中小学智慧校园软件解决方案技术白皮书

1、智慧校园软件解决方案目录1. 总体框架 32. 技术路线 42.1. 编程语言 52.2. 面向对象的组件技术 52.3. 应用程序的开发与运行结构 52.4. 动态网页生成技术 63. 信息标准和规范系统 64. 基础支撑平台 84.1. 统一身份认证系统 84.1.1. 设计要点 84.1.2. 系统框架 94.1.3. 统一授权管理 164.1.4. 单点登录服务 254.1.5. 系统部署说明 384.1.6. 平台可靠性和扩展性 404.2. 统一信息门户平台 404.2.1. 设计要点 404.2.2. 平台框架 414.2.3. 门户运行环境 414.2.4. 平台主要功能 42

2、4.2.5. 平台部署及性能说明 454.2.6. 平台可靠性和扩展性说明 474.2.7. 平台安全性考虑 474.3. 数据中心平台 484.3.1. 技术路线 504.3.2. 设计要点 504.3.3. 平台框架 524.3.4. 应用集成与数据集成 534.3.5. 数据交换机制 554.3.6. 平台部署及性能说明 591 .总体框架亿阳信通智慧校园总体框架如图所示:网络基。平台管网及弱电系统该框架以“师生”为核心，围绕智慧校园的资源、管理和服务三要素，依托 数据中心及应用支撑平台，重点建设校园资源中心、校园管理中心、校园服务中 心应用系统，形成数字化的教学环境、科研环境和生活环境

3、。UI P校园侑息门户中心数据库唉*料9信总安喳体系数据集成半台*昌 事篇修标准规范及运行保体系统一身份认证平台此施M设10cl服塞器及存储等氟统）甚瓢网络平台、弱电系统2 .技术路线智慧校园应用系统应采用成熟先进的技术规范，设计上尽量减少各子系统问 的相互依赖性（包括软件对平台、软件对数据、软件对软件、平台对平台等） ， 某个子系统的减少、增加和变更，不影响其它子系统和整体，从而最大限度地保 护既有投资，减少系统的维护量和再投入。在应用系统整体化、模块化和规模化 的同时，保证应用系统在技术上、经济上的可持续发展。亿阳信通智慧校园软件系统遵循如下技术路线：1、采用“跨平台”的编程语言。2、采用

4、独立于开发环境的面向对象的组件技术，如 EJBs （Enterprise Java Beans）,整个系统的主要“应用逻辑”由组件构成，系统架构提供了良好的 伸缩性，使系统能够轻易地组合与拆分各功能模块。3、应用软件平台的开发及运行架构采用三层结构，即Web服务器、应用服务器和数据库服务器，在不影响系统其它部分的情况下，保证了应用服务器与其 它应用有效和无缝的整合，同时支持大规模的并发用户访问。4、采用模版（Template）技术生成动态网页，为用户提供基于角色和权限的内容和数据服务架构实现采用Java语言和EJBs技术，在数据交换上支持XML使系统功能 最优化，同时将系统内部的相互依赖性减至

5、最低。2.1. 编程语言遵循 J2EE (Java 2 Enterprise Edition) 规范 ，采用 Java 语言和服务器端 Java 技术(包括 EJBs Servlet、JNDI、JDBC和 RMI等)开发系统。Java 作为Web应用的事实标准，其独立于操作系统和服务器的“跨平台性”，使其“一 次编写，到处运行”，是WE歆件系统最适合的编程语言。相对于嵌入 HTML受 限于用户端显示、编程能力有限的脚本语言， Java 能力完整，可以开发具有强大“业务逻辑”的大型应用系统。2.2. 面向对象的组件技术软件编程由依赖于特定单机， 到依赖于操作系统， 已发展到今天面向对象的组件技术

6、。面向对象的组件技术是一种完全独立于硬件和操作系统的开发环境，着重于应用程序“业务对象”的可重复使用组件，利用这些组件，可以像搭积木一样的建立分布式应用系统。 面向对象的组件技术在异构、 分布环境下为不同机器上的应用提供了互操作性，并无缝地集成了多种对象系统；另一方面， 组件 大大加快了软件开发的速度，降低了软件开发和再开发的成本。2.3. 应用程序的开发与运行结构开发及运行结构基于三层架构，即Wet务器、应用服务器和数据库服务器。 运用这种架构可以：(1)将“业务逻辑”从 Wet务器中分出，在应用服务器中用独立和完整 的编程语言而不是“脚本语言”开发应用程序，同时使系统支持任何HTML勺显示

7、工具；( 2)应用服务器可以作为数据库访问请求的“缓冲区”，可以重新安排、管理数据库访问。通过Java Servlets 引擎的多线程处理，能够极大地提高系统响应性能和数据库访问效率；（ 3）应用服务器可以作为与其它应用程序集成的结合点，在不影响系统其它部分的情况下与其它应用有效、无缝集成。2.4. 动态网页生成技术信息发布采用基于模版的动态网页生成技术。 用户界面的版面和显示效果由预先制作的模版实现，并支持任何标准化的HTML：具，嵌入模版的Java程序根据用户的角色和权限提取相应的内容和数据， 配合模版自动合成针对用户的个性化的动态网页。3 . 信息标准和规范系统信息标准是智慧校园建设的重

8、心，是学校各信息系统进行数据采集、处理、交换、传输的前提，也是构建新应用需要遵循的标准。亿阳信通按以下原则建设智慧校园的信息标准：唯一性：标准采用树形体系结构，唯一的项、唯一的路径、唯一的编码。规范性：充分参照国家相关最新标准、教育部教育管理信息化标准、北京市教委相关标准和各区县教委相关标准。适用性：标准的制定充分考虑学校的实际情况，以应用为目标。兼容性： 对标准实行版本化的维护管理。 高版本兼容低版本。 同一个版本，维护其不同内容的一致性。学校校内标准兼容教育部及其它管理部门的标准，方便数据上报。可管理性：系统提供数据标准集、数据代码集、自定义代码集、数据代码映射等提供 B/S 架构的可视化

9、管理工具，具备初始化、新增、删除、修改等维护功能，支持分类检索、输出、数据展示等浏览功能。可扩展性： 支持标准的增加和变更， 具有维护记录和回溯功能， 并且对应用该标准的业务系统透明。所有历史版本可查询，可比较差异。管理信息标准的体系结构包括以下几个方面： 一组相关数据元的集合， 对数据元属性的规范描述（又称之为元数据标准化） ，属性包含了数据项名称、中文简称、类型、长度、可选性、取值范围等。为了确保数据录入规范、便于查找和统计，每个管理子集都对应着相应的标准代码， 代码分国家标准、行业标准和学 校标准。系统遵循国家教育管理信息系统互操作规范，能够与北京市教委制定的小学 应用互操作框架（简称C

10、IF）无缝对接，实现各业务系统间规范的数据共享。CIF实现规范也定义了基于 XM所准的CIF数据模型，支持小学数据对象在 应用系统间的共享。“教师”和“学生”是智慧校园系统涉及的两大数据对象，业务数据实体 主要由这两大对象映射产生。通过“教师”对象产生的数据实体主要有教案、作 业、教学成绩、教学计划等一系列和教师教育教学活动相关的数据；通过“学生”对象产生的数据实体主要有考试成绩、课堂表现、获奖、毕业去向等一系列和学 生学习成长相关的数据。这些数据存储在智慧校园的数据中心， 通过综合统计分 析，又产生大量的衍生数据，如教师分布情况、学生分布情况、考试成绩综合统 计分析等，这些数据可以为学校的管

11、理层提供微观和宏观的决策支持，使领导能够直观的了解各个部门乃至整个学校的运行状况。具体数据模型框架如下图所示:小人呆他/且一个人基册偏思一巴戴背景信总野K鼬f作业f 班主任手册。涕中表现鼎下曜好裁师生斐记能发表爱文一，一就科研成果*人人发魔记录一堀救记录受网施第一里业上问和专业发展情七一工带信息*法精功:T教H雍自许班甘斯电电（.其它母合数常分折让I，J1学坨浦4 . 基础支撑平台4.1. 统一身份认证系统应用系统如果采用各自独立的身份认证机制，用户就要记忆不同系统中的账号 / 密码。 为方便师生使用， 解决多应用带来的多账号问题，需要建立统一的身份管理平台，用户在平台上登录一次就可以访问所有

12、具有权限的应用。统一身份认证以 IDM/IM （身份认证管理）为基础提供安全的用户身份管理功能，并配合Access Manager基于代理架构的访问控制，提供 Web应用的单点 登录和 Web应用保护。IDM/IM 都集成了 Directory Server（LDAP）目录服务器来 存储统一身份库信息。统一身份认证实现的功能如下：1 .建立统一的集中身份库统一身份数据中心，对各应用系统的所有用户提供集中和统一的管理， 同时根据各个业务应用系统的认证方式的不同提供灵活的认证机制；2 .在集中身份库的基础上，在满足数字校园管理平台信息系统内部业务流程规则的前提下，通过身份管理技术实现身份库与各个业

13、务应用系统（ 门户、OA 、教学、教务等系统）用户身份信息的自动同步处理功能；3 .在集中身份库的基础上，提供单点登录（SSO必能，用户只需要通过一次身 份认证就可以访问具有权限的所有资源。集中身份库与门户系统的统一可以为整个平台提供集中的管理、安全机制，实现整体的统一。4.1.1. 设计要点支持用户数据的集成，适应中小学用户数据分散管理的现状支持用户数据存储模式，适应中小学教职工多重身份的现状支持多种认证方式，确保异构业务系统能够集成，让用户获得完整的单点登录体验满足不同用户或系统的认证安全需求保证身份认证平台的高可靠性和高性能前三个需求是身份认证平台发挥作用的基础，而随着应用集成的力度和广

14、度的加大，后两个将是身份认证平台必须妥善处理的问题。校园应用功能多样、结构复杂，各应用系统的权限管理基本上采用分级授权的方式。身份认证平台可以采用统一的权限模型，供各应用系统使用，相应的权限数据既可集中管理也可分布式管理。从实践结果看，集中权限控制的效益并不明显，建议不强求集中控制，由各应用系统设计开发时按需选择。4.1.2. 系统框架身份认证平台主要包括以下三方面功能：LDAP 目录服务，支持海量用户数据的存储和管理高性能SSO印点登录）身份认证服务开放的认证集成方式， 支持不同开发语言和不同应用服务器平台的业务系统. 统一身份管理架构学校的各种应用系统通常都有自己独立的用户管

15、理、用户认证和授权机制，导致系统间互不兼容；学校的组织机构也不断变化，用户来源日趋复杂，角色多样化和角色变化等问题不断出现。 各方因素交织在一起形成了一个庞大的矩阵，为统一的身份管理带来了困难。如图：1miignQ阪i幻庐餐芽&洋1Eralwngijesii&uit,HcM：EAF.Ol 皿口 qEStwcER*J且1J.-ate效Bw1/F刷%十F刊i. % 用户用1等号冲户县M34LiEHF!不Eiaranet声营写.I -.J:副日0多种罐用在用2I蜕口三。g时明 WL Cm地 目0*Jm殆*月伯明酬 h号叫(帕明fh “聚维田随自LeH-1学校政府兄芾院校Q领导拈门甘芹企业金柞艮混i学

16、生用人也忙同学向阳及使用者产生曼瓢的如晦美聚针对上述问题，建立一个统一的，基于业界标准(如 LDAP, XML , WebService, J2EE等)的，灵活、开放、可扩展性的身份管理框架是最终的解决方 案。一个好的身份管理解决方案将复杂的身份管理问题变得简单、实用。身份 认证平台核心结构如下图所示：Passvrafd MariaqmEnt glM减,d MEMi鼠冏巾。汴IdenUty SyinJi Automated FVcmvroningCoir pliance Reporti 114ctrrifiiciitiflia tvivwAudit 5cd力g息由Enmtrd Rrrnrdia

17、tiDn身份认证平台管理用户在各个应用系统中的用户信息的对应关系，并根据这一关系管理用户在各个应用系统中的生命周期，如添加、删除、修改等。身份认证平台的身份同步工具可以自动发现某个应用系统中用户信息的变化并通 过一定规则，保持和其它应用中的用户信息同步。身份认证平台的核心包括用户信息创建和中止的审批流程，该流程由管理员预先定义，可以修改。当用户帐户的申请被批准后，用户帐户将根据预先定义的规则在中央主目录服务器中创建，并通过资源适配器在各个该用户可以使用的应用系统中产生帐户信息。用户帐号的中止也是同样原理。身份认证平台具有口令管理功能，支持口令策略管理和口令历史记录， 支持用户身份审计和用户帐户

18、风险分析， 支持用户身份管理系统运行的监测、 评估。. 用户数据模型身份认证平台中的数据模型包括：1. 用户帐号：学生、教职员工、合作伙伴、供应商等帐户信息；2. 资源：身份认证平台所管理的身份数据源和应用系统，如学生数据中心、教职工数据中心、电子邮件、一卡通、综合网络管理系统以及上网认证系统、 VPN 系统等，以及其它基于用户属性更改的应用；3. 资源组：按一定顺序组织的资源，身份认证平台将根据这一顺序在应用系统中创建和删除用户信息；4. 组织：管理一组用户、资源和其它对象的逻辑容器；5. 角色：用户的工作角色，代表其职能性质，据此在资源中设置用户的属性；6. 管理帐户：具有管

19、理员权限，可以进行分级管理；7. 能力：拥有哪些权限，如口令管理员只能管理用户的口令。下图为数据模型图：cm any)ResourceGroup身份认证平台:8. 管理用户访问一个或多个资源的权限；9. 管理用户在这些资源上的帐户数据；10. 予用户一个或多个角色，设置用户访问各种资源的权限；11. 理组织，决定用户帐户由谁和怎样被管理。用户数据是动态的，依赖于用户的角色、资源和资源组。 根据角色（可以是 多角色）赋予的资源的数量和类型，需要不同的信息表示， 也决定着创建用户时 的信息数量。身份认证平台有虚拟用户的概念，主要作用是映射用户到多个资源，可以 将一个用户在多个应用系统中的全部帐户信

20、息作为一个实体来管理. 用户数据管理身份认证系统需要提供多样化的用户数据管理方案。用户数据采集可以根据学校现状，采用以下方式：1、集成管理着权威用户数据的业务系统，依赖该系统进行用户数据管理2、通过数据集成平台双向同步用户数据3、通过身份认证平台的用户管理程序管理用户数据. 身份数据集成统一身份认证系统集成用户身份数据的过程， 是通过数据交换平台从学校的各个业务系统中自动抽取用户身份数据， 并加以归纳和整理，最终充实用户身份信息库。. 自动发现和动态同步身份认证平台可以自动发现所管理资源中用户信息的更改，并根据规则将其同步到其它资源中去。

21、. 帐号和口令管理身份认证平台提供了统一的 WEB 管理界面，可以方便地管理帐号和口令。帐号管理功能包括：1. 用户自注册功能：用户使用公共的帐号/ 口令登录系统，然后自行注册一个账号/ 口令。2. 帐号新建功能：外来人员如需临时帐号，可以由管理员手工生成访问身份，这个访问身份通常是帐号/ 口令，也可通过多因子认证或数字证书实现。这些临时帐号需要有效期限制，在“临时”的这段时间内有效，过期则失效；对于可转为正式帐号的“临时帐号”，可自动转换。3. 帐号注销功能：在一定条件下，实现用户帐号的注销。 用户帐号注销后，所有的用户权限失效。4. 帐号冻结功能：暂时中止用户的访问权限，在用户需要开通时可

22、以重新恢 复，这样用户可以继续使用原来的帐号。口令管理包括：5. 自助式口令重置和同步6. 通过 Web浏览器或者IVR （Interactive Voice Response交互语音应答系统） 系统来实现7. 自动口令策略执行8. 口令历史信息存储9. 口令过期通知等等。为满足用户个性化设置的需求，减轻管理员密码维护的压力，平台提供个人 密码找回和别名登录功能，并开放给所有用户。个人密码遗忘后，用户可以在门户认证界面上使用密码找回功能，问题回 答正确后，可以重新设置密码；用户登录后，可以根据自己的习惯设置登录别名，系统自动检查别名是否 重复，别名设置成功后，用户可以使用别名进行登录。4.1.

23、2.7. 分级管理平台提供扁平的用户权限模型，提供分级管理功能。应用模式系统缺省建立四大类身份：领导、教职工、学生、校友；各应用系统按需建立自己的权限组或属性信息，也可复用其它系统已 经建立的权限数据；权限模型支持分级授权，支持按组织架构、系统范围、用户属性等将 权限管理工作分派给多名管理员；由于本功能在实际使用中容易导致 管理混乱，一般建议只按照系统范围（如人事系统、学生系统等）来分 级授权。用户数据采集时，自动根据用户的属性和来源为其设置相应的身份。. 批量维护工具满足管理员日常数据维护的需要，提供：批量导入用户数据、组织数据批量修改和删除人员属性信息高级查询功能系统服务的注

24、册和注销在不同的人员容器间移动人员数据应用模式：教职工用户数据通过人事系统数据访问接口或用户数据表导入；管理员定期使用该工具完成教职工用户数据的导入；学生毕业转为校友后，管理员通过该工具将毕业生批量转入； 系统运行准备阶段，管理员通过该工具完成批量用户密码初始化。. 与典型应用系统的集成身份认证平台的资源适配器采用服务器端的J2EE适配器，部署在身份认证服务端，即J2EE应用服务器上，然后根据所管资源的通讯协议和资源互通。对 于大部分应用系统，无须在资源 （即应用） 一方安装任何代理。这样既对应用系 统无影响，又避免了维护代理的工作。.1. 与 LDAP 目录服务器

25、的集成身份认证平台和 LDAP 目录服务器的集成，如Sun Java System DirectoryServer是通过JNDI资源适配器完成的，在资源方无须代理。.2. 与采用 LDAP 目录服务的应用系统集成同上。身份认证平台通过其LDAP 目录服务资源适配器和这些应用系统集 成。.3. 与关系型数据库应用系统的集成如果应用系统的用户数据存储在关系型数据库中，应用系统和统一身份认证系统集成后，统一身份认证平台替代了应用系统的身份认证功能， 该数据库中的用户信息将主要用于应用系统自身的授权和策略管理。身份认证平台主要集成关系型数据库中的用户信息表、权限信息表以及用

26、户 /权限对应关系表等，在身份认证平台上建立针对应用的数据库资源，并制定相应的用户信息映射和同步关系，通过该资源将相应用户信息创建到数据库中。身份认证平台和关系型数据库的集成是通过身份认证平台提供的 JDBC（Java Data Base Connectivity Java数据库连接）资源适配器完成的，并在资源方无须安装任何代理。.4. 资源适配器的开发身份认证平台为创建定制化的资源适配器提供了工具和文档支持。开发工具包包括：1. 指南性文档资料：功能定义、 README 文件等2. Javadoc提供身份认证平台的API信息3. Jar文件：用于编译、连接4. 样本源代码等。4

27、.1.3. 统一授权管理策略与权限管理模块是多用户应用系统不可或缺的。通常，策略与权限管理模块以应用专有的方式实现，系统的策略模型、策略存贮结构与访问控制逻辑与应用的业务逻辑之间耦合紧密。这种方式的缺点是显而易见的：由于策略模块与应用逻辑之间的紧耦合使得策略模块很难进行扩展与维护；策略模块的设计与编码需要很大的工作量，而且很难在不同的应用系统之间共享与重用。为了克服专有方式的缺点，统一用户管理与认证平台在基础设施层提供了增强的策略服务，提供标准、通用、灵活和可扩展的策略模型，支持策略的定义、存贮、配置与判定，并与用户管理和服务管理紧密集成。. 策略模型统一授权平台的架构如下图所示

28、。图中以灰色表示的组件是应用相关的部 分，需要进行定制设计与开发；其余组件均由统一授权平台提供。篥路管理Web浏览器界面Web服券器策略乳ML服务,Servlet林 HTMLGUI Send elF策略管理API策略框架SDK目录服资器策略主题 插件距I策略推荐插件SPI策略条件插件SPI资源各褥 插件即I总体而言，策略与权限管理模块的架构基于PDP/PEP模型。PDP代表策略PEP代表策略执行点(PolicySPI、判定点(Policy Decision Point),是策略的提供者;PDP服Enforcement Point),是策略的使用者。该架构中，统一授权管理提供务，包括策略的定义、

29、存贮、配置与判定，这些服务通过策略判定API与策略管理API向外部应用提供；PEP是应用中根据策略判定结果执行应用逻辑的部 分。PDP与PEP之间可以通过 Java/C+ API或XML/HTTP通信。由于统一授权管理提供的策略判定结果是原始结果，为了进一步简化应用 中的策略执行逻辑，引入应用策略判定接口，对统一授权管理的策略判定接口 进行封装，对原始策略判定结果作进一步加工与处理。统一授权管理支持通过策略主体 SPI (服务提供者接口)、策略条件 策略推荐SPI与资源名称SPI进行扩展。策略的存贮结构通过LDAP中的对象类 与属性类型加以定义；策略存贮在目录服务器中。统一授权管理的策略服务建

30、立在通用、灵活和可扩展的模型上。正是该策略模型使其能在基础设施层以一种应用无关的方式提供强大的策略服务。一般而言，作为访问控制规则的策略描述了“谁在何种情况下针对指定服务对何种资源可执行怎样的操作”。在这里，“谁”是策略的主体；“情况”是策略适用的条件；“服务”是策略的上下文，“资源”与“操作”都是与该服务相关的；“资源”是策略的对象；“执行怎样的操作”可以表示为一系列“动作”及与之对应的“值”。基于单点登录系统的策略模型提供了充分的表达能力，允许准确描述如上的通用策略。统一授权管理的策略采用 XML 来描述。为简明起见，在此以半形式化的方式描述策略模型如下：常规策略 := 主体集 + 条件集

31、 + 规则集主体集:=主体条件集:=条件规则集:=规则主体 := Access Manager 角色集 | LDAP 组集 | LDAP 角色集 | LDAP 用户集|LDAP 组织集条件 := 认证级别|认证方式|客户IP |时间规则 := 服务 + 资源名称 + 动作类型-值对集资源名称 := 字符串动作类型-值对集:= 动作类型-值对 动作类型-值对:= 动作类型 + 值备注：1、统一授权管理的策略包括推荐策略与常规策略。由于推荐策略只是将策略推荐给对等组织或子组织进行判定，而不涉及策略的具体判定，因此此处不对推荐策略进行详细描述。2、统一授权管理提供的主体插件SPI、条件插件SPI和资

32、源名称插件SPI允许扩展主体、条件与资源名的表达能力，上述描述中主体、条件与资源名称只是由系统提供的标准实现。. 策略编程接口应用 系统访 问 身份认证 平台 可以 使用 Java API 接口 ， 也可 以 使用 XML/HTTP接口。如果是远程访问，则 Java API接口本身也是对 XML/HTTP接 口的一种封装。远程客户端调用策略验证接口时的处理流程如下：(1)应用系统调用Java API请求策略验证；(2) Java API 根据策略验证请求生成一个XML 策略验证请求；(3) Java API 将 XML 策略验证请求通过HTTP 协议发送给系统的 Policy 服

33、务： %protocol:/%host:%port/amserver/policyservice(4) 系统处理策略验证XML 请求，并创建一个策略决策 XML 文档作为应答返回给客户端；(5) 客户端Java API接收并解释策略决策XML文档；(6) 应用系统通过Java API获取策略决策信息。从上述流程可知，策略验证的结果是以策略决策的形式表现的。如果使用XML/HTTP接口，则策略决策是一个 XML文档；如果使用Java API接口，则策 略决策是一个Java对象。策略决策中包括一组动作决策， 动作决策是关于某个具体动作的决策，其中 包括：( 1)动作的值：与该动作相关的决策的值；(

34、 2)有效时间(TTL )：决策值在多久时间内有效；( 3)建议：该动作决策的描述信息。动作的值可以是布尔类型的，表示是与否、允许或禁止等两值类型的动作决策；动作的值也可以是复杂类型的，如字符串、数值等，可以用来表示动作的程度、范围等决策概念，诸如邮箱配额、折扣率等。可能有许多策略适用于一次策略请求，不同的策略可能相互冲突。比如，用户拥有的角色允许他访问某个URL ，而用户所属的组禁止他访问某个URL ；再比如，用户拥有的一个角色给予他20M 的邮箱配额，而用户拥有的另一个角色给予他 10M 的邮箱配额。这种不同策略同时适用，而且决策值不同的情况称为冲突。冲突的策略决策必须消解之后才能用于权限

35、控制。系统是这样消解策略决策冲突的：(1) 如果动作值的类型是布尔类型，则所有策略的决策值在执行AND 操作之后返回，返回的值是单值。也就是说，只要有一个策略的动作决策是false，则动作的决策值就为false；(2) 如果动作值的类型是复杂类型，则所有策略的决策值全部返回给应用系统，由应用系统对决策值进行进一步的冲突消解。策略的管理包括创建、删除和修改策略。用户可以通过系统的 WEB 控制台界面或命令行界面管理策略。如果在应用系统中需要对策略进行管理，可以使用系统的策略管理API 。. 应用策略的设计一个应用系统是建立在多种平台服务之上的，并且向用户提供多种用户服务；而一个平台

36、服务也应该为多个应用系统使用。因此应用系统与服务之间是多对多的关系。由于服务是应用的组成元素，因此，授权应该是针对服务的资源而不是应用的资源来进行的。不同的服务具有不同的资源和动作类型，因此，不同的服务有不同的策略模板，该模板称为策略方案( Policy Schema) 。服务与策略方案之间的对应关系应该是一对一关系。配置策略、 验证策略是通过指定服务来指定策略方案的。一条具体策略规定了一组主体在一组条件下的一组访问控制规则。每条规则中均指明了一个服务、属于该服务的资源以及一组动作与值对。每个策略方案也可以被多条策略使用。因此，策略与策略方案之间的对应关系应该是多对多关系。由于服务与策略方案之

37、间是一一对应的，因此，定义策略方案是在定义服务的同时进行的。只有当服务定义之后，才能定义与该服务相关的具体策略。从身份认证平台服务管理的角度，服务是一组定义在一个公共名字下通过身份认证平台管理的属性的集合。身份认证平台将服务作为一组属性进行管理，而并不关心这些属性的具体涵义。服务的属性集合是通过一个XML 文件加以定义的。身份认证平台提供了大量的平台服务，这些服务本身也是通过系统的服务管理功能加以管理的，因此，这些平台服务也有对应的 XML 定义文件，并且服务的选项也是通过服务的属性加以管理的。为了使服务能够针对不同的用户、角色或组织等身份实体进行定制和个性化，身份认证平台将服务的属性分为以下

38、五种类型。不同类型的属性具有不同的作用域、继承性、用途。类型作用域继承性用途全局整个统一授权系统不可继承服务的全局配置组织应用于组织不可继承服务的组织级配置动态应用于角色、用户可继承服务的动态配置，配置给角色的属性自动为所有具有该角色的用户拥有，配置给组织的属性自动为所有该组织下的用户拥有。策略N/AN/A与服务授权相关的配置用户只应用于用户不可继承服务针对于每个用户的个性化配置。用户类型的属性只对个别用户有意义。. 角色与用户组管理角色是和用户组的概念相似的目录服务器对象管理机制。一个组有其成员；一个角色也有其成员。在身份认证平台中，用户角色的权限是通过为其设定 ACI （ A

39、ccess ControlInfromation ） 来控制的。访问控制指令可以控制对整个目录、目录子树、目录中特写条目 （包括定义配置任务的条目） 或特定条目属性信息的访问权。可以设置特定用户、所有属于特定组或角色的用户或所有目录用户的权限。还可以定义对特定位置（例如 IP 地址或 DNS 名称）的访问权。与条目属性一样，访问控制指令存储在目录中。 ACI 属性是一种操作性属性， 可用于目录的各个条目，而不管是否为该条目的对象类所定义。接收到客户端的 LDAP 请求时，目录服务器使用该属性来允许或拒绝访问。如果有特别请求，则在ldap search操作中返回ACI属性。在平台中可以定义特定的

40、角色，并利用 ACI 来控制其访问权限。这样做可以满足一些特殊需求。利用组织内创建用户时可以拥有默认角色的机制，可以为不同的组织创建不同的默认角色，这样新建的用户就自然拥有了这些角色所拥有的属性和服务以及相应的权限。组代表了具有相同功能、属性或者兴趣爱好的用户的集合。一般来说，组 没有自己的特权。组可以定 义在组织 机构下，也 可以定 义在别的受 管组（Managed Group内作为子组。身份认证平台提供了组的分级管理的能力。虽然组的成员缺省来自于整个 用户树，但是对于权限有限的组管理员来说，当他管理一个预订组的时候，他 只能把他自己能管理的用户添加到新创建的预订组中。在这里已经部分实现了

41、用户组的分级管理。在业务系统一级授权上，我们提供了全局权限组用于人员的初始化授权。 这些组按照用户基本身份建立（比如学生组、教职工组），作用域为整个组织 树，在人员的初始时可以按照身份加入这些全局组，从而实现人员权限的初始 化。. 权限语义集成当身份认证平台的策略服务不能满足业务系统授权要求时，我们提供了一 种针对业务系统开放的完全自由的权限语义集成机制。权限语义描述了用户的 具体应用权限，权限语义的具体描述和解析由业务系统负责。业务系统可以通 过API来获取这些语义，解析后授予用户相应的权限。. 用户数据采集功能描述针对学校用户管理分散进行的特点，提供从权威数据源

42、采集用户数据，并实时更新目录服务器中的用户数据，提供：数据源采集点和采集周期定义数据源变化跟踪和自动采集应用模式建立从公共数据库平台相关的共享数据集采集，在学生和教职工用户数据 变更（包括新增、删除、修改）后，采集模块自动同步更新统一认证用户数据库。用户数据通常分散在不同的应用系统中。常见的情况是：人事系统管理人事信息；办公系统管理与日常工作有关的信息；用户的认证信息如用户ID和密码在各个系统中一般不同，由各个系统分散管理；用户的基本属性，如姓名等 信息往往在各个系统中都存在。不同应用系统不但管理不同类型的用户数据， 而且也提供不同类型的数据存储与访问方式。传统的业务系统一般使用关系数 据库存

43、放用户数据，如管理信息系统；互联网应用系统一般使用LDAP存放用户数据，如电子邮件系统。不同类型的数据存储方式具有不同的数据存储格 式，也提供不同的数据访问接口。用户数据的分散存储与管理使得共享用户数 据成为复杂而低效的任务。建立统一用户管理数据库的目的是为用户信息的管理与使用提供统一的入 口。统一用户管理数据库在物理上与其它应用数据源独立，在数据上与其它应 用数据源保持同步。用户管理数据库变更后同步到 LDAP目录数据库。. 用户数据发布功能描述为了保持各业务系统中用户数据的完整性和统一性，向各集成业务系统提 供用户身份数据。应用模式对目前已有系统提供用户数据更新变更同步提供用

44、户信息的浏览、排序、查询等管理功能由于中小学用户数据分散管理，在权威数据源变更后，其他系统都可 通过统一用户管理数据库同步数据变更，保持数据的完整与一致. 批量维护工具功能描述满足管理员日常维护数据的需要，提供：导入用户数据和组织数据批量修改和删除人员属性信息高级查询功能服务注册与注销在不同的人员容器间移动人员数据应用模式教职工用户数据由人事系统提供数据访问接口或用户数据表管理员定期使用该工具完成教职工用户数据导入在学生毕业转为校友后，管理员通过该工具将毕业生批量转入系统运行准备阶段，管理员通过该工具完成用户密码的批量初始化0. 个人自助服务功能描述为了满足用户个性

45、化设置并减轻管理员的维护工作量，平台提供个人密码 找回、别名登录功能。应用模式该功能开放给所用用户；用户遗忘个性化设置的密码后，可以在门户认证界面上进入密码找回功能，预设问题回答正确后，可以自主重置密码；用户登录后，可以根据自己的习惯设置登录别名，系统自动检查别名 是否重复，别名设置成功后，用户可以通过别名进行登录。1. 权限模型功能描述为了适应中小学用户多重身份和组织结构易变的特点，同时最大限度的保 证用户认证效率，平台提供扁平的用户权限模型。应用模式系统将缺省建立四大类身份：教职工、学生、领导、校友；各应用系统按需建立自定义的权限组或属性信息，也可复用其他系统已经建立的相关权

46、限数据；权限模型支持分级授权，方便按组织架构、系统范围、用户属性等特 征将权限管理工作逐级分派给多名管理员；该功能在实际使用中容易 导致管理混乱，一般建议只按照系统范围(如人事系统、学生系统等 等)来分级授权。用户数据采集时，自动根据用户的属性和来源为用户设置相应的身 份。2. 认证集成功能描述满足学校业务系统多元化特点，提供：支持基于认证接口、认证代理和 LDAP认证的多种认证集成模式 支持密码认证支持与标准的主流Radius服务器集成预留CA认证扩展接口预留SmartCard JavaCard认证扩展接口预留与网络接入认证设备用户认证模块的集成接口，实现与网络接入 认证设备的

47、认证集成应用模式业务系统全部采用基于认证接口的认证集成方式； 用户统一采用基于密码认证的登录方式。1.1.4. 单点登录服务单点登录(Single Sign On, SSO)通常定义为指用户只需经过一次认证就可 以访问所有拥有访问权限的应用系统。单点登录能够提高用户的工作效率，减 少身份认证过程中的人为错误，也减轻了用户在密码管理上的负担，从而使系 统更安全、更易用。身份认证平台提供了单点登录解决方案，用户只需通过系统 的认证，并且具有足够的权限，就可以访问所有由身份认证平台管理的应用系 统。统一认证服务是单点登录支持的基础，没有统一认证，就没有真正的单点登录。校园网通常运行多个应用系统，为学

48、校领导、各部门及教生提供多种服务，这样就带来了一个突出的问题，用户面对多个系统时要记忆、输入帐号/口令等信息，不仅烦琐，而且容易丢失口令，一旦口令泄漏会造成不可估量的损失。单点登录系统的建设目标是要解决各应用系统用户名和口令不统一的问题，期望提供一套方便、安全的口令认证方法，让用户只要一个用户名和口令就可以使用网络上他有权使用的所有业务系统。. 设计要点单点登录系统设计的要点如下：遵循 LA （Liberty Alliance ，联合互信）的 ID-FF V1.2 规范。支持 SAML （Security Assertion Markup Language 安全性断言标记语言规范

49、。支持多种多级登录认证机制，如用户/ 密码、动态口令等。支持系统的认证过程支持加密的认证方式。系统支持基于用户 UID 和密码的身份认证。提供用户密码加密功能，支持SSHA、 CRYPT、 SHA 等加密算法。通过 TLS （Transport Layer Security,传输层安全协议）或 SSL （SecureSockets Layer， 安全套接层协议） 为信息传输提供保密性和完整性保护。支持 X.509 协议，可以对数字证书、公共密钥、数字签名进行存储和管理。支持跨域的单点登录功能。. 系统原理与体系结构单点登录系统的根本原理是保持用户的会话（ session） 状态。

50、用户经过一次认证就可建立单点登录会话，每个单点登录会话对应于一个令牌（token）,用户访问应用系统时向应用系统传递单点登录令牌，应用系统能够根据令牌识别用户的认证状态，从而使一次认证能够被多个应用系统认可，避免了重复认 证。我们采用Sun Java System Access Manager简称AM）作为单点登录的底层 技术平台。根据上述原理，AM对单点登录提供SDK级别的支持，其中包括单点登录 令牌的创建与验证。以 WEB应用的单点登录为例：用户通过 AM的认证页面进 行认证，认证通过之后，平台为该用户创建一个单点登录令牌，并将该令牌的 ID通过cookie返回至用户浏览器；当用户访问 W

51、EB应用系统时，单点登录令 牌ID自动通过cookie传递至WEB应用系统，WEB应用系统可以通过单点登录 令牌ID还原单点登录令牌，并向 Access Manager!佥证单点登录令牌是否有效。 如果有效，则应用系统可以从单点登录令牌获取用户身份信息，而不再需要用 户进行再次认证。对于 C/S结构的应用，单点登录过程是类似的，只是单点登 录令牌ID的传递方式不同。上述单点登录SDK的体系结构如下图所示：验证SSO令牌Java应用程序SSOTok获取sso属性SSOTokenSSOTokenManager验证/创建sSo令牌验证SSO令牌验证SSO令验证SSO令牌SSOProviderWEB浏

52、览器enIDHTP(s)SSOTckenIDHTTP(s) VWEB服务器认证服务定制服务建sso令牌：获取SSO属性SSOToken如前所述，单点登录是通过单点登录会话实现的，通过单点登录会话保持 用户在整个平台的认证状态。在对用户进行身份验证之前，AM的会话服务先产生令牌，令牌包含一个 随机生成的会话标志并且会作为这次会话的最终标志。令牌一旦生成，AM会将它插入一个Cookie,并且颁发给用户的浏览器。与此同时， AM会根据用户所使用的验证方式，提示不同的登录界面，验证方式可预先为组织、角色或单个用户进行配置。当用户接收到登录界面时，同时也获得一个会话令牌，用户会 键入用户名和密码，登录资

53、料被提交给适当的验证服务器（如LDAP、RADIUS等），一旦用户通过了身份验证，AM会从cookie中提取用户的令牌，并且将其 状态设置为有效的，接着将用户重新定向到所要访问的URL。单点登录会话具有如下图所示的生命周期：如图所示，单点登录会话的初始状态是无效，表示单点登录会话虽然已经 创建并被分配给用户，但用户尚未通过有效认证。无效的单点登录会话也通过 一个单点登录会话令牌身份，并存储在用户浏览器的cookie中。当用户认证成功之后，单点登录会话变为有效状态。该单点登录会话仍以同一个单点登录会 话令牌身份，用户浏览器中的 cookie不变，只是服务器维护的会话状态变为有 效。单点登录会话可

54、以因为以下原因而销毁：1 .客户端空闲时间达到最大空闲时间；2 .会话时间达到最大会话有效时间；3 .由于用户登出而显式销毁会话；会话销毁之后，客户端cookie中保存的单点登录会话令牌身份仍然存在， 只是与该令牌相关的会话信息已经在 AM中删除。上述单点登录会话的生命期由 AM进行管理，会话的生命期特性可以通过 配置选项进行定制。在 AM中，与单点登录会话相关的属性是通过“会话”服务（session service进行管理的，这些可配置属性均为动态类型的属性，可以针 对组织、角色和服务配置，并可被继承。会话的可配置属性如下表所示：单点登录会话属性说明最长会话时间（分钟）单点登录会话有效的最长时间，超过该时间，用户必须重新登 录创建新的单点登录会话。最长空闲时间（分钟）当用户没有任何动作时，单点登录会话有效的最长时间，超过 该时间，则会话失效，用户必须重新登录创建新的单点登录会 话。最长高速缓存时间（分钟）单点登录会话信息在客户端高速缓存中保存的最长时间，超过 该时间，则客户端必须访问服务器以刷新缓存中的会话信息。通过AM的Web控制台可以管理单点登录会话。在 Web控制台的“当前会 话”页面显示了当前所有有效的单点登录会话的状态，管理员能够有选择性地 终止单点登录会话