數字校園產品解決方案中基礎開放平臺的功能設計與實現

潘文婷

摘要：作為數字校園產品解決方案中最基本且最核心的功能平臺，基礎開放平臺涵蓋了身份鑒權、數據整合、門戶管理、第三方應用整合等全面核心的功能，本文就基礎開放平臺的功能設計進行了詳細闡述。

關鍵詞：數字校園；開放平臺；解決方案；設計

一、校園身份認證及授權管理平臺

建設以目錄服務和認證服務為基礎的統一用戶管理、授權管理和身份認證安全體系，將組織信息、用戶信息統一存儲，進行分級授權和集中身份認證，提高應用系統的安全性和用戶使用的方便性，實現全部應用的單點登錄，同時能詳細記錄用戶對系統資源的所有訪問記錄和操作情況，以便事后對用戶操作進行審計，建立完善的事后追溯機制。在學校工作人員進行了調動、調級、調職等變更后，或者學校體制改革、組織機構變動后，使用戶的身份和權限在各系統之間協調同步，減少應用系統的開發和維護成本。

（一）統一身份認證管理

校園身份認證及授權管理平臺是以統一用戶管理中心為基礎，對所有應用系統提供統一的認證方式和認證策略，以識別用戶身份的合法性。

統一用戶認證應支持以下幾種認證方式：

用戶名/密碼認證：這是最基本的認證方式。

PKI/CA數字證書認證：通過數字證書的方式認證用戶的身份。

IP地址認證：用戶只能從指定的IP地址或者IP地址段訪問系統。

時間段認證：用戶只能在某個指定的時間段訪問系統。

以上認證方式采用模塊化設計，管理員可靈活地進行裝載和卸載，同時還可按照用戶的要求方便地擴展新的認證模塊。

數字證書認證通常應用在安全級別要求較高的環境中。PKI（Public Key Infrastructure）即公鑰基礎設施是利用公鑰理論和數字證書來確保系統信息安全的一種體系。

數字證書有時被稱為數字身份證，數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。身份驗證機構的數字簽名可以確保證書信息的真實性。

（二）授權訪問控制

校園身份認證及授權管理平臺的另外一個最主要的機制就是授權訪問控制，該功能對學校全局資源做訪問控制。在一個校園網中實施一致的訪問控制策略，是管理校園網資源的有效手段。校園身份認證及授權管理平臺的訪問控制機制實現這一目的，為不同應用提供統一的訪問控制策略。

上圖說明了RBAC訪問控制模型，訪問控制策略體現在RBAC模型里是用戶/角色、角色/權限和角色/角色之間的關系。采用RBAC的最大的好處在于將用戶和它具有的權限分離開來，給用戶授予角色來實現用戶的授權操作。在集中式管理中，這些授權信息通常是由一個指定的管理員來管理；而在分布式環境中，它們可以由多個具有不同管理權限域的管理員來管理。在校園身份認證及授權管理平臺中，還需要對 RBAC 理論模型進行組件化實現，使訪問控制管理包含可以控制細化到單個文件級別訪問的權限配置模塊、用于角色定義的管理員模塊、定義角色之間關系的模塊以及配置用戶權限的模塊。

（三）角色管理

角色是訪問權限的集合，用戶通過賦予不同的角色獲得角色所擁有的訪問權限。用戶通過角色享有權限，它不直接與權限相關聯，權限對存取對象的操作許可是通過活躍角色實現的。在RBAC模型系統中，每個用戶進入系統時得到一個會話，一個用戶會話可能激活的角色是該用戶的全部角色的子集。

RBAC作為傳統訪問機制的理想候選近年來得到廣泛的研究，并以其靈活性、方便性和安全性在許多系統尤其是大型數據庫系統的權限管理中得到應用。

RBAC由于不是直接授權給用戶，而是先授權給角色，然后再授予用戶角色，這樣在用戶和權限之間引入角色，從而大大降低了系統的復雜度，同時RBAC體現了系統的組織結構，大大降低了系統管理員誤操作的可能性，角色之間的互斥關系也可以很容易地實現任務分離。

（四）組織機構及用戶組維護

組織機構數據是身份認證的基礎，組織的結構以及組織內部的職務（用戶組）等相應信息都需要在身份認證和權限管理系統中注冊，組織機構為系統劃分權限以及授權提供了有效的方式。組織中人員的權限通過包含組織下的角色權限來體現。

二、校園數據整合及決策輔助平臺

根據學校業務需求的不同，建設主題數據庫、元數據庫、公共數據庫、歷史切片數據庫，規范學校信息化建設數據標準，支持各種主流數據庫的公共數據存取，支持將數據集直接生成可訪問的數據接口。提供對信息標準以及代碼維護管理工具（ETL數據工具），支持數據導入、導出、數據表檢索、更正模式，完成對系統間數據的清洗、加載、傳輸等工作。

（一）ETL管理工具

ETL工具擁有直觀的圖形化界面，用戶只需簡單的鼠標拖拽即可完成ETL過程；ETL工具還提供異步的ETL過程處理模式，使數據抽取、轉換及數據裝載等操作能夠并行執行，實現數據的高速處理；此外，ETL工具還具備計劃任務功能，可以按計劃定時執行 ETL和圖形化任務，不需要用戶時時監控。

（二）報表系統

校園數據整合及決策輔助平臺采用強大的Birt報表系統。Birt基于開源設計，具有開發方便、操作界面友好、擴展性強等優點，并且可靈活定義表單樣式，圖形化拖拽構建工作流。另外，Birt能夠實現列表、圖表、混合報表等多種報表形式，用于展示概要數據和詳細數據，完美的支撐校情展示與決策分析系統。

（三）數據開放平臺

平臺支持使用Weservice等方式來獲取數據中心的標準數據，同時提供Restful方式的數據訪問，支持xml、Json等數據格式。對于個人類應用程序也提供基于OAuth2.0的授權認證數據訪問。

通過開放數據管理，平臺可以根據需要在系統中定制需要的數據訪問接口，而無需定制開發。

三、校園門戶管理平臺

提供一個支持信息訪問、傳遞、以及協作化的集成化環境，把各種應用系統、數據資源和互聯網資源統一集成到學校門戶之下，形成學校統一的信息入口。通過數據與應用的集成及個人桌面個性化工作區服務定制，為校領導、教師、學生、家長等提供提供面向個人、自助式服務支持，管理公共信息，選擇性地展示學校的動態信息和應用對社會公眾和校內師生提供不同的信息服務和進入相應校園信息管理系統的入口。該平臺位于信息化校園平臺體系結構中的最上層，實現信息化校園各應用系統與用戶的人機交互服務平臺，是信息化校園的信息集中展示的窗口。

（一）權限控制

統一門戶平臺針對角色和用戶多種粒度進行權限控制，按照不同角色和用戶的信息獲取特性，對其提供貼合需求的信息及應用空間。

（二）常駐的桌面入口

不僅提供了基于網頁訪問的統一入口實現，并且提供了校內通桌面客戶端，隨桌面開機啟動，常駐在系統右下角，為教師提供了瀏覽器以外的更容易的訪問應用的方式。

做為常駐桌面程序，可以時刻將通知和消息送達教師面前。通過桌面程序，用戶能夠更方便進入到各數字校園程序中，更方便的實時獲取數字校園各應用程序推送的內容和消息。

四、第三方應用整合系統

（一）數字校園應用一站式管理

門戶平臺通過建立底層結構來聯系橫貫整個組織內外的異構系統、應用、數據源等，完成在組織內外的數據庫、數據倉庫、辦公自動化、電子郵件系統，以及其它重要的內部系統之間無縫地共享和交換數據的需要。

（二）第三方應用系統數據整合

基礎平臺是各個應用系統的基礎，可以使每個應用系統進行統一的身份權限審計、數據推送共享、統一門戶展示，實現數字校園全部應用的單點登錄及應用系統產生的所有新消息進行多渠道的推送。

（作者單位：湖北郵電規劃設計有限公司）