康琳琳

摘 要：随着校园网的普及和计算机技术的发展，数字化校园的信息应用也在不断深入。然而早期的各种应用系统由于开发技术和使用的数据库不同，导致它们之间不能共享信息，存在严重的信息孤岛现象，缺乏统一的门户信息展示平台。该文针对大学校园信息化集成的需要设计了数字化信息门户系统，对系统的总体结构、软件实现等进行详细的阐述。

关键词：数字化 信息门户 Portal技术 设计

中图分类号：G647 文献标识码：A 文章编号：1672-3791（2015）06（b）-0036-03

随着高校信息化建设进程的不断加快，校内建设的信息化管理系统越来越多，需要处理的信息量不断增多。然而由于历史的原因，这些信息系统使用的开发技术和设计模式不尽相同，彼此之间没有联系，每一个系统都有自己的用户认证体系。管理人员在进行工作时，经常需要登录访问不同的应用系统，每个系统都需要用户输入不同的用户名和密码。这样，随着信息量的增大，用户的记忆也受到考验，忘记用户名、或者密码的情况是有发生。长期以来，高校建立的信息应用系统的功能也得不到充分的发挥，严重阻碍了校园信息化建设的进程。因此，该文利用门户技术，将分散在各处的应用系统集成在一起，实现单点登录、统一身份认证来解决以上问题。

1 Portal技术概述

Portal英文含义是“门户”，随着技术的发展，它的功能和含义也在不断更新和演化，对于门户的至今还没有一个统一的定义。但一般认为，门户是一个具有单一入口的网络系统，用户可以在不同的时间和地点获取信息，主要为用户提供安全的数据、程序和服务。对于一个组织来说，建立Portal，可以统一组织内的信息资源，内部人员可以通过Portal及时掌握组织内的信息，参加各种讨论，与同事进行协同工作。可以说，门户技术将组织内部原来分散的业务系统和信息孤岛联系起来，组建一个跨平台的信息联合体，实现信息的传递、访问和集成管理。

从技术方面来分析，Portal实际上也是一个程序界面，根据功能被分割成多个窗口，展示不同的页面元素，可以是一个WEB链接、一段文本、也可以是一个图片或视频等。从组成上来看，Portal系统包括各种服务器，用来支持JAVA应用服务、LDAP服务以及Java应用服务等。Portal技术最大的优势是可以定制，各种定制信息存储在数据库中，有些Portal系统也支持使用数据库来管理用户身份和权限。

门户信息能够通过各种应用集成、流程集成和页面集成等将原来分散在各处的资源整合在一起，通过一个统一的页面来展示，它支持各种数据源的访问，或以是文本资料、电子邮件、数据库或Web页面等，实现门户内各业务系统间的信息交换和共享。

2 系统需求分析

高校数字化校园门户系统不是一个简单的信息叠加，而是一个为师生提供一个集成的、安全的资源访问统一入口，实现对学校应用系统和信息资源的整合与管理。将校内的人事管理、科研管理、教学管理和生活服务等信息通过计算机技术和网络技术被全面数字化，然后形成一个统一的用户管理、身份认证和系统，使得各类资源能够得到充分的共享和交互。总体来说，数字化校园门户系统的功能需求如下。

（1）统一帐户管理。

将学校内的用户按照校内组织机构进行统一的管理，为门户系统提供统一的用户数据服务。对用户进行全生命周期的管理，包括新用户申请、注册、信息维护、密码修改等功能；在LDAP目录的基础上，建立用户信息目录库，支持将统一的用户信息存储于LDAP目录中，提供目录服务功能。部门岗位角色树状层次模型，根据工作人员的岗位分配相应的角色，赋予相应的操作权限和数据权限。

（2）单点登录。

系统支持多种认证方式和系统平台，用户在第一次登录系统时，统一认证系统对用户的登录信息和身份信息进行验证，验证通过后，用户就获得了系统的信任，不用再登录就可以访问其他应用系统。身份认证可以为多个不同种类、不同形式的应用提供统一的认证服务，不需要应用系统独立开发、设计认证系统。

（3）应用系统集成。

目前，高校内部使用的信息系统主要包括办公OA、财务管理系统、人事管理系统、教学教务管理系统、邮件服务系统、资产管理系统、研究生管理系统等。门户系统建设的目标之一就是要实现对这些系统的整合，并且根据系统的应用情况，提供两种集成方式：一是紧耦合模式，即应用系统不能独立于门户外运行，必须通过门户来访问；二是松耦合方式，即应用系统可以独立于门户运行。

3 系统总体设计

数字化校园门户系统在数字证书的基础上实现单点登录技术，使得门户中的各种信息应用系统与数字资源成为一个统一的整体。为了保障信息的安全性，在信息资源端安装访问控制中间件与具有防护功能的认证服务器进行通信。单点登录功能与权限管理实现无缝结合，签发合法用户的权限票据，对用户实行集中统一的管理和身份认证。系统的体系架构如图1所示。

系统在LDAP协议的基础上进行开发，在应用层实现单点登录、异构数据库集成等功能，真正实现“一次登录，全校漫游”的访问机制。身份认证与单点登录的实现方式与操作系统、数据库、WEB服务器、开发语言等无关，可以在不改变原有应用系统的基础上，无缝将其整合到门户系统中。

4 系统实现

4.1 统一身份认证

统一身份认证功能是在CAS认证技术的基础上实现。在登录过程中，用户只要拥有CAS颁发的证书，就获得了CAS的信任，同时也意味着获得了门户其它业务系统的信任。只要这个证书不过期，用户就可以直接访问系统内的其它业务系统，不需要重新登录和认证。CAS的核心就是其票据（Ticket），及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT和ST等。其中ST票据是CAS为用户签发的访问某一service服务的票据；而TGT是CAS为用户签发的登录票据，拥有了TGT，用户就可以证明自己在CAS成功登录过，TGT封装了Cookie值以及此Cookie值对应的用户信息。基于CAS的用户认证流程如图2所示。

在具体实现时，使用SUN公司的keytool工具来创建用户的安全证书，创建完成后，再配置到WEB应用服务器中，以获得HTTPS访问协议的支持。首先由keytool工具将产生的安全证书和密钥存放在一个叫作keystore的文件中，用以保存配对的公钥和保存SSL协议的私钥。实现过程如下：

（1）创建一个用于保存密钥的文件，并命名为aisa，然后利用Keytool工具的genkey命令，生成一个安全证书。命令如下：

keytool -genkey -alias aisa_key -keyalg RSA -storepass 123456 -keystore server.keystore -validity 360

（2）使用Keytool工具的export命令，导出安全证书，然后将密钥文件保存在本地文件server.cer中。命令如下：

keytool -export -trustcacerts -alias aisa_key -file server.cer -keystore server.keystore -storepass 123456

（3）证书注册。

keytool -import -trustcacerts -alias tomcat_key -file server.cer –keystore %JAVA_HOME%

/jre/lib/security/cacerts -storepass 123456

（4）Tomcat服务器配置，在server.xml文件编写SSL连接器的程序代码，设置公钥、信任证书库和数字证书等信息。配置代码如下：

4.2 用户访问权限控制

系统基于用户角色对权限进行管理，角色模型建立在部门岗位树的基础之上，提供用户目录管理、目录复制、权限控制等多种属性。用户角色采用树状层次模型，岗位角色按学校/分支机构/部门/科室/岗位的结构层次进行定义和管理；用户信息以组织/部门/岗位角色以树状的层次结构来组织和管理。在用户角色树状层次模型中，用户职位称为岗位，或称用户角色，包含岗位角色的组织机构称为部门，大部门可以包含小部门。

在权限管理时，先建立用户组，为组分配资源，然后关联组中的角色的资源。使用DML（Data Manipulation Language）将portlet中的资源分配到特定的片段中，然后为片段中的portlet资源分配角色。在不同的组中，一个资源可以关联多个不同的角色；而在同一个用户组中，一个资源只能关联一个角色。用户与角色相关联后，角色拥有权限，系统也可得到相应的权限。

为了对用户的权限进行有效的控制，采用基于角色的访问控制技术，将用户的账号、角色和权限三者建立一定的关联关系。将用户划分为不同的角色，不同角色又拥有相应的权限，达到用户账号与权限的级联变化控制。当用户的角色发生变化时，可以在不改变用户账号的情况下，通过更改用户的角色来改变用户的权限，当更改了用户的角色后，该用户的权限也相应的得到了更新。用户权限访问控制模型如图3所示。

用户的属性信息主要包括用户账号信息、角色和权限信息，这些属性信息存放在用户属性信息表中。当用户申请访问系统资源时，系统首先提取自己的属性信息，访问控制执行点读取申请访问的用户信息和请求类型。这时候，请求访问控制判决点根据用户的角色的权限信息判定此次请求是否在用户的权限范围内。如果此次访问在用户的权限范围内，就允许用户访问此资源，否则就不允许访问。

4.3 应用系统集成

对应用系统的集成采用Portal组件提供的Web应用聚合器实现，通过此组件，可以直接将Web应用系统嵌入门户中。Web应用聚合器是在业务系统的页面中嵌入门户的主题导航、显示风格等元素，以让业务系统的操作界面保持与门户系统一致。具体集成步骤如下：

（1）在门户中创建一个标准的Portal URL页面，并将页面链接指定到需要集成的Web应用的页面。

（2）使用WebAppIntegrator portlet为该Web应用页面生成一段HTML标记代码。

5 结语

信息门户是学校数字化校园建设的重要组成部分，也是师生获取资源信息的最重要的途径之一。门户系统的建设是一个不断完善和发展的过程，随着学校数字化进程的深入，门户系统更多的将向服务型转化，联合校园内的各种服务系统，实现真正的数字化校园服务。

参考文献

[1] 刘鹏，王龙.数字化校园信息门户的设计与实现[J].信息系统工程，2014（12）：16.

[2] 胥献伟，杨赣川.高校数字化校园信息门户网建设规划探讨[J].信息安全与技术，2014（11）：51-53.

[3] 李静.基于改建Portlet技术的数字化校园信息门户建设[J].创新科技，2013（9）：81-82.

[4] 汪迅宝.用Portlet技术实现数字化校园信息门户设计研究[J].电脑知识与技术，2013（2）：448-450.