潘文婷

摘要：作為數(shù)字校園產(chǎn)品解決方案中最基本且最核心的功能平臺，基礎(chǔ)開放平臺涵蓋了身份鑒權(quán)、數(shù)據(jù)整合、門戶管理、第三方應(yīng)用整合等全面核心的功能，本文就基礎(chǔ)開放平臺的功能設(shè)計進行了詳細闡述。

關(guān)鍵詞：數(shù)字校園；開放平臺；解決方案；設(shè)計

一、校園身份認證及授權(quán)管理平臺

建設(shè)以目錄服務(wù)和認證服務(wù)為基礎(chǔ)的統(tǒng)一用戶管理、授權(quán)管理和身份認證安全體系，將組織信息、用戶信息統(tǒng)一存儲，進行分級授權(quán)和集中身份認證，提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實現(xiàn)全部應(yīng)用的單點登錄，同時能詳細記錄用戶對系統(tǒng)資源的所有訪問記錄和操作情況，以便事后對用戶操作進行審計，建立完善的事后追溯機制。在學校工作人員進行了調(diào)動、調(diào)級、調(diào)職等變更后，或者學校體制改革、組織機構(gòu)變動后，使用戶的身份和權(quán)限在各系統(tǒng)之間協(xié)調(diào)同步，減少應(yīng)用系統(tǒng)的開發(fā)和維護成本。

（一）統(tǒng)一身份認證管理

校園身份認證及授權(quán)管理平臺是以統(tǒng)一用戶管理中心為基礎(chǔ)，對所有應(yīng)用系統(tǒng)提供統(tǒng)一的認證方式和認證策略，以識別用戶身份的合法性。

統(tǒng)一用戶認證應(yīng)支持以下幾種認證方式：

用戶名/密碼認證：這是最基本的認證方式。

PKI/CA數(shù)字證書認證：通過數(shù)字證書的方式認證用戶的身份。

IP地址認證：用戶只能從指定的IP地址或者IP地址段訪問系統(tǒng)。

時間段認證：用戶只能在某個指定的時間段訪問系統(tǒng)。

以上認證方式采用模塊化設(shè)計，管理員可靈活地進行裝載和卸載，同時還可按照用戶的要求方便地擴展新的認證模塊。

數(shù)字證書認證通常應(yīng)用在安全級別要求較高的環(huán)境中。PKI（Public Key Infrastructure）即公鑰基礎(chǔ)設(shè)施是利用公鑰理論和數(shù)字證書來確保系統(tǒng)信息安全的一種體系。

數(shù)字證書有時被稱為數(shù)字身份證，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性。

（二）授權(quán)訪問控制

校園身份認證及授權(quán)管理平臺的另外一個最主要的機制就是授權(quán)訪問控制，該功能對學校全局資源做訪問控制。在一個校園網(wǎng)中實施一致的訪問控制策略，是管理校園網(wǎng)資源的有效手段。校園身份認證及授權(quán)管理平臺的訪問控制機制實現(xiàn)這一目的，為不同應(yīng)用提供統(tǒng)一的訪問控制策略。

上圖說明了RBAC訪問控制模型，訪問控制策略體現(xiàn)在RBAC模型里是用戶/角色、角色/權(quán)限和角色/角色之間的關(guān)系。采用RBAC的最大的好處在于將用戶和它具有的權(quán)限分離開來，給用戶授予角色來實現(xiàn)用戶的授權(quán)操作。在集中式管理中，這些授權(quán)信息通常是由一個指定的管理員來管理；而在分布式環(huán)境中，它們可以由多個具有不同管理權(quán)限域的管理員來管理。在校園身份認證及授權(quán)管理平臺中，還需要對 RBAC 理論模型進行組件化實現(xiàn)，使訪問控制管理包含可以控制細化到單個文件級別訪問的權(quán)限配置模塊、用于角色定義的管理員模塊、定義角色之間關(guān)系的模塊以及配置用戶權(quán)限的模塊。

（三）角色管理

角色是訪問權(quán)限的集合，用戶通過賦予不同的角色獲得角色所擁有的訪問權(quán)限。用戶通過角色享有權(quán)限，它不直接與權(quán)限相關(guān)聯(lián)，權(quán)限對存取對象的操作許可是通過活躍角色實現(xiàn)的。在RBAC模型系統(tǒng)中，每個用戶進入系統(tǒng)時得到一個會話，一個用戶會話可能激活的角色是該用戶的全部角色的子集。

RBAC作為傳統(tǒng)訪問機制的理想候選近年來得到廣泛的研究，并以其靈活性、方便性和安全性在許多系統(tǒng)尤其是大型數(shù)據(jù)庫系統(tǒng)的權(quán)限管理中得到應(yīng)用。

RBAC由于不是直接授權(quán)給用戶，而是先授權(quán)給角色，然后再授予用戶角色，這樣在用戶和權(quán)限之間引入角色，從而大大降低了系統(tǒng)的復(fù)雜度，同時RBAC體現(xiàn)了系統(tǒng)的組織結(jié)構(gòu)，大大降低了系統(tǒng)管理員誤操作的可能性，角色之間的互斥關(guān)系也可以很容易地實現(xiàn)任務(wù)分離。

（四）組織機構(gòu)及用戶組維護

組織機構(gòu)數(shù)據(jù)是身份認證的基礎(chǔ)，組織的結(jié)構(gòu)以及組織內(nèi)部的職務(wù)（用戶組）等相應(yīng)信息都需要在身份認證和權(quán)限管理系統(tǒng)中注冊，組織機構(gòu)為系統(tǒng)劃分權(quán)限以及授權(quán)提供了有效的方式。組織中人員的權(quán)限通過包含組織下的角色權(quán)限來體現(xiàn)。

二、校園數(shù)據(jù)整合及決策輔助平臺

根據(jù)學校業(yè)務(wù)需求的不同，建設(shè)主題數(shù)據(jù)庫、元數(shù)據(jù)庫、公共數(shù)據(jù)庫、歷史切片數(shù)據(jù)庫，規(guī)范學校信息化建設(shè)數(shù)據(jù)標準，支持各種主流數(shù)據(jù)庫的公共數(shù)據(jù)存取，支持將數(shù)據(jù)集直接生成可訪問的數(shù)據(jù)接口。提供對信息標準以及代碼維護管理工具（ETL數(shù)據(jù)工具），支持數(shù)據(jù)導(dǎo)入、導(dǎo)出、數(shù)據(jù)表檢索、更正模式，完成對系統(tǒng)間數(shù)據(jù)的清洗、加載、傳輸?shù)裙ぷ鳌?/p>

（一）ETL管理工具

ETL工具擁有直觀的圖形化界面，用戶只需簡單的鼠標拖拽即可完成ETL過程；ETL工具還提供異步的ETL過程處理模式，使數(shù)據(jù)抽取、轉(zhuǎn)換及數(shù)據(jù)裝載等操作能夠并行執(zhí)行，實現(xiàn)數(shù)據(jù)的高速處理；此外，ETL工具還具備計劃任務(wù)功能，可以按計劃定時執(zhí)行 ETL和圖形化任務(wù)，不需要用戶時時監(jiān)控。

（二）報表系統(tǒng)

校園數(shù)據(jù)整合及決策輔助平臺采用強大的Birt報表系統(tǒng)。Birt基于開源設(shè)計，具有開發(fā)方便、操作界面友好、擴展性強等優(yōu)點，并且可靈活定義表單樣式，圖形化拖拽構(gòu)建工作流。另外，Birt能夠?qū)崿F(xiàn)列表、圖表、混合報表等多種報表形式，用于展示概要數(shù)據(jù)和詳細數(shù)據(jù)，完美的支撐校情展示與決策分析系統(tǒng)。

（三）數(shù)據(jù)開放平臺

平臺支持使用Weservice等方式來獲取數(shù)據(jù)中心的標準數(shù)據(jù)，同時提供Restful方式的數(shù)據(jù)訪問，支持xml、Json等數(shù)據(jù)格式。對于個人類應(yīng)用程序也提供基于OAuth2.0的授權(quán)認證數(shù)據(jù)訪問。

通過開放數(shù)據(jù)管理，平臺可以根據(jù)需要在系統(tǒng)中定制需要的數(shù)據(jù)訪問接口，而無需定制開發(fā)。

三、校園門戶管理平臺

提供一個支持信息訪問、傳遞、以及協(xié)作化的集成化環(huán)境，把各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集成到學校門戶之下，形成學校統(tǒng)一的信息入口。通過數(shù)據(jù)與應(yīng)用的集成及個人桌面?zhèn)€性化工作區(qū)服務(wù)定制，為校領(lǐng)導(dǎo)、教師、學生、家長等提供提供面向個人、自助式服務(wù)支持，管理公共信息，選擇性地展示學校的動態(tài)信息和應(yīng)用對社會公眾和校內(nèi)師生提供不同的信息服務(wù)和進入相應(yīng)校園信息管理系統(tǒng)的入口。該平臺位于信息化校園平臺體系結(jié)構(gòu)中的最上層，實現(xiàn)信息化校園各應(yīng)用系統(tǒng)與用戶的人機交互服務(wù)平臺，是信息化校園的信息集中展示的窗口。

（一）權(quán)限控制

統(tǒng)一門戶平臺針對角色和用戶多種粒度進行權(quán)限控制，按照不同角色和用戶的信息獲取特性，對其提供貼合需求的信息及應(yīng)用空間。

（二）常駐的桌面入口

不僅提供了基于網(wǎng)頁訪問的統(tǒng)一入口實現(xiàn)，并且提供了校內(nèi)通桌面客戶端，隨桌面開機啟動，常駐在系統(tǒng)右下角，為教師提供了瀏覽器以外的更容易的訪問應(yīng)用的方式。

做為常駐桌面程序，可以時刻將通知和消息送達教師面前。通過桌面程序，用戶能夠更方便進入到各數(shù)字校園程序中，更方便的實時獲取數(shù)字校園各應(yīng)用程序推送的內(nèi)容和消息。

四、第三方應(yīng)用整合系統(tǒng)

（一）數(shù)字校園應(yīng)用一站式管理

門戶平臺通過建立底層結(jié)構(gòu)來聯(lián)系橫貫整個組織內(nèi)外的異構(gòu)系統(tǒng)、應(yīng)用、數(shù)據(jù)源等，完成在組織內(nèi)外的數(shù)據(jù)庫、數(shù)據(jù)倉庫、辦公自動化、電子郵件系統(tǒng)，以及其它重要的內(nèi)部系統(tǒng)之間無縫地共享和交換數(shù)據(jù)的需要。

（二）第三方應(yīng)用系統(tǒng)數(shù)據(jù)整合

基礎(chǔ)平臺是各個應(yīng)用系統(tǒng)的基礎(chǔ)，可以使每個應(yīng)用系統(tǒng)進行統(tǒng)一的身份權(quán)限審計、數(shù)據(jù)推送共享、統(tǒng)一門戶展示，實現(xiàn)數(shù)字校園全部應(yīng)用的單點登錄及應(yīng)用系統(tǒng)產(chǎn)生的所有新消息進行多渠道的推送。

（作者單位：湖北郵電規(guī)劃設(shè)計有限公司）