tǒng)判斷該用戶是否已經(jīng)在集成基礎(chǔ)架構(gòu)的某一個應(yīng)用中登陸過，根據(jù)其登陸后的全局身份信息對其提出的訪問請求的合法性進行判斷，做出允許其訪問或禁止其訪問的結(jié)論.單點登陸平臺系統(tǒng)結(jié)構(gòu)如圖2所示.

設(shè)立一個中央的身份認證和訪問控制信息數(shù)據(jù)庫，保存用戶的全局基礎(chǔ)數(shù)據(jù)信息，以及各個子系統(tǒng)特有的信息，以全局應(yīng)用實例編號來標識.身份認證管理模塊和訪問控制管理模塊供管理員配置用戶的身份和訪問權(quán)限.用戶也可以使用信息自管理模塊對自己的信息進行維護.將各遺產(chǎn)系統(tǒng)的基礎(chǔ)數(shù)據(jù)統(tǒng)一到中央數(shù)據(jù)庫中以實現(xiàn)系統(tǒng)間信息的共享.

而應(yīng)用系統(tǒng)如何核實用戶是否已在集成基礎(chǔ)架構(gòu)的某一個應(yīng)用中登陸過，對于B／S結(jié)構(gòu)的應(yīng)用來說可以使用COOKIES、SESSION或SAML技術(shù)來實現(xiàn)，無需重新登陸，可直接檢查用戶的身份信息.對于C／S結(jié)構(gòu)的應(yīng)用來說還是需要通過登陸中心服務(wù)器獲得用戶身份信息來保障訪問的可控.

中央數(shù)據(jù)庫不僅可以存放用戶的身份信息，還可以以應(yīng)用實例的形式存放每個應(yīng)用系統(tǒng)的訪問控制信息，這樣就可以提供全局的訪問控制管理.當然并不是必須要使用該功能，有些應(yīng)用可能并不希望這么做.對于已開發(fā)完成的C／S結(jié)構(gòu)的應(yīng)用可能沒有必要重寫其訪問控制管理部分.但是對于B／S結(jié)構(gòu)的應(yīng)用，可以開發(fā)通用的身份認證和訪問控制用戶控件，將其嵌在每一個頁面中，然后在中央服務(wù)器中給每一個應(yīng)用實例配置用戶訪問控制信息，就可以使不同的系統(tǒng)像一個整體對外提供服務(wù).這里程序員所作的工作僅僅是用統(tǒng)一的用戶控件替換掉原頁面的身份認證和訪問控制代碼，再在中央數(shù)據(jù)庫中對身份信息和訪問控制信息進行配置，這樣對原有系統(tǒng)的改動很小，卻可以使不同的系統(tǒng)以統(tǒng)一的方式對外提供服務(wù)[5].

圖2 單點登陸平臺系統(tǒng)結(jié)構(gòu)

3 對遺產(chǎn)系統(tǒng)的改造

對于遺產(chǎn)系統(tǒng)的改造，首先要確定哪些信息需要搬遷到中央數(shù)據(jù)庫中存儲，接著確定身份認證和訪問控制邏輯哪些部分需要重寫.對于C／S結(jié)構(gòu)的遺產(chǎn)系統(tǒng)，由于訪問控制邏輯和企業(yè)應(yīng)用業(yè)務(wù)邏輯經(jīng)常雜糅在一起，界限不清，改寫代價較大，可以考慮保留.

對于B／S結(jié)構(gòu)的遺產(chǎn)系統(tǒng)來說，雖然是不同的應(yīng)用，但是其程序運行流程一樣：客戶端接受用戶的請求，客戶端向應(yīng)用服務(wù)提出請求，應(yīng)用服務(wù)從數(shù)據(jù)庫中獲取數(shù)據(jù)，應(yīng)用服務(wù)對數(shù)據(jù)進行計算并將結(jié)果提交給客戶端，客戶端將結(jié)果呈現(xiàn)給用戶.B／S 結(jié)構(gòu)系統(tǒng)的訪問控制可以統(tǒng)一解釋成用戶訪問特定頁面許可的判斷.因此對于B／S結(jié)構(gòu)系統(tǒng)的每一個頁面，首先需要確定來訪者的全局身份，接著確定該用戶是否有權(quán)利訪問本頁面，最后在頁面上顯示該用戶本系統(tǒng)內(nèi)可以訪問的頁面范圍.可以開發(fā)一個用戶控件實現(xiàn)以上功能，該控件內(nèi)嵌在企業(yè)集成基礎(chǔ)架構(gòu)的每一個子系統(tǒng)的每一個頁面中，其實現(xiàn)思路如下：

(1) 用戶要求訪問某頁面時，頁面用戶控件首先判斷該用戶是否已經(jīng)在集成基礎(chǔ)架構(gòu)的某一個Web應(yīng)用中登陸過，取得其身份信息.如未曾登陸，要求其登陸.登錄后，將用戶的全局身份信息和該系統(tǒng)的特有信息保存在SESSION中，也可以采用COOKIES或SAML技術(shù)來實現(xiàn)該功能.

(2) 判斷用戶是否有權(quán)利訪問當前頁面.每個系統(tǒng)都有一個全局實例編號，控件根據(jù)全局實例編號和用戶的全局身份信息到中央數(shù)據(jù)庫根據(jù)訪問控制信息查詢該用戶是否有權(quán)利訪問當前頁面.訪問控制目前一般根據(jù)基于角色的訪問控制技術(shù)進行設(shè)計和實現(xiàn).當然訪問控制信息也可以選擇和系統(tǒng)的業(yè)務(wù)數(shù)據(jù)放在一起，這在用戶控件中應(yīng)當是可配置的，但是訪問控制實現(xiàn)的邏輯方法必須是一致的，這樣才能提供統(tǒng)一的訪問控制管理.

(3) 確認該用戶有權(quán)訪問本頁面后，可由用戶控件生成、顯示該用戶在當前系統(tǒng)中可使用的功能列表，以功能樹的形式組織.同樣功能列表信息可以和業(yè)務(wù)數(shù)據(jù)存放在一起，也可以統(tǒng)一存放在中央數(shù)據(jù)庫中，由全局實例編號標識、存儲.

將該用戶控件嵌在企業(yè)集成基礎(chǔ)架構(gòu)的每一個Web子系統(tǒng)的頁面中，這樣所有子系統(tǒng)的身份認證和訪問控制邏輯是一致的，管理員在中央數(shù)據(jù)庫中對用戶全局信息和其在某子系統(tǒng)中的訪問權(quán)限進行配置，就可以提供統(tǒng)一的身份認證和訪問控制管理，實現(xiàn)系統(tǒng)間的單點登錄.

4 結(jié) 論

將遺產(chǎn)系統(tǒng)進行整合可以提高系統(tǒng)整體運營效率，解決子系統(tǒng)間信息不一致造成的安全漏洞，在開發(fā)新系統(tǒng)時也可盡量利用已有資源，提高新系統(tǒng)的開發(fā)效率和安全性.本文討論了基于遺產(chǎn)系統(tǒng)構(gòu)建企業(yè)集成基礎(chǔ)架構(gòu)的實現(xiàn)方法，該方法在某高校宿管科宿舍管理系統(tǒng)、人員管理系統(tǒng)、門戶網(wǎng)站的系統(tǒng)集成中取得了良好的應(yīng)用效果，對于遺產(chǎn)系統(tǒng)整合和企業(yè)門戶網(wǎng)站構(gòu)建具有一定的參考價值.

[1] PFITZMANN B，WAIDNER M.Analysis of liberty single-sign-on with enabled clients[J].IEEE Internet Computing，2003，7(6)：38-44.

[2] 張廣勝，蔣昌俊，湯憲飛，等.面向服務(wù)的企業(yè)應(yīng)用集成系統(tǒng)描述與驗證[J].軟件學報，2007，18(12)：3015-3030.

[3] 趙合計，陸 波.遺產(chǎn)軟件系統(tǒng)的重構(gòu)過程[J].計算機工程與科學，2004，26(6)：89-91.

[4] 楊文波，張 輝，劉 瑞.基于Cookie的門戶系統(tǒng)單點登錄模型[J].計算機應(yīng)用研究，2006，23(8)：100-101.

[5] 沈海波，洪 帆.基于WS-Federation的Web服務(wù)跨域單點登錄認證分析[J].計算機應(yīng)用研究，2006，23(2)：116-118.