赵海宁

（中国铁路成都局集团有限公司 科技和信息化部，成都 610000）

随着铁路的快速发展、铁路运营里程的不断增加，各类信息系统在铁路局集团公司生产经营中被大量投入使用。这些信息系统支撑铁路运输生产和经营管理工作，在各级生产经营工作中发挥着重要作用。

大量信息系统投入使用带来管理和效率提升的同时，也带来诸多问题和不便。（1）各级系统的用户账号不统一，安全保护措施不一致，造成各级用户的重复登录、口令遗失、非授权使用等情况时有发生，影响工作效率。其次，随着铁路车间、班组、工区及人员不断优化调整，各级信息系统中的用户及人员数据、用户权限难以做到同步调整，影响用户使用。（2）信息系统不断深入各种业务场景，迫切需要用户及人员信息在各级系统中准确、一致。（3）信息系统使用量的不断提高，对系统长期稳定运行的现实需求日益迫切，给系统架构设计提出了更高的要求。为此，有必要建立一种适用于铁路生产实际需求的铁路企业信息系统统一门户。

本文基于铁路局集团公司的现状，设计了一种铁路企业信息系统门户架构。该架构部署应用于铁路内部网络，实现用户的单点登录，统一用户权限管理，以及各级应用的集成控制，提供可靠、稳定、均衡的访问服务[1-3]。

1 架构设计

1.1 总体架构

铁路企业信息系统门户总体架构由用户表示层、业务服务层和基础服务层组成，如图1所示。

图1 铁路企业信息系统门户总体架构

用户表示层为用户提供基于常见Web浏览器的基础展示界面，为集成接入的业务系统提供基础的Web前端展示框架。用户通过浏览器访问系统门户。

业务服务层为用户提供人员、用户、应用、身份验证、待办工作等基础性功能，为业务系统提供集成接入管理功能。

基础服务层为用户提供数据库存储、域名（DNS，Domain Name System）解析、文件存储、网路均衡的服务，支撑整个统一门户的运行。

1.2 网络架构

本文结合铁路局集团公司网络的特点，基于内容分发网络（CDN，Content Delivery Network）[4-5]、Nginx技术[6]，在铁路局集团公司机关所在地建立中心站点、各大地区建立镜像站点，设计出一种符合铁路特点的网络架构。本文以某铁路局集团公司为例，在其所在地的中心机房建立中心站点，两大地区建立镜像站点，分别服务于两省一市的铁路用户。其信息系统门户网络架构如图2所示。

图2 某铁路局集团公司信息系统门户网络架构

1.3 服务架构

鉴于铁路信息系统门户是为所有铁路信息系统用户提供高并发、高可靠的服务需求，本文基于Nginx技术，在每个服务站点建立服务集群，在中心站点建立主数据库，在镜像站点建立镜像数据库。

例如，根据某铁路局集团公司机关用户使用量测算，铁路信息系统门户的服务架构为：铁路局集团公司中心站点前端使用一台Nginx服务器提供均衡负载，后端使用3台Web服务器组成Web服务集群，其中，Web服务器连接数据库服务器；其他两个地区的数据库镜像与中心站段数据库服务保持同步。其服务架构如图3所示。

图3 某铁路局集团公司信息系统门户服务架构

1.4 功能架构

铁路企业信息系统门户需要满足用户的单点登录[7-8]、统一用户管理、集成接入的业务应用管理、统一的待办工作管理[9]等，以实现用户在同一站点不同应用的登录和处理待办工作，实现用户快速操作其他业务系统，其功能架构如图4所示。

图4 铁路企业信息系统门户功能架构

2 功能设计

2.1 人员管理

人员管理是门户最基本功能， 提供人员所在单位（部门）的新增、删除、修改， 以及人员基础信息管理等功能。 人员管理功能如图5所示。

图5 人员管理功能

在人员管理功能中， 人员基础信息管理功能是人员管理功能的核心功能， 主要实现人员基础信息查询、人员基础信息修改、人员单位内部调动、人员跨单位调动、人员离职、新入职人员录入等。 人员以身份证号作为唯一标识条件， 如果存在相同身份证号则不能被录入或修改， 以确保人员数据的唯一性和准确性。

同时， 人员基础信息管理功能还提供人员注册、身份验证和人员其他信息接口。 人员注册接口用于铁路人员在门户中的用户注册。身份验证接口用千通过身份证、手机号、用户名、密码在人员注册库进行校验， 并同时提取相应的人员信息， 实现用户的身份验证。 人员其他信息接口用千同步各集成接入到门户中的各类业务应用系统对应人员的其他信息， 如常见的职教信息、劳资信息。

2.2 应用管理

应用管理功能主要提供各单位对应的业务应用系统集成、系统功能模块结构树维护管理、用户组维护管理、功能模块页面注册管理等。应用管理是铁路企业信息提供门户实现业务系统功能模块统一管理、用户权限分配的核心功能，其主要数据对象如图6所示。

图6 应用管理主要数据对象关系

应用管理下级主要子功能如图7所示。

图7 应用管理下级主要子功能

在应用管理中，页面管理和用户相关接口（模块树、权限、参数）是其核心功能。

页面管理主要实现接入的业务系统的Web页面注册、页面权限、页面所需框架参数配置等功能，是业务系统集成接入到门户的基础。

用户相关的数据接口是门户与业务系统之间用户信息共享的桥梁。用户模块树接口主要实现通过指定的用户信息查找用户对应的功能模块，方便在门户和业务系统间展示用户可用的功能。用户权限接口主要实现获取当前用户对指定的功能模块的操作权限，实际卡控用户使用功能。用户参数接口主要实现门户与业务系统间的用户基本信息共享传递，一般包括用户姓名、所在单位、职务等。

2.3 用户管理

用户管理主要实现用户的注册。用户注册提供通过用户身份证绑定用户名和手机号功能。

用户注册流程分为以下两个步骤。

（1）用户输入身份证号和姓名，系统通过用户注册接口提取相应的在册人员，如果不存在，则返回错误；如果存在，则进入步骤（2）。

（2）用户输入用户名、手机号、密码，系统判断用户名、手机号是否重复，如果不重复，则通过用户注册接口写入用户注册信息；如果重复，则返回，让用户修改注册信息。

初始空段落

2.4 身份验证管理

身份验证主要提供通过用户名、身份证、手机号进行用户身份、权限提取，并生成基础功能页面。

身份验证分为以下两个步骤。

（1）用户通过浏览器访问系统，系统首先通过安全技术验证用户合法性判断用户是否属于免登陆用户，如果合法则进入步骤（2）；如果不合法，则要求输入用户登录信息和密码，并通过登录信息进行用户合法性验证。

（2）系统根据用户信息调用模块树、用户权限接口，查询当前用户对应的模块树分布、用户组信息、页面控制权限信息，然后根据模块树和用户组生成用户对应框架界面。

2.5 接口管理

接口模块分为两类接口：（1）外部访问接口，提供用户注册、用户验证、读取用户信息等。（2）访问参数接口，用于门户调用集成接入的业务应用系统时，通过统一资源定位符（URL，Uniform Resource Locator）参数的方式传递用户信息、控制权限等。接口管理各类接口如图8所示。

图8 接口管理各类接口

2.6 待办工作

待办工作功能主要提供统一的待办事项列表、统一的待办事项提醒，以及配套的待办工作监控，支撑待办工作提醒的及时性和高可靠性。

2.6.1 待办事项列表

待办事项列表为用户提供统一的待办事项操作处理界面。按照规范的待办工作接口，集成接入的业务系统须向门户提供具体的待办工作数量和待办工作处理界面。待办事项列表界面如图9所示。

图9 待办事项列表界面

2.6.2 待办事项提醒

待办事项提醒支持短信、门户主界面弹窗、移动办公类App等多种提示方式，方便用户快速掌握需要处理的待办工作事项，避免忽略或遗漏工作内容。

2.6.3 待办工作监控

待办工作是用户日常处理工作的重要入口，其需要具备高可靠性，因而对待办工作功能运行情况须日常监控。待办工作监控提供待办工作功能当前负载被后台处理情况的实时监控，方便运维人员掌握相关运行情况。

3 相关技术

3.1 OAuth 2.0

OAuth是常见的验证授权框架标准，其为开发者开发Web应用、桌面端应用程序、移动端应用程序提供特定的授权流程。该规范是IETF OAuth WG工作组下基于OAuth WRAP制订，OAuth 2.0版本为常用版本。OAuth实现了第三方应用与当前应用间的重要数据交互，而无须将用户口令等提供给第三方，确保数据安全。

铁路企业信息系统门户基于OAuth 2.0，实现与第三方信息系统的应用集成，以及单点登录。

3.2 CDN

CDN主要实现网站静态资源（如图片、媒体、JS文件、CSS文件等）的加速访问，提高用户访问速度和稳定性。

针对铁路生产站段部署分散、点多线长的特点，铁路企业信息系统门户通过CDN网络，实现稳定、快速的访问。需要注意的是，使用CDN网络加速一般需要配置域名服务。

3.3 Nginx

Nginx是一款常见的轻量级的Web服务、反向代理服务器。铁路企业信息系统门户通过Nginx快速组件服务集群，提供高并发的门户服务。

4 结束语

本文设计一种稳定可靠、方便高效的铁路企业信息系统门户架构，并应用于某铁路局集团公司，在两省一市建立主从站点，通过CDN为用户提供访问服务；同时将该铁路局集团公司管理信息系统作为门户的统一展示平台，实现用户的单点登录和集中访问控制，解决了铁路点多线长、用户分散的访问可靠性问题，满足了铁路用户日常生产办公的效率要求。未来，本文将在普适性方面进行研究，让该架构更好地适配其他铁路局集团公司的需求。