基于统一身份认证的水运系统集成研究与实现
2016-05-03周育彬
周育彬
摘要:基于统一身份认证,提出了水运信息系统集成应用的逻辑架构,构建了水运信息系统集成综合应用平台。基于统一身份认证的水运信息系统集成综合应用平台,在对组织机构、用户信息、角色权限统一管理的基础上,实现各水运业务子系统的无缝集成和单点登录,有效地解决了行业当前所面临的业务系统蓬勃发展而信息孤岛现象日益严重的矛盾,提高了水运科研单位的服务效率和协同办公能力。
关键词:统一身份认证;单点登录;系统集成
中图分类号: TP311.52文献标识码:A文章编号:2095-2163(2016)02-
Research and implementation ofunified identifyauthentication-based waterborne transportinformation system integration
Abstract:Based on unified identify authentication ,this paper puts forward a logical architecture ofwaterbornetransportinformation system integration, and constructs a comprehensive application
platform. The comprehensive application platform of waterbornetransportinformationsystem
integration based on unified identify authentication, withunified management of organ, user and role as the core, can achieve single sign on and seamless integration ofwaterborneinformation system, effectively resolve conflicts betweenthedevelopmentofinformationsystemandtheincreasingly seriousphenomenon of information isolated island, and improve efficiency and ability of waterborne transport research institute.
Key words:unified identity authentication;single sign-on;system integration
1 概述
随着计算机信息技术的不断进步,中国正经历着新一轮的产业革命[1-2]。作为国家信息化发展战略的一部分,水运的信息化水平还有待进一步提高[3]。从管理信息系统建设方面来看,业务系统爆发式增长的同时,随之而来的问题也日益凸显,总结分析后可作如下阐述:
1)用户信息维护复杂。各业务子系统拥有自己的登录模式,因此用户需要在多个系统即多点进行个人及组织机构信息的维护[4]。引入统一用户管理[5]就可以实现用户身份的集中统一管理,这将大大简化用户个人信息的维护工作。
2)用户重复登录业务子系统。根据业务办理的不同要求,用户需要多次登录并访问所属子系统开展相关业务处理[6]。引入统一身份认证管理[7]就可以实现用户单次登录使用多个受信系统,如此则简捷了用户的登录操作,提高办公效率。
3)用户的权限配置复杂。用户的访问权限需要分别到各子系统进行配置和管理,引入服务接口管理,就可以在用户角色、菜单等访问权限的集中管理基础上,实现业务系统对角色权限的远程获取[8]。
基于以上考虑,构建了水运信息系统集成应用平台,该平台以基于统一用户管理为原则,通过统一身份认证将独立的各水运信息服务系统实现设计整合,建设一个以水运业务为支撑的综合性应用服务平台。
2逻辑架构
1)集成门户管理模块。集成门户是所有水运应用子系统的用户统一访问入口,该部分主要实现应用系统、用户、组织机构、角色权限等信息的统一管理。
2)统一身份认证网关模块。该部分负责对集成门户接入的用户信息进行认证,其中重点包括身份认证CENTER和LDAP服务器。
3)服务接口管理中心模块。各业务子系统与门户平台的交互都要通过接口应用服务中心对服务接口进行调用,以获取应用系统用户所需的个人身份、资源、角色、组织结构、待办任务等类别信息。
2.1集成门户管理模块
水运管理系统的业务数据流转普遍是基于交通运输部及其所属行政管理部门和行业单位的层层审批而发生的,基于该整体功能需求就形成了水运应用系统以组织机构树为核心的用户权限信息管理体系。统一用户管理,是实现包括用户信息在内的组织机构、角色权限、业务菜单、应用子系统等信息的统一维护管理。
集成门户是应用系统用户进行业务操作的统一访问入口,在完成不同用户到各业务子系统单点登录的同时,集成门户工作台管理还将对如下功能,诸如:通知公告信息发布、待办任务配置、便民连接配置、业务咨询文件下载等提供其理想平台效果实现。
为了更趋完整细致地了解集成门户数据存储结构,下面即对集成门户管理模块数据库设计按照用户所属单位、角色权限进行拆分,并分块对其物理数据模型进行图解说明。
集成门户,也是单点登录的统一入口,需要对集成门户工程进行如下配置,从而实现与身份认证CENTRAL和LDAP的交互,完成系统用户单点登录。
2.2统一身份认证网关
统一身份认证网关主要包括2部分:身份认证CENTER和LDAP服务器。其中,身份认证CENTER主要通过CAS[9-10]实现业务子系统用户的登录认证,LDAP[11]服务器主要用于存储用户的登录名、密码、唯一标识符等基本接入信息。而在用户基本接入信息在存入集成门户数据库的同时,LDAP服务器也进行实时同步存储。
统一身份认证网关的核心是身份认证CENTER对LDAP服务器中的访问,基于统一身份认证的水运信息系统集成应用平台登录方式主要有2种:用户名/密码方式,电子钥匙方式。
根据2.1节的内容,水运业务系统用户要访问平台各子系统,需要在统一的集成门户实现登录,此时会被工程拦截器实施拦截。统一身份认证网关的优质拦截器主要包括:SingleSignOutFilter、AuthenticationFilterValidation Filter、HttpServletRequestWrapperFilter、AssertionThreadLocalFilter等。身份认证CENTRAL负责接收被拦截的用户接入,并通过认证接口对LDAP服务器进行访问,验证登录信息是否正确。验证成功后,认证接口获取用户的唯一标识码(SIGN_SER_NUMBER,简称SSN),凭此SSN去集成门户数据库的系统用户信息表中找到对应的唯一用户,并返回其所属系统、组织机构、角色等基本信息。身份认证CENTER关联查询出该用户所拥有的全部应用子系统并给予分配,而且同时授权该用户在各子系统的可执行调度功能和资源,用户即可以进行相关业务办理。
用户所拥有的各子系统的系统操作权限,需要在集成门户平台中进行配置,并与LDAP服务器保持数据同步。以组织机构用户为例,其设计实现的配置过程如下:
1)查询组织机构树,在相应节点下新建所需机构。
2)选定操作子系统,将该组织机构添加到指定的应用系统下。
3)在组织机构下新建用户,并填写唯一标识码信息即SSN。如果该用户通过电子钥匙登录,其SSN应与电子钥匙的硬件序列号保持一致。
4)选定操作子系统,将该用户添加到指定的应用系统下。
5)选择一个或多个相关角色分配功能菜单,并给应用系统用户分配所需角色。
2.3服务接口管理
系统设计时,在基于统一身份认证的水运信息系统集成应用平台中,用户的个人信息、应用子系统、组织机构、角色权限等信息均是在集成门户中进行统一管理,因此各水运业务子系统只需负责对业务数据的管理。而各子系统如需获取集成门户中的用户信息,就要通过服务接口管理中心进行接口调用。
此外,为了使得各业务子系统能够获取当前登录用户,各业务系统需要编写监听类,而且同时加载相关配置文件。监听类获取统一身份认证网关传入的当前登录用户的SSN,通过接口应用服务中心调用服务接口程序,获取个人资料、组织结构、角色权限等用户相关信息,并写入SESSION信息供各业务系统使用。用户退出登录时,各系统用户的SESSION信息也要一并移除。
3技术架构
3.1平台体系架构
1)发现层。主要实现用户对各业务子系统的门户统一登录。
2)业务应用层。主要实现用户对所属应用子系统的功能访问和业务操作。
3)应用支撑层。包括统一用户、身份认证、权限配置、日志以及工作流管理等。
4)数据资源层。实现各水运业务子系统的基础数据,以及船舶、船员、招标等应用数据的整合存储。
5)基础平台层。服务器主要包括应用服务器、数据库服务器、LDAP服务器,以及公共网络和部机关内部网络配置。
3.2平台网络环境
部内用户使用即将建成的高速公路光纤网访问本系统。该网部接入节点带宽为10Gbps,各级相关单位最小租用带宽为2Mbps,可以满足本系统带宽使用要求。
部外用户使用互联网网络访问本系统。目前,部级互联网接入为联通、电信双线路,各具有100Mbps,可以对我国南方、北方社会公众提供同等质量的网络服务,满足本系统的带宽使用要求。
3.3软硬件环境
服务器主机的详细配置如下:
产品类别:机架式服务器;CPU主频:≥2.4 GHz;CPU个数:2颗(10核);内存类型:Advanced ECC DDR3;内存容量:≥256GB;硬盘类型:SAS, 15K rpm;硬盘容量:≥2×146GB;网卡:8个千兆电口;HBA卡:2×8Gbps FC HBA;光驱:DVD光驱;操作系统:OEM操作系统;其他:含三年免费维护服务。
4结束语
通过对水运科学研究院相关水运业务应用系统集成的深入研究,在遵循相关管理办法和技术标准、信息安全和保障体系统的基础上,构建了水运信息系统集成综合应用平台,解决了传统研发模式下存在的管理信息分散和业务信息孤立等系统性缺陷。该集成应用平台,以统一用户管理和身份认证为核心,以跨系统的业务信息集成和数据共享为目标,加强了系统对水运业务需求变化的后期可扩展性,而且优化了对业务系统的资源可重复利用能力和逻辑管理效率,同时更进一步提升了水运科学研究院为水运信息化服务的水平,因而具有现实重要的研究应用价值。
参考文献:
[1]何霞. 新一代信息技术与新产业革命[J]. 中国信息化, 2015 (1): 7-10.
[2]刘九如. 2015 年我国信息化发展预测[J]. 中国信息化, 2015 (1): 3.
[3]龚裕霞. 加快我国水运经济发展策略分析[J]. 中国水运, 2014 (12): 30-31.
[4]肖爱华. 统一用户管理系统设计与实现[D]. 长沙国防科学技术大学,2005.
[5]SUN H Z, HUANG N Y, CENTER I, et al. Design and implementation of unified user management system on central authentication service[J]. Journal of East China Normal University, 2015(S1): 335-339.
[6]Olden E, Platt D C, Royer C, et al. System and method for single sign-on to resources across a network: US, US 8990911 B2[P]. 2015-03-24.
[7]吴庆杰, 田鹏. 异构认证系统间身份同步的设计与实现[J]. 华东师范大学学报(自然科学版), 2015(S1):197-203.
[8]胡晓晔. 统一身份认证系统用户信息远程调用与管理[J]. 西安工业大学学报, 2015, 35(9):715-719.
[9] 孙浩志, 黄宁玉. 基于CAS的统一用户管理系统的设计与实现[J]. 华东师范大学学报(自然科学版), 2015(S1):335-339.
[10] FANG Y, HAO J, BING H. Single sign-on research and expansion based on CAS[J]. Open Cybernetics &Systemics; Journal, 2015, 8(1):200-207.
[11]QING-JIE W U, TIAN P, OFFICE I, et al. Design and implement of syncing identity information for heterogeneous systems[J]. Journal of East China Normal University, 2015(S1):197-203.