基于統(tǒng)一身份認證的水運系統(tǒng)集成研究與實現(xiàn)

周育彬

摘要：基于統(tǒng)一身份認證，提出了水運信息系統(tǒng)集成應(yīng)用的邏輯架構(gòu)，構(gòu)建了水運信息系統(tǒng)集成綜合應(yīng)用平臺。基于統(tǒng)一身份認證的水運信息系統(tǒng)集成綜合應(yīng)用平臺，在對組織機構(gòu)、用戶信息、角色權(quán)限統(tǒng)一管理的基礎(chǔ)上，實現(xiàn)各水運業(yè)務(wù)子系統(tǒng)的無縫集成和單點登錄，有效地解決了行業(yè)當前所面臨的業(yè)務(wù)系統(tǒng)蓬勃發(fā)展而信息孤島現(xiàn)象日益嚴重的矛盾，提高了水運科研單位的服務(wù)效率和協(xié)同辦公能力。

關(guān)鍵詞：統(tǒng)一身份認證；單點登錄；系統(tǒng)集成

中圖分類號： TP311.52文獻標識碼：A文章編號：2095-2163（2016）02-

Research and implementation ofunified identifyauthentication-based waterborne transportinformation system integration

Abstract：Based on unified identify authentication ，this paper puts forward a logical architecture ofwaterbornetransportinformation system integration， and constructs a comprehensive application

platform. The comprehensive application platform of waterbornetransportinformationsystem

integration based on unified identify authentication， withunified management of organ， user and role as the core， can achieve single sign on and seamless integration ofwaterborneinformation system， effectively resolve conflicts betweenthedevelopmentofinformationsystemandtheincreasingly seriousphenomenon of information isolated island， and improve efficiency and ability of waterborne transport research institute.

Key words：unified identity authentication；single sign-on；system integration

1 概述

隨著計算機信息技術(shù)的不斷進步，中國正經(jīng)歷著新一輪的產(chǎn)業(yè)革命[1-2]。作為國家信息化發(fā)展戰(zhàn)略的一部分，水運的信息化水平還有待進一步提高[3]。從管理信息系統(tǒng)建設(shè)方面來看，業(yè)務(wù)系統(tǒng)爆發(fā)式增長的同時，隨之而來的問題也日益凸顯，總結(jié)分析后可作如下闡述：

1）用戶信息維護復(fù)雜。各業(yè)務(wù)子系統(tǒng)擁有自己的登錄模式，因此用戶需要在多個系統(tǒng)即多點進行個人及組織機構(gòu)信息的維護[4]。引入統(tǒng)一用戶管理[5]就可以實現(xiàn)用戶身份的集中統(tǒng)一管理，這將大大簡化用戶個人信息的維護工作。

2）用戶重復(fù)登錄業(yè)務(wù)子系統(tǒng)。根據(jù)業(yè)務(wù)辦理的不同要求，用戶需要多次登錄并訪問所屬子系統(tǒng)開展相關(guān)業(yè)務(wù)處理[6]。引入統(tǒng)一身份認證管理[7]就可以實現(xiàn)用戶單次登錄使用多個受信系統(tǒng)，如此則簡捷了用戶的登錄操作，提高辦公效率。

3）用戶的權(quán)限配置復(fù)雜。用戶的訪問權(quán)限需要分別到各子系統(tǒng)進行配置和管理，引入服務(wù)接口管理，就可以在用戶角色、菜單等訪問權(quán)限的集中管理基礎(chǔ)上，實現(xiàn)業(yè)務(wù)系統(tǒng)對角色權(quán)限的遠程獲取[8]。

基于以上考慮，構(gòu)建了水運信息系統(tǒng)集成應(yīng)用平臺，該平臺以基于統(tǒng)一用戶管理為原則，通過統(tǒng)一身份認證將獨立的各水運信息服務(wù)系統(tǒng)實現(xiàn)設(shè)計整合，建設(shè)一個以水運業(yè)務(wù)為支撐的綜合性應(yīng)用服務(wù)平臺。

2邏輯架構(gòu)

1）集成門戶管理模塊。集成門戶是所有水運應(yīng)用子系統(tǒng)的用戶統(tǒng)一訪問入口，該部分主要實現(xiàn)應(yīng)用系統(tǒng)、用戶、組織機構(gòu)、角色權(quán)限等信息的統(tǒng)一管理。

2）統(tǒng)一身份認證網(wǎng)關(guān)模塊。該部分負責對集成門戶接入的用戶信息進行認證，其中重點包括身份認證CENTER和LDAP服務(wù)器。

3）服務(wù)接口管理中心模塊。各業(yè)務(wù)子系統(tǒng)與門戶平臺的交互都要通過接口應(yīng)用服務(wù)中心對服務(wù)接口進行調(diào)用，以獲取應(yīng)用系統(tǒng)用戶所需的個人身份、資源、角色、組織結(jié)構(gòu)、待辦任務(wù)等類別信息。

2.1集成門戶管理模塊

水運管理系統(tǒng)的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)普遍是基于交通運輸部及其所屬行政管理部門和行業(yè)單位的層層審批而發(fā)生的，基于該整體功能需求就形成了水運應(yīng)用系統(tǒng)以組織機構(gòu)樹為核心的用戶權(quán)限信息管理體系。統(tǒng)一用戶管理，是實現(xiàn)包括用戶信息在內(nèi)的組織機構(gòu)、角色權(quán)限、業(yè)務(wù)菜單、應(yīng)用子系統(tǒng)等信息的統(tǒng)一維護管理。

集成門戶是應(yīng)用系統(tǒng)用戶進行業(yè)務(wù)操作的統(tǒng)一訪問入口，在完成不同用戶到各業(yè)務(wù)子系統(tǒng)單點登錄的同時，集成門戶工作臺管理還將對如下功能，諸如：通知公告信息發(fā)布、待辦任務(wù)配置、便民連接配置、業(yè)務(wù)咨詢文件下載等提供其理想平臺效果實現(xiàn)。

為了更趨完整細致地了解集成門戶數(shù)據(jù)存儲結(jié)構(gòu)，下面即對集成門戶管理模塊數(shù)據(jù)庫設(shè)計按照用戶所屬單位、角色權(quán)限進行拆分，并分塊對其物理數(shù)據(jù)模型進行圖解說明。

集成門戶，也是單點登錄的統(tǒng)一入口，需要對集成門戶工程進行如下配置，從而實現(xiàn)與身份認證CENTRAL和LDAP的交互，完成系統(tǒng)用戶單點登錄。

2.2統(tǒng)一身份認證網(wǎng)關(guān)

統(tǒng)一身份認證網(wǎng)關(guān)主要包括2部分：身份認證CENTER和LDAP服務(wù)器。其中，身份認證CENTER主要通過CAS[9-10]實現(xiàn)業(yè)務(wù)子系統(tǒng)用戶的登錄認證，LDAP[11]服務(wù)器主要用于存儲用戶的登錄名、密碼、唯一標識符等基本接入信息。而在用戶基本接入信息在存入集成門戶數(shù)據(jù)庫的同時，LDAP服務(wù)器也進行實時同步存儲。

統(tǒng)一身份認證網(wǎng)關(guān)的核心是身份認證CENTER對LDAP服務(wù)器中的訪問，基于統(tǒng)一身份認證的水運信息系統(tǒng)集成應(yīng)用平臺登錄方式主要有2種：用戶名/密碼方式，電子鑰匙方式。

根據(jù)2.1節(jié)的內(nèi)容，水運業(yè)務(wù)系統(tǒng)用戶要訪問平臺各子系統(tǒng)，需要在統(tǒng)一的集成門戶實現(xiàn)登錄，此時會被工程攔截器實施攔截。統(tǒng)一身份認證網(wǎng)關(guān)的優(yōu)質(zhì)攔截器主要包括：SingleSignOutFilter、AuthenticationFilterValidation Filter、HttpServletRequestWrapperFilter、AssertionThreadLocalFilter等。身份認證CENTRAL負責接收被攔截的用戶接入，并通過認證接口對LDAP服務(wù)器進行訪問，驗證登錄信息是否正確。驗證成功后，認證接口獲取用戶的唯一標識碼（SIGN_SER_NUMBER，簡稱SSN），憑此SSN去集成門戶數(shù)據(jù)庫的系統(tǒng)用戶信息表中找到對應(yīng)的唯一用戶，并返回其所屬系統(tǒng)、組織機構(gòu)、角色等基本信息。身份認證CENTER關(guān)聯(lián)查詢出該用戶所擁有的全部應(yīng)用子系統(tǒng)并給予分配，而且同時授權(quán)該用戶在各子系統(tǒng)的可執(zhí)行調(diào)度功能和資源，用戶即可以進行相關(guān)業(yè)務(wù)辦理。

用戶所擁有的各子系統(tǒng)的系統(tǒng)操作權(quán)限，需要在集成門戶平臺中進行配置，并與LDAP服務(wù)器保持數(shù)據(jù)同步。以組織機構(gòu)用戶為例，其設(shè)計實現(xiàn)的配置過程如下：

1）查詢組織機構(gòu)樹，在相應(yīng)節(jié)點下新建所需機構(gòu)。

2）選定操作子系統(tǒng)，將該組織機構(gòu)添加到指定的應(yīng)用系統(tǒng)下。

3）在組織機構(gòu)下新建用戶，并填寫唯一標識碼信息即SSN。如果該用戶通過電子鑰匙登錄，其SSN應(yīng)與電子鑰匙的硬件序列號保持一致。

4）選定操作子系統(tǒng)，將該用戶添加到指定的應(yīng)用系統(tǒng)下。

5）選擇一個或多個相關(guān)角色分配功能菜單，并給應(yīng)用系統(tǒng)用戶分配所需角色。

2.3服務(wù)接口管理

系統(tǒng)設(shè)計時，在基于統(tǒng)一身份認證的水運信息系統(tǒng)集成應(yīng)用平臺中，用戶的個人信息、應(yīng)用子系統(tǒng)、組織機構(gòu)、角色權(quán)限等信息均是在集成門戶中進行統(tǒng)一管理，因此各水運業(yè)務(wù)子系統(tǒng)只需負責對業(yè)務(wù)數(shù)據(jù)的管理。而各子系統(tǒng)如需獲取集成門戶中的用戶信息，就要通過服務(wù)接口管理中心進行接口調(diào)用。

此外，為了使得各業(yè)務(wù)子系統(tǒng)能夠獲取當前登錄用戶，各業(yè)務(wù)系統(tǒng)需要編寫監(jiān)聽類，而且同時加載相關(guān)配置文件。監(jiān)聽類獲取統(tǒng)一身份認證網(wǎng)關(guān)傳入的當前登錄用戶的SSN，通過接口應(yīng)用服務(wù)中心調(diào)用服務(wù)接口程序，獲取個人資料、組織結(jié)構(gòu)、角色權(quán)限等用戶相關(guān)信息，并寫入SESSION信息供各業(yè)務(wù)系統(tǒng)使用。用戶退出登錄時，各系統(tǒng)用戶的SESSION信息也要一并移除。

3技術(shù)架構(gòu)

3.1平臺體系架構(gòu)

1）發(fā)現(xiàn)層。主要實現(xiàn)用戶對各業(yè)務(wù)子系統(tǒng)的門戶統(tǒng)一登錄。

2）業(yè)務(wù)應(yīng)用層。主要實現(xiàn)用戶對所屬應(yīng)用子系統(tǒng)的功能訪問和業(yè)務(wù)操作。

3）應(yīng)用支撐層。包括統(tǒng)一用戶、身份認證、權(quán)限配置、日志以及工作流管理等。

4）數(shù)據(jù)資源層。實現(xiàn)各水運業(yè)務(wù)子系統(tǒng)的基礎(chǔ)數(shù)據(jù)，以及船舶、船員、招標等應(yīng)用數(shù)據(jù)的整合存儲。

5）基礎(chǔ)平臺層。服務(wù)器主要包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、LDAP服務(wù)器，以及公共網(wǎng)絡(luò)和部機關(guān)內(nèi)部網(wǎng)絡(luò)配置。

3.2平臺網(wǎng)絡(luò)環(huán)境

部內(nèi)用戶使用即將建成的高速公路光纖網(wǎng)訪問本系統(tǒng)。該網(wǎng)部接入節(jié)點帶寬為10Gbps，各級相關(guān)單位最小租用帶寬為2Mbps，可以滿足本系統(tǒng)帶寬使用要求。

部外用戶使用互聯(lián)網(wǎng)網(wǎng)絡(luò)訪問本系統(tǒng)。目前，部級互聯(lián)網(wǎng)接入為聯(lián)通、電信雙線路，各具有100Mbps，可以對我國南方、北方社會公眾提供同等質(zhì)量的網(wǎng)絡(luò)服務(wù)，滿足本系統(tǒng)的帶寬使用要求。

3.3軟硬件環(huán)境

服務(wù)器主機的詳細配置如下：

產(chǎn)品類別：機架式服務(wù)器；CPU主頻：≥2.4 GHz；CPU個數(shù)：2顆（10核）；內(nèi)存類型：Advanced ECC DDR3；內(nèi)存容量：≥256GB；硬盤類型：SAS， 15K rpm；硬盤容量：≥2×146GB；網(wǎng)卡：8個千兆電口；HBA卡：2×8Gbps FC HBA；光驅(qū)：DVD光驅(qū)；操作系統(tǒng)：OEM操作系統(tǒng)；其他：含三年免費維護服務(wù)。

4結(jié)束語

通過對水運科學(xué)研究院相關(guān)水運業(yè)務(wù)應(yīng)用系統(tǒng)集成的深入研究，在遵循相關(guān)管理辦法和技術(shù)標準、信息安全和保障體系統(tǒng)的基礎(chǔ)上，構(gòu)建了水運信息系統(tǒng)集成綜合應(yīng)用平臺，解決了傳統(tǒng)研發(fā)模式下存在的管理信息分散和業(yè)務(wù)信息孤立等系統(tǒng)性缺陷。該集成應(yīng)用平臺，以統(tǒng)一用戶管理和身份認證為核心，以跨系統(tǒng)的業(yè)務(wù)信息集成和數(shù)據(jù)共享為目標，加強了系統(tǒng)對水運業(yè)務(wù)需求變化的后期可擴展性，而且優(yōu)化了對業(yè)務(wù)系統(tǒng)的資源可重復(fù)利用能力和邏輯管理效率，同時更進一步提升了水運科學(xué)研究院為水運信息化服務(wù)的水平，因而具有現(xiàn)實重要的研究應(yīng)用價值。

參考文獻：

[1]何霞. 新一代信息技術(shù)與新產(chǎn)業(yè)革命[J]. 中國信息化， 2015 （1）： 7-10.

[2]劉九如. 2015 年我國信息化發(fā)展預(yù)測[J]. 中國信息化， 2015 （1）： 3.

[3]龔裕霞. 加快我國水運經(jīng)濟發(fā)展策略分析[J]. 中國水運， 2014 （12）： 30-31.

[4]肖愛華. 統(tǒng)一用戶管理系統(tǒng)設(shè)計與實現(xiàn)[D]. 長沙國防科學(xué)技術(shù)大學(xué)，2005.

[5]SUN H Z， HUANG N Y， CENTER I， et al. Design and implementation of unified user management system on central authentication service[J]. Journal of East China Normal University， 2015（S1）： 335-339.

[6]Olden E， Platt D C， Royer C， et al. System and method for single sign-on to resources across a network： US， US 8990911 B2[P]. 2015-03-24.

[7]吳慶杰， 田鵬. 異構(gòu)認證系統(tǒng)間身份同步的設(shè)計與實現(xiàn)[J]. 華東師范大學(xué)學(xué)報（自然科學(xué)版）， 2015（S1）：197-203.

[8]胡曉曄. 統(tǒng)一身份認證系統(tǒng)用戶信息遠程調(diào)用與管理[J]. 西安工業(yè)大學(xué)學(xué)報， 2015， 35（9）：715-719.

[9] 孫浩志， 黃寧玉. 基于CAS的統(tǒng)一用戶管理系統(tǒng)的設(shè)計與實現(xiàn)[J]. 華東師范大學(xué)學(xué)報（自然科學(xué)版）， 2015（S1）：335-339.

[10] FANG Y， HAO J， BING H. Single sign-on research and expansion based on CAS[J]. Open Cybernetics &Systemics; Journal， 2015， 8（1）：200-207.

[11]QING-JIE W U， TIAN P， OFFICE I， et al. Design and implement of syncing identity information for heterogeneous systems[J]. Journal of East China Normal University， 2015（S1）：197-203.