基于統一身份認證的水運系統集成研究與實現

周育彬

摘要：基于統一身份認證，提出了水運信息系統集成應用的邏輯架構，構建了水運信息系統集成綜合應用平臺。基于統一身份認證的水運信息系統集成綜合應用平臺，在對組織機構、用戶信息、角色權限統一管理的基礎上，實現各水運業務子系統的無縫集成和單點登錄，有效地解決了行業當前所面臨的業務系統蓬勃發展而信息孤島現象日益嚴重的矛盾，提高了水運科研單位的服務效率和協同辦公能力。

關鍵詞：統一身份認證；單點登錄；系統集成

中圖分類號： TP311.52文獻標識碼：A文章編號：2095-2163（2016）02-

Research and implementation ofunified identifyauthentication-based waterborne transportinformation system integration

Abstract：Based on unified identify authentication ，this paper puts forward a logical architecture ofwaterbornetransportinformation system integration， and constructs a comprehensive application

platform. The comprehensive application platform of waterbornetransportinformationsystem

integration based on unified identify authentication， withunified management of organ， user and role as the core， can achieve single sign on and seamless integration ofwaterborneinformation system， effectively resolve conflicts betweenthedevelopmentofinformationsystemandtheincreasingly seriousphenomenon of information isolated island， and improve efficiency and ability of waterborne transport research institute.

Key words：unified identity authentication；single sign-on；system integration

1 概述

隨著計算機信息技術的不斷進步，中國正經歷著新一輪的產業革命[1-2]。作為國家信息化發展戰略的一部分，水運的信息化水平還有待進一步提高[3]。從管理信息系統建設方面來看，業務系統爆發式增長的同時，隨之而來的問題也日益凸顯，總結分析后可作如下闡述：

1）用戶信息維護復雜。各業務子系統擁有自己的登錄模式，因此用戶需要在多個系統即多點進行個人及組織機構信息的維護[4]。引入統一用戶管理[5]就可以實現用戶身份的集中統一管理，這將大大簡化用戶個人信息的維護工作。

2）用戶重復登錄業務子系統。根據業務辦理的不同要求，用戶需要多次登錄并訪問所屬子系統開展相關業務處理[6]。引入統一身份認證管理[7]就可以實現用戶單次登錄使用多個受信系統，如此則簡捷了用戶的登錄操作，提高辦公效率。

3）用戶的權限配置復雜。用戶的訪問權限需要分別到各子系統進行配置和管理，引入服務接口管理，就可以在用戶角色、菜單等訪問權限的集中管理基礎上，實現業務系統對角色權限的遠程獲取[8]。

基于以上考慮，構建了水運信息系統集成應用平臺，該平臺以基于統一用戶管理為原則，通過統一身份認證將獨立的各水運信息服務系統實現設計整合，建設一個以水運業務為支撐的綜合性應用服務平臺。

2邏輯架構

1）集成門戶管理模塊。集成門戶是所有水運應用子系統的用戶統一訪問入口，該部分主要實現應用系統、用戶、組織機構、角色權限等信息的統一管理。

2）統一身份認證網關模塊。該部分負責對集成門戶接入的用戶信息進行認證，其中重點包括身份認證CENTER和LDAP服務器。

3）服務接口管理中心模塊。各業務子系統與門戶平臺的交互都要通過接口應用服務中心對服務接口進行調用，以獲取應用系統用戶所需的個人身份、資源、角色、組織結構、待辦任務等類別信息。

2.1集成門戶管理模塊

水運管理系統的業務數據流轉普遍是基于交通運輸部及其所屬行政管理部門和行業單位的層層審批而發生的，基于該整體功能需求就形成了水運應用系統以組織機構樹為核心的用戶權限信息管理體系。統一用戶管理，是實現包括用戶信息在內的組織機構、角色權限、業務菜單、應用子系統等信息的統一維護管理。

集成門戶是應用系統用戶進行業務操作的統一訪問入口，在完成不同用戶到各業務子系統單點登錄的同時，集成門戶工作臺管理還將對如下功能，諸如：通知公告信息發布、待辦任務配置、便民連接配置、業務咨詢文件下載等提供其理想平臺效果實現。

為了更趨完整細致地了解集成門戶數據存儲結構，下面即對集成門戶管理模塊數據庫設計按照用戶所屬單位、角色權限進行拆分，并分塊對其物理數據模型進行圖解說明。

集成門戶，也是單點登錄的統一入口，需要對集成門戶工程進行如下配置，從而實現與身份認證CENTRAL和LDAP的交互，完成系統用戶單點登錄。

2.2統一身份認證網關

統一身份認證網關主要包括2部分：身份認證CENTER和LDAP服務器。其中，身份認證CENTER主要通過CAS[9-10]實現業務子系統用戶的登錄認證，LDAP[11]服務器主要用于存儲用戶的登錄名、密碼、唯一標識符等基本接入信息。而在用戶基本接入信息在存入集成門戶數據庫的同時，LDAP服務器也進行實時同步存儲。

統一身份認證網關的核心是身份認證CENTER對LDAP服務器中的訪問，基于統一身份認證的水運信息系統集成應用平臺登錄方式主要有2種：用戶名/密碼方式，電子鑰匙方式。

根據2.1節的內容，水運業務系統用戶要訪問平臺各子系統，需要在統一的集成門戶實現登錄，此時會被工程攔截器實施攔截。統一身份認證網關的優質攔截器主要包括：SingleSignOutFilter、AuthenticationFilterValidation Filter、HttpServletRequestWrapperFilter、AssertionThreadLocalFilter等。身份認證CENTRAL負責接收被攔截的用戶接入，并通過認證接口對LDAP服務器進行訪問，驗證登錄信息是否正確。驗證成功后，認證接口獲取用戶的唯一標識碼（SIGN_SER_NUMBER，簡稱SSN），憑此SSN去集成門戶數據庫的系統用戶信息表中找到對應的唯一用戶，并返回其所屬系統、組織機構、角色等基本信息。身份認證CENTER關聯查詢出該用戶所擁有的全部應用子系統并給予分配，而且同時授權該用戶在各子系統的可執行調度功能和資源，用戶即可以進行相關業務辦理。

用戶所擁有的各子系統的系統操作權限，需要在集成門戶平臺中進行配置，并與LDAP服務器保持數據同步。以組織機構用戶為例，其設計實現的配置過程如下：

1）查詢組織機構樹，在相應節點下新建所需機構。

2）選定操作子系統，將該組織機構添加到指定的應用系統下。

3）在組織機構下新建用戶，并填寫唯一標識碼信息即SSN。如果該用戶通過電子鑰匙登錄，其SSN應與電子鑰匙的硬件序列號保持一致。

4）選定操作子系統，將該用戶添加到指定的應用系統下。

5）選擇一個或多個相關角色分配功能菜單，并給應用系統用戶分配所需角色。

2.3服務接口管理

系統設計時，在基于統一身份認證的水運信息系統集成應用平臺中，用戶的個人信息、應用子系統、組織機構、角色權限等信息均是在集成門戶中進行統一管理，因此各水運業務子系統只需負責對業務數據的管理。而各子系統如需獲取集成門戶中的用戶信息，就要通過服務接口管理中心進行接口調用。

此外，為了使得各業務子系統能夠獲取當前登錄用戶，各業務系統需要編寫監聽類，而且同時加載相關配置文件。監聽類獲取統一身份認證網關傳入的當前登錄用戶的SSN，通過接口應用服務中心調用服務接口程序，獲取個人資料、組織結構、角色權限等用戶相關信息，并寫入SESSION信息供各業務系統使用。用戶退出登錄時，各系統用戶的SESSION信息也要一并移除。

3技術架構

3.1平臺體系架構

1）發現層。主要實現用戶對各業務子系統的門戶統一登錄。

2）業務應用層。主要實現用戶對所屬應用子系統的功能訪問和業務操作。

3）應用支撐層。包括統一用戶、身份認證、權限配置、日志以及工作流管理等。

4）數據資源層。實現各水運業務子系統的基礎數據，以及船舶、船員、招標等應用數據的整合存儲。

5）基礎平臺層。服務器主要包括應用服務器、數據庫服務器、LDAP服務器，以及公共網絡和部機關內部網絡配置。

3.2平臺網絡環境

部內用戶使用即將建成的高速公路光纖網訪問本系統。該網部接入節點帶寬為10Gbps，各級相關單位最小租用帶寬為2Mbps，可以滿足本系統帶寬使用要求。

部外用戶使用互聯網網絡訪問本系統。目前，部級互聯網接入為聯通、電信雙線路，各具有100Mbps，可以對我國南方、北方社會公眾提供同等質量的網絡服務，滿足本系統的帶寬使用要求。

3.3軟硬件環境

服務器主機的詳細配置如下：

產品類別：機架式服務器；CPU主頻：≥2.4 GHz；CPU個數：2顆（10核）；內存類型：Advanced ECC DDR3；內存容量：≥256GB；硬盤類型：SAS， 15K rpm；硬盤容量：≥2×146GB；網卡：8個千兆電口；HBA卡：2×8Gbps FC HBA；光驅：DVD光驅；操作系統：OEM操作系統；其他：含三年免費維護服務。

4結束語

通過對水運科學研究院相關水運業務應用系統集成的深入研究，在遵循相關管理辦法和技術標準、信息安全和保障體系統的基礎上，構建了水運信息系統集成綜合應用平臺，解決了傳統研發模式下存在的管理信息分散和業務信息孤立等系統性缺陷。該集成應用平臺，以統一用戶管理和身份認證為核心，以跨系統的業務信息集成和數據共享為目標，加強了系統對水運業務需求變化的后期可擴展性，而且優化了對業務系統的資源可重復利用能力和邏輯管理效率，同時更進一步提升了水運科學研究院為水運信息化服務的水平，因而具有現實重要的研究應用價值。

參考文獻：

[1]何霞. 新一代信息技術與新產業革命[J]. 中國信息化， 2015 （1）： 7-10.

[2]劉九如. 2015 年我國信息化發展預測[J]. 中國信息化， 2015 （1）： 3.

[3]龔裕霞. 加快我國水運經濟發展策略分析[J]. 中國水運， 2014 （12）： 30-31.

[4]肖愛華. 統一用戶管理系統設計與實現[D]. 長沙國防科學技術大學，2005.

[5]SUN H Z， HUANG N Y， CENTER I， et al. Design and implementation of unified user management system on central authentication service[J]. Journal of East China Normal University， 2015（S1）： 335-339.

[6]Olden E， Platt D C， Royer C， et al. System and method for single sign-on to resources across a network： US， US 8990911 B2[P]. 2015-03-24.

[7]吳慶杰， 田鵬. 異構認證系統間身份同步的設計與實現[J]. 華東師范大學學報（自然科學版）， 2015（S1）：197-203.

[8]胡曉曄. 統一身份認證系統用戶信息遠程調用與管理[J]. 西安工業大學學報， 2015， 35（9）：715-719.

[9] 孫浩志， 黃寧玉. 基于CAS的統一用戶管理系統的設計與實現[J]. 華東師范大學學報（自然科學版）， 2015（S1）：335-339.

[10] FANG Y， HAO J， BING H. Single sign-on research and expansion based on CAS[J]. Open Cybernetics &Systemics; Journal， 2015， 8（1）：200-207.

[11]QING-JIE W U， TIAN P， OFFICE I， et al. Design and implement of syncing identity information for heterogeneous systems[J]. Journal of East China Normal University， 2015（S1）：197-203.