相明瓊，忻源榮，杜亞軍，王驍磬

0 引言

隨著我國信息化進(jìn)程的飛速發(fā)展，企業(yè)各類信息系統(tǒng)的數(shù)量直線上升，員工工作時(shí)需要同時(shí)登陸并打開多個(gè)系統(tǒng)，與此同時(shí)需要記錄大量對應(yīng)的用戶名及登錄密碼，造成記憶繁瑣，登錄系統(tǒng)頻繁，工作量增大等現(xiàn)象。

鑒于以上情況，為進(jìn)一步提高企業(yè)信息化管理水平，有效地集中、整合信息化資源，借鑒大型電子商務(wù)門戶網(wǎng)站的系統(tǒng)整合思想，構(gòu)建集中資源管理平臺(tái)。集中資源管理平臺(tái)，是在門戶網(wǎng)站整合思想和技術(shù)架構(gòu)的基礎(chǔ)上，結(jié)合企業(yè)信息化資源分布現(xiàn)狀，以更高效管理信息化資源為手段，以提高職工工作效率為目的的系統(tǒng)整合工程。

1 集中管理信息化資源的意義

目前企業(yè)各類應(yīng)用系統(tǒng)種類繁多、數(shù)量龐大，員工工作時(shí)需要同時(shí)登陸并打開多個(gè)系統(tǒng)，與此同時(shí)需要記錄大量對應(yīng)的用戶名及登陸密碼，造成記憶繁瑣，登陸系統(tǒng)頻繁，工作量增大。通過集中管理信息化資源，特別是通過有效的單點(diǎn)登錄（SSO）和集中授權(quán)機(jī)制來整合子系統(tǒng)，實(shí)現(xiàn)對企業(yè)不同子系統(tǒng)的用戶群進(jìn)行統(tǒng)一身份集中認(rèn)證、集中授權(quán)等功能，最終達(dá)到用戶一次認(rèn)證身份，即被多個(gè)子系統(tǒng)同時(shí)驗(yàn)證，并可隨意進(jìn)出任何授權(quán)系統(tǒng)的目的，系統(tǒng)管理員更可在統(tǒng)一平臺(tái)為不同子系統(tǒng)的用戶分配各種權(quán)限。從而大大降低了員工對于不同系統(tǒng)用戶名、密碼的記憶壓力和登錄次數(shù)，省去了新開發(fā)系統(tǒng)用戶權(quán)限管理模塊的開發(fā)成本，實(shí)現(xiàn)了管理員對子系統(tǒng)用戶的統(tǒng)一授權(quán)管理。

2 集中管理信息化資源的技術(shù)探索

2.1 單點(diǎn)登錄（SSO）和集中授權(quán)機(jī)制

通過對國際上各類中央認(rèn)證技術(shù)（Central Authentication Service）進(jìn)行深入研究后，自主創(chuàng)新、制定出獨(dú)特、高效、安全的系統(tǒng)整合機(jī)制，對企業(yè)不同子系統(tǒng)的用戶群進(jìn)行統(tǒng)一身份集中認(rèn)證、集中授權(quán)等功能，最終達(dá)到用戶一次登陸資源管理平臺(tái)，即被多個(gè)子系統(tǒng)同時(shí)驗(yàn)證，并可隨意進(jìn)出任何授權(quán)系統(tǒng)的目的，系統(tǒng)管理員更可在集中資源管理平臺(tái)為不同子系統(tǒng)的用戶分配各種權(quán)限，支持整合Java,.Net,PHP,Perl,uPortal,Ruby技術(shù)開發(fā)的子系統(tǒng)。其具體工作原理，如圖1所示：

圖1 集中資源管理平臺(tái)

集中資源管理平臺(tái)需要獨(dú)立部署，主要負(fù)責(zé)對用戶的認(rèn)證和權(quán)限管理工作；子系統(tǒng)負(fù)責(zé)處理對客戶端受保護(hù)資源的訪問請求，需要登錄時(shí)，重定向到集中資源管理平臺(tái)。當(dāng)某用戶發(fā)起訪問集中資源管理平臺(tái)下某個(gè)子系統(tǒng)的 Web請求時(shí)，以 java語言為例，子系統(tǒng)服務(wù)器端會(huì)通過 session.getAttribute("casuser")的值先確定該用戶是否已經(jīng)登錄本子系統(tǒng)。如未登錄，通過 request.getParameter("ticket")值分析判斷該用戶的Http請求中是否包含Service Ticket，如果沒有則說明當(dāng)前用戶尚未登錄集中資源管理平臺(tái)，于是通過2、3、4步將請求重定向到集中資源管理平臺(tái)的服務(wù)器登錄地址，并傳遞Service（也就是要訪問的目的資源地址），如http://www.ceshi1.com/login.do?service=http://ceshi2/，以便登錄成功過后轉(zhuǎn)回該地址。用戶在第5步中輸入用戶名、密碼，如果登錄成功，服務(wù)器隨機(jī)產(chǎn)生一個(gè)相當(dāng)長度、唯一、不可偽造的Service Ticket，并緩存以待將來驗(yàn)證，之后系統(tǒng)執(zhí)行6、7步，自動(dòng)重定向到Service所在地址，并為客戶端瀏覽器設(shè)置一個(gè)COOKIE，并將Ticket傳遞給子系統(tǒng)，子系統(tǒng)在拿到Service和新產(chǎn)生的Ticket后，在第8、9步中與集中資源管理系統(tǒng)進(jìn)行身份對比，以確保Service Ticket的合法性。最后，集中資源平臺(tái)會(huì)在11步中返回子系統(tǒng)用戶的ID身份信息及其權(quán)限列表等信息，從而成功登陸子系統(tǒng)。

在該協(xié)議中，所有子系統(tǒng)與集中資源管理平臺(tái)的交互均采用SSL協(xié)議，確保安全性。協(xié)議工作過程中會(huì)有2次重定向的過程，且子系統(tǒng)與集中資源管理平臺(tái)之間進(jìn)行Ticket驗(yàn)證的過程對于用戶是透明的、友好的。

2.2 “云計(jì)算”模式的選擇

國際上“云計(jì)算”模式大致可分為3種[2]：1、公共云：IBM、微軟等商業(yè)公司在中國構(gòu)建及運(yùn)營的公共云平臺(tái)，對外提供軟、硬件服務(wù)?？蛻糁恍枰蛏虡I(yè)公司支付一定的費(fèi)用，便可獲得云平臺(tái)提供的資源和服務(wù)。此種模式下，客戶需把自己的IT系統(tǒng)部署到商業(yè)公司的公共云平臺(tái)中，由于公共云由眾多客戶共享使用，對客戶部署的核心業(yè)務(wù)系統(tǒng)的安全性構(gòu)成一定威脅。 2、托管云：商業(yè)公司的合作伙伴自行開發(fā)及運(yùn)營的云服務(wù)。以微軟為例，ISV/SI等合作伙伴可基于Windows Azure Platform開發(fā)ERP、CRM等各種云計(jì)算應(yīng)用，并在Windows Azure Platform上為用戶提供服務(wù)。微軟運(yùn)營在自己云計(jì)算平臺(tái)中的 Business Productivity Online Suite（BPOS）產(chǎn)品也可交由合作伙進(jìn)行托管運(yùn)營。BPOS主要包括 Exchange Online，SharePoint Online，Office CommunicationsOnline和LiveMeetting Online等服務(wù)。此種模式下，客戶可按需定制獲取云計(jì)算平臺(tái)服務(wù)，管理相對靈活、多樣，但由于托管云也是由第三方公司運(yùn)行，同樣會(huì)對核心業(yè)務(wù)系統(tǒng)的安全性構(gòu)成威脅。3、私有云（客戶自建云）:客戶可以選擇 IBM、微軟等商業(yè)公司的云計(jì)算解決方案，構(gòu)建自己的云計(jì)算平臺(tái)，從商業(yè)公司獲得包括產(chǎn)品、技術(shù)、平臺(tái)、培訓(xùn)和運(yùn)維管理在內(nèi)的全面支持。此種模式下，客戶把IT系統(tǒng)部署到自己構(gòu)建的云計(jì)算平臺(tái)中，堵塞了數(shù)據(jù)泄漏的渠道，最大限度的保證了核心業(yè)務(wù)系統(tǒng)的安全性。

綜合以上 3種云計(jì)算模式的優(yōu)缺點(diǎn)，我國大部分企業(yè)有自己的商業(yè)隱私，對數(shù)據(jù)的流向控制嚴(yán)格，適合采用構(gòu)建私有云的方式來提高集中管理信息化資源的效率，私有云參考架構(gòu)，如圖2所示：

圖2 私有云參考架構(gòu)

3 “信息化資源動(dòng)態(tài)分配技術(shù)”的應(yīng)用

動(dòng)態(tài)分配技術(shù)，是基于動(dòng)態(tài)數(shù)據(jù)中心技術(shù)的云計(jì)算優(yōu)化和管理方案，企業(yè)可基于該技術(shù)快速構(gòu)建面向內(nèi)部的私有云平臺(tái)[3]，可自行動(dòng)態(tài)管理數(shù)據(jù)中心的基礎(chǔ)設(shè)施（包括服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)等），包括開通、配置和安裝等。該技術(shù)的應(yīng)用可大大提高IT基礎(chǔ)設(shè)施資源的利用效率，提升IT基礎(chǔ)設(shè)施的應(yīng)用和管理水平，實(shí)現(xiàn)計(jì)算機(jī)資源的動(dòng)態(tài)優(yōu)化。

利用動(dòng)態(tài)資源分配技術(shù)，企業(yè)可創(chuàng)建虛擬環(huán)境來運(yùn)行應(yīng)用。管理人員可按照不同IT系統(tǒng)的不同需求彈性分配適當(dāng)?shù)膽?yīng)用配置，并可后續(xù)對其進(jìn)行動(dòng)態(tài)擴(kuò)展。在不影響或少影響應(yīng)用運(yùn)行的情況下，主動(dòng)根據(jù)運(yùn)行需要來調(diào)整和遷移服務(wù)器及調(diào)整存儲(chǔ)、帶寬，不超配、不低配，不同應(yīng)用對信息化資源的依賴排序，如表1所示：

表1 信息化資源的依賴排序

4 智能存儲(chǔ)技術(shù)應(yīng)用

不同于傳統(tǒng)的集中式存儲(chǔ)架構(gòu)模式，智能存儲(chǔ)技術(shù)是基于網(wǎng)格架構(gòu)的存儲(chǔ)系統(tǒng)。即智能存儲(chǔ)內(nèi)置管理軟件把機(jī)柜中所有磁盤集中管理，并將其分配成大小相等的若干網(wǎng)格（網(wǎng)格的大小通常為256M或512M），所有網(wǎng)格通過千兆以太網(wǎng)絡(luò)方式實(shí)現(xiàn)完全互聯(lián)（any to any）。管理軟件通過并行存儲(chǔ)和Cache緩存算法等，忽略機(jī)柜磁盤組合架構(gòu)，以網(wǎng)格為單位按需給不同的軟件分配相應(yīng)數(shù)量的網(wǎng)格，使存儲(chǔ)系統(tǒng)的整體效率大大超越了傳統(tǒng)的光纖存儲(chǔ)系統(tǒng)。

4 總結(jié)

智能存儲(chǔ)系統(tǒng)具有高可靠性、高擴(kuò)展性、高可用性的特點(diǎn)。高可靠性：當(dāng)某一個(gè)網(wǎng)格工作異常時(shí)，系統(tǒng)會(huì)自動(dòng)將備份數(shù)據(jù)轉(zhuǎn)移到另外的網(wǎng)格并啟動(dòng)新網(wǎng)格。由于網(wǎng)格的大小有限、管理靈活，管理軟件可在短時(shí)間內(nèi)完成數(shù)據(jù)恢復(fù)，保障了數(shù)據(jù)存儲(chǔ)的高可靠性。可擴(kuò)展性：數(shù)據(jù)分布的完整化和自動(dòng)化，確保當(dāng)配置變更時(shí)所有的磁盤驅(qū)動(dòng)器都會(huì)加入到數(shù)據(jù)重新分布的任務(wù)中。高可用性：當(dāng)加載數(shù)據(jù)時(shí)，獨(dú)特的分布式算法確保智能存儲(chǔ)系統(tǒng)的總體磁盤利用率可達(dá)到100%。

[1]張為民 《云計(jì)算 深刻改變未來》[M].北京，科學(xué)出版社

[2](美)芬加 著《云計(jì)算：21世紀(jì)的商業(yè)平臺(tái)》[M].北京，電子工業(yè)出版社

[3]胡錚 《網(wǎng)絡(luò)信息安全》[M].清華大學(xué)出版社