混合模式下統一門戶平臺的設計與實現

李昌斌 馬莉 李萱

(1.深圳職業技術學院 廣東深圳 518055;2.深圳出入境檢驗檢疫局)

1 前言

隨著檢驗檢疫業務的多層次、跨領域發展，相應的信息化應用系統也隨之構建。多種信息化系統的應用為業務開展和決策管理提供了便利，提高了工作效率。然而，由于應用系統的開發技術標準和側重功能點不同，形成了不同的用戶庫和用戶認證體系。信息系統逐漸變成了難以數據共享的信息孤島，各個系統不能組合成一個有機的整體，降低了信息資源利用率。對用戶而言，業務流程隨著時代要求不斷發展，信息化系統也不斷增加，工作人員反復登錄多個系統，影響了工作的高效性和連貫性。用戶需要登錄系統的越多，出錯的可能性就會越多，受到非法截獲和破壞的可能性也會增大，安全性就會相應降低。同時，類型繁多的系統用戶管理，也給系統管理人員帶來了大量的工作。

在當前業務需求向著分類細致、管理完善發展的趨勢上金額下，基于單一業務流的信息化系統已不能充分滿足業務發展的需要。隨著檢驗檢疫業務流的不斷豐富，使用過程中伴隨著多次登錄的反復性和操作頻繁的安全不確定性，如何高效的使用已有信息化系統的功能和數據成為急需有效解決的問題。因此，在面向現有多業務流驅動的眾多信息化系統，將不同技術體系、不同開發時期的系統表現層、應用層和數據層整合到一個平臺上，并以統一的登錄入口展現給用戶，建立統一門戶平臺具有迫切性。

2 統一門戶平臺概述

統一門戶平臺構建了一個多層的，能夠為使用者提供一個協同工作的環境?？蚣芸煞譃楸憩F層、門戶服務層、應用層和數據層，能夠有效整合多個系統的資源，充分利用已有的業務流功能和數據，融合了信息集成、協同服務等多種手段，為用戶提供統一的協同辦公環境。工作人員可以基于門戶登陸入口的一次性身份驗證，對所有被授權的系統資源進行無縫的訪問，實現一次登陸，全面使用。從而提高用戶的工作效率，降低管理成本，加強數據的可用性，增強信息化系統的安全性。

門戶平臺構建了一個基于單點登錄的平臺架構。通過此平臺的構建和實施，能夠大幅提高用戶體驗，優化工作流程，讓用戶獲得訪問便利性的同時增強信息安全性的保障。

3 混合模式下的統一門戶平臺的關鍵技術

3.1 統一的訪問控制與身份管理

身份管理是管理一個用戶賬號完整的生命周期，從賬號配置開始，經歷日常用戶管理，到取消賬號結束。包括用戶的密碼管理，基于角色的訪問控制，簡明的策略管理和日志的跟蹤。

統一的訪問控制與身份管理是使用集中的身份管理和訪問控制平臺，根據已有的身份管理策略，實現對于所有身份對象的集中的自動化管理和訪問授權及控制，同時提供用戶單點登錄和用戶信息自助管理功能。

用戶通過常用的瀏覽器登錄統一門戶平臺的入口，通過認證后服務端返回給用戶一個憑證，該憑證發給授權模塊，授權模塊對用戶使用哪些系統進行授權，這樣，用戶就實現了對授權內系統的透明登錄。其中，常見的認證機制有以下幾類:①通過用戶名和口令認證用戶身份;②支持采用X.509v3電子證書的驗證方式。數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。身份驗證機構的數字簽名可以確保證書信息的真實性，用戶公鑰信息可以保證數字信息傳輸的完整性，用戶的數字簽名可以保證數字信息的不可否認性。數字證書包括證書申請者的信息和發放證書的認證中心的信息;③通過本地操作系統認證;④通過可靠關聯的第三方身份認證服務器，常見的有IBM Tivoli Access Manager，Novell Access Manager等。

3.2 混合模式同一化

常見的信息化系統不僅有B/S結構，也有不少是C/S結構。對于Client/Server結構的應用系統，原來都需要在客戶端安裝Client端軟件，而且維護和升級成本高。因此，將C/S系統轉為B/S系統進行web訪問，為用戶和管理員都提供了便利。常用的模式轉換有兩種方式:一是硬件方式，如Netilla平臺;二是軟件方式，使用第三方轉換器，將C/S客戶端包裝成web客戶端。

3.3 基于角色的內容拓展

統一門戶平臺不僅需要統一界面風格，也需要靈活的頁面布局來滿足用戶的個性化需求。用戶可以根據自己的偏好設定應用的可見性，并根據工作職責選用適當形式的統計圖，如趨勢圖、報表等。

4 混合模式下的統一門戶系統設計

由于原有業務系統的技術體系和結構的不同，統一門戶平臺首先要統一混合的B/S、C/S結構，進行集中登錄認證，并對系統的數據進行提取和整合，實現對系統的界面集成和信息整合。

統一門戶是面向各種角色用戶的平臺，為不同崗位的工作人員定制不同的工作界面，構建工作人員的個人網上信息中心;在工作界面內只展示和用戶個人工作相關的內容，工作提示消息以及用戶在其他業務系統內的任務清單;點擊工作提示和任務清單能直接打開相應業務處理界面，實現對業務系統的界面整合。

4.1 系統架構

圖1 統一門戶平臺系統架構圖

按照該系統架構，整個平臺分為四部分，分別為信息存儲層、應用層、平臺門戶層以及相應的業務數據規范標準體系。

4.1.1 信息存儲層

信息存儲層的作用就是對信息資源層定義的各種數據進行采集和存入業務數據庫，在業務數據庫的基礎上建立核心業務數據庫，在支撐數據庫和核心業務數據庫的基礎上為平臺門戶提供基礎數據資源。

4.1.2 應用層

應用層主要將辦公系統、各類業務系統集成在一個界面上，提供一個統一的入口，用戶可以根據自己的需要設定各系統的快捷方式，供用戶采集信息、發布信息、辦公及完成業務流程使用。

4.1.3 平臺門戶層

平臺門戶是工作的基本平臺，采用現代門戶技術搭建綜合應用的統一門戶，為用戶提供統一登陸的界面，門戶通過數據與應用的集成及個性化的控制，為用戶提供一個唯一的接入點，通過該接入點，提供全面的業務信息和應用。門戶包括三個方面的作用，首先是實現用戶登錄進入系統的身份驗證，其次是根據用戶的身份進行明確的權限劃分，最后是將平臺門戶的各種應用功能和關鍵信息按照不同的權限范圍展現給不同的用戶。

4.1.4 業務數據規范標準體系

門戶建設必須在基本標準規范的基礎上，需要建立基于門戶的業務系統接入規范，為新建業務系統提供標準接口。

4.2 統一門戶的功能模塊

統一門戶平臺的研究與建立，主要包括以下四個方面:

4.2.1 統一門戶框架

統一門戶框架實現門戶訪問層面的統一性，實現用戶的單點登陸，為不同業務流的應用層和數據層的統一提供支撐平臺，能夠給用戶提供一個應用、內容和服務的集中入口，能夠使已開發的應用系統得到有效整合，實現信息的高效利用。

4.2.2 實現基于LDAP的安全認證方式

使用身份認證服務實現統一認證和統一授權映射，實現用戶的統一管理，同時，保留了原有系統的獨立性。

4.2.3 抽取重點業務數據，以豐富的表現形式展現

高效利用現有信息系統的數據，對不同角色工作人員的重點關注數據進行抽取和組合，以數據推送的方式展現在工作菜單中，為領導決策和業務數據的多方面統計提供支持。數據展現可基于多種形式，如柱狀統計圖、趨勢圖等。

4.2.4 實現基于角色的個性化定制

根據用戶工作崗位、個人偏好的不同，系統能夠展現出不同的工作界面環境。門戶系統不僅為用戶提供了單點登錄的便利，還進行了深層的功能性二次開發，用戶可以根據具體的要求進行自定義，以用戶的視角提供展現的界面。

圍繞上述目標，統一門戶平臺的功能模塊由單點登錄、公共信息、任務提醒和信息查詢四個部分組成。

單點登錄模塊實現用戶一次進入，即可透明地使用其權限范圍內的所有業務系統。主要為用戶提供統一的登錄入口，并以此作為統一身份認證的原始憑證入口。

公共信息模塊在門戶中實現與相關信息發布系統的整合，對系統中發布的信息，能夠集中在門戶中進行展現。

任務提醒模塊是使用資源整合系統將用戶在各個應用系統中的待辦任務信息按照一定標準的格式抽取到統一應用平臺的提醒區進行集中展示。

信息查詢模塊整合現有的綜合信息查詢系統和其他專項信息查詢系統，供用戶工作查詢使用。同時，提供權限的分層管理，不同用戶可以查看不同的內容。

5 統一門戶系統的實現

5.1 單點登陸的實現過程

系統的單點登錄主要由認證服務器、ldap服務器組成。認證服務器實現用戶身份的認證，它基于ldap的認證方式構建。Ldap服務器使用db2數據庫構建。

Ldap是輕型目錄訪問協議，它支持面向數據的查詢服務，不提供事務的回滾機制，響應快，支持分布式管理。把目錄服務器作為存儲各應用服務器用戶信息的數據庫，易于實現身份認證和唯一用戶名訪問多種應用，還有著管理方便、安全性好、擴展性好的優點。

本系統的單點登錄流程見圖2。

圖2 單點登錄序列圖

(1)用戶通過瀏覽器請求門戶訪問服務器，以訪問到應用服務器的保護資源文件，門戶訪問服務器將提供一個輸入用戶名和密碼的單點登錄頁面給用戶;

(2)門戶訪問服務器向身份認證服務器發出驗證請求;

(3)身份認證服務器根據認證協議，將驗證請求轉換為標準的ldap請求，并將用戶輸入的用戶名和密碼傳輸到后臺，與存儲用戶身份信息的目錄數據庫對比;

(4)身份認證服務器將用戶的身份信息驗證結果反饋給門戶訪問服務器。如果認證失敗，則身份認證服務器將單點登錄頁面再次反饋給用戶，重復2、3、4的流程步驟;如果認證成功，身份認證服務器將認證成功的信息和該用戶的訪問列表反饋給門戶訪問服務器;

(5)門戶訪問服務器收到用戶的訪問列表，完成了本次的用戶認證;

(6)門戶訪問服務器將訪問列表發給應用服務器，以獲取需求的訪問資源;

(7)應用服務器生成有效憑證，標識用戶已通過身份認證，可在憑證有效期內訪問被授權的資源;

(8)門戶訪問訪問服務器根據用戶的訪問列表和權限繪制個性化的訪問界面;

(9)門戶訪問訪問服務器反饋訪問界面給用戶。

5.2 關鍵技術的實現

根據實際情況，統一門戶系統的實現，主要基于兩個方面，一方面是單點登錄的實現，另一方面是系統基礎數據的抽取和多方面展現。

5.2.1 單點登錄的認證

混合模式下的單點登錄包括三個過程:

(1)判斷系統是C/S模式還是B/S模式，如果是C/S模式，需要對原系統進行部分改造，添加通信協議的認可，使之轉向B/S登錄模式;

(2)門戶訪問服務器根據登錄口令向身份認證服務器發出驗證請求;

(3)門戶訪問服務器把通過驗證的用戶信息和授權信息使用令牌傳給session，實現無縫登錄。

下面是驗證令牌的代碼片段:

5.2.2 任務提醒的實現

數據的展現有多種方式，如代辦任務的提醒，數據資源的綜合查詢等。下面是代辦任務提醒的代碼片段:

6 結語

本文詳細論述了混合模式下的統一門戶平臺的關鍵設計方案，平臺為用戶使用各種應用系統提供的統一的訪問認證入口，支持多種認證方式，實現了C/S模式與B/S模式的同一化，向用戶提供了業務處理、信息溝通、知識共享、決策統計的集成門戶。

［1］鄭東曦.基于Web服務的統一身份認證服務的設計實現［J］.計算機工程與設計，2006，27(6):921 －923.

［2］李金庫，張德運，張勇.身份認證機制及其安全性分析［J］.計算機應用研究，2001，18(2):126 － 128.

［3］W Yeong，T Howes，S Kille.Lightweight Directory Access Protocol［J］.RFC 1777，2003，3:43 － 46.

［4］林滿山，郭荷清.單點登錄技術的現狀及發展［J］.計算機應用，2004，24:248 － 250.

［5］B Detlor.The corporate portal as information infrastructure:Towards a framework for portal design［J］.International Journal of Information Management，2000，20:91 － 101.