基于統(tǒng)一身份認(rèn)證的水運(yùn)系統(tǒng)集成研究與實(shí)現(xiàn)

周育彬

摘要：基于統(tǒng)一身份認(rèn)證，提出了水運(yùn)信息系統(tǒng)集成應(yīng)用的邏輯架構(gòu)，構(gòu)建了水運(yùn)信息系統(tǒng)集成綜合應(yīng)用平臺(tái)。基于統(tǒng)一身份認(rèn)證的水運(yùn)信息系統(tǒng)集成綜合應(yīng)用平臺(tái)，在對組織機(jī)構(gòu)、用戶信息、角色權(quán)限統(tǒng)一管理的基礎(chǔ)上，實(shí)現(xiàn)各水運(yùn)業(yè)務(wù)子系統(tǒng)的無縫集成和單點(diǎn)登錄，有效地解決了行業(yè)當(dāng)前所面臨的業(yè)務(wù)系統(tǒng)蓬勃發(fā)展而信息孤島現(xiàn)象日益嚴(yán)重的矛盾，提高了水運(yùn)科研單位的服務(wù)效率和協(xié)同辦公能力。

關(guān)鍵詞：統(tǒng)一身份認(rèn)證；單點(diǎn)登錄；系統(tǒng)集成

中圖分類號： TP311.52文獻(xiàn)標(biāo)識(shí)碼：A文章編號：2095-2163（2016）02-

Research and implementation ofunified identifyauthentication-based waterborne transportinformation system integration

Abstract：Based on unified identify authentication ，this paper puts forward a logical architecture ofwaterbornetransportinformation system integration， and constructs a comprehensive application

platform. The comprehensive application platform of waterbornetransportinformationsystem

integration based on unified identify authentication， withunified management of organ， user and role as the core， can achieve single sign on and seamless integration ofwaterborneinformation system， effectively resolve conflicts betweenthedevelopmentofinformationsystemandtheincreasingly seriousphenomenon of information isolated island， and improve efficiency and ability of waterborne transport research institute.

Key words：unified identity authentication；single sign-on；system integration

1 概述

隨著計(jì)算機(jī)信息技術(shù)的不斷進(jìn)步，中國正經(jīng)歷著新一輪的產(chǎn)業(yè)革命[1-2]。作為國家信息化發(fā)展戰(zhàn)略的一部分，水運(yùn)的信息化水平還有待進(jìn)一步提高[3]。從管理信息系統(tǒng)建設(shè)方面來看，業(yè)務(wù)系統(tǒng)爆發(fā)式增長的同時(shí)，隨之而來的問題也日益凸顯，總結(jié)分析后可作如下闡述：

1）用戶信息維護(hù)復(fù)雜。各業(yè)務(wù)子系統(tǒng)擁有自己的登錄模式，因此用戶需要在多個(gè)系統(tǒng)即多點(diǎn)進(jìn)行個(gè)人及組織機(jī)構(gòu)信息的維護(hù)[4]。引入統(tǒng)一用戶管理[5]就可以實(shí)現(xiàn)用戶身份的集中統(tǒng)一管理，這將大大簡化用戶個(gè)人信息的維護(hù)工作。

2）用戶重復(fù)登錄業(yè)務(wù)子系統(tǒng)。根據(jù)業(yè)務(wù)辦理的不同要求，用戶需要多次登錄并訪問所屬子系統(tǒng)開展相關(guān)業(yè)務(wù)處理[6]。引入統(tǒng)一身份認(rèn)證管理[7]就可以實(shí)現(xiàn)用戶單次登錄使用多個(gè)受信系統(tǒng)，如此則簡捷了用戶的登錄操作，提高辦公效率。

3）用戶的權(quán)限配置復(fù)雜。用戶的訪問權(quán)限需要分別到各子系統(tǒng)進(jìn)行配置和管理，引入服務(wù)接口管理，就可以在用戶角色、菜單等訪問權(quán)限的集中管理基礎(chǔ)上，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)對角色權(quán)限的遠(yuǎn)程獲取[8]。

基于以上考慮，構(gòu)建了水運(yùn)信息系統(tǒng)集成應(yīng)用平臺(tái)，該平臺(tái)以基于統(tǒng)一用戶管理為原則，通過統(tǒng)一身份認(rèn)證將獨(dú)立的各水運(yùn)信息服務(wù)系統(tǒng)實(shí)現(xiàn)設(shè)計(jì)整合，建設(shè)一個(gè)以水運(yùn)業(yè)務(wù)為支撐的綜合性應(yīng)用服務(wù)平臺(tái)。

2邏輯架構(gòu)

1）集成門戶管理模塊。集成門戶是所有水運(yùn)應(yīng)用子系統(tǒng)的用戶統(tǒng)一訪問入口，該部分主要實(shí)現(xiàn)應(yīng)用系統(tǒng)、用戶、組織機(jī)構(gòu)、角色權(quán)限等信息的統(tǒng)一管理。

2）統(tǒng)一身份認(rèn)證網(wǎng)關(guān)模塊。該部分負(fù)責(zé)對集成門戶接入的用戶信息進(jìn)行認(rèn)證，其中重點(diǎn)包括身份認(rèn)證CENTER和LDAP服務(wù)器。

3）服務(wù)接口管理中心模塊。各業(yè)務(wù)子系統(tǒng)與門戶平臺(tái)的交互都要通過接口應(yīng)用服務(wù)中心對服務(wù)接口進(jìn)行調(diào)用，以獲取應(yīng)用系統(tǒng)用戶所需的個(gè)人身份、資源、角色、組織結(jié)構(gòu)、待辦任務(wù)等類別信息。

2.1集成門戶管理模塊

水運(yùn)管理系統(tǒng)的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)普遍是基于交通運(yùn)輸部及其所屬行政管理部門和行業(yè)單位的層層審批而發(fā)生的，基于該整體功能需求就形成了水運(yùn)應(yīng)用系統(tǒng)以組織機(jī)構(gòu)樹為核心的用戶權(quán)限信息管理體系。統(tǒng)一用戶管理，是實(shí)現(xiàn)包括用戶信息在內(nèi)的組織機(jī)構(gòu)、角色權(quán)限、業(yè)務(wù)菜單、應(yīng)用子系統(tǒng)等信息的統(tǒng)一維護(hù)管理。

集成門戶是應(yīng)用系統(tǒng)用戶進(jìn)行業(yè)務(wù)操作的統(tǒng)一訪問入口，在完成不同用戶到各業(yè)務(wù)子系統(tǒng)單點(diǎn)登錄的同時(shí)，集成門戶工作臺(tái)管理還將對如下功能，諸如：通知公告信息發(fā)布、待辦任務(wù)配置、便民連接配置、業(yè)務(wù)咨詢文件下載等提供其理想平臺(tái)效果實(shí)現(xiàn)。

為了更趨完整細(xì)致地了解集成門戶數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，下面即對集成門戶管理模塊數(shù)據(jù)庫設(shè)計(jì)按照用戶所屬單位、角色權(quán)限進(jìn)行拆分，并分塊對其物理數(shù)據(jù)模型進(jìn)行圖解說明。

集成門戶，也是單點(diǎn)登錄的統(tǒng)一入口，需要對集成門戶工程進(jìn)行如下配置，從而實(shí)現(xiàn)與身份認(rèn)證CENTRAL和LDAP的交互，完成系統(tǒng)用戶單點(diǎn)登錄。

2.2統(tǒng)一身份認(rèn)證網(wǎng)關(guān)

統(tǒng)一身份認(rèn)證網(wǎng)關(guān)主要包括2部分：身份認(rèn)證CENTER和LDAP服務(wù)器。其中，身份認(rèn)證CENTER主要通過CAS[9-10]實(shí)現(xiàn)業(yè)務(wù)子系統(tǒng)用戶的登錄認(rèn)證，LDAP[11]服務(wù)器主要用于存儲(chǔ)用戶的登錄名、密碼、唯一標(biāo)識(shí)符等基本接入信息。而在用戶基本接入信息在存入集成門戶數(shù)據(jù)庫的同時(shí)，LDAP服務(wù)器也進(jìn)行實(shí)時(shí)同步存儲(chǔ)。

統(tǒng)一身份認(rèn)證網(wǎng)關(guān)的核心是身份認(rèn)證CENTER對LDAP服務(wù)器中的訪問，基于統(tǒng)一身份認(rèn)證的水運(yùn)信息系統(tǒng)集成應(yīng)用平臺(tái)登錄方式主要有2種：用戶名/密碼方式，電子鑰匙方式。

根據(jù)2.1節(jié)的內(nèi)容，水運(yùn)業(yè)務(wù)系統(tǒng)用戶要訪問平臺(tái)各子系統(tǒng)，需要在統(tǒng)一的集成門戶實(shí)現(xiàn)登錄，此時(shí)會(huì)被工程攔截器實(shí)施攔截。統(tǒng)一身份認(rèn)證網(wǎng)關(guān)的優(yōu)質(zhì)攔截器主要包括：SingleSignOutFilter、AuthenticationFilterValidation Filter、HttpServletRequestWrapperFilter、AssertionThreadLocalFilter等。身份認(rèn)證CENTRAL負(fù)責(zé)接收被攔截的用戶接入，并通過認(rèn)證接口對LDAP服務(wù)器進(jìn)行訪問，驗(yàn)證登錄信息是否正確。驗(yàn)證成功后，認(rèn)證接口獲取用戶的唯一標(biāo)識(shí)碼（SIGN_SER_NUMBER，簡稱SSN），憑此SSN去集成門戶數(shù)據(jù)庫的系統(tǒng)用戶信息表中找到對應(yīng)的唯一用戶，并返回其所屬系統(tǒng)、組織機(jī)構(gòu)、角色等基本信息。身份認(rèn)證CENTER關(guān)聯(lián)查詢出該用戶所擁有的全部應(yīng)用子系統(tǒng)并給予分配，而且同時(shí)授權(quán)該用戶在各子系統(tǒng)的可執(zhí)行調(diào)度功能和資源，用戶即可以進(jìn)行相關(guān)業(yè)務(wù)辦理。

用戶所擁有的各子系統(tǒng)的系統(tǒng)操作權(quán)限，需要在集成門戶平臺(tái)中進(jìn)行配置，并與LDAP服務(wù)器保持?jǐn)?shù)據(jù)同步。以組織機(jī)構(gòu)用戶為例，其設(shè)計(jì)實(shí)現(xiàn)的配置過程如下：

1）查詢組織機(jī)構(gòu)樹，在相應(yīng)節(jié)點(diǎn)下新建所需機(jī)構(gòu)。

2）選定操作子系統(tǒng)，將該組織機(jī)構(gòu)添加到指定的應(yīng)用系統(tǒng)下。

3）在組織機(jī)構(gòu)下新建用戶，并填寫唯一標(biāo)識(shí)碼信息即SSN。如果該用戶通過電子鑰匙登錄，其SSN應(yīng)與電子鑰匙的硬件序列號保持一致。

4）選定操作子系統(tǒng)，將該用戶添加到指定的應(yīng)用系統(tǒng)下。

5）選擇一個(gè)或多個(gè)相關(guān)角色分配功能菜單，并給應(yīng)用系統(tǒng)用戶分配所需角色。

2.3服務(wù)接口管理

系統(tǒng)設(shè)計(jì)時(shí)，在基于統(tǒng)一身份認(rèn)證的水運(yùn)信息系統(tǒng)集成應(yīng)用平臺(tái)中，用戶的個(gè)人信息、應(yīng)用子系統(tǒng)、組織機(jī)構(gòu)、角色權(quán)限等信息均是在集成門戶中進(jìn)行統(tǒng)一管理，因此各水運(yùn)業(yè)務(wù)子系統(tǒng)只需負(fù)責(zé)對業(yè)務(wù)數(shù)據(jù)的管理。而各子系統(tǒng)如需獲取集成門戶中的用戶信息，就要通過服務(wù)接口管理中心進(jìn)行接口調(diào)用。

此外，為了使得各業(yè)務(wù)子系統(tǒng)能夠獲取當(dāng)前登錄用戶，各業(yè)務(wù)系統(tǒng)需要編寫監(jiān)聽類，而且同時(shí)加載相關(guān)配置文件。監(jiān)聽類獲取統(tǒng)一身份認(rèn)證網(wǎng)關(guān)傳入的當(dāng)前登錄用戶的SSN，通過接口應(yīng)用服務(wù)中心調(diào)用服務(wù)接口程序，獲取個(gè)人資料、組織結(jié)構(gòu)、角色權(quán)限等用戶相關(guān)信息，并寫入SESSION信息供各業(yè)務(wù)系統(tǒng)使用。用戶退出登錄時(shí)，各系統(tǒng)用戶的SESSION信息也要一并移除。

3技術(shù)架構(gòu)

3.1平臺(tái)體系架構(gòu)

1）發(fā)現(xiàn)層。主要實(shí)現(xiàn)用戶對各業(yè)務(wù)子系統(tǒng)的門戶統(tǒng)一登錄。

2）業(yè)務(wù)應(yīng)用層。主要實(shí)現(xiàn)用戶對所屬應(yīng)用子系統(tǒng)的功能訪問和業(yè)務(wù)操作。

3）應(yīng)用支撐層。包括統(tǒng)一用戶、身份認(rèn)證、權(quán)限配置、日志以及工作流管理等。

4）數(shù)據(jù)資源層。實(shí)現(xiàn)各水運(yùn)業(yè)務(wù)子系統(tǒng)的基礎(chǔ)數(shù)據(jù)，以及船舶、船員、招標(biāo)等應(yīng)用數(shù)據(jù)的整合存儲(chǔ)。

5）基礎(chǔ)平臺(tái)層。服務(wù)器主要包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、LDAP服務(wù)器，以及公共網(wǎng)絡(luò)和部機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)配置。

3.2平臺(tái)網(wǎng)絡(luò)環(huán)境

部內(nèi)用戶使用即將建成的高速公路光纖網(wǎng)訪問本系統(tǒng)。該網(wǎng)部接入節(jié)點(diǎn)帶寬為10Gbps，各級相關(guān)單位最小租用帶寬為2Mbps，可以滿足本系統(tǒng)帶寬使用要求。

部外用戶使用互聯(lián)網(wǎng)網(wǎng)絡(luò)訪問本系統(tǒng)。目前，部級互聯(lián)網(wǎng)接入為聯(lián)通、電信雙線路，各具有100Mbps，可以對我國南方、北方社會(huì)公眾提供同等質(zhì)量的網(wǎng)絡(luò)服務(wù)，滿足本系統(tǒng)的帶寬使用要求。

3.3軟硬件環(huán)境

服務(wù)器主機(jī)的詳細(xì)配置如下：

產(chǎn)品類別：機(jī)架式服務(wù)器；CPU主頻：≥2.4 GHz；CPU個(gè)數(shù)：2顆（10核）；內(nèi)存類型：Advanced ECC DDR3；內(nèi)存容量：≥256GB；硬盤類型：SAS， 15K rpm；硬盤容量：≥2×146GB；網(wǎng)卡：8個(gè)千兆電口；HBA卡：2×8Gbps FC HBA；光驅(qū)：DVD光驅(qū)；操作系統(tǒng)：OEM操作系統(tǒng)；其他：含三年免費(fèi)維護(hù)服務(wù)。

4結(jié)束語

通過對水運(yùn)科學(xué)研究院相關(guān)水運(yùn)業(yè)務(wù)應(yīng)用系統(tǒng)集成的深入研究，在遵循相關(guān)管理辦法和技術(shù)標(biāo)準(zhǔn)、信息安全和保障體系統(tǒng)的基礎(chǔ)上，構(gòu)建了水運(yùn)信息系統(tǒng)集成綜合應(yīng)用平臺(tái)，解決了傳統(tǒng)研發(fā)模式下存在的管理信息分散和業(yè)務(wù)信息孤立等系統(tǒng)性缺陷。該集成應(yīng)用平臺(tái)，以統(tǒng)一用戶管理和身份認(rèn)證為核心，以跨系統(tǒng)的業(yè)務(wù)信息集成和數(shù)據(jù)共享為目標(biāo)，加強(qiáng)了系統(tǒng)對水運(yùn)業(yè)務(wù)需求變化的后期可擴(kuò)展性，而且優(yōu)化了對業(yè)務(wù)系統(tǒng)的資源可重復(fù)利用能力和邏輯管理效率，同時(shí)更進(jìn)一步提升了水運(yùn)科學(xué)研究院為水運(yùn)信息化服務(wù)的水平，因而具有現(xiàn)實(shí)重要的研究應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1]何霞. 新一代信息技術(shù)與新產(chǎn)業(yè)革命[J]. 中國信息化， 2015 （1）： 7-10.

[2]劉九如. 2015 年我國信息化發(fā)展預(yù)測[J]. 中國信息化， 2015 （1）： 3.

[3]龔裕霞. 加快我國水運(yùn)經(jīng)濟(jì)發(fā)展策略分析[J]. 中國水運(yùn)， 2014 （12）： 30-31.

[4]肖愛華. 統(tǒng)一用戶管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 長沙國防科學(xué)技術(shù)大學(xué)，2005.

[5]SUN H Z， HUANG N Y， CENTER I， et al. Design and implementation of unified user management system on central authentication service[J]. Journal of East China Normal University， 2015（S1）： 335-339.

[6]Olden E， Platt D C， Royer C， et al. System and method for single sign-on to resources across a network： US， US 8990911 B2[P]. 2015-03-24.

[7]吳慶杰， 田鵬. 異構(gòu)認(rèn)證系統(tǒng)間身份同步的設(shè)計(jì)與實(shí)現(xiàn)[J]. 華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2015（S1）：197-203.

[8]胡曉曄. 統(tǒng)一身份認(rèn)證系統(tǒng)用戶信息遠(yuǎn)程調(diào)用與管理[J]. 西安工業(yè)大學(xué)學(xué)報(bào)， 2015， 35（9）：715-719.

[9] 孫浩志， 黃寧玉. 基于CAS的統(tǒng)一用戶管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2015（S1）：335-339.

[10] FANG Y， HAO J， BING H. Single sign-on research and expansion based on CAS[J]. Open Cybernetics &Systemics; Journal， 2015， 8（1）：200-207.

[11]QING-JIE W U， TIAN P， OFFICE I， et al. Design and implement of syncing identity information for heterogeneous systems[J]. Journal of East China Normal University， 2015（S1）：197-203.