（计算机应用技术专业论文）校园信息化中统一用户视图的研究与实现.pdf

中山大学硕士学位论文摘要 校园信息化中统一用户视图的研究与实现 专业：计算机应用技术 硕士生：董娟 指导教师：郭清顺研究员 摘要 随着社会的不断发展，信息技术的逐渐普及，在各个高校信息化的发展历程 中，许多不同的业务部门都建立了相应的信息系统。随之，许多高校的校园信息 化建设都不同程度地陷入所谓的“信息孤岛”。 在与中山大学研究生院合作的过程中，发现其各个业务部门的信息系统各自 为政，相互之间缺少共享，如：信息、资源相对独立等。此外，由于校园各个应 用系统之间存在安全边界，造成用户访问不同应用系统需要多次登录，导致诸多 不便，同时引发一系列的安全问题。要使基于信息管理的应用系统实现真正的集 成，用户组织信息的共享至关重要。因此，本文提出基于校园信息服务的统一用 户视图系统的建设方案。该系统具有统一认证和用户视图共享两大功能，统称为 统一用户视图。 本文的主要工作，包括以下几点： 一、提出中山大学研究生院校园信息服务集成中心的一种解决方案基 于n e t 框架的统一用户视图管理； 二、按照软件工程的方法，对统一用户视图系统进行需求调研、需求分析、 设计、编码、测试等； 三、实现基于w e bs e r v i c e s 、h t t p + x m l 以及a p i 等方式的用户、组织机 构信息等的服务访问接口； 四、提出一种基于n e t 框架的m yo r m ，实现o r m 的基本功能； 五、简要总结本文，展望未来，提出进一步需要研究解决的问题。 中山大学硕士学位论文校园信息化中统一用户视图的研究与实现 本文的主要贡献，主要有以下几点： 首先，针对中山大学研究生院实际情况，提出切实可行的轻量级解决方案一 一统一用户视图； 其次，基于n e t 框架实现技术创新； 再次，统一用户视图系统提供对跨平台的各个应用系统的支持与集成。 关键词：校园信息化，单点登录，统一用户视图 中山大学硕士学位论文 u n i f i e du s e rv i e wo fr e s e a r c ha n dd e s i g n i nc a m p u si n f o r m a t i o n m a j o r ： n a m e ： a b s t r a ( 汀 c o m p u t e ra p p l i c a t i o nt e c h n o l o g y j u a nd o n g s u p e r v i s o r ：p r o f e s s o rq i n s h u ng u o a bs t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to fs o c i a ls c i e n c ea n dt e c h n o l o g y , i n f o r m a t i o n c o n s t r u c t i o na tc o h e g eg e t sb o g g e dd o w no ni s o l a t e di n f o r m a t i o ni s l a n d s i nt h ec o u r s e o ft h ed e v e l o p m e n to fu n i v e r s i t yi n f o r m a t i z a t i o n , m a n yd i f f e r e n ts y s t e m sh a v eb e e n s e tu p i t i sf o u n dt h a tt h ec o - - o r d i n a t i o na n dl a c ko fs h a r i n ga m o n gt h ev a r i o u s d e p a r t m e n t sb u s i n e s si i n f o r m a t i o ns y s t e m s ，i nt h ep r o c e s so fc o o p e r a t i o nw i t ht h e g r a d u a t es c h o o lo fs u ny a t s e nu n i v e r s i t y , f o re x a m p l e ，i n d e p e n d e n ti n f o r m a t i o na n d i n d e p e n d e n tr e s o u r c e s i na d d i t i o n , s i n c et h e c a m p u ss e c u r i t y b o u n d a r i e sb e t w e e nt h ev a r i o u s a p p l i c a t i o ns y s t e m s ，u s e r sn e e dt or e p e a t e d l yl o go na n df a c et oas e r i e so fs e c u r i t y p r o b l e m s t h es h a r i n go f u s e r sa n do r g a n i z a t i o n si se s s e n t i a li no r d e rt or e a l i z er e a l i n t e g r a t i o no fa p p l i c a t i o ns y s t e m s , b a s e do nt h ei n f o r m a t i o nm a n a g e m e n t a c c o r d i n g l y , t h i sp a p e rp r o p o s e dt h es o l u t i o nb a s e do nc a m p u si n f o r m a t i o ns e r v i c e i n t e g r a t i o np l a t f o r m t h i ss o l u t i o nh a st w om a j o rf u n c t i o n s ：u n i f o r ma u t h e n t i c a t i o n a n ds h a r i n gu s e rv i e w t h e r ea r ek n o w n c o l l e c t i v e l ya st h eu n i f i e du s e rv i e w t h i sm a j o rw o r ki n c l u d e s ： f i r s t ，i ti sp r o p o s e da l li n t e g r a t e ds o l u t i o ni ni n f o r m a t i o ns e r v i c e sc e n t r ef o r g r a d u a t es c h o o lo fs u ny a t s e nu n i v e r s i t y , w h i c hi sm a n a g e m e n to fu n i f i e du s e r v i e w , b a s e do n n e tf r a m e w o r k s e c o n d ，a c c o r d i n gt ot h em e t h o do fs o f t w a r ee n g i n e e r i n g ，i ti se s s e n t i a lt o r e s e a r c h , a n a l y z e ，d e s i g n , c o d ea n ds oo nf o ru n i f i e du s e rv i e w i i i 中山大学硕士学位论文 校园信息化中统一用户视图的研究与实现 t h i r d ，i ti st or e a l i z es e r v i c e sa c c e s si n t e r f a c et ou s e ri n f o r m a t i o n , w h i c hi sb a s e d o nw e bs e r v i c e s ，h t t p + x m l ，a n da p ia n ds oo n f o u r t km yo r m ，w h i c hi sb a s e do n n e tf r a m e w o r k , i sp r o p o s e dt oi m p l e m e n t o i 泓b a s i cf u n c t i o n s f i f t h , i ti sab r i e fs u m m a r yo ft h i sp r o j e c t ，a n df u r t h e rn e e dt os t u d yi nt h ef u t u r e t h em a i nc o n t r i b u t i o no f t h i sp a p e r , a ss h o w nb e l o w ： f i r s t l y , i ti sp r o p o s e dal i g h t w e i g h ts o l u t i o nt oi n t e g r a t e di n f o r m a t i o n , w h i c hi s u n i f i e du s e rv i e w , f o rg r a d u a t es c h o o lo fs u ny a t - s e n u n i v e r s i t y s e c o n d l y , i ti si m p o r t a n tt oa c h i e v et e c h n o l o g i c a li n n o v a t i o n f i n a l l y , i t i sa v a i l a b l et o p r o v i d ec r o s s - p l a t f o r mi n t e g r a t i o nf o rv a r i o u s a p p l i c a t i o n s k e yw o r d s ：c a m p u si n f o r m a t i o n , s i n g l es i g n - o n , u n i f i e du s e rv i e w i v 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：董度赢 日期：劲l o 年占月二日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论 文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入 有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名：蔓汝龟 日期：油l 口年月二日 导师躲初多“乡， 日期：2 0 o 年月2 月 中山大学硕士学位论文第章绪论 1 1 研究背景 第一章绪论 随着社会的不断进步，网络技术的不断发展，互联网的应用逐步深入到各行 各业中。尤其在处于相对领先地位的教育信息化的发展历程中，许多高校的各个 业务部门都建立了相应的管理信息系统。通常，各个高校基于不同业务部门建设 不同的管理信息应用系统，大部分是由不同的开发商、在不同的时期、采用不同 的设计模式以及不同的技术架构建设的。 一般来说，每个应用系统都拥有自己独立的用户信息管理的功能，其中的用 户信息的格式、命名方式与存储方式也是多种多样。这样，当用户需要使用多个 应用系统时就会引发用户信息同步的问题。通常，用户信息的同步会增加系统的 复杂性，增加管理的成本，降低工作效率。因此，各个应用系统自成体的认证 系统以及用户信息管理系统，致使同一用户登录不同系统时需要记住多个不同的 账号和密码，在登录和重复记忆上耗费大量时间。 随着各种应用系统的数量越来越多，功能越来越强大，许许多多高校不得不 面对迅速膨胀的信息量。同时，重复的用户名和密码的记忆不仅给用户带来了很 大的负担，而且使得整个校园信息服务的身份认证和访问控制问题变得越来越复 杂，更重要的是降低了教育化信息化体系的可管理性和安全性。因此，高校不得 不面临：各个应用系统各自为政，相互之间缺少信息资源共享，导致信息存储分 散、冗余，严重影响信息化的进程，陷入所谓的“信息孤岛【1 1 ”。 目前，中山大学的研究生院也受到了“信息孤岛的影响，给日常的工作造 成了诸多不便。根据目前建设过程中的同等学力考试报名缴费系统、博士生报名 缴费系统以及其他系统的实际情况，用户的信息分散存储，经常需要系统管理员 们在不同应用系统之间导入导出数据，造成信息严重重复，用户信息无法统一更 新，造成维护困难。 中山大学硕士学位论文 校园信息化中统一用户视图的研究与实现 1 2 研究意义 为了解决以上所描述的信息分散存储以及资源缺乏共享的问题，目前中山大 学研究生院迫切需要一个统一的、安全的、完善的、有良好的可移植性、易于管 理的以及为所有应用系统提供服务的基于校园信息服务的统一用户视图的集成 平台。通过统一用户视图集成校园服务的平台，实现统一的用户信息管理，统一 的身份认证【1 1 ，进而促进中山大学研究生院的进一步发展，同时也将促进其他高 校服务信息一体化发展。 1 ) 提高信息共享的程度。 通过统一用户视图系统，中山大学研究生院进行全局统一规划，实现资源有 效共享；通过统一用户视图系统自动更新，实现用户的信息统一；通过统一用户 视图，避免全部用户信息反复存储，减少各个应用系统之间相互导入导出，减少 应用系统的用户信息以及其他信息的存储，提高系统性能，促进系统优化。 2 ) 方便用户使用。 通过建立统一的用户管理和用户认证中心，提供统一的用户登录模块，实现 统一的访问资源和应用的接口，实现单一用户密码访问，实现对用户的权限、 登录的日志等相关内容有效地管理和配置。与此同时，更重要的是可以简化用户 使用流程，减少重复输入用户名和密码，减少重复登录，减轻用户记忆负担，提 高用户效率，更加方便用户使用。 3 ) 便于统一管理。 通过统一用户视图，实现对用户信息的统一管理，实现对各个应用系统的可 配置式地管理。比如：通过设立特定的字段来标记状态，o 表示禁用状态，1 表 示可用状态，1 表示已删除状态。通常，在以前的各个应用系统中对用户信息都 是相互独立地修改，很难达到信息的同步管理。通过统一用户视图的校园信息平 台，可以实现对所有应用系统的用户进行可配置的管理，利于同步更新信息，同 时，更加方便于系统管理员的管理。 4 ) 利于开发和维护。 建设统一用户视图系统，能够总体上降低各应用系统的开发和管理成本。对 于各个应用系统，无需建设用户信息管理功能，尤其是对于新开发的应用系统， 2 中山大学硕士学位论文第一章绪论 只需要调用该信息服务集成平台的接口就可以实现用户视图信息和认证信息的 共享。 总之，在校园信息化中建立统一用户视图的信息服务集成的平台，能够使得 用户通过单一的入口安全访问各应用系统，建立了一个统一的信息共享的平台。 该信息服务集成平台，关键为统一用户视图。u u v 系统主要通过单点登录技术 和统一用户视图实现，并且可以提供对统一的角色访问控制【2 】的扩展支持。基于 统一用户视图的校园信息服务集成平台，不仅能够简化使用流程，降低维护成本， 提高用户的工作效率，还可以提高网络的安全性，更重要的是促进学校的信息化 的进程，提升中山大学的形象。 1 3 统一用户视图( u u v ) 统一用户视图英文名为u n i f i e du s e rv i e w ，简称为u u v 。统一用户视图 是校园信息服务集成的一个重要技术。 基于软件即服务的基本思想，统一用户视图主要是针对整个中山大学的组织 架构以及用户的基本信息进行管理，提供一个目录树的信息展示平台，同时提供 各个应用系统对于共享信息的访问接口，方便各个应用系统查询各种组织机构以 及用户的信息。具体如图1 - 1 所示。 厶 用户 ii i 统一用户视图系统 ； 图卜1 统一用户视图系统结构图 中山大学硕士学位论文 校园信息化中统一用户视图的研究与实现 统一用户视图不仅是为管理员提供可视化的用户视图管理平台，更是为集成 的各个应用系统提供可视化的用户信息服务，从而简化系统开发、维护等工作。 通过统一用户视图提供的访问共享信息的接口规范，中山大学研究生院的各个应 用系统可以方便地调用以及获取各种组织机构、用户以及各个全局组的基本信 息，通过统一认证【3 l 可以保证系统中用户账号的一致性，同时可以实现一个用户 多重身份的功能。即为应用系统通过统一用户视图提供的视图访问接口，可以方 便地查询该用户与组织机构、用户与全局组之间的联系。因此，对于用户和组织 机构的之间的查询是双方面的，对于全局组和用户、组织机构之间的查询也是双 方面的，是相互映射的，对于各个应用系统实际操作具有重要影响和意义。 统一用户视图，具有提供多种分析角度，扩大分析空间的优势。目前，计算 机技术的飞速发展，带动相关的数据库与计算机网络的迅猛发展，人们不得不面 对迅速膨胀的信息量，但是对大量的数据信息进行分析和推理，总是能够发现隐 含的知识和规律。特别是，最近数据挖掘、机器学习以及规则提取在人工智能方 向的快速发展，给以后人们运用数据挖掘对用户信息以及机构组织信息，进行数 据分析和挖掘，可以更好地了解用户行为模式。而对于用户行为的分析，目前在 数据分析和数据挖掘领域应用广泛。 中山大学研究生院还可以通过统一用户视图，给各种各样的用户提供个性化 的服务。不论中间过程如何实现，统一用户视图只需提供相应的服务满足用户的 需求，提供统一的身份认证。同时，统一用户视图并且给各个应用系统提供相应 的组织结构以及用户查询的视图。统一用户视图，提供一种从分析用户各种行为 来了解用户的方法，提供各种差异性服务的平台，进而促进学校部门和用户实现 双赢。 1 4 本文的主要内容以及组织结构 1 4 1 本文的主要内容 根据中山大学网络建设所提出的“统一数据库，统一标准、统一开发平台、 统一用户管理、统- - 1 7 户 的“五个统一的指导思想【4 j ，本文主要参考中山大 学研究生院的相关项目背景提出具体的需求，提出设计与实现在校园信息服务集 4 中山大学硕士学位论文第。一章绪论 成中建立统一用户视图系统。 本文主要依照软件工程的标准，针对中山大学研究生院的各个业务系统各自 为政的状态，展开校园信息化服务集成中的统一用户视图( 以下简称u u v 系统) 的应用与实现的研究工作。 本文的主要工作，主要分为以下几点： 1 ) 以中山大学研究生院信息应用集成为调研出发点，借鉴广东省电信 e i a c ( 企业信息应用中心) 解决方案的建设经验，完成对高校信息化中的中山 大学研究生院的统一用户视图系统的需求调研； 2 ) 针对前期的需求调研进行需求分析，对u u v 的总体功能和架构进行初 步规划，通过用例图和u i 设计图等描述了系统的详细需求，形成需求分析文档， 同时制定一定的测试用例； 3 ) 以需求分析为基准，对u u v 系统进行总体设计，初步探讨u u v 管理平 台的各个功能以及其所涉及的关键技术和实现细节，详细描述i j n u v 用户信息服 务接口规范，同时对用于统一认证的单点登录技术进行设计； 4 ) 搭建n e t 2 0 、v s 2 0 0 5 、v s s ( m i c r o s o f tv i s u a ls o u r c e s a f e ) 、s q l 2 0 0 5 以及w i n d o w 2 0 0 3 服务等开发环境，建立新的n e t 2 0 解决方案并进行三层架 构划分。分别开发实现1 兀管理平台、u u v 信息服务接口以及统一认证中心等 核心部分。同时，u u v 提供基于j a v a 、n e t 以及p h p 等不同技术平台的各个 应用信息系统的接入方案。 5 ) 对u u v 系统运行结果进行分析，分析是否符合预期效果，并且对管理 平台和接口实现分别展示运行结果。 1 4 2 本文的组织结构 本文主要陈述在校园信息服务集成中统一用户视图的系统的设计和实现。 第一章：绪论。描述本论文的研究背景、研究意义，阐述了本文的组织结构。 第二章：相关技术概述。介绍本文相关的面向服务架构思想、单点登录技术 以及n e t 框架等关键技术。 第三章：u u v 系统的需求分析。针对本文的系统，进行详细的需求分析。 第四章：u u v 系统的设计。描述了系统中关键模块的设计细节。 中山大学硕士学位论文校园信息化中统一用户视图的研究与实现 第五章：唧系统的实现。描述了实现统一用户视图系统的具体编码以及 代码实现。 第六章：u u v 系统的运行结果。描述了统一用户视图系统的运行效果。 第七章：结束语。对本文进行全面总结，给出本文的主要工作，指出存在的 不足，并且对进一步的工作进行展望。 本文的组织结构，如图1 - 2 所示： 1 5 本章小结 图1 - 2 本文的组织结构图 本章分析了信息化建设中校园信息服务集成的背景以及意义，针对整合信息 资源、消除信息孤岛，引入了建立校园信息化中统一用户视图的信息服务集成平 台的解决方案，提出了建设统一用户视图系统。接下来，本文对统一用户视图进 行了详细阐述，指出统一用户视图的优点和特点。此外，本章给出了本文的主要 内容，以及本论文的组织结构，并且分别介绍各个章节的主要内容。 6 中山大学硕士学位论文第二章相关技术概述 2 1 研究现状 第二章相关技术概述 目前，校园信息化是国内教育建设发展的大趋势，而教育信息化程度的具体 体现是数字化校园的建设。随着数字化校园的推进，原先低效的、被动式的、面 向硬件系统为主的监管体系必须要提升到更高效、主动式的、面向服务为主的运 营管理模式，只有这样才能满足数字化校园可持续发展的要求【5 1 。 随着s o a 技术的日渐成熟，许多高校都尝试使用w e bs e r v i c e s 来解决校园 中各自为政的应用系统引发的诸如“信息孤岛 的问题。通常，高校采用提供统 一用户管理的平台为各个应用系统提供单点登录、统一认证的支持。身份认证主 要是用于防止对系统进行的主动攻击，身份认证的目的有两个方面【6 】：一是验证 信息的发送者是否合法，即实体认证，包括信息、信宿的认证和识别；二是验证 消息的完整性以及数据在传输和存储过程中是否会被篡改、重放或延迟。对于基 于统一用户管理认证的平台是一个用户认证的集中管理，也是一个用户管理的 集成环境。为此，一种基于目录树服务的统一用户管理平台在异构环境中应运而 生。它主要使用一种即插即用的动态目录服务集成技术r 7 1 。 随着用户数量的急剧增长，用户之间的组织结构关系显得越来越重要。传统 的统一用户管理已经不能满足需求。因此，提出一种全新的统一用户视图，采用 视图的形式，提供各种查询机构、用户信息的服务接口，充分体现其可视化、直 观性以及可操作性的特点。 2 2s o a 面向服务架构 2 2 1s o a 的定义 面向服务架构是一种架构模型，属于一种架构的新型风格。面向服务架构， 英文名称为s e r v i c e o r i e n t e da r c h i t e c t u r e ，缩写为s o a 。对于松散耦合的粗粒度 7 中山大学硕士学位论文校园信息化中统一用户视图的研究与实现 应用组件，面向服务架构可以通过网络然后根据需求对其进行分布武部署、组合 和使用。服务层是s o a 的基础，可以直接被应用调用，从而有效控制系统中与 软件代理交互的人为依赖性。 面向服务架构的关键是“服务 的概念。w 3 c 将服务定义为：“服务的提供 者是完成一组工作，为服务使用者交付所需的最终结果。最终结果通常会使使用 者的状态发生变化，但也可能使提供者的状态改变，或者双方都产生变化【8 】，。 通常，不同的厂商，不同的组织，不同的个人对于s o a 有着不同的理解。 以下是关于s o a 的几种定义： s e r v i c e a r c h i t e c t u r e t o m 认为s o a 是：“s o a 在本质上是服务的集合。这些 服务之间彼此通信。他们之间的通信可能是简单的数据传送，也可能是两个或更 多的服务协调进行某些活动。这些服务之间需要某些方法进行连接。所谓的服务， 是封装完善、精确定义、独立于其他服务所处环境和状态的一些函数。【9 】 l o o s e l y c o u p l e d c o i l l 认为s o a 是：“s o a 是按需连接资源的一个系统。其中， s o a 的资源是可通过标准方式访问的独立服务，提供给网络中的其他成员。s o a 比其他传统的系统结构优先提出了资源间更为灵活的松散耦合关系。【i o j g a r t n e r 则认为s o a 是一种客户端朋艮务器的软件设计方法。面向服务架构主 要是由一项应用由软件服务和软件服务使用者组成。与传统的模型不同，s o a 着重强调使用独立的标准接口的软件组件的松散耦合关系【8 】。 m e t a 则认为面向服务架构是以通用为目的一种具有联合协作性并且可以 扩展的架构。其中，服务是指有关的所有业务流程。面向服务架构，可以通过基 于类封装的服务接口将服务委托给服务提供者。通常，使用可扩展标识符、格式 和协议单独描述服务接口【8 】o 通过对上述几种不同的s o a 定义分析，本文总结得到s o a 的关键特性：一 种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通信，不涉 及底层编程接口和通讯模型。s o a 是一种应用于计算环境中设计、开发、部署 和管理服务的模型。 虽然面向服务架构是b s 模型以及x m l w e bs e r v i c e s 技术之后的延伸，但 是面向服务架构不是一种新型的技术，而是一种架构和组织信息技术的基础结构 以及业务功能的方法。s o a 是从一个新的高度理解企业级架构中的各种组件的 8 中山大学硕士学位论文第二章相关技术概述 开发、部署形式。s o a 通常能够让系统架构者更迅速、更可靠、更具重用性来 架构整个业务系统。 2 2 2s o a 的特点 在面向服务架构s o a 的实施过程中，通常可以看到很多鲜明的基本特征。 下面为众多的架构者发现它所具有的潜在的优点： 1 ) 编码更加灵活。 通常，基于模块化的低层服务的面向服务架构采用不同的组合方式创建高层 服务。进而，体现了编码的灵活性，便于实现代码重用。此外，服务使用者不直 接访问服务提供者，采用间接访问方式，而这种间接的服务也可以采用灵活的实 现方式。 2 ) 开发人员更加明确角色。 采用面向服务架构，可以使得开发人员的角色更加明确。开发人员无需了解 底层的实现，可以将精力集中在解决高价值的业务问题。 3 ) 支持多种类型的客户。 通常，面向服务架构能够借助对服务接口的精确定义以及对x m l 、w e b 服 务标准的支持，进而实现对多种客户类型的支持。比如，面向服务架构支持p d a 、 手机等其他新型访问渠道。 4 ) 更容易维护。 在s o a 中，服务的提供者和服务的使用者之间的松散耦合关系及对开放标 准的采用确保了易维护性的实现。 5 ) 更好的伸缩性。 面向服务架构通过服务设计、开发和部署时采用的架构模型来实现更好的伸 缩性。通常，服务提供者可以彼此独立调整来满足服务的需求。 6 ) 更高的可用性。 更高的可用性，体现在服务提供者与服务使用者之间的松散耦合关系。服务 使用者无须了解服务提供者的实现细节。因此，服务提供者可以灵活地部署i i s 应用服务器，而服务使用者则可以在网络上的任何一个节点利用多种可选的技术 平台进行调用。 9 中山大学硕士学位论文 校园信息化中统一用户视图的研究与实现 2 2 3w b bs e r v i c e s 1 w e bs e r v i c e s 简介 w r e bs e r v i c e s 是一个应用组件，能够为其他的应用程序提供数据和服务。各 个应用程序主要通过网络协议和规定的标准数据格式来访问w e bs e r v i c e s 。使用 基于x m l 消息处理的基本数据通讯方式的w e bs e r v i c e s ，能够消除使用不同组 件模型、操作系统、对象模型和编程语言之间存在的差异，使得各个异构系统能 作为单个计算机网络协同地运行。w e bs e r v i c e s 是一种构建应用程序的普遍模型， 可以在任何支持网络通信的操作系统中实施运行。w e bs e r v i c e s 是一种新的w e b 应用程序分支，是自包含、自描述、模块化的应用。 一般来讲，w e bs e r v i c e s 是基于三种角色( 服务提供者、服务注册中心和服 务请求者) 之间的交互【1 1 2 1 ，具体涉及发布、查找和绑定操作，如图2 1 所示。 图2 - 1w e bs e r v i c e s 示意图n 2 1 在典型情况下，服务提供者提供可通过网络访问的软件模块，定义相关的 w e bs e r v i c e s 的服务描述，并将其发布到服务注册中心。服务请求者使用查找操 作从本地或服务注册中心搜索服务描述，然后使用服务描述与服务提供者进行绑 定，并调用相应的w e bs e r v i c e s 服务。服务提供者、服务请求者和服务注册中心 这三个角色是根据逻辑关系划分的，在实际的应用中，角色之间可能出现交叉或 者互换【13 1 。 2 w e bs e r v i c e s 特点 实际上，跨平台的可互操作性是w e bs e r v i c e s 的主要目标。为此，w e b 1 0 中山大学硕士学位论文第二章相关技术概述 s e r v i c e s 完全基于x m l ( 可扩展标记语言) 、x s d ( x m ls c h e m a ) 等独立于平 台、独立于软件供应商的标准，是创建可互操作的、分布式应用程序的新平台。 w e bs e r v i c e s 主要应用于远距离的通信、应用程序集成、b 2 b 的整合、软件和数 据重用四个方面。 w e bs e r v i c e s 是建立可互操作的分布式应用程序的新平台。w e bs e r v i c e s 具 有以下特剧1 4 1 ： 1 ) 封装性。 w e bs e r v i c e s 是一种部署在w e b 应用上的对象，具备良好的封装性。w e b s e r v i c e s 是作为整体而提供服务。对使用者而言，仅能看到服务描述，而该服务 的具体实现、运行平台都是透明，调用者无须关心，也无法关心。 2 ) 高度的开放性。 w e bs e r v i c e s 之间可以进行相互交互，它们彼此具有语言和平台无关性。w e b s e r v i c e s 支持各种通讯协议如：h t t p ，s m t p ，f t p 和r m i 等。w e bs e r v i c e s 支 持c o r b a 、e j b 、d c o m 等多种组件标准。 3 ) 使用标准协议。 w e bs e r v i c e s 所有的公共协议都使用标准协议描述、传输和交换。这些标准 协议在各种平台上是完全相同的。 4 ) 松散耦合。 当w e bs e r v i c e s 的实现发生改变时，服务调用者是无法感受到这种改变的。 对服务调用者而言，只要w e bs e r v i c e s 提供的服务实现接口没有变化，具体实现 的改变是完全透明的。 5 ) 高度整合的能力。 由于w e bs e r v i c e s 采用简单的易理解的标准w e b 协议作为通信协议，完全 屏蔽了不同平台的差异，无论是c o r b a 、d c o m 还是e j b ，都可以通过这种标 准的协议进行互操作，实现系统的最高可整合性。 3 w e bs e r v i c e s 关键技术 从目前的技术出发，在构建和使用w e bs e r v i c e s 时，主要用到以下几个关键 的技术和规n - 1 ) x m l 1 1 中山大学硕士学位论文 校园信息化中统一用户视图的研究与实现 x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) 即可扩展标记语言，是s g m l ( s t a n d a r d g e n e r a l i z e dm a r k u pl a n g u a g e ：标准通用标记语言) 。x m l 是描述w r e bs e r v i c e s 数据的标准方法，即基于w e bs e r v i c e s 技术的应用程序无论采用什么语言，最终 都是将数据转换为基于x m l 的格式。采用x m l 为基础的w e bs e r v i c e s ，能够 解决平台无关性以及厂商无关性的问题。 2 ) s o a p s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) t i 5 】：即简单对象访问协议，是w e b s e r v i c e s 在分布式环境中交换信息的标准方式。简单对象访问协议是一种具有扩 展性的x m l 消息协议，且独立于底层的传输协议。s o a p 包括封装结构、编码 规则、r p c 表示三个部分。s o a p 协议能通过h t t p ，j m s 或s m t p 协议传输。 目前，大多数在w e bs e r v i c e s 中的数据都是先进行s o a p 封装，然后与h t t p 协 议进行绑定，最后完成信息的交换。 3 ) w s d l w s d l ( w e b s e r v i c e sd e s c r i p t i o nl a n g u a g e ) 是基于x m l 的w e bs e r v i c e s 的 服务描述语言。w e bs e r v i c e s 中的所有服务均以w s d l 的格式描述，然后存放在 特定的描述文件中。w s d l 是负责连接w e bs e r v i c e s 服务器端与客户端的桥梁。 在实际的应用中，客户端先根据w s d l 文件中所描述的服务函数名称、参数名 称及类型，建立基于s o a p 的请求，之后向服务器端发送s o a p 请求，服务器 端在收到请求后根据w s d l 文件描述来对客户端的请求信息进行处理【1 6 1 。 w s d l 文件包含w h a t 、h o w 、w h e r e 三个重要组成部分。其中，w h a t 部分，负责定义客户端与服务器端交互消息及数据类型；h o w 部分，主要描述 w r e bs e r v i c e s 的实现细节；w h e r e 部分，主要定义描述w e bs e r v i c e s 的位置。 4 ) u d d i u d d i ( u n i v e r s a ld e s c r i p t i o n , d i s c o v e r ya n di n t e g r a t i o n ) ，即统一描述、发现 和整合协议，是一种独立于平台的，基于x m l 语言的用于在互联网上描述商务 的协议。u d d i 是一种分布式互联网服务注册机制，它集描述( u n i v e r s a l d e s c r i p t i o n ) 、检索( d i s c o v e r y ) 、集成( i n t e g r a t i o n ) 为一体【17 1 ，实现了一组可 公开访问的接口。通过u d d i 提供的接口，服务提供者可以向服务信息库注册服 务信息、服务需求者可以找到分散在世界各地的网络服务。 1 2 中山大学硕士学位论文第二章相关技术概述 2 3 单点登录( s s o ) 2 3 1 单点登录 1 单点登录的定义 单点登录，英文名称为s i n g l e s i g n - o n ，简称s s o 。 根据t h eo p e ng r o u p 对单点登录的理解，本文认为单点登录是用户认证和 授权的单一行为。单点登录允许用户在登录的时候不需要多次输入用户名和密 码，进而访问受许可的所有电脑和应用系统。单点登录通过减少多次重复输入的 工作量，同时也大大地减少了人为的错误。然而，以往的人为错误正是系统失败 的重要因素。在过去的环境中，对于用户的输入的需求量较大，当时的技术很难 实现预期的效果【1 8 】。 2 ：单点登录的原理 单点登录是一个用户认证的过程，允许用户使用一个用户i d 和密码进行认 证登录之后，就可以访问所有相互信任的应用系统【1 9 】【2 0 1 ，即可以无缝访问所有 被授权的网络资源。单点登录将多个系统的身份认证整合到一起，实现“一点登 录、多点漫游1 2 1 1 2 2 1 ，即可以在多个子系统中来回自由切换和使用。在这种情 况下，管理员无需修改或干涉用户登录就很能方便地实施安全控制，能在分布计 算环境中安全、方便地鉴别用户，对用户统一管理控制【2 3 1 。 通过调查研究，单点登录的实质是传递或共享凭i 正( c r e d e n t i a l ) 或安全上下文 ( s e c u r i t yc o n t e x t ) t 2 4 1 。单点登录主要发生在多个应用系统之间或者多个域之间。 当用户通过单点登录进入系统的时候，用户所使用的单点登录的客户端软件根据 已有的用户凭证，比如用户名和密码，为其建立一个安全上下文。此时，安全上 下文主要包含用于验证用户信息的安全信息。此外，单点登录采用上述的安全上 下文和相应的安全策略来判断、验证该用户是否具有相应的访问资源的权限。 3 单点登录的优点 单点登录将对校园信息化中的所有域中的用户信息集中认证，在本文中则是 对u u v 系统的所有的用户信息进行统一认证。单点登录技术的优点，具体如下 1 3 中山大学硕士学位论文校园信息化中统一用户视图的研究与实现 所示1 2 5 】： 1 ) 简化应用系统的开发。 在一个统一的平台上开发新的应用系统时，开发小组通过使用单点登录平台 的统一认证中心，进行统一用户认证，提供统一认证服务，进而简化应用系统的 开发流程。因此，对于任何一个应用系统，都不需要单独开发用户认证模块，更 不需要单独提供认证程序。 2 ) 方便管理员管理。 在使用单点登录之前，系统的管理员需要维护、管理很多套的用户账户和密 码。相比之下，系统管理员通过单点登录则只需要维护一套统一的用户账号和密 码。为此，单点登录给系统管理员提供简单便捷的服务，提高工作效率，同时为 提供的安全性提供了一定的保障，减少了管理的漏洞。 3 ) 方便用户使用。 当用户使用相关授权的应用系统的时候，只需要输入一次用户账号和密码， 即实现一次登录，多次使用。在以后的应用过程中，减少了用户对于账号和密码 的输入次数，同时也省去了繁琐的记忆。单点登录平台，给用户提供一种新的体 验，改善以往的不便，提高工作效率。总之，单点登录不仅可以减少用户登录已 授权的不同的应用系统时出错的可能性，而且还可以减少登录系统验证合法性所 耗费的时间。 4 单点登录的分类 根据目前的应用的实际情况，单点登录可以划分为三种类型，分别为：企业 业务整合的单点登录、w e b 应用程序的单点登录以及a d 服务的单点登录 2 6 1 。 1 ) 企业单点登录。 企业单点登录是一种比较流行的关于企业业务整合的解决方案。通常企业在 进行e a i ( e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o n ，即企业内部应用整合) 时采用中间 件来集成多种验证机制的解决方案。 2 1 ) w r e b 单点登录。 w e b 单点登录是专门针对w e b 应用程序的一种机制。当用户输入一次账号 和密码后使用个公司的网络应用时，w e b 单点登录可以使用户调用另外一个公 司的应用。w e bs s o 是多个公司以商业合同的形式在外部网络上建立的安全关 1 4 中山大学硕士学位论文第二章相关技术概述 系。例如，m i c r o s o f t 的p a s s p o r t 认证。 3 ) a d 单点登录。 a d 单点登录是指建立在m i c r o s o f tw i n d o w sa c t i v ed i r e c t o r y ( a d ) n 务上的 w i n d o w si n t e g r a t e ds e c u r i t y 。应用程序建立在这种通用的安全系统上之后便具有 单点登录的功能。例如，如微软的e x c h a n g e 服务器，每次登录到w i n d o w s 域后， 当打开o u t l o o k ，它能自动登录到邮件服务器上，而不需要再重新输入密码登录。 2 3 2 信息加密技术 信息加密技术，是对传输过程中的或存储体内的电子信息进行保护。通常， 信息加密利用数学或者物理的手段来防止信息泄漏。加密主要是采用密码，利用 计算机采用加密算法，改变负载信息的数码结构【2 7 】。本文所描述的基于单点登 录技术的加密技术，主要提供信息保密、身份验证、完整性校验以及不可否认性 的服务。 根据国际惯例，常见的加密算法可以分为三类：对称加密算法、非对称加密 算法和h a s h 算法。 1 ) 对称加密 对称加密是指加密和解密使用相同密钥的加密算法，即加密密钥和解密密钥 是相同或等价的。对称加密的优点是有很强的保密强度，高速度的加