數字化校園信息門戶的設計與實現①

康琳琳

摘 要：隨著校園網的普及和計算機技術的發展，數字化校園的信息應用也在不斷深入。然而早期的各種應用系統由于開發技術和使用的數據庫不同，導致它們之間不能共享信息，存在嚴重的信息孤島現象，缺乏統一的門戶信息展示平臺。該文針對大學校園信息化集成的需要設計了數字化信息門戶系統，對系統的總體結構、軟件實現等進行詳細的闡述。

關鍵詞：數字化 信息門戶 Portal技術 設計

中圖分類號：G647 文獻標識碼：A 文章編號：1672-3791（2015）06（b）-0036-03

隨著高校信息化建設進程的不斷加快，校內建設的信息化管理系統越來越多，需要處理的信息量不斷增多。然而由于歷史的原因，這些信息系統使用的開發技術和設計模式不盡相同，彼此之間沒有聯系，每一個系統都有自己的用戶認證體系。管理人員在進行工作時，經常需要登錄訪問不同的應用系統，每個系統都需要用戶輸入不同的用戶名和密碼。這樣，隨著信息量的增大，用戶的記憶也受到考驗，忘記用戶名、或者密碼的情況是有發生。長期以來，高校建立的信息應用系統的功能也得不到充分的發揮，嚴重阻礙了校園信息化建設的進程。因此，該文利用門戶技術，將分散在各處的應用系統集成在一起，實現單點登錄、統一身份認證來解決以上問題。

1 Portal技術概述

Portal英文含義是“門戶”，隨著技術的發展，它的功能和含義也在不斷更新和演化，對于門戶的至今還沒有一個統一的定義。但一般認為，門戶是一個具有單一入口的網絡系統，用戶可以在不同的時間和地點獲取信息，主要為用戶提供安全的數據、程序和服務。對于一個組織來說，建立Portal，可以統一組織內的信息資源，內部人員可以通過Portal及時掌握組織內的信息，參加各種討論，與同事進行協同工作。可以說，門戶技術將組織內部原來分散的業務系統和信息孤島聯系起來，組建一個跨平臺的信息聯合體，實現信息的傳遞、訪問和集成管理。

從技術方面來分析，Portal實際上也是一個程序界面，根據功能被分割成多個窗口，展示不同的頁面元素，可以是一個WEB鏈接、一段文本、也可以是一個圖片或視頻等。從組成上來看，Portal系統包括各種服務器，用來支持JAVA應用服務、LDAP服務以及Java應用服務等。Portal技術最大的優勢是可以定制，各種定制信息存儲在數據庫中，有些Portal系統也支持使用數據庫來管理用戶身份和權限。

門戶信息能夠通過各種應用集成、流程集成和頁面集成等將原來分散在各處的資源整合在一起，通過一個統一的頁面來展示，它支持各種數據源的訪問，或以是文本資料、電子郵件、數據庫或Web頁面等，實現門戶內各業務系統間的信息交換和共享。

2 系統需求分析

高校數字化校園門戶系統不是一個簡單的信息疊加，而是一個為師生提供一個集成的、安全的資源訪問統一入口，實現對學校應用系統和信息資源的整合與管理。將校內的人事管理、科研管理、教學管理和生活服務等信息通過計算機技術和網絡技術被全面數字化，然后形成一個統一的用戶管理、身份認證和系統，使得各類資源能夠得到充分的共享和交互。總體來說，數字化校園門戶系統的功能需求如下。

（1）統一帳戶管理。

將學校內的用戶按照校內組織機構進行統一的管理，為門戶系統提供統一的用戶數據服務。對用戶進行全生命周期的管理，包括新用戶申請、注冊、信息維護、密碼修改等功能；在LDAP目錄的基礎上，建立用戶信息目錄庫，支持將統一的用戶信息存儲于LDAP目錄中，提供目錄服務功能。部門崗位角色樹狀層次模型，根據工作人員的崗位分配相應的角色，賦予相應的操作權限和數據權限。

（2）單點登錄。

系統支持多種認證方式和系統平臺，用戶在第一次登錄系統時，統一認證系統對用戶的登錄信息和身份信息進行驗證，驗證通過后，用戶就獲得了系統的信任，不用再登錄就可以訪問其他應用系統。身份認證可以為多個不同種類、不同形式的應用提供統一的認證服務，不需要應用系統獨立開發、設計認證系統。

（3）應用系統集成。

目前，高校內部使用的信息系統主要包括辦公OA、財務管理系統、人事管理系統、教學教務管理系統、郵件服務系統、資產管理系統、研究生管理系統等。門戶系統建設的目標之一就是要實現對這些系統的整合，并且根據系統的應用情況，提供兩種集成方式：一是緊耦合模式，即應用系統不能獨立于門戶外運行，必須通過門戶來訪問；二是松耦合方式，即應用系統可以獨立于門戶運行。

3 系統總體設計

數字化校園門戶系統在數字證書的基礎上實現單點登錄技術，使得門戶中的各種信息應用系統與數字資源成為一個統一的整體。為了保障信息的安全性，在信息資源端安裝訪問控制中間件與具有防護功能的認證服務器進行通信。單點登錄功能與權限管理實現無縫結合，簽發合法用戶的權限票據，對用戶實行集中統一的管理和身份認證。系統的體系架構如圖1所示。

系統在LDAP協議的基礎上進行開發，在應用層實現單點登錄、異構數據庫集成等功能，真正實現“一次登錄，全校漫游”的訪問機制。身份認證與單點登錄的實現方式與操作系統、數據庫、WEB服務器、開發語言等無關，可以在不改變原有應用系統的基礎上，無縫將其整合到門戶系統中。

4 系統實現

4.1 統一身份認證

統一身份認證功能是在CAS認證技術的基礎上實現。在登錄過程中，用戶只要擁有CAS頒發的證書，就獲得了CAS的信任，同時也意味著獲得了門戶其它業務系統的信任。只要這個證書不過期，用戶就可以直接訪問系統內的其它業務系統，不需要重新登錄和認證。CAS的核心就是其票據（Ticket），及其在Ticket之上的一系列處理操作。CAS的主要票據有TGT和ST等。其中ST票據是CAS為用戶簽發的訪問某一service服務的票據；而TGT是CAS為用戶簽發的登錄票據，擁有了TGT，用戶就可以證明自己在CAS成功登錄過，TGT封裝了Cookie值以及此Cookie值對應的用戶信息。基于CAS的用戶認證流程如圖2所示。

在具體實現時，使用SUN公司的keytool工具來創建用戶的安全證書，創建完成后，再配置到WEB應用服務器中，以獲得HTTPS訪問協議的支持。首先由keytool工具將產生的安全證書和密鑰存放在一個叫作keystore的文件中，用以保存配對的公鑰和保存SSL協議的私鑰。實現過程如下：

（1）創建一個用于保存密鑰的文件，并命名為aisa，然后利用Keytool工具的genkey命令，生成一個安全證書。命令如下：

keytool -genkey -alias aisa_key -keyalg RSA -storepass 123456 -keystore server.keystore -validity 360

（2）使用Keytool工具的export命令，導出安全證書，然后將密鑰文件保存在本地文件server.cer中。命令如下：

keytool -export -trustcacerts -alias aisa_key -file server.cer -keystore server.keystore -storepass 123456

（3）證書注冊。

keytool -import -trustcacerts -alias tomcat_key -file server.cer –keystore %JAVA_HOME%

/jre/lib/security/cacerts -storepass 123456

（4）Tomcat服務器配置，在server.xml文件編寫SSL連接器的程序代碼，設置公鑰、信任證書庫和數字證書等信息。配置代碼如下：

4.2 用戶訪問權限控制

系統基于用戶角色對權限進行管理，角色模型建立在部門崗位樹的基礎之上，提供用戶目錄管理、目錄復制、權限控制等多種屬性。用戶角色采用樹狀層次模型，崗位角色按學校/分支機構/部門/科室/崗位的結構層次進行定義和管理；用戶信息以組織/部門/崗位角色以樹狀的層次結構來組織和管理。在用戶角色樹狀層次模型中，用戶職位稱為崗位，或稱用戶角色，包含崗位角色的組織機構稱為部門，大部門可以包含小部門。

在權限管理時，先建立用戶組，為組分配資源，然后關聯組中的角色的資源。使用DML（Data Manipulation Language）將portlet中的資源分配到特定的片段中，然后為片段中的portlet資源分配角色。在不同的組中，一個資源可以關聯多個不同的角色；而在同一個用戶組中，一個資源只能關聯一個角色。用戶與角色相關聯后，角色擁有權限，系統也可得到相應的權限。

為了對用戶的權限進行有效的控制，采用基于角色的訪問控制技術，將用戶的賬號、角色和權限三者建立一定的關聯關系。將用戶劃分為不同的角色，不同角色又擁有相應的權限，達到用戶賬號與權限的級聯變化控制。當用戶的角色發生變化時，可以在不改變用戶賬號的情況下，通過更改用戶的角色來改變用戶的權限，當更改了用戶的角色后，該用戶的權限也相應的得到了更新。用戶權限訪問控制模型如圖3所示。

用戶的屬性信息主要包括用戶賬號信息、角色和權限信息，這些屬性信息存放在用戶屬性信息表中。當用戶申請訪問系統資源時，系統首先提取自己的屬性信息，訪問控制執行點讀取申請訪問的用戶信息和請求類型。這時候，請求訪問控制判決點根據用戶的角色的權限信息判定此次請求是否在用戶的權限范圍內。如果此次訪問在用戶的權限范圍內，就允許用戶訪問此資源，否則就不允許訪問。

4.3 應用系統集成

對應用系統的集成采用Portal組件提供的Web應用聚合器實現，通過此組件，可以直接將Web應用系統嵌入門戶中。Web應用聚合器是在業務系統的頁面中嵌入門戶的主題導航、顯示風格等元素，以讓業務系統的操作界面保持與門戶系統一致。具體集成步驟如下：

（1）在門戶中創建一個標準的Portal URL頁面，并將頁面鏈接指定到需要集成的Web應用的頁面。

（2）使用WebAppIntegrator portlet為該Web應用頁面生成一段HTML標記代碼。

5 結語

信息門戶是學校數字化校園建設的重要組成部分，也是師生獲取資源信息的最重要的途徑之一。門戶系統的建設是一個不斷完善和發展的過程，隨著學校數字化進程的深入，門戶系統更多的將向服務型轉化，聯合校園內的各種服務系統，實現真正的數字化校園服務。

參考文獻

[1] 劉鵬，王龍.數字化校園信息門戶的設計與實現[J].信息系統工程，2014（12）：16.

[2] 胥獻偉，楊贛川.高校數字化校園信息門戶網建設規劃探討[J].信息安全與技術，2014（11）：51-53.

[3] 李靜.基于改建Portlet技術的數字化校園信息門戶建設[J].創新科技，2013（9）：81-82.

[4] 汪迅寶.用Portlet技術實現數字化校園信息門戶設計研究[J].電腦知識與技術，2013（2）：448-450.