正方数字化校园建设方案-w - 图文

广州大学松田学院数字化校园建设方案

广州大学松田学院数字化校园

建 设 方 案

2009年12月

第 1 页 共 86 页

广州大学松田学院数字化校园建设方案

目 录

第一章 项目总述 ........................................................................................................................ 3 1.1 项目建设目标 .................................................................................................................. 3 1.2 建设内容 .......................................................................................................................... 3 1.3 建设意义 .......................................................................................................................... 4 第二章 项目总体设计 ................................................................................................................ 6 2.1 总体设计建设原则 .......................................................................................................... 6 2.2 数字校园总体规划 .......................................................................................................... 7 2.3 总体设计 .......................................................................................................................... 9 第三章 数字化校园平台 .......................................................................................................... 17 3.1 信息标准体系建设 ........................................................................................................ 17 3.2 统一身份认证平台 ........................................................................................................ 33 3.3 统一信息门户平台 ........................................................................................................ 49 3.4 数据中心平台 ................................................................................................................ 69 3.5 应用系统集成 ................................................................................................................ 82 第四章 硬件方案 ...................................................................................................................... 86

第 2 页 共 86 页

广州大学松田学院数字化校园建设方案

第一章 项目总述 1.1 项目建设目标

广州大学松田学院数字化校园建设是将以网络为基础，利用先进的信息化手段和工具，实现从环境（包括设备、教室等）、资源（如图书、讲义、课件等）到活动（包括教学、训练、管理、服务、办公等 ）的数字化，在传统校园的基础上，构建一个数字空间，拓展现实校园的时间和空间维度，提升传统校园 的效率，扩展传统校园的功能，最终实现教育过程的全面信息化，从而达到提高教学和训练质量、科研和 管理水平与效率的目的。能否建立一个现代化的数字化校园已经成为衡量高校综合竞争实力的一项重要指标。

广州大学松田学院数字化校园基础平台包括统一信息门户平台、统一身份认证平台和数据中心平台，为数字化校园建设提供一个基础安全平台，加强数字化校园中各应用系统的用户身份认证，保证系统数据的传输安全和存储安全，降低系统安全风险，增强系统的抗攻击能力，为教学、训练、科研、开发 及应用创造一个良好的基础平台，通过此基础平台能够对全院师生员工进行统一身份认证，同时也实现网络公共服务（如图书管理系统、教务管理系统、财务查询系统等）系统的统一身份认证。整个系统需支持 3000个用户，并具有良好的扩展性。

广州大学松田学院数字化校园基础平台及应用系统软件项目的建设将构建满足学院教学、训练、科研、管理与服务要求的开放性、协同化运行支撑环境，为校内外各类人员提供完善的一站式服务中心 和个性化服务支持，为领导决策提供数据依据。

通过本项目的建设，提高工作效率，提高管理效率，提高决策效率，提高信息利用率，提高核心竞 争力，信息化总体水平达到国内同类院校领先。

1.2 建设内容

广州大学松田学院数字化校园基础平台及应用系统软件项目建设（含系统设计、软件供货安装系统安装调试、验收及售后服务等）主要内容包括：

数字化校园基础平台，包括信息标准与数据规范、统一身份认证平台、信息门户平台和公共数据平台。

第 3 页 共 86 页

广州大学松田学院数字化校园建设方案

1.3 建设意义

数字化校园建设已经成为高校一项基础性的办学设施，是建设一流高等院校的重要标志，是提高学校教学质量和效率的有力保障，成为高校管理和人才培养的重要组成部分。具体来说具有如下的意义：

创造新的教育和工作模式，提高管理效率与效益。数字化校园将先进的信息技术引入到教学、科研、管理和服务等各项活动中，运用现代信息技术及时处理大量的管理数据，提高了教、学、管的质量和效率。

数字化校园建设解决信息岛问题，推进数据的集中和共享。数字化校园将信息技术融于教育的各个环节，通过全校所有部门的信息编码统一，使学校的所有信息能够实时自动的互连互通，资源得到充分的共享和利用，保证了异构数据库间的数据交换，消除了业务部门之间的数据冗余，将学校内部相对独立分散的网络应用系统，进行了统一整合，消除了学校信息孤岛问题，有效地实现数据共享，消除对数据的重复管理、数据冗余以及数据不同步的问题。学校各个部门分别管理自己业务的相关信息，数据采集入口唯一。所有信息实现共享，当某个部门需要用到其他部门信息的时候，可以直接从网上获得，这样就避免了多部门的重复劳动，节约了人力成本，保证了数据的标准化存储。

创建新型的学习环境，推进人才培养模式的改革。学校作为知识传授场所的功能存在一定的限制，但学校的社会教育功能会加强，以不断满足人的自身教育的需要。而数字化校园建设就是更多更好的为学生创造一个开放的文化氛围，把更多的注意力放在培养学生主动学习研究，终生求知的能力上，促进身心健康，提高自身素质。并通过互联网与外部世界，以及社会的物质生产和知识生产建立十分广泛的而又深刻的联系，让学生生活在一种准社会的实践环境之中，互相接触、互相交往、互相启发、互相讨论、互相帮助，思想的火花不断并发，不断碰撞，不断整合，从而为开发人的潜能和实施个性化培养创造条件。

创建虚拟大学空间，实现跨地域远程教学与管理。数字化校园建设以信息资源与信息服务为核心内容，实现数字化的学习、教学、科研和管理，创建虚拟大学空间和数字化的生活空间，实现教学与管理的网络化、远程化、智能化，大大拓展了学校的概念，为学校的跨地域传播知识和远程业务管理提供了坚实的基础保障。

各级领导管理决策数字化，提高管理决策的科学化水平。通过对各种各类数据的数字化处理，使领导者最大限度地拥有管理资源，能够集中集体的智力智慧，便于明确决策目标，论证决策的必要性和可行性，为正确决策提供必要支持，进一步体现决策的科学化、

第 4 页 共 86 页

广州大学松田学院数字化校园建设方案

民主化和透明化。

第 5 页 共 86 页

广州大学松田学院数字化校园建设方案

第二章 项目总体设计 数字化校园软件基础平台应具有开放性，除了能支持现有的应用系统实现不同部门间、不同应用系统间的数据交换和互操作，还能支持新建的全局业务系统，使每个业务部门内部，业务部门之间，业务部门与院系之间的信息畅通流转，实现协同工作环境，实现资源充分应用、信息充分共享、管理更加便利有效。

2.1 总体设计建设原则

? 实用性和可行性

主要技术和产品必须具有实用、成熟、稳定、安全的特点。实用性以提高系统整体运行效率为重点，既要便于用户使用，又要便于系统管理。

? 先进性和成熟性

系统设计既要采用超前思维，先进技术和系统工程方法，又要注意思维的合理性，技术的可行性，方法的正确性。不但能反映当今的先进技术和理念，而且具有发展潜力，能保证未来若干年内占主导地位。先进性与成熟性并重，并考虑到近年来的应用发展特点，把先进性放在重要位置。

? 开放性与标准化

应用平台应是一个开放的且符合业界主流技术标准的系统平台，并使网络的硬件环境、通信环境、软件环境、操作平台之间的相互依赖性小。

? 可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、系统管理等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。

? 可扩展性及易升级性

为适应应用不断拓展的需要，应用平台的软硬件环境必须有良好的平滑可扩充性。 ? 安全性和保密性

在应用平台设计中，既要充分考虑信息资源的共享，更要注意信息资源的保护和隔离，应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数

第 6 页 共 86 页

广州大学松田学院数字化校园建设方案

据存取的权限控制等。

? 可管理性和可维护性

整个应用平台是由多个部分组成的较为复杂的系统，为了便于系统的日常运行维护和管理，要求所选产品具有良好的可管理性和可维护性。另外可管理性和可维护性还包括对平台的自身。

? 安全性和保密性

在应用平台设计中，既要充分考虑信息资源的共享，更要注意信息资源的保护和隔离，应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

? 最佳的性能价格比

坚持少花钱多办事的工作思路，进行科学的投入产出分析，力求设计反映实际需求，在设计上寻求最佳的性能价格比。

2.2 数字校园总体规划

广州大学松田学院的数字校园建设需要进行总体规划，通过数字校园的总体规划来指导学校未来5-10年的信息化建设。

2.2.1 数字校园总体规划的思路

广州大学松田学院数字校园总体规划建设的思路：总体规划、分布实施、全面发展、持续优化，如下图所示：

第 7 页 共 86 页

广州大学松田学院数字化校园建设方案

一期：总体规划、整合资源、重点提高。在信息化一期建设中，我们将对未来5-10年做一个完整、全面的总体规划；建立数字校园的基础平台，在现有资源条件下进行整合，包括网络资源、基础设施资源和应用资源；加强对目前业务迫切需求的应用系统，重点建设，并初步建立数字校园配套的体系，含信息标准体系、安全体系、运维保障体系。

二期：改善配套体系、广泛应用、全面提高。在信息化二期建设中对一期运行进行评估和调整，完善体系结构；让信息化应用全面渗透到各个领域，重点是增加各类应用系统建设及集成。

三期：持续优化、数据挖掘、决策分析。对一期和二期应用进行持续的优化，为三期及将来的应用提供方向；对全面的数据进行深层次的挖掘和清洗，提炼有价值的数据为后续的决策提供有效、准确的分析。

2.2.2 数字校园总体规划的内容

数字校园总体规划的内容如下

1、数字校园架构规划，保证广州大学松田学院数字校园建设的可扩展性、可持续发展。

2、技术路线规划，在保证技术可行的情况下，技术路线的规划需要有前瞻性，如引进SOA、云计算、RAC、负载均衡（含软集群）等。

3、标准与规范体系规划

第 8 页 共 86 页

广州大学松田学院数字化校园建设方案

4、基础设施规划（校园网络规划、数据中心IDC规划），重点需要进行双核心网络、统一数据中心IDC（含统一存储）、异地灾备中心等规划

校园网络规划拓扑结构图：

数据中心统一存储出差人员家中办公服务器集群业务系统存储资源中心存储图书馆存储异地灾备中心教科网电信Cisco 7206出口路由器f5负载均衡Cisco ASA 图书馆服务器备份服务器备份存储VMwareCisco NexusIP SANCisco NexusCisco ASACisco ASA广域网加速器基础语音平台上网行为管理核心层PSTNE1/模拟线PBX汇聚层万兆上联三层交换机Cisco3560/3750/4500语音网关Cisco 6513ACisco 6513B广域网加速器WAN网络管理区SSL VPNCS-MARS神码网管系统流量分析接入层802.1X千兆安全交换机Cisco3560E? 办公、教学、生活区公共区域会议室开放区域Ip电话视频电话传真机打印机会议终端视频会议无线AP无线IP电话5、基础平台规划（综合信息门户平台、统一身份认证平台、数据中心平台、一站式服务中心）

6、应用系统规划 7、信息安全规划 8、运维体系规划

2.3 总体设计

2.3.1 总体框架

数字化校园信息平台是以学校现有网络为基础，以服务于全校师生的教学、科研、生活为目的，建立在学校数据中心平台之上，涵盖了学校的信息化标准管理、学校管理、学生管理、教学管理、教职工管理、行政办公管理等全方位的管理信息平台与信息服务平台。

第 9 页 共 86 页

广州大学松田学院数字化校园建设方案

广州大学松田学院数字化校园信息平台总体框架的设计主要是要有利于学校现有系统的整合和以后系统的扩展，在软硬件的建设上都能够保持可持续的发展。学校数字化校园将按照校园管理中心、校园资源中心和校园服务中心三大中心进行规划建设，同时将完成学校信息系统的整合，主要包括数据应用的集成、业务流程的集成与重组、统一身份及身份认证集成、应用界面的集成。

数字化校园信息平台的总体框架如下：

服务展示学生教师行政人员领导校友公众一站式服务中心信息服务运维保障个性化信息服务服务中心信息标准/管理/保障体系服务管理平台信息门户平台身份认证平台网络服务管理中心教务 办公 学工 管理 自动化 管理 人事 管理 ??资源中心学术资源 教学资源 管理 管理 图书 档案 管理 管理??其他网络应用VPN 邮件 短信平台即时消息 FTP ??业务系统业务数据数据中心平台关系数据库数据文件其他信息安全体系数据交换中心业务数据整合数据抽取数据共享订阅数据共享数据处理数据中心全局数据库数据中心数据库数据仓库软件资源硬件资源网络资源基础设施 广州大学松田学院数字化校园信息平台的框架包括如下方面：

1、基础设施层：是数字化校园软硬件支撑系统，包括网络资源、硬件服务器、存储、支撑软件等。

2、数字化校园应用系统基础平台：包括统一信息门户平台、统一身份认证平台、数据中心平台、公共通讯平台等。

第 10 页 共 86 页

广州大学松田学院数字化校园建设方案

3、应用系统层：是面向学校各部处的各类信息管理系统和面向师生的各类信息服务系统，可以分为管理中心、资源中心、服务中心，具体如下：

? 管理中心包括学校现有应用系统和新建应用系统；

? 资源中心是指整个学校的各类资源库、资源库的管理、资源服务。资源库包括教

学资源、数字教学资源、数字图书馆、数字档案馆、各类数字出版产品及数字期刊等数字资源；

? 服务中心是指提供的各类信息服务和人工服务，包括管理中心、资源中心提供的

信息服务，认证服务，邮件、短信、即时消息等通讯服务，一卡通服务，软硬件运维服务等。

4、信息服务层：为各级领导、相关管理员、教师、学生提供各种个人业务操作服务、查询、报表、统计分析、决策等，还可以根据系统数据得到数据填报、提醒、报警等一站式信息服务。

5、信息安全体系：数字化校园的安全管理，包括安全策略、安全组织、安全评估、安全技术等。

6、信息标准/管理/保障体系：包括信息、技术标准、组织机构、管理制度、运维保障体系等。

2.3.2 基于SOA的数字化校园架构设计

基于SOA的数字化校园架构设计的核心是建立学校SOA架构的技术标准，学校的不同厂家、不同产品、不同运行环境、不同开发工具开发的应用系统信息系统遵循该技术标准，进行组件化和服务化，实现了松散型、低耦合的集成，不同的信息系统可以相互调用功能服务。这样就大大提高了学校软件的重复使用率，提高软件系统的可扩展性，减低了学校的IT资源投资和IT建设风险。

广州大学松田学院基于SOA的架构设计如下图所示：

第 11 页 共 86 页

广州大学松田学院数字化校园建设方案

行政人员服务学生服务教师服务领导服务校友服务信息服务层应用服务层服务管理平台服务集成服务注册服务管理服务发布教务管理系统教学质量评估系统学生工作管理系统迎新服务系统电子离校服务系统科研管理系统学生收费管理系统教材管理系统数字资源管理系统资产设备管理系统办公自动化系统人力资源管理系统继续教育管理系统网上学习系统实验室管理系统校友服务系统 业务组件服务组织机构服务、可复用的业务功能服务、其他服务 公共组件服务用户与授权、身份认证与SSO、日志服务、数据服务、数据交换服务、工作流服务、报表服务、表单服务、消息服务、查询统计服务基础服务层服务库元数据数据标准教务|资产|科研|研究生|人事|财务|办公?数据中心库教务数据 科研数据??教务公共数据科研公共数据??公共数据库数据交换中心业务系统数据层 数字资源库教学资源、学术资源、数字图书馆、数字档案、??ESB、BPM、SOA标准（SCA\\SDO）、XML、Webservices、WSDL、SOAP、UDDI、JMS系统软件：Unix/Linux、Oracle、Ldap、AS、Portal Server二次开发平台基设施础网络硬件广州大学松田学院基于SOA的架构采取的技术路线： 1、基于SOA技术的系统架构

SOA架构的技术标准主要有：服务组件架构SCA与服务数据对象 SDO。基于开放标准采用的相关技术有：

? 可扩展标记语言XML（Extensible Markup Language) ? 简单对象访问协议SOAP (Simple Object Access Protocol) ? Web服务描述语言 WSDL (Web Services Description Language)

? 统一描述、发现和集成 (Universal Description, Discovery and Integration) ? JAVA消息服务JMS ( Java Message Service) ? 企业服务总线ESB（Enterprise Service Bus）

第 12 页 共 86 页

广州大学松田学院数字化校园建设方案

服务管理平台SMP数据库数据库类基础应用J2EE服务.Net服务服务集成服务重组工具支持开发基础服务库服务注册服务路由服务发布服务转换监控配置部署其他基础服务中间件应用服务器

通过服务管理平台SMP来实现服务的集成、注册、发布、管理。

SOA服务主要是指Web服务，但SOA的发展与实现需要一个过程，所以目前需要对服务的范围进行扩展，而不仅仅指Web服务。

SOA服务包括：

1、Web Service，通WEB服务提供的主要是数据类服务，如学生基本信息、成绩信息等，统一身份认证的身份数据服务等；

2、URL资源功能服务，基于身份认证的基础上的,以URL调用方式提供的功能服务； 3、WEB剪辑，支持从应用服务器可以访问到的页面进行区域裁剪，裁剪后的内容作为提供的服务进行统一管理；

4、Iframe集成服务，支持嵌入其他系统的页面，用于实现和其他网站界面的无缝集成，并可以控制集成后服务的形式；

5、RSS集成服务，支持自动从其他符合RSS规范的网站或门户采集到需要的数据，并定义相应的服务方式；

6、API集成服务，适合于具有基于技术标准与规范的API接口的应用系统功能服务集成；

7、Portlets集成服务，集成基于Portal规范的Portlets提供的服务。 提供各种服务集成的组件，如下图所示：

第 13 页 共 86 页

广州大学松田学院数字化校园建设方案

2、开发平台

本次应用系统基于J2EE平台，主体代码采用Java编程语言和服务器端Java技术(如EJBs、Servlet、JSP、JNDI、JDBC和RMI等13种)开发。

J2EE平台是目前为企业级应用所提供的分布式、高可靠性、先进性的解决方案。Java作为基于Web的软件业的公共标准，其独立于操作系统，独立于服务器的“跨平台性”，使其“一次编写，到处运行”，是最适合运行于互联网上软件的编辑语言。Java相对于嵌入HTML并受限于用户端显示的编程能力有限的脚本语言，其完整的编程能力可开发具有强大“业务逻辑”的应用程序。

我们使用Java相关技术配合先进的开发和管理工具完整地执行于整个软件开发生命周期中。如下图所示：

第 14 页 共 86 页

广州大学松田学院数字化校园建设方案

采用分布式组件EJB和Web Services实现业务逻辑；服务的定位采用JNDI/UDDI方式，支持分布式服务提供者。

基础框架J2EEHTTPS表现层ServletJSPXSLTStruts认证授权SSORBACAdapterLDAP门户XSLTAJAxRSSPortletWSRPXML数据中心元数据业务逻辑层EJBWebServicesJMSJAAS数据交换数据映射数据持久层iBatisJDOHibernateJDBC安全技术JAASMD5OracleSSL

采用面向对象的组件技术：

面向对象的组件技术是一种完全独立于硬件和操作系统的开发环境，着重于开发构成应用程序“业务对象”的可重复使用的组件，利用这些组件顺利地建立分布式应用程序。

应用程序的开发和运行结构：

应用系统平台的开发及运行结构要基于后台数据库的三层架构，即Web服务器、应用

第 15 页 共 86 页

广州大学松田学院数字化校园建设方案

服务器和数据库服务器。应用软件采用主流应用程序开发工具，并最有效地支持按J2EE规范的Java程序语言开发应用程序。

第 16 页 共 86 页

广州大学松田学院数字化校园建设方案

第三章 数字化校园平台 3.1 信息标准体系建设

3.1.1 信息标准体系建设目标

广州大学松田学院的信息标准建设将基于国标、部标，兼顾各个标准之间的兼容性、一致性以及标准的可扩展性，建设形成一套符合广州大学松田学院自身实际的信息化标准体系，并建立《广州大学松田学院信息管理标准集》来指导学校信息化的建设、管理、服务、运行维护保障。

信息标准需要保证信息在采集、处理、交换、传输的过程中有统一、科学、规范的分类和描述，实现统一的数据传输与数据交换规范，实现不同部门间、不同应用系统间数据交换的规范，，能够使信息更加有序流通、发挥信息资源的综合效益。

3.1.2 信息标准体系建设原则

广州大学松田学院信息标准体系建设原则如下：

1、涉及到国际或国家和教育部已颁布的标准，要采用国际或国家已颁布的标准，如： ? 教育管理信息化标准：《国家经济信息系统设计与应用标准化规范》、《标准化工作

导则-信息分类编码规定》(国标GB7026-86)、教育管理信息化标准第1部分学校管理信息标准/中华人民共和国教育部编 2002.12；

? 教育信息化技术规范：包括教育信息化技术规范、网络教育技术规范、教育和训

练技术规范、计算机化训练规范、计算机辅助教学规范、智能授导和元数据规范等；

? 软件设计与开发规范：包括软件工程方法、软件设计开发的标准等

2、涉及到已颁布的高等学校部分管理信息标准，《广州大学松田学院信息管理标准集》在相关内容上尽量与已颁布的标准保持一致；

3、涉及到广州大学松田学院关于学校信息管理已经颁布执行的标准，要采用学校已颁布的执行标准；

4、信息标准体系的建设在参照相关标准的基础上，要充分满足学校信息化管理与服

第 17 页 共 86 页

广州大学松田学院数字化校园建设方案

务的实际需求；

5、《广州大学松田学院信息管理标准集》是可以根据国家、教育部、行业、学校信息管理与服务的需要可以不断完善；

6、在《广州大学松田学院信息管理标准集》颁布执行后，后上的信息化系统必须符合该信息标准体系。

3.1.3 信息标准体系建设内容

广州大学松田学院的信息标准建设是学校信息化建设的基础工作，包括数据标准、技术标准规范、信息化运行管理规范。

数字化校园信息标准和规范体系数字校园总体规划数据标准技术标准管理规范元数据规范数据代码集数据集数据交换规范开发规范软硬件平台建设规范信息化建设规范项目管理规范运维管理规范信息化管理水平评估 3.1.4 数据标准

学校数据标准建设包括元数据建设、数据代码集建设、数据集建设、数据交换标准建设。

信息标准的建设分别按两个纬度对学校整体业务进行逐步疏理： 1、按照学生、教师、资产、财务等主题对象进行数据梳理； 2、按照学校的管理、教学、科研、信息服务等业务来进行数据梳理；

3.1.4.1 元数据管理

元数据管理是数据交换的基础，只有建立了完整的元数据管理系统，才能实现数据的

第 18 页 共 86 页

广州大学松田学院数字化校园建设方案

交换，从而为学校的数字化校园建设打下坚实的基础。 3.1.4.1.1 元数据内容

元数据内容包括6个组成部分

1、基准元数据系统：是指数字化校园标准的元数据系统，作为基准元数据用于组织标识数字化校园中的数字化信息资源，以标准形式描述用户的查询提问，为各种网络信息发掘工具提供数字化信息。

2、元数据字典：是用于各种元数据体系到系统基准元数据系统相互转换的对照表，它描述了各种元数据的基本特征，构建了各种元数据与基准元数据系统的对应关系，其基本作用是为系统的转换模块提供转换依据。

3、数据属性集：是指数字化校园存储数据的属性总和，元数据管理系统可通过数据属性集将数字化校园的数据结构和基准元数据相对照，保障它们之间的可互换性。

4、数字化信息资源集：它描述的对象是信息源，数字化校园可以通过信息源特征集来确定各信息源所采用的元数据体系，将用基准元数据表达的查询式转换成各个信息源所采用的元数据表达式，从而决定各个信息源的检索方法并解释检索结构。

5、转换模块：提供了实现各种元数据之间相互转换、翻译的方法。

6、维护模块：可以对各种对照表进行添加、删除、修改等动态管理，保证元数据系统的可扩展性和可维护性。 3.1.4.1.2 元数据层次结构

数据标准集（包含数据子集、标准代码集），每个数据子集又可按业务流程划分为数据类(Data Catalog)，有些数据类下还要划分数据子类。数据类是一组相关数据项（Data Item）的集合，数据项是对数据元素（DataElement）属性的规范描述，又称之为元数据（Metadata）标准化，这些数据属性包含了编号、数据项名、中文简称、类型、长度、可选性、取值范围等。数据标准的层次结构如下图：

第 19 页 共 86 页

广州大学松田学院数字化校园建设方案

数据类1数据子类1数据项1元数据： 编号 数据项名数据项n数据子集数据子类n数据项1 中文简称 类型数据项n 长度 可选性 取值范围代码集数据类1数据项1 示例说明 引用项编号数据项n

数据标准分5个层次，数据集－>数据子集－>数据类－>数据子类－>数据项。 3.1.4.1.3 元数据设计

元数据(Metadata)是描述数据的数据，也称为数据元素的属性描述。元数据结构的设计是信息标准的基础，它的设计水平直接影响信息标准的质量。标准中采用了9个属性来描述每个数据元，其中中文简称也可称为中文语义的数据元素。

表1 数据项属性的描述示例（取自学生管理数据子集— 学生基本数据类）

其中：

第 20 页 共 86 页

广州大学松田学院数字化校园建设方案

1）编号为数据项的8 位编号，它直接反映了数据标准的4 个层次结构。其中前2 位位数据数据子集英文简称，3、4 位是数据类的序号、5、6 位是数据子类的序号（没有子类的为00，7、8 位是数据项序号。

2）数据项名为数据元素在数据结构中的名称，取中文简称的拼音字头缩写。 3）中文简称提供应用界面的显示，语义直观、易读。

4）类型为数据的分类定义，经过讨论这里的数据类型分为：字符型－C；数值型－N；二进制数文件型－B，一般用来描述照片等；货币型－M，用来描述人民币等资金类；大文本型－T，用于超过200 个字符的文本类说明。

5）长度为数据项能容纳最大字符数。

6）可选性是本标准新增约束属性，指本数据项在实施中是否可选（必备：

M-Mandatory, 可选：O-Optional）。为了使本标准能适应各类学校的使用，必备数据项严格审定。只有符合两类情况的数据项才定为必备条件：

a. 属于学校业务系统之间要进行数据交换、共享的数据项； b. 上级部门统计或查询需要的数据项。

7) 取值范围将数值的格式及所采用的代码加以界定，如表1 中“性别码”采用国标GB/T 2261.1-2003 个人基本信息分类与代码第1 部分《人的性别代码》。这样使数据的取值进行规范化，便于今后统计、查询。

8) 说明/示例，进一步诠释本数据项的属性。

9) 引用编号也是本标准的一个特点，将同义数据项（名称不同而语义、属性相同）的写明引用数据项（如通用数据子类的）编号，避免产生不规范的格式、减少冗余。

3.1.4.2 数据标准

3.1.4.2.1 数据标准的编码原则

信息标准的编码需遵循如下的原则：

1、唯一性：在分类编码标准中，每一个编码对象仅有一个赋予它的代码，一个代码只唯一表示一个编码对象。对几个容易混淆的名称（xh,xq,bk等）进行补充说明；

xh表示学号，序号使用xh必须加上用途，如dlxh(导论序号)等;

第 21 页 共 86 页

广州大学松田学院数字化校园建设方案

xq表示学期，校区使用xq必须使用xqdm(校区代码),xqmc（校区名称）等; bk表示补考，板块使用bk必须使用bkdm(板块代码),bkmc（板块名称）等; 2、可扩性：代码结构必须能适应同类编码对象不断增加的需要，必须为新的编码对象留有足够的备用码，以适应不断扩充的需要；

3、简单性：代码结构应尽量简单，长度尽量短，以便节省机器存储空间和减少代码的差错率；同时，提高机器处理的效率；

4、规范性：在一个信息编码标准中，代码的结构、类型以及编写格式必须统一； 5、标准的适用性：即代码要尽可能的反映分类对象的特点，便于记忆，便于填写； 6、合理性：代码结构要与分类体系相适应。

7、全面性：信息标准不仅包含国家、教育部级学校本身的业务标准集，还要在业务标准的基础上构建业务数据模型、数据统计分析模型标准，用以实现学校的业务优化过程和数据资产盘活。

3.1.4.2.2 信息标准的代码类型

在本项目中信息标准的代码类型主要有以下四种类型： 1、数字型代码 2、字母型代码

3、数字与字母混合型代码

4、无含义代码：对编码对象只起标识作用，而无任何其他附加含义的代码。 根据各个具体业务的需要选择合适的代码类型。 3.1.4.2.3 数据标准的层次结构

广州大学松田学院信息标准集的层次结构：

第 22 页 共 86 页

广州大学松田学院数字化校园建设方案

数据标准数据交换规范管理数据集通用/标准数据子集代码集学校管理数据子集教学管理数据子集学生管理数据子集人事管理数据子集离校管理数据子集行政办公数据子集新生自助管理数据子集

3.1.4.2.4 学校信息代码集

信息代码集包括：

代码集

国家代码子集教育部代码子集学会代码子集学校代码子集

1.国际标准代码 2.国家标准代码 3.教育部标准代码 4.学校自定义标准代码。

5.具体要根据学校的实际调研情况来定义。 3.1.4.2.5 学校信息标准集

根据《CELTS-34 高等学校管理信息标准》，学校信息标准集包括如下的子集：

第 23 页 共 86 页

广州大学松田学院数字化校园建设方案

1、 自定义系统管理子集； 2、 国家标准代码子集； 3、 通用/标准数据子集； 4、 教育部标准代码子集； 5、 学校标准代码子集； 6、 学校管理数据子集：

含学校基本信息、学校组织机构信息、学科点信息、专业信息、班级信息、校友信息、信息化建设情况等；

7、 学生管理数据子集：

含基本信息、奖惩信息、选课信息、成绩信息、学籍信息、社会活动信息、学位学历信息、毕业生就业信息、家庭信息、体育信息、卫生健康信息、学生收费信息、住宿信息、户籍信息等；

8、 教学管理数据子集：

含课程信息、专业信息、培养方案信息、教师任课信息、课表信息、考试信息、教学评价信息、实践信息、论文信息等；

9、 人事管理数据子集：

含基本信息、职务职称信息、考核信息、工资福利信息、专家信息、兼职人员信息、奖惩信息、个人经历信息、家庭信息等；

10、办公管理数据子集：

含发文信息、收文信息、呈批件信息、会议信息、会议纪要信息、文件借阅信息、信访信息等；

11、离校管理数据子集：

含基本信息、简历信息、校友会信息等； 3.1.4.2.6 数据标准集的建立

通过调研全校各部门：

第 24 页 共 86 页

广州大学松田学院数字化校园建设方案

1、该部门在正常运行过程中想哪些部门要过什么数据？ 2、哪些部门向该部门要过什么数据？ 3、领导要查询的数据 4、要上报的数据

遵循全校任何数据只能由一个部门产生其他部门使用的原则，合并调研的结果，并明确哪些数据是由哪个部门权威产生，哪些部门仅是使用，形成所有信息的UC矩阵。

根据UC矩阵来确立共享库的权威数据源，遵循谁产生、谁维护、谁维护的原则。 以下一学校全日制学生信息为例： 学生、人事相关数据参见下图

学习简历家庭情况志愿表高考招生高考成绩学籍异动选课成绩已修学分论文著作奖学金活动荣誉称号学生处分奖惩学生出国学生档案社会实践课外培训学生干部学籍信息贫困生信息注册缴费选课成绩住宿住宿费住宿安排附加信息政治面貌身份证号行政区划联系方式一卡通图书馆食堂财务姓名民族籍贯院系专业学生信息助学金资助勤工俭学贷款减免学杂费学生干部毕业证书学位证书毕业信息毕业去向档案取向

学生相关数据

第 25 页 共 86 页

广州大学松田学院数字化校园建设方案

工作经历学习经历家庭情况配偶情况奖励情况处罚情况档案合同岗位合同引进合同临时合同年度考核岗位考核导师信息教学论文教学情况教学科研成果合同职称信息福利培训培养附加信息出工报政婚从姓生性作到民治姻单职学学事名年别年年族面状位称位历专月月月貌态业兼职情况社会兼职学术兼职奖教金攻读硕博在职培训技能培训四金岗位津贴校内调动人事信息奖惩干部任免人员变动工人聘用人员离校科研项目科研成果科研论文专利

人事相关数据

3.1.4.2.7 数据交换标准规范

1、互换模型设计

在对学校需求充分调研的基础上设计出学校信息内部互换模型，如通过共享试图视图、共享跨库视图、快照、文件等。

学校必须对信息交换要协调信息交换相关部门及应用系统按照学校的信息互换模型及标准作调整、改进的工作。

2、交换接口标准

交换语义描述标准：基于数据交换管理工具，所有的交换周期、交换模型、交换方式等由用户进行设置或选择，数据交换管理工具会解释执行。

交换接口方式：

? 文件交换：XML文件、DBF文件、EXCEL文件、TXT文件等； ? 标准数据交换：共享视图、SQL操作；

? 采用MQ、WebService 、ESB数据服务的交换方式；

第 26 页 共 86 页

广州大学松田学院数字化校园建设方案

根据学校不同的应用系统选择不同的数据交换接口方式。 3、应用系统对接标准

应用系统的对接主要包括应用系统界面的集成、统一身份认证集成、数据集成与订阅，需要对学校的应用系统详细调研后确定不同应用系统采用的对接方法、接口方式及对接标准，并制定相关的对接标准。

注：仅供参考，具体要与学校详细讨论确定学校的交换标准规范。

3.1.5 技术标准规范

技术标准规范包括学校软硬件支撑平台标准规范与开发技术标准规范。

3.1.5.1 软硬件平台规范

广州大学松田学院通过数字化校园工程的建设，将形成学校数字化校园信息平台的软硬件支撑平台规范，确定学校信息化建设的软件、硬件的标准，作为今后新的应用的平台标准，便于学校信息化应用系统的集成。

制订软硬件平台规范必须考虑以下几个因素：

? 其功能指标能否满足校园整体信息化建设的需要（是否适合网络计算、稳定性、

安全性等）；

? 其基本性能能否满足今后若干年的需求（速度、容量等）； ? 是否符合国际、国内标准；

? 是否是主流产品或者与其他主流产品兼容； ? 产品的技术支持和服务质量； ? 是否代表新的发展方向。

建议在制定学院的软硬件平台规范参考以下标准： ? 国家、教育部关于管理信息系统建设标准 ? CELTS: China E-Learning Technology Standards ? ISO9001:2000 质量管理体系

? AICC（美国航空工业计算机辅助训练委员会）标准

第 27 页 共 86 页

广州大学松田学院数字化校园建设方案

? ADL（美国高级分布式学习研究项目）标准 ? LMS（美国全球学习联合公司）标准 ? DLTS（教育部远程教育标准集） ? IEEE LTSC（学习技术系统标准委员会） ? 信息技术互联国际标准（ISO/IEC 11801-1995） 以下是具体的建议：

? 系统基于SOA架构，遵循的技术标准：XML、SOAP、WSDL、UDDI，提供WEB

Service接口；

? 按J2EE（Java 2 Enterprise Edition）规格，采用Java编程语言和服务器Java技术(如

EJBs、Servlet、JSP、JNDI、JDBC和RMI等13种)开发；

? 用MVC模型开发，一个应用被分成三个层——模型层、视图层、控制层，采用

Struts、Spring、Hibernate等框架； ? 数据库采用Oracle;

? 数据库操作系统：Linux/Unix ? 应用服务器操作系统：Linux/Unix

? 硬件要支持各种小型机、PC服务器及操作系统：

? ? ? ? ?

IBM小型机：AIX SUN小型机：Solaris HP 小型机: HP-UNIX 各种品牌PC服务器：Linux

支持但是不限于以下操作系统，如Windows 2000／XP／2003／IBM AIX／HP-UX／SUN Solaris／Red Hat Linux／Red Flag Linux（红旗）／Suse Linux等。

? 软件支撑平台：

?

支持JDK 1.4.2、1.5；通过J2EE 1.4、Java EE 5.0的规范认证，且向下兼容

第 28 页 共 86 页

广州大学松田学院数字化校园建设方案

J2EE1.4标准。 ?

应用系统可以运行在SUN、IBM、BEA、Apusic等厂家的中间件产品（Directory Server、Application Server、Portal Server）之上

3.1.5.2 开发技术标准规范

1、系统架构

软件架构：采用目前成熟的J2EE架构体系，采用SOA架构理念 数据库：Oracle 数据库操作系统：Unix

应用中间件：通用型的中间件产品，推荐用Oracle AS 应用服务器操作系统：Linux/Unix 2、接口标准

认证接口：JAR包的API或Webservice 数据接口：XML、Webservice、MQ等 3、开发语言 用JAVA开发语言 4、文档规范

参照CMMIL3以上文档要求标准规范编写

注：仅供参考，具体要与学校详细讨论确定学校的开发规范。

3.1.6 信息化管理规范

广州大学松田学院通过数字化校园工程的建设，将形成学校信息管理规范，信息管理规范包括管理规范与系统运行维护保障体系。

? 机房管理规范

? 各类服务器操作系统管理规范； ? 数据库管理管理规范；

第 29 页 共 86 页

广州大学松田学院数字化校园建设方案

? 应用服务器应用系统管理规范；

? 信息访问规范，包括：网络访问、系统访问、中间件系统、应用维护与访问规范； ? 学校信息类资产管理规范； ? 人员信息与安全规则； ? 安全检查规程； ? 系统运行维护管理规范 ? 安全管理规范 ? 工作体系与管理机制

注：仅供参考，具体要与学校详细讨论确定学校的信息化管理规范。

3.1.7 信息标准的实现

广州大学松田学院的信息标准的实现分为信息标准启动阶段、需求调研阶段、编写阶段、发布试行阶段、正式发布执行阶段、运行维护阶段

第 30 页 共 86 页

广州大学松田学院数字化校园建设方案

启动阶段公司：提供《信息标准与规范》参考稿需求调研阶段学校和公司需求调研分析现行标准规范分析参照标准分析编写阶段公司：编写《信息标准与规范》草案学校：《信息标准与规范》（试行）评审试行阶段学校和公司：《信息标准与规范》（试行）试运行学校和公司：《信息标准与规范》（试行）优化正式发布执行阶段运行维护阶段学校和公司：《信息标准与规范》评审、发布学校和公司：《信息标准与规范》正式运行数字化校园信息标准和规范体系建立过程学校：《信息标准与规范》运行维护

1、调研工具来实现信息标准调研及发布

学校各项数据标准的建立先由我们公司提供在其他学校实现的分类数据标准并初始化学校的信息标准，同时提供信息标准的WORD文档，再由学校信息中心和公司进行讨论和修改制定符合学校的数据标准。并通过系统提供的UC调研工具来实现：

通过学校技术部门管理，各部门参与数据标准调研用户管理的功能，并设置相应的权限；

各部门可以根据提供的用于调研共享数据的来源及使用情况；

参与数据标准调研的人员通过浏览器（UC调研工具）进行共享需求填写和修改；

第 31 页 共 86 页

广州大学松田学院数字化校园建设方案

然后由学校各部门进行确认，最终发布共享数据UC矩阵和数据标准； 经学校现代教育技术处和公司确认后补充原数据标准文档。 2、信息标准维护

发布后的信息标准，可能由于各种原因需要进行信息标准的自定义维护， 提供执行标准的维护、校核和发布功能，对于执行标准的变更留下历史记录，保证对历史数据的统计和分析。

3、信息标准的查询与共享

学校各部门可以根据系统提供的功能进行各种标准的查询，并根据需要可以进行数据的订阅，包括信息标准的代码数据结构、代码数据内容、数据标准的数据结构、数据标准的数据内容。

3.1.8 信息标准管理工具

信息标准管理工具包括数据标准的初始化、数据标准代码集、数据标准集的维护与浏览、数据标准的发布与执行，数据标准相关业务系统的管理等。

1、信息标准的维护与浏览工具

2、业务系统维护工具

第 32 页 共 86 页

广州大学松田学院数字化校园建设方案

3.2 统一身份认证平台

3.2.1 概述

统一身份认证平台是数字化校园的重要组成部分，为各应用系统提供集中的身份认证服务，提高数字化校园应用系统的安全性。通过指定相应的集中认证技术规范，提供统一的应用系统用户管理接口，最终实现所有新建系统用户认证的统一集中化管理，做到真正意义的集中认证。该系统为数字化校园的所有用户提供统一的身份确认与权限交付。用户通过统一信息门户实现单点登录，整体上避免重复投资。

建设重点包括几个方面：用户资料的集中存储和管理、用户身份集中的验证、访问权限的集中控制和管理。具体包括目录服务、认证服务、单点登录服务、角色管理、授权管理、应用认证接口包、数据维护与日志管理等。

在性能上要考虑传输安全性、数据安全性、高可靠性、系统容错性、可审计性，具有良好的可扩展性。

3.2.1.1 建设目标

广州大学松田学院统一身份认证平台的建设目标如下:

? 建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系统，

将用户信息统一存储，进行身份认证和应用访问控制，规范应用系统的用户认证方式。

第 33 页 共 86 页

广州大学松田学院数字化校园建设方案

? 满足用户在数字化校园中的授权需求。提高应用系统的安全性和用户使用的方便

性，实现全部应用的单点登录。即用户经统一应用门户登录后，从一个功能进入到另外一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应认证信息和和基于其权限的功能模块和工具。

? 学校工作人员由于进行了调动、调级、调职等，或者学校发生了体制改革、组织

机构变动，引起了户的身份和权限变动，用户的身份和权限在各系统之间应该协调同步，减少应用系统的开发和维护成本,并且变更情况能够实时反映在认证系统中，从而在各个应用系统的认证中体现出来。

? 建设多样化的认证方式，满足不同业务不同安全级别的要求，减少应用系统的开

发和维护成本。

? 用户认证数据要求与现有的LDAP、RADIUS等服务器对接，要求认证系统提供

数据库支持。考虑到校友系统的应用，认证用户数要支持10万以上用户数。

3.2.1.2 建设原则

? 标准化

符合LDAP v3版本标准，采用基于LDAP标准的目录服务器存储身份数据。 ? 传输安全性

要求系统对用户登录信息进行加密传输，保证数据能在客户端与单点登录服务器之间、WEB代理与单点登录服务器之间进行安全通信，保证数据传输的安全性，中标方应能保证所才采用的加密技术不可逆。

? 高可靠性

采用合适的保护策略，保证系统的可靠性，提供数据定时、异地冗余备份功能。 ? 系统容错性

由于此平台是整个数字校园工程建设的基础平台，系统必须具备高度的容错性，保证系统的正常运行。

? 可扩展性

系统要能支持以后的平滑升级。

第 34 页 共 86 页

广州大学松田学院数字化校园建设方案

? 高性能

支持1000用户同时并发登录与10000用户同时在线使用。 ? 接口开放

开放的认证接口，支持不同开发语言（Java、.net、ASP、PHP、c/c++、COM、Radius 等接口）、不同应用服务器平台实现的应用系统的认证集成方式，提供WebService、API等方式。

3.2.1.3 建设内容

广州大学松田学院数字化校园信息系统的统一身份认证平台建设内容包括： ? 建立统一的集中身份库--统一身份数据中心，对数字化校园信息系统所有用户提供

集中和统一存储、管理，采用目录服务（LDAP）来进行用户身份的存储； ? 在数字化校园信息系统集中身份库的基础上，通过身份管理技术实现身份库与各

个现有业务应用系统(门户、教学、教务等系统)用户身份信息在满足数字化校园信息系统内部业务流程的规则前提下，实现用户信息的自动同步处理等功能； ? 建立全校的统一认证中心CAS（Central Authentication Service），同时根据各个业

务应用系统的认证方式的不同提供各种灵活的认证机制；

? 根据数字化校园信息系统信息化的规划，本技术方案将在数字化校园信息系统集

中身份库基础上，提供基于单点登录(简称:SSO)的解决方案，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源；

? 通过认证和授权，用户对于资源的访问受到合理的管控，提高了系统的安全性和

服务的针对性。具体功能包括统一认证网关、用户管理、资源管理、角色管理、授权管理、机构管理、日志管理等功能。 统一身份认证具有如下的要求：

①海量的基于LDAP目录服务器的用户数据存储和管理功能； ②高效的支持SSO（单点登入）的高性能身份认证服务；

③开放的支持不同开发语言、不同应用服务器平台实现的应用系统的认证集成方式，本子系统必须能应用于Unix/Linux平台。

第 35 页 共 86 页

广州大学松田学院数字化校园建设方案

通过该技术方案的实施，将为数字化校园信息系统的建设，特别是数字化校园信息系统安全控制与管理打下良好的基础，利用管理信息系统集中身份库与门户系统的统一，从而为整个网络平台提供集中的管理、安全认证机制，从而保证各个平台的统一。

3.2.2 功能实现

3.2.2.1 系统架构

统一身份认证平台包含如下的组件：

1、数据库和Directory Server目录服务：用户数据库和目录服务器同时存储用户集中身份库，并且数据库的用户身份数据与目录服务器的用户身份数据保持同步，必要时可以通过简单的配置来选择数据库还是目录服务器；

2、IM Driver 实现异构系统的帐号整合；

3、基于中心认证服务CAS（Central Authentication Service ）或代理架构的Access Manager(用于WEB SSO和WEB资源保护，也可作为用户认证的policy服务器)；

4、面向师生的用户WEB服务。

3.2.2.2 目录服务

3.2.2.2.1 用户数据模型

用户数据模型的设计要求满足由于学校工作人员调动、调级、调职等，或者学校发生

第 36 页 共 86 页

广州大学松田学院数字化校园建设方案

了体制改革、组织机构变动，引起了户的身份和权限变动，，用户的身份和权限在各系统之间应该协调同步，减少应用系统的开发和维护成本,并且变更情况能够实时反映在认证系统中，从而在各个应用系统的认证中体现出来。

用户数据模型的设计要满足学校灵活的授权需求。 统一身份认证管理系统中的数据模型包括： ? 用户帐号：各部门用户的帐户信息； ? 资源：IM所管理的应用系统；

? 资源组：按一定顺序组织资源，IＭ将根据这一顺序在应用系统中创建和删除用户

信息；

? 组织：一个管理一组用户、资源和其它对象的逻辑容器；

? 角色：用户的工作角色，代表其职能性质，据此在资源中设置用户的属性； ? 管理帐户：对统一身份管理系统具有管理员的功能，可以进行分级管理； ? 能力：一些特殊的权利授予给管理员，使其可以执行哪些功能，如口令管理员，

只能管理用户的口令。 统一身份认证平台要求做到：

? 管理用户访问一个或多个资源的权限； ? 管理用户在这些资源上的帐户数据；

? 赋予一个或多个角色，设置他们访问各种资源的权利； ? 管理组织，决定用户帐户由谁和怎样被管理。 3.2.2.2.2 用户身份数据库LDAP

管理信息系统需要构建能够用于整个系统的目录服务，作为用户身份管理的基础架构。此处的目录变成了身份管理中心，其中集成并同步多个系统的身份信息和内容。如下图：

第 37 页 共 86 页

广州大学松田学院数字化校园建设方案

以Directory Server目录服务为基础，构建用户集中身份库，在此基础上利用身份管理技术，实现将原有采用“非目录化”的应用系统与现有用户集中身份库进行自动的双向交互，该方案可以在不改变现有系统的框架基础上进行实施，利用这样的方案实现身份库与现有应用系统的无缝结合。 3.2.2.2.3 统一身份库实名制管理

应实行全校统一身份库实名制管理，建议建立两套（即两棵目录树）目录系统，其中一套目录系统作为用户认证服务用于支持Policy服务器(即： Access Manager认证服务器)，对用户进行认证并获取用户对内部访问资源的权限。这套目录的设计不同于集中身份库，它是平面设计的，为的是提高用户认证的效率，提高系统性能；另一套目录系统是构建整个管理信息系统的用户身份库。通过构建用户集中身份库，集成门户、教学、教务、科研、办公自动化、信息发布等应用中的用户，实现用户帐号在各系统间的实时同步。两套目录间的同步是使用实现无缝的对接。

3.2.2.3 组织及用户管理

组织一个学校的用户，从而使其管理更为有效？我们认为应该将按照学校本身的组织结构进行分层管理。统一身份认证平台中可以按照的组织结构进行用户管理的组织结构构建，组织包括了组织单元(也就是通常所说的部门)、区域(也就是通常所说的外地分支机构)，以及可以实现管理权限相对独立的安全管理域。

管理创建学校多级组织机构、部门信息；管理系统用户信息、限制用户登录权限；机构管理员、机构负责人、办公室主任配置。

第 38 页 共 86 页

广州大学松田学院数字化校园建设方案

3.2.2.4 角色管理

统一身份认证平台中可以定义用户角色，用户角色直接决定了该用户可以享有哪些服务。用户和角色之间的关系是不断维护的，每种角色都有各自的权限定义，如果一个用户被赋予一个角色之后，那么这个用户就拥有了那个角色所定义的权限；当这个角色的权限定义更改之后，所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。

这种功能可以大大地简化系统管理员对用户权限的管理工作。所有的权限定义都只需要针对数量非常有限的角色，而不必针对数目巨大的一般用户，从而显著地减少了系统管理人员对用户访问权限维护的工作量。

3.2.2.5 身份同步管理

统一身份同步管理系统将结合目录服务器统一地管理用户帐户的主数据。统一身份管理系统将通过组织、组、角色、用户等几层管理用户身份，另外通过委托管理员，实现分级管理。

统一身份管理系统管理用户在各个应用系统中的用户信息的对应关系，并根据这一关系管理用户在各个应用系统中的生命周期，如添加、删除、修改等。统一身份管理系统的身份同步工具可以自动发现某个应用系统中用户信息的变化而通过一定规则，保持和其它相应应用中用户信息同步。

统一的用户身份库就如同网络中的HUB，它一方面作为广州大学松田学院数字化校园信息系统统一身份资料库；另一方面还可负责与已有系统中的身份信息实现同步。

统一身份同步管理系统和各应用系统的用户身份集成通过用户管理系统（Identity Manager）提供的资源适配器实现。Identity Manager中提供了广泛的资源适配器，如关系型数据库表适配器、LDAP适配器等。由适配器实现集中地管理用户信息和各应用系统中用户信息的一对一或一对多的映射关系。然后根据映射关系同步用户信息。比如，某一业务系统添加新用户，系统将根据广州大学松田学院数字化校园信息系统对用户管理所定制的业务规则，在统一身份库中同步用户信息。同时，根据规则更新到其他相关子系统中。

也可以采用数据中心平台的数据交换功能，实现用户权威数据源到中央身份库的用户同步，从中央身份库到业务系统的数据同步。

第 39 页 共 86 页

广州大学松田学院数字化校园建设方案

3.2.2.6 认证方法及负载均衡

3.2.2.6.1 认证方法

广州大学松田学院的身份认证支持多种方法认证，支持用户名/口令、动态口令、802.1X、标准的X.509数字证书、RF卡（校园一卡通）和智能usb key等认证方式，同时支持第三方认证方式。能够根据业务的不同安全等级合理使用凭证。

统一身份认证的逻辑图如下：

根据学校的实际情况，支持以下的多种认证方式：

1、LDAP：门户系统利用外部的目录服务系统作为本身的认证机制，如果用户通过了外部目录服务的认证，门户系统则认为此用户认证通过，允许进入门户系统。这种认证的好处是充分利用已有的认证系统，投资较小。

2、RADIUS：门户系统利用外部的拨号认证系统作为本身的认证机制，如果用户通过了外部拨号认证系统的认证，门户系统则认为此用户认证通过，允许进入门户系统。这种认证的好处是充分利用已有的认证系统，投资较小。

3、UNIX：门户系统利用门户所安装UNIX环境的认证系统作为本身的认证机制，如果用户通过了UNIX认证系统的认证，门户系统则认为此用户认证通过，允许进入门户系统。这种认证的好处是充分利用已有的认证系统，投资较小。

第 40 页 共 86 页

广州大学松田学院数字化校园建设方案

4、Microsoft Windows/NT domain：门户系统利用一台Windows domain认证系统作为本身的认证机制，如果用户通过了它的认证，门户系统则认为此用户认证通过，允许进入门户系统。这种认证的好处是充分利用已有的认证系统，投资较小。

5、Security Dynamics SecureID digital token：新建一套数字认证系统，门户系统将其认证功能代理给此系统。这种认证的好处更加安全，缺点是，投资较大，每个用户需要配备数字卡设备。

6、Javacard technology / Smartcard：新建一套JAVA卡认证系统，门户系统将其认证功能代理给此系统。这种认证的好处更加安全，缺点是，投资较大，每个用户需要配备JAVA卡设备；同时现有许多类型的JAVA手机，为降低每个用户配备JAVA卡设备的投资带来了可能。

7、X509v3 Digital Certificates：采用X509v3电子证书，只要客户端可以提供X509v3电子证书，门户系统允许其登录。

8、S/Key one time password：Challenge-Response类型的认证系统，其安全性 介于LDAP/RADIUS/NIS/UNIX和 证书/数字卡认证方式之间，成本较小，也有较强的安全性。

9、提供认证系统集成开发的API：用于集成第三方的认证产品，包括Java API、ASP .NET API、C/C++ API、PHP API。

10、提供认证系统集成开发的WebService：用于集成第三方的认证产品。 3.2.2.6.2 中心认证服务CAS

基于以上的多种认证方式，建立学校的中心认证服务CAS2.0（Central Authentication Service），CAS的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。在CAS上认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS证书的各个系统上自由穿梭访问，不需要再次的登录认证。

所有系统的认证都会通过统一认证中心来认证，如下图：

第 41 页 共 86 页

广州大学松田学院数字化校园建设方案

用户经过统一认证中心认证后，可以实现认证的漫游、单点登入SSO、单点退出等。 经过统一认证后，认证的票据（ticket）可以在认证服务器端通过Session来保存，用户端用Cookie来保存用户的认证信息。

正常情况关闭浏览器即用户认证信息Cookie失效，若关闭浏览器还需要保留认证票据（ticket）则需要保留Cookie来保存认证信息，即在认证窗口需要点击“Remember Me”。 3.2.2.6.3 负载均衡

统一身份认证凭为提高在大并发访问下的高可用性，需要实现多机集群负载均衡的能力，提高可靠性和硬件设备的使用率。

要实现认证的多机集群负载均衡，即要保证认证服务器的认证信息（ticket）的同步，而认证服务器的认证信息是通过Session来保存的，所以通过多机集群实现负载均衡只要保持多服务器间的Session的共享即可，所以身份认证采用多机集群方案，利用硬件负载均衡交换机、LDAP、中间件应用服务器的集群功能解决单点故障和负载均衡，提高了认证平台的可靠性和高性能，支持1000人以上的并发访问与10000用户同时在线使用。

第 42 页 共 86 页

广州大学松田学院数字化校园建设方案

3.2.2.7 统一认证、单点登入

统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台，采用开放的架构，支持可插接的用户认证模块，能够支持当前主流安全架构，可供Java、.net、ASP、PHP等开发平台调用实现统一认证。其基于LDAP目录服务器，实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供多种认证手段，实现“一次鉴权（认证和授权）”——单点登录，提供基于Web方式以及传统应用方式服务的单点登录，实现了用户只需认证一次，就可以无须再次登录地访问其做授权可以访问的业务系统。

对于广州大学松田学院的认证部署可以分为以下两种：

? 对于部署在统一应用服务器（Weblogic、Websphere、Tomcat、JBoss等）下的统

一身份认证的流程：

第 43 页 共 86 页

广州大学松田学院数字化校园建设方案

? 部署在不同应用服务器下的业务系统登录过程采用加密传递登陆信息的方式实现

SSO

完成以上流程中的加密、解密有多种方法，我们采用MD5单向加密，对比判断的方式。

3.2.2.7.1 单点登入流程

SSO（Single Sign On）单点登录，所谓单点登录是指基于用户/会话认证的一个过程，用户只需一次性提供凭证（仅一次登录），就可以访问多个应用。目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。

要实现一个基于WEB应用的SSO，可以将统一认证平台与具体应用的WEB服务器进行集成，将SSO agent 策略代理模块安装在具体应用的WEB服务器上，或采用认证平台提供的SSO API进行开发，在应用的前端验证客户端的token（从加密的cookie中取得），

第 44 页 共 86 页

广州大学松田学院数字化校园建设方案

SSO token代表一个认证用户，如果验证无效，则通过正常的用户的登录进入，登录系统后产生token以及ID送入客户端的cookie中，供其他应用获取；如果验证成功(不作口令验证)则只使用用户ID进行功能展现不作口令验证。这样可以在统一认证平台的控制下，访问任何一个Web应用。同样可以开发新系统或改造原系统。

3.2.2.8 授权管理与资源访问控制

支持多种权限管理方式，统一授权与分级授权；单独用户授权、按角色（用户组）授权等。

下图为用户组管理示意图：

下图为用户管理示意图：

对于能集中到统一授权的系统，通过数据集成方法（WebService）把用户的授权功能代码、读写权、数据范围、读写字段等权限管理数据集中到统一身份认证、权限管理平台上，可以集中授权。

统一授权策略将基于统一资源访问控制，基于SOA架构的技术标准，对任何一个功能都按WEB Service、URL资源功能服务 、WEB剪辑 集成服务、Iframe集成服务 、RSS

第 45 页 共 86 页

广州大学松田学院数字化校园建设方案

集成服务、API集成服务 、Portlets集成服务等提供服务，能够提供细粒度的资源访问控制，包括对网页、文件、数据范围、数据库字段级的访问控制。

也可以分级授权，统一身份认证与授权中心可以授权用户可以访问的应用系统，由应用系统来具体授权用户的详细权限，如下图所示：对不同应用系统授予不同用户的权限，并根据需要可以进行身份转换。

对学校来时说可以采用统一授权与分级授权相结合的方式来实施。

3.2.2.9 安全审计与日志管理

管理员对资源访问可以进行安全审计配置，能根据不同的审记要求，详尽地记录用户的操作日志,便于将来的日志审计和排查安全隐患，保障系统在出现问题时能够回溯跟踪，保证系统本身运行的状况也处于被审计的状态，提高了系统的可靠性。

第 46 页 共 86 页

广州大学松田学院数字化校园建设方案

操作日志表记载了操作人、操作时间、操作的表名、操作的记录号（记录唯一性）、操作人的IP地址、操作人的MAC地址、操作表的数据项、操作原值、操作后的新值。

管理员可以对该日志进行查询、统计和审计。

3.2.2.10 数据维护及备份恢复

实现组织机构、角色、用户及权限等数据的批量导入、导出。提供相应的综合查询功能，能够完成批量用户密码初始化。

采用认证服务器群实现认证高可用性的集群，而且每台服务器的目录服务器是独立并保持同步，即任何一台认证服务器的目录数据发生变化都会同步到其他相关认证服务器的目录服务器。

若有单点故障问题，马上可以利用其他认证服务器的数据进行用户数据和认证的恢复。

3.2.3 应用系统的统一身份实现

3.2.3.1 用户身份库的管理及同步实现

广州大学松田学院目前有VPN网络身份认证、邮件系统、多个个业务系统。通过用户身份权威数据源的建设，建立起全校的中央身份库，教师最好用教师职工号作为统一身份ID，其权威数据源在人事管理系统；学生最好用学号作为统一身份ID，其权威数据源在教务处教务系统或学工处的学工系统。同时可以与一卡通的身份识别作映射，存放在目

第 47 页 共 86 页

广州大学松田学院数字化校园建设方案

录服务器中（Directory Server），并只允许权威数据源管理系统对用户相关数据项的增加、更改、删除。

对用户身份可以灵活的进行分组,如：Teacher、student、manager等

通过统一身份管理系统的关系型数据库表适配器、LDAP适配器或数据中心平台的数据交换功能建立用户身份权威数据源与用户身份数据库、目录服务器关联，捕捉用户身份的变化并同步到中央身份库，并触发到相关的业务系统来保证用户身份同步。

目录服务器用户数据权威数据库用户身份数据库相关业务系统

用户身份通过中央身份库实现集中管理，对于用户涉及到其他相关应用系统的注册处理，可以通过用户注册申请，应用系统管理部门批准，统一身份认证中心批准后授权可以

第 48 页 共 86 页

广州大学松田学院数字化校园建设方案

访问相关应用系统，便实现了用户对相关应用系统的身份同步；也可以由统一身份认证与授权平台直接授权用户可以访问相关的应用系统来实现用户对相关应用系统的身份注册。

对于现有的业务系统要实现统一身份认证，除了上面实现统一身份外，还要实现统一认证，即现有的业务系统必须对原有的认证加以改造，调用学校统一的认证系统，若通过学校的认证，则可以跳过业务系统自己的认证（当然还保留业务系统自己的认证，也可以从原来系统进入，学校可选），即用户可以从学校统一信息门户认证后不需要在认证便可以进入对该用户有权限的业务系统（SSO）。

对于实现统一身份认证的密码问题，因为不同的业务系统对密码采用不同加密算法，而且业务系统一般也不愿意公开他们的加密算法，所以密码是无法实现同步的，所以要实现真正的统一身份认证，更改密码的地方只保留在统一信息门户中，各业务系统把更改密码的功能屏蔽掉。

3.2.3.2 应用系统认证集成

统一身份认证平台把要集成的应用系统进行配置，包括序号、系统名称、简称、访问地址等。

3.3 统一信息门户平台

3.3.1 概述

统一信息门户位于广州大学松田学院数字化校园体系结构中的最上层，实现数字化校园各应用系统与用户的交互服务过程，是数字化校园的信息集中展示的窗口，是各应用系

第 49 页 共 86 页

广州大学松田学院数字化校园建设方案

统中各种应用服务集成和部署的平台，它把分立各个业务系统的不同功能有效地组织起来，为各类用户提供一个统一的信息服务入口。广州大学松田学院数字化校园信息系统门户提供学校门户布局定义、内容定义、二级门户网站模板自定义；师生个性化WEB桌面页面风格、布局、内容自定义；师生在各业务系统集成后的功能等方面的定制工具，快速完成后台应用构件基于规划的展现，同时为师生提供个性化信息服务。

3.3.1.1 建设目标

广州大学松田学院统一信息门户平台的建设将要实现如下的目标： ? 提供符合通用国际标准的、可持续升级的门户框架；

? 提供丰富的集成手段用于完成对现有不同应用系统的界面集成； ? 提供统一的信息发布模式，规范信息服务、提高发布效益；

? 提供全校性信息发布流程，为全校通知、公告、大事提供标准的信息发布体制； ? 构建基于校园网异构应用系统的综合信息门户； ? 对学校的信息资源、应用系统进行管理和整合；

? 为学校的用户提供集成的、无缝的、安全的、个性化的资源访问； ? 为学校用户提供访问校园网信息资源的统一入口；

? 建立学校的站群管理系统，可以平滑整合学校二级门户网站，并能在统一的信息

门户平台上构建其他分级门户网站，提供多套门户网站模版。

? 开发接口。提供丰富的开发接口，校方技术人员可根据开发接口对门户进行方便

的二次开发，包括数据库、网页、RSS 网站、XML文档、JSP、Servlet服务、JDBC数据源、办公自动化系统等的门户集成等。

3.3.1.2 建设原则

? 安全性

信息门户集成了校园网内所有的信息资源和应用系统，这要求综合信息门户系统要能够为用户提供安全的信息资源和业务数据的获取，保障信息传输的安全可靠、保障信息不被非法用户窃取、保障用户的合法身份不被盗用。

第 50 页 共 86 页

本文来源：https://www.bwwdw.com/article/j8to.html