（计算机软件与理论专业论文）网络教育目录服务应用与身份管理架构研究.pdf

网络教育目录服务应用与身份管理架构研究 摘要 国家“十五”攻关重大项目“网络教育关键技术及示范工程”从信息技术角度抽 象出开展网络教育所必需的七大关键技术。“网络教育系统总体设计与集成”是该项 目的个子项目，它要无缝集成七大关键技术，以形成网络教育完整的业务流程。同 时，由于用户的身份信息普遍应用于网络教育各关键技术中，需要有效维护身份信息 的一致性。本文应用目录服务技术描述网络教育的资源信息和公告信息，实现七大关 键技术系统的无缝集成，并给出了新型身份管理e l i d m 框架，以满足网络教育发展 的需要。 具体的工作内容包括： 1 根据系统集成的需求，通过对多套软硬件组合的大量调试、配置、研究的基 础上，最终确定了一套稳定性好、性价比高的系统集成软硬件平台。 2 在深入研究目录服务应用的基础上，采用了n o v e l l 的e d i r e c t o r y 产品来架 构集成支撵平台中的目录服务模块。具体工作包括目录树对象s c h e m a 、树 结构的设计和基于j n d i 、j l d a p 接口的二次开发以及与各关键技术系统集成 的详细部署。目录服务提供了统一的访问接口，大大降低了系统集成的复杂 性，提高了系统整体的性能及可扩展性。 3 设计出符合网络教育环境的新型身份管理系统e l i d m 的逻辑框架，剖析了 e l i d m 中相关核心技术的实现。e l - i d m 实现了联盟、域内单点登录、用 户帐号供应等新型身份管理系统所具有的特点，其域内集中域间分布的逻辑 架构有助于简化实现，加快应用的部署，便于后续应用的集成。 最终的工作成果包括网络教育系统集成目录服务模块的实现及网络教育新型身份 管理系统e l i d m 逻辑架构的设计。 关键词：网络教育、目录服务、身份管理、联盟、系统集成 e l e a r n i n gb a s e dd i r e c t o r ys e r v i c e sa p p l i c a t i o na n dr e s e a r c h o fl d e n t i t ym a n a g e m e n tf r a m e w o r k a b s t r a c t t h eg r e a tp r o j e c to ft h en a t i o n st e n t hf i v e - y e a r - p l a n ：n e t w o r ke d u c a t i o na n di t sd e m o n s t r a t i o n p r o j e c t s i nt h i sp r o e c t ，f r o mt h ea s p e c to f i n f o r m a t i o nt e c h n o l o g y ，s e v e nk e yt e c h n o l o g i e sr e q u i r e db yt h e d e v e l o p m e n to fn e t w o r ke d u c a t i o nh a v eb e e na b s t r a c t e do u t a st h es u b p r o j e c to ft h ew h o l eo n e ， t h e d e s i g na n di n t e g r a t i o no ft h en e t w o r ke d u c a t i o ns y s t e m ”h a si n t e g r a t e da l lt h es e v c r it e c h n o l o 西 m e n t i o n e da b o v e ，f o r m e dt h ei n t a c tw o r kf l o wp r o c e d u r eo f n e t w o r ke d u c a t i o n n mi n f o r m a t i o no f u s e r s i di sw i d e l ya p p l i e da l lt h es u b s y s t e mo fn e t w o r ke d u c a t i o n w h i c hs h o u l db ee f f e c t i v e l ym a i n t a i n e d i n t h i sp a p e r ，d i r e c t o r ys e r v i c e s8 1 - eu s e dt od e s c r i b ei - e s o u i c ci n f o r m a t i o na n da n n o u n c e m e n ti n f o r m a t i o n t o r e a l i z e 也ei n t e g r a t i o no fs e v c uk e yt e c h n o l o g i e s ，a n d8n e wi d e n t i t ym a n a g e m e n tf r a m e w o r k ( e l d m ) i s p r o p o s e dt os a r i s 母t h ed e v e l o p m e n to f n e t w o r ke d u c a t i o n t h es p e c i f i cw o r ki n c l u d e s 3 a c c o r d i n gt ot h es y s t e mi n t e g r a t i o nr e q u i r e m e n t s ，m e a n w h i l eb a s e do nt h ec o m p a r i s o n s a m o n gv a r i o u ss o r w a r ea n dh a r d w a r ep r o d u c t s ，as o f t w a r ea n dh a r d w a r ep l a t f o r mf o r s y s t e mi n t e g r a t i o ni sa d o p t e d ，w h i c hp r o v e st ob eh i g hs t a b i l i t ya n dn i c ep e r f o r m a n c ec o s t a t i e rad e e pr e s e a r c ho nt h ed i r e c t o r ys e r v i c ea p p l i c a t i o n s ，n o v e l le d i r e c t o r yh a sb e a n a c c e p t e dt os t m c h l r et h ed i r e c t o r ym o d u l eo ft 1 1 ei n t e g r a t i o ns u p p o r tp l a t f o r m t h ed e t a i l w o r kc o m p o s e so ft h ed i r e c t o r yt r e eo b j e c ts c h e m a t h ed e s i g no ft h et r e es 仃u c m r ea n d s e c o n dd e v e l o p m e n tb a s e do nj n d i j l d a pi n t e r f a c 髂a n dt h ed e p l o y m e n to fa l lt h ek e y t e c h n o l o g i e so f t h es y s t e r ni n t e g r a t i o n d i r e c t o r ys e r v i c e so f f e rt h eu n i f o 皿a c c e s si n t e r r a c e s h a r p l yr e d u c et h ec o m p l e x i t yo ft h es y s t e mi n t e g r a t i o na n di m p r o v et l l es e a l a b i l i t ya n d p e r f o r m a n c eo f t h ew h o l es y s t e m t h el o g i o a lf r a m e w o r ko f e l i d m au e wi d e n t i t ym a n a g e m e n ts y s t e ms u i t a b l ef o rn e t w o r k e d u c a t i o ne l l v i r o n m e n t ，h a sb e a nd e s i g n e do u t t h ep e r t i n e n tc o r et e c h n o l o g i e s i m p l e m e n t a t i o ni sa l s oa n a l y z e d ，e l l i d mh a si m p l e m e n t e da l l i a n c e ，s i n m ep o i n tl o g o n ， u s e ra c c o u n ts u p p l e m e n tw h i c he m b o d ya l lt h ec h a r a c t e r i s t i c so ft h en e wi dm a n a g e m e n t s v s t e m e l i d mi sf e a “x r e db yc e n 竹a l i z a t i o ni nd o m a i n sa n dd i s t r i b u t i o na m o n gd o m a i n s w h o s e1 0 9 i c a ls t r u c n l i h e l p st os i m p l i f yi m p l e m e n t a t i o n q u i c k e nt h ed e p l o y m e n to f a d p l i c a t i o n sa n da l s ot h ei n t e g r a t i o no ft h ef o n o w i n gs y s t e m s t h ef i n a lw o r ki n c l u d e st h ei m p l e m e n t a t i o no ft h ed i r e c t o r ys e r v i c eo fn e t w o r ke d u c a t i o n i n t e g r a t i o na n dt h el o g i cf r a m e w o r ko f n e wi d e n t i t ym a n a g e m e n ts y s t e mf o rn e t w o r ke d u c a t i o n ：e l - i d m k e y w o r d ：n e t w o r ke d u c a t i o n ，d i r e c t o r ys e r v i c e ，i d e n t i t ym a n a g e m e n t ，f e d e r a t i o n ，s y s t e m i n t e g r a t i o n 东南大学学位论文 独创性声明及使用授权说明 一、学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示了谢意。 签名：逝垒日期：越! 竖! 二、关于学位论文使用授权说明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复 印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅， 可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括千u 登) 授权东南大 学研究生院办理。 签名：盘域导师签名： 日期：坐：丝， 第章绪论 第一章绪论 本章论述了目录服务在网络教育系统集成中的必要性及其在网络教育系统中研究 身份管理的意义；介绍了当前该领域的研究现状：阐述了本文需研究和解决的问题的 策略；本章最后给出了整篇论文的组织结构。 i i 引言 近几年，随着教育改革的不断深入，在国家宏观政策的推动下，现代远程教育在 国内呈现加速发展的势头，远程教育潜在着巨大的经济效益和社会效益已经成为社会 各界的共识，全国各大高校已经建立起3 8 所院校的远程教育学院，民间也有超过2 0 0 0 所网校。远程教育的不断发展，必然带来教育观念、教育体制、教学模式等诸多方面 的变化。而且，网络性能的提高、网络技术的更新将对网络教育的质量产生巨大的影 响。远程教育开始深入人心，越来越多的学生、社会成员进入远程学院进行学历教育 或接受培训。全国各大高校远程教育学院培养的学员逐年递增。网络教育作为一种重 要的教育方式，为教育大众化、教育终身化和学习社会化的实现提供了一个良好的教 育模式。 随着网络教育应用需求的飞速增长，原先w e b 站点加教学站的网络教育模式越来 越不符合网络教育教书育人的初衷，出现了许多问题：l 教学质量问题，网络教育所 采用的技术手段能否保证教学质量以及如何体现教学质量；2 教育资源的共享，如何 将我国东南沿海发达地区的教育资源辐射至广大西部欠发达地区，这是网络教育需解 决的一个重要课题；3 网络教育标准化问题，遵循统一国家标准的网校才能互联互 通，否则是一个个信息孤岛，体现不出网络教育的优势；4 网络教育资源的匮乏，课 件形式单一。还有很多问题这里不一一列举。 国家十五攻关重大项目“网络教育关键技术及示范工程”为解决上述问题从信息 技术角度提炼出了网络教育的七大关键支撑技术：实时教学、非实时教学、教学管 理、课件制作工具与智能答疑、教育资源管理、作业与考试、网上支付与结算。然 而，网络教育系统作为一个有机的整体，需要对这七大关键技术进行集成。系统集成 的一个重点便是信息的集成。网络教育实践的各个环节离不开教育资源的使用，因 而，在信息集成过程中，如何描述网络教育资源以便于各关键技术的使用是集成的关 键。组织与描述网络教育资源，传统的方法是采用关系数据库技术。通过多个二维表 来描述资源信息，通过定义主键等来组织资源信息。但由于网络教育中的资源是分布 于各个学校，各个学校可能采用不同的关系数据库产品来描述资源，而数据库没有统 一的程序开发接口，这势必给集成带来困难，且系统不具扩展性。如q 学校的资源使 用o r a c l e 数据库描述；d 学校的资源使用s q ls e r v e r 来描述，则集成时需要封装这两 种数据库的驱动程序，以操作数据库。若s 学校的资源也需要进行集成，而它的资源 是采用m y s q l 数据库来描述，则集成时需要修改程序，封装m y s q l 的驱动程序。由此 可见，在网络教育项目中采用数据库技术来组织描述资源具有一定的局限性，不能满 东南大学硕士学位论文 足网络教育分布式应用的需求。为此这里采用了作为i n z e r n e t 基础设施的目录服务技 术来组织与描述资源。 在系统集成的实践中，本人发现七大关键技术子系统均有自己的身份管理系统， 为了实现身份信息的一致性，各关键技术予系统不得不采用共享数据库的方法或编写 额外程序导入身份信息的方法来维护全局统一的身份信息。这两种方法均有很大的局 限性，所以本文也探讨了网络教育统一身份管理系统，以满足网络教育中身份信息的 可管理性、可扩充性、灵活性、安全性。 1 2 研究现状 本文主要是阐述网络教育环境下系统集成中目录服务的应用以及身份管理系统研 究。下文将从系统集成、目录服务、身份管理三个领域分别给出当前的研究现状。 1 2 1 系统集成 由于历史的原因，应用系统之问不能相互通信，不同应用系统运行在众多不同的 硬件环境、网络环境、软件环境、数据库系统之中。这些异构问题引起了“信息孤 岛”现象。大量“信息孤岛”的存在阻碍了整个企业信息扭转，已成为严重制约企业 竞争力的重大因素。要解决“信息孤岛”问题就需实现异构应用系统的集成。 从应用集成在整个i t 市场上所占份额的比重这一角度来看，也能说明社会对集成 的需求。专业的e a i 杂志在2 0 0 2 年1 1 月的应用集成市场调查显示，应用集成仍是 2 0 0 3 年的i t 热点。根据相关的分析预测，应用集成的市场份额在2 0 0 5 年将达到7 0 亿 美元。 系统集成所包含的内容相当复杂，涉及到结构、硬件、软件以及流程等各个层面。 系统集成的工作通常首先是业务流程的集成，确定好业务流程后通常进行数据集成， 最后进行应用系统的集成。网络教育系统集成同样也是按这样的步骤来进行的。系统 集成过程中可能会遇到的主要问题有： 1 数据源复杂，格式多样性。 2 应用部署于异构的环境下，进程间通信难度较大。 3 应用开发语言混合了多种语言。 4 可扩展性和可靠性不够。 集成技术的变迁与需集成的应用的开发技术有着很大的联系。系统集成技术的发 展经历了多个阶段，包括： 1 ) 单机的应用集成。适用于集成8 0 年代之前的单机系统，现已淘汰。 2 ) 点到点的应用集成。直接面向应用的集成，通过修改应用系统的接口来实现应 用的集成。现阶段仍适用于同构系统的集成，但集成的复杂度高，耗费成本 多。 3 1 基于中间件的应用集成。中间件是位于平台( 操作系统、硬件) 和应用之间的 公共服务模块。中间件通常具有标准的程序接口和协议，以便应用系统的调 2 第一章绪论 用。此种方式集成，应用软件修改较少，中间件屏蔽了平台的差异，大大降低 了集成人员的负担，是目前主流的集成技术。 4 ) 基于w e bs e r v i c e 的集成。目前越来越多的应用是采用w e b 技术来进行开发， 如何高效便捷的集成这些基于w e b 的应用，w e bs e r v i c e 技术应运而生。支持 w e bs e r v i c e 的应用之间相互集成很简单，通过同步请求应答的通信方式，采 用s o a p 协议来进行信息的交互。w e bs e r v i c e 的标准还在不断完善之中。此 种方式集成需要应用系统对w e bs e r v i c e 的支持，是面向服务的集成，是全新 的集成理念，是崭露头免的集成新技术。 应用系统的复杂性往往决定了所采用的集成技术不是单单的一种，而是多种技术 的组合，需要具体问题具体讨论。基于事件触发机制、支持异步通信的中间件和w e b 服务的结合将成为集成技术的发展趋势。就网络教育系统集成而言，根据各关键技术 系统的技术特点，本项目采用了以中间件应用集成为主体，辅以点到点的集成方式。 主要采用了j 2 e e 架构，提供公共集成平台功能模块接口来实现七个异构系统之间的信 息调用。 1 2 2 目录服务 目录服务，顾名思义即提供黄页信息查询服务。起源于1 9 8 8 年，伴随着i n t e r n e t 的发展而逐渐成长，由最初提供简单的信息查询服务，到目前在网络管理、信息组 织、下一代互联网等众多领域发挥着越来越大的作用。 国外对目录服务的研究始于o s i 模型的建立，目录服务的访问协议d a p 与 h 1 v r p 、f t p 等一样是网络应用的标准协议。1 9 9 5 年i e t f 提出了轻量级的目录访问协 议l d a p v 2 标准，时隔两年，i e t f 又提出了l d a p v 3 标准。目前i e t f 仍有睡个工作 组在做l d a p 协议的更新和完善工作，它们分别侧重于目录服务协议本身及分布式同 步更新备份方向。国外软件提供商如s u n 、n o v e l l 、m i c r o s o f t 等均有支持l d a p 及 d a p 的目录服务产品。 w e b c t 4 5 1 是由加拿大b r i t i s hc o l u m b i a 计算机系开发的网络教育产品。它主要用 于课程开发与联机教学内容发布，包括了安全控制、管理、数据备份等多项功能。 w e b c t 侧重于单所学校的使用并没有考虑到分布式应用的场景，采用了关系数据库来 作为信息存储的平台。但w e b c t 在安全控制上提供了对l d a p 的支持，便于将应用部 署于采用l d a p 认证的环境中。 l e a m i n gs p a c e 4 6 是i b m 公司的远程教育产品，该产品基于群件系统d o m i n o 之上 集学习环境、课程开发和课程管理为一体的交互式网上教学系统，具备基本的交互功 能，知在线聊天、讨论组等，简单的课程开发功能。该产品在使用d o m i n o 目录服务的 同时，也提供了对其它l d a p 目录服务的支持，以便用户的登录认证。 国内对目录服务的研究和应用也日趋重视，但主要还是侧重于目录服务的应用方 向上，对协议本身、算法设计、性能分析等研究甚少。如“九五”攻关项目“计算机 信息网络及其应用的关键技术研究”有一子项目“分布式中英文目录服务系统”；又 如，华南理工大学开发了一个基于l d a p 目录服务的校园网络管理系统d c a m p u s ；再 如，北京大学也做了基于w e b 的目录服务管理系统。诸如此类应用系统为网络教育系 统集成中目录服务的应用提供了宝贵的工程实践经验。 东南大学硕士学位论文 网络教育系统集成需要将七个独立的关键技术系统整合为一个完整的网络教育系 统，目录服务已其在分布式应用中所体现出的标准公开、接口统一、描述层次清晰等 优点被集成方案所采纳，与数据交换、档案管理、用户认证共同构成系统集成支撑平 台。集成支撑平台屏蔽各关键技术系统间技术实现上的差异及提高系统整体的可扩展 性，目录服务描述网络教育的资源信息和公告信息，沟通了各关键技术系统之间的信 息流，简化了系统集成的工作量。资源管理系统将资源的描述信息发布至目录服务， 其它需要资源的关键技术系统检索目录树获取资源的u r l 信息交给数据交换模块去获 取相应的资源；各关键技术系统将公告信息发布至目录树，门户从目录树上获取公告 并加以显示。 1 2 3 身份管理 传统的身份管理( i d e n t i t ym a n a g e m e n ti d m ) 侧重于对组织成员的授权和认证信 息的维护以满足组织信息系统的机密性，研究重点在a a “1 4 之上。而近年来电子商务 对企业带来的益处，如降低成本、提高操作效率、管理可控制、业务增长等等，对身 份管理提出了新的研究方向。企业需要对分散于企业内和外部应用系统和资源进行有 效的访问控制，以满足目益增长的用户对资源和应用系统的安全、可靠访问的需求。 身份管理，尤其支持可靠的、多重的身份管理，是在当今全球互联的环境下构建并维 护信任关系的关键【6 7 。而对多重身份的管理是开发下一代分布式应用的核心问题 8 。 工业界中许多公开机构在从事i d m 标准的制定工作，l i b e r t ya l l i a n c ep r o j e c t e l 0 】是 其中最著名的组织之一。l i b e r t ya l l i a n c e 成立于2 0 0 1 年，其目的是为了开发“联盟的 网络身份管理”( f e d e r a t e dn e t w o r ki d e n t i t ym a n a g e m e n t ) 和“基于身份的服务”的开 放标准，致力于提升联盟成员间的协同工作的能力，保护联盟间成员的隐私。目前联 盟成员有1 5 0 多个。 校际间的协作的增多、学校资源的授权共享、网络教育的应用需求也对身份管理 提出了新的要求。美国的i n t e m e t 2 i 】大学联盟中间件( m i d d l e w a r e ) 工作组就有专门 研究解决学校资源授权共享的课题s h i b b o l e t h 1 2 】，其实质也可视为对身份的管理。 进行有效身份管理所面临的最主要的挑战是受访问控制的信息多种多样并广泛分 散于各个应用系统之中，如何实现各个应用系统的无缝集成成为身份管理所要解决的首 要问题。目前身份管理主要存在的不足有： 1 跨域的信任机制、认证、策略关系还缺乏统一的标准。 2 端用户对隐私【9 】保护的要求也是身份管理系统所需解决的难题，加之各国对 网络隐私权的立法不尽相同，这更给构建统一的身份管理带来了难度。 3 此外端用户使用的简单性也是身份管理所需解决的难点。一般系统的安全性 的提高是以损失用户使用的简单性为代价的，如p k i 体系认证强度显然强 于用户名密码认证，但由于证书的颁布、管理、使用、个人维护的复杂性 限制了p k i 的广泛实施。 目前国内对身份的管理研究尚处于起步阶段，一般是对国外产品进行二次开发如 n o v e l l 公司的n s u r e 。这些产品侧重于企业应用，如实现企业c r m ( c u s t o m e r r e l a t i o n s h i pm a n a g e m e n t ) 、e r p ( e n t e r p r i s er e s o u r c em a n a g e m e n t ) 、s c m ( s u p p l y c h a i nm a n a g e m e n t ) 等系统用户身份信息的统一维护，而在网络教育环境下尚无完备的 4 第一章绪论 解决方案，这就需要对网络教育环境下的身份管理进行研究，以满足网络教育发展的 需要。 1 3 主要工作 本项目背景是国家十五攻关重大项目“网络教育关键技术及示范工程”第十二个 子项目“网络教育系统总体设计与集成”。该项目目的是为了将七大关键技术系统整 合为一个完整的系统，使信息能在各系统中互联互通，形成完整的网络教育业务流 程，并检验各关键技术的先进性。作者本人全程参加了该项目，包括初期的项目预 研、集成方案的设计、集成平台的搭建、目录服务模块的研制、各关键技术系统与目 录服务的集成、后期整体系统的测试等工作。 根据项目的需要，本人将研究的重点侧重于目录服务在系统集成中的应用，主要 涉及目录服务的设计、目录服务的部署、目录服务二次开发；本人的研究还包括网络 教育环境下的身份管理，主要涉及身份管理系统架构的研究、联盟的探讨、 m e t a d i r e c t o r y 技术的应用。 系统集成平台的搭建包括构筑网络教育七大关键技术及支撑平台所需的硬件平台 及其之上的各类支撑软件的配置和管理维护。这项工作贯穿于整个集成项目，是相对 繁琐但又相当重要的一项工作。 目录服务的设计包含网络教育资源实体的设计、网络教育用户实体的设计、公告 信息实体的设计。目录服务的部署主要阐述与七大关键技术系统的集成工作。目录服 务的二次开发主要是基于j a v a 语言的两种开发包j n d i 和j l d a p 。 网络教育环境下的身份管理与传统的身份管理有着很大的区别，也与现有企业身 份管理有着不同的侧重点。传统的身份管理注重于a a a ，现阶段企业身份管理关注于 企业间联盟身份信息来获取最大的效益。而网络教育环境下的身份管理应既能满足日 益增长的网络教育用户可靠管理的需要又要适应跨域网络教育资源共享的需求。而目 前网络教育研究领域尚未关注到身份管理的重要性。所以需要先从系统架构上给出网 络教育身份管理的模块组织，联盟的研究突出了网络教育环境下身份管理的新特点， m e t a d i r e c t o r y 技术的研究则是为了实现身份管理系统对各应用系统的身份信息的发 现、维护、注销的全局统一管理的过程。 1 4 项目实旌策略和研究思路 1 4 1 项目实施策略 系统集成项目一大特点就是不可预知性，网络教育系统集成项目由于参加单位较 多，人员庞杂，也就更加大了集成工作的难度，集成所需的工作量无法准确预知。所 以项目组做了大量的准备工作。在确定好集成方案后，通过反复的沟通交流，花了 东南大学硕士学位论文 4 0 的项目总时间来确定业务流程和接口规范，与此同时，本人也就集成所需的技术 做了深入的研究与实践，定下了集成所需的软硬件平台。在占项目总时间2 0 的集成 开发阶段中，项目组对七个关键技术系统做了统一周密的安排，依次进行集成，通过 对每个关键技术系统的集成后及时的总结归纳及修订接口，大大降低了后续关键技术 系统集成所需的时间。余下的4 0 项目总时间，项目组主要是用来进行系统的整体测 试，发现问题，归档并解决问题。 在整个项目进展过程中，项目组注重各类文档的书写和整理，遵循软件工程管理 模式来进行系统的集成。项目组制定了项目进展时间表，并根据反馈不断的加以更 新。 1 4 2 研究思路 “网络教育总体设计与集成”是一个工程性的项目，为保证项目按时保质地完 成，项目组采用的技术均是现有领域主流的技术，侧重于成熟技术的运用。为了能熟 练使用这些成熟技术，需要对这些技术加以研究，当然这里的研究是以应用为导向。 就本人的工作而言，需要在网络教育系统集成中使用目录服务来实现多个应用系统的 信息发布和使用，所以本人研究了目录服务技术，在了解l d a p 协议的基础上，侧重 于l d a p 应用的研究，如目录树的设计、目录服务的部署、目录服务的二次开发等 等；而没有将研究重点放在l d a p 协议本身，如查询算法、索引结构、层次组织等。 从集成关键技术系统时对身份信息处理的烦琐工作中，本人抽象出联盟身份管 理，形成了理论研究点。网络教育从技术上而言是电子商务应用在教育业的拓展。本 人从系统集成的角度、在系统架构的层面上进行网络教育环境下的身份管理的研究。 在充分查阅企业身份管理相关的文献资料的基础上，本人提出了适应网络教育发展需 求的身份管理框架结构；研究了企业身份管理中联盟的概念，给出了适合网络教育环 境身份管理联盟策略的设想。 1 5 文章结构 本文主要由六个章节组成： 第一章：引申出目录服务在网络教育系统集成中的必要性及由在网络教育系统 中研究身份管理的意义：给出了当前该领域的研究现状；阐述了本文要 研究和解决的问题所采用的策略；最后给出了整篇论文的组织结构。 第二章：概述了网络教育系统集成的软硬件平台和网络教育系统集成框架。由 于本人的工作是项目的部分内容，考虑到内容的完整性，这里也从项目 整体上加以概述，以方便读者更好地理解本人的工作。 第三章：从应用角度阐述目录服务的基本概念及l d a p 目录服务的架构、现有 的l d a p 软件实现以及l d a p 目录服务的发展。为理解下一章节的内 容做了铺垫。 第四章：重点剖析了网络教育系统集成中目录服务的设计、部署、开发及测 试。目录服务的设计体现了对c e l t s 标准的支持，目录服务的开发侧 重于使用j a v a 语言的开发，目录服务的部署则是关于目录服务与七大 第一章绪论 关键技术集成的具体情况，目录服务应用的测试则给出了系统整体功能 上的测试。 第五章：阐述了对网络教育系统中身份管理框架的研究的情况。身份管理框架 分层勾画出身份管理系统组成的要素，重点给出了跨域环境下信任机制 的研究，m e t a d i r e c t o r y 技术在身份管理系统中的应用。 第六章：总结了论文的工作，并展望了今后的工作。 1 6 本章小结 本章对网络教育系统集成中目录服务和身份管理课题的背景和研究现状进行了介 绍。通过对集成特例的假定分析，引入了在系统集成中使用目录服务的优越性；并通 过具体的集成工作，引申出对网络教育环境下身份管理研究的必要性。同时通过对本 领域当前研究方向概括，提出了本文的研究重点和研究方法。 东南大学颈士学位论文 第二章网络教育系统集成平台 本章概述了网络教育系统集成的软硬件平台和网络教育系统集成的框架结构，概 述了“网络教育系统集成”项目集成支撑平台各模块的功能。 2 1 网络教育系统集成框架 网络教育系统集成是分布于不同地点的七个异构系统间的集成，集成需要对业务 流、信息、访问入口等进行集成。如图2 1 所示，网络教育系统集成是通过门户、支撑 平台和核心数据库来进行的。网络教育门户为七大关键技术子系统提供统的使用入 口；支撑平台中的用户认证模块则提供统一的身份认证；档案管理模块维护网络教育 用户的档案信息；数据交换模块实现七大关键技术子系统间的信息交互，而各子系统 间没有直接的交互；目录服务则实现网络教育资源的描述与定位、各子系统公告信息 的发布载体、网络教育用户的原数据描述；核心数据库则存放用户档案信息、交换缓 存信息等。从形式上来看这是一种松耦合的集成，各关键技术系统间通过集成支撑平 台间接地进行信息交互，有较强的可扩展性，对子系统修改很少，便于异构系统的集 成；缺点就是支撑平台形成了系统整体性能上的瓶颈，特别是数据交换模块具有单一 故障点。 ( 唑叠嶝鎏立蚴幽 、一一一一一一一一一_ ，一、i 一一一一一一一一一一一一一一一一 3e r ( = 二：= 二：= 二二 l 一二：竺竺二一j 图2l 网络教育系统集成体系结构 下面将分别给出门户系统及支撑平台各模块的功能。 2 。1 。1 网络教育门户 网络教育门户系统主要由四个模块组成，分别是用户单点登录模块、用户注册、 个人信息管理模块、应用导航模块以及应用管理功能模块。 第二章网络教育系统集成平台 用户单点登录模块用于处理用户对门户子系统提交的登录请求，允许多个用户同时 进行申请。用户在门户子系统提交登录的请求，门户系统通过和认证模块的交互得到 认证的结果和用户的身份信息，同时用户被认证模块添加进在线用户库，用户的身份 信息将在门户系统的其他流程中被使用。 用户注册、个人信息管理模块用于实现新用户的注册及老用户个人信息的修改。 用户注册和个人信息管理模块提供用户在未登录情况下进行帐户注册以及登录后修改 个人信息的功能，用户可以在此注册学生、教师两种类型的帐户( 具体的访问权限必 须待审核后授予) 。用户注册信息被暂时保存在核心数据库中的注册专用表格中，待 审核后添加至对应的用户表格中。用户登录进入门户系统后，门户系统自动获得用户 的身份信息，同时提供相应的个人信息管理功能。 应用导航模块用户提供了使用该网络教育系统的平台，用户登录进入门户系统 后，门户系统根据认证模块返回的用户登录信息以及用户提交的身份信息，对学生和 教师用户提供他们能够访问的教育业务子系统入口、个人信息管理入口和各系统发布 的公共信息，对管理员用户除提供以上信息外，还提供业务子系统的管理入口和发 布、删除公共信息的入口。该模块可根据用户权限提供相应的应用子系统入口链接， 用户通过该连接即可漫游到任意子系统；对于某些c s 结构的应用提供客户端的下载 和自动安装功能；提供管理员发布、删除公告信息的功能并从目录服务得到所有子系 统的公共信息供用户使用。 应用管理模块通过目录服务模块动态的管理和维护整个网络教育系统所有应用， 系统管理员可以添加、删除、修改符合规范的业务系统到门户系统中，供用户访问。 不同的管理员用户可以并行执行的各类操作。管理员用户登录进入门户系统后，系统 动态生成应用管理的界面。管理员可以在此界面下完成对应用的增、删、改和激活操 作。 2 1 2 用户认证模块 网络教学认证模块为其他子系统提供用户认证功能。用户只需从门户中登录一次 就可访问所有子系统而无需进行多次登录。该模块结构与工作过程如图2 2 所示： 图2 2 认证模块功能示意图 认证服务器是一个可单独运行单独系统上的应用程序，它通过和不同子系统的认 证接口通信来提供认证功能。认证方法采用o t p 认证。认证子系统主要功能是向其他 东南大学硕士学位论文 子系统提供用户认证接口及其内部功能如用户登录与退出、用户口令管理、用户活动 日志记录：记录登录用户的活动情况，保证长时间未活动的用户自动退出。 2 。1 3 档案管理模块 档案管理主要提供了关键技术系统访问档案信息的接口，根据集成的体系结构， 关键技术系统无法直接访问核心数据库，而是通过档案管理模块提供的接口进行用户 身份信息的访问。主要有两类接口e j b 接口和c + + 接口，提供了三类主要信息，分别 是用户信息、课程信息和教学统计信息。其中用户信息又细分为学生信息、教师信息 和管理员信息。 2 1 4 数据交换模块 数据交换模块主要实现了课件资源传输服务，该服务包含两类主要功能：0 止传 与下载标准课件资源：应用系统按照指定的格式( c e l t s 规范) 提供的标准的课件资源数 据，并存储在本地：接收标准课件资源系统响应数据传输的请求，并按照指定的格式 ( ( c e l t s 规范) ) 返回标准的课件资源数据；0 数据预约到达服务通知：在应用系统 预约的标准课件数据到达更新后，通知该应用系统。 模块主要包含功能： 课件上传客户端：提供可靠、高速的传输途径上传指定的课件到数据交换的 服务器。各业务应用系统看到的实现形式为函数接口。实现形式为j a v a 的桌 面a p p l i c a t i o n 。 消息协商客户端：提供辅助上传课件的协商机制。包括发送上传资源的消息 请求、接受上传消息应答、发送上传资源的结果标志信息。实现形式为j m s 的客户端应用。 服务端协商进程：作为服务端后台运行的程序，负责在教学课件资源的传输 过程与客户端进程进行协商。并发送关于资源位置信息的四元组给课件客户 端。 日志维护：维护和管理资源传输过程中的的所有相关日志信息。日志主要包 含课件的上传的时间、单位、操作者以及课件资源的简单描述信息。 异常处理：定义全局的异常处理消息和异常事件。供课件传输服务的各模块 调用。 2 1 。5 目录服务模块 在支撑平台中使用目录服务主要有如下几个原因： 1 考虑到网络教育系统中对资源的需求是普遍存在的，如果网络教育资源管理 予系统不将资源信息发布到目录服务中，按照松耦台的集成体系势必造成各 子系统频繁通过数掘交换模块访问教育资源管理子系统。易造成系统瓶颈。 第二章网络教育系统集成平台 2 目录服务在网络信息组织形式与管理上的标准化有助于多个教育资源子系统 间信息格式的统一从而达到网络教育资源的共享。 3 目录服务独立于平台，其同步更新备份机制比关系数据库更适合于异构系统 环境。 4 目录服务的j a v a 应用开发接口有统一的j n d i ( j a v an a m i n gd i r e c t o r y i n t e r f a c e ) 开发包。 5 目录服务通过索引机制大大提高了信息检索的速度，提高了系统的性能。 故目录服务模块的体系架构图如图2 3 所示，提供的主要功能有： 网络教育资源描述： 1 教学资源描述，参考学习对象元数据规范( l o m ) 。 2 用户信息描述，参考学习者模型。 3 信息公告描述，包括与考试，开学等相关的公告信息。 4 应用系统信息描述，包括应用系统的基本信息描述。 目录服务管理： 1 目录服务的维护，如目录服务部署、配置、定制等。 2 ，如需认证模块提供证书认证机制则提供管理证书功能。 l d a p 目录服务通用接口： 1 提供访问目录服务独立的j a v a 语言j n d i 接口。 2 常用目录服务软件公司提供的其它语言平台开发包。 矿7八 i 目录服务i f 应用子| i 史撑平台其l 管理 u 系统i a 它模块f l、i i - 7 1 1 , i 产l l l 接口j n d i 接口 、卜 ， 7 _ lo l - o 、 1 1 1 八 目录服务资源描述 2 1 6 核心数据库 图23 目录服务模块架构 核心数据库提供了网络教育用户的身份信息，数据格式遵循了c e l t s 标准的学习 者模型规范。核心数据库同时也为认证模块提供了身份信息，也作为数据交换模块的 暂存数据库。关键技术系统中的身份信息来源自核心数据库，通过事件触发方式与核 心库保持一致。 东南大学硕士学位论文 2 2 网络教育系统集成硬件平台 集成工作除了需要开发支撑平台的四个模块，还需配置各关键技术子系统及核心 数据库。由于网络教育系统是服务密集型系统，对硬件平台的可用性、可靠性、可扩 展性要求较高。考虑到整个系统的性能和可扩展性，在调研多套硬件设备的基础上， 本项目采用了百兆局域网四台高性能服务器来架构整个网络教育系统并选择了i b m 公 司专门为电子商务应用定制的e s e r v e rx 3 3 5 系列服务器。3 3 5 服务器在 s p e c w e b 9 9s s l 基准测试中并发顺畅连接数目达到了1 4 7 5 个，是迄今为止所有1 a 3 2 平台上的两路服务器在s p e c w e b 9 9s s l 性能测试上的最高纪录。并发连接数指标对网 络教育应用而言相对重要。在实际的网络教育集成应用中，4 台x 3 3 5 分别分别承担如 下表任务。 s e r v e r as e r v e r bs e r v e r - cs e r v e r d 操作系统 r e d h a ta s 3 o r e d h a ta s 3 0r e d h a ta s 3 ow i n d o w s2 0 0 3 应用部署- w e b l o g i c 8 1 n o v e l lo r a c l e9 i v s s 版本控制 七大关键技e d i r c c t o r y 考场服务器 术子系统 一认证服务器 表2 1x 3 3 5 服务配置 2 3 网络教育系统集成软件平台 网络教育系统集成涉及了很多系统支撑软件及应用系统的部署和配置，这些系统 支