校園信息門戶的一點(diǎn)理解

1、校園信息門戶建設(shè)的一點(diǎn)理解,中南大學(xué)網(wǎng)絡(luò)中心,2004年12月,門戶理解門戶構(gòu)架我們工作一點(diǎn)體會,信息門戶是對內(nèi)部資源的整合，以提高資源的利用效率。我們常見的門戶有企業(yè)信息門戶、政府信息門戶。 校園信息門戶是對校內(nèi)資源的整合，以提高資源的利用效率，也是未來目前校園網(wǎng)資源建設(shè)的一個(gè)新的發(fā)展方向。信息門戶涉及Portal技術(shù)、內(nèi)容管理、信息檢索、應(yīng)用集成、單點(diǎn)登錄和訪問控制等多方面的技術(shù)。 通過整合，實(shí)現(xiàn)“wh

2、at we have” 到 “what you want”的轉(zhuǎn)變，體現(xiàn)“以人為本” 。,概念理解,校園信息化建設(shè)的需求,信息化建設(shè)有長足的進(jìn)步，部門都已實(shí)現(xiàn)了信息化管理。部門信息化建設(shè)的蓬勃發(fā)展，從更高的層次上需要實(shí)現(xiàn)部門間信息的共享，但各自自主建設(shè)，又不可避免的出現(xiàn)部門“信息孤島”為了提高信息服務(wù)水平，滿足不同用戶的信息需求，信息服務(wù)提供方式的轉(zhuǎn)變（學(xué)生、教職工、領(lǐng)導(dǎo)、潛在用戶）。 通過校園信息門戶的建設(shè)，

3、通過對校內(nèi)資源的整合，是發(fā)揮部門信息系統(tǒng)合力的有效方式。,門戶理解 門戶構(gòu)架我們工作一點(diǎn)體會,基本平臺選擇,目前可供選擇的平臺架構(gòu)有Mircosoft .net 和 J2EE， 但從系統(tǒng)的復(fù)雜度、廠商的支持程度、多平臺的支持，因而校園信息門戶建設(shè)采用J2EE平臺架構(gòu)。,校園信息門戶架構(gòu),基于總線的可擴(kuò)充式體系結(jié)構(gòu),門戶理解 門戶構(gòu)架 我們工作一點(diǎn)體會,總體圖示,主要研究內(nèi)容,統(tǒng)一身份認(rèn)證（SSO）基于RBAC的訪問控制

4、網(wǎng)站內(nèi)容管理INTERNET信息采集異構(gòu)數(shù)據(jù)集成基于主題的決策查詢基于LUCENCE的全文搜索引擎,校園信息門戶頂層數(shù)流圖,統(tǒng)一身份認(rèn)證（SSO）,統(tǒng)一校園用戶身份，解決用戶在校園信息門戶不同的應(yīng)用之間需要多次登錄的問題。,目前方法,一種是建立在PKI，Kerbose和用戶名/口令存儲的基礎(chǔ)上 ；一種是建立在cookie的基礎(chǔ)上，如IBM Websphreer , Bea WebLogic和國內(nèi)金蝶公司Apusic的應(yīng)服務(wù)器都

5、支持的SSO認(rèn)證都屬于這種認(rèn)證方式。在這兩種方式中，各有不足，前者需要安裝專門的客戶端，因而面向的用戶對象是有限的，而后者授權(quán)方式只能支持本產(chǎn)品系列的應(yīng)用，而對第三方的認(rèn)證和權(quán)限系統(tǒng)不能很好的集成。,我們的方法,采用J2EE + LDAP能實(shí)現(xiàn)跨域認(rèn)證信息共享支持Web Services技術(shù)架構(gòu)，使得系統(tǒng)更具有通用性，其它業(yè)務(wù)子系統(tǒng)進(jìn)行身份認(rèn)證。具備靈活和方便的使用模式，使用者可以通過多種方式自由的使用統(tǒng)一身份認(rèn)證服務(wù)。提供后臺

6、管理功能，系統(tǒng)管理員可以方便的對用戶進(jìn)行管理。所有用戶的管理采用樹狀結(jié)構(gòu)來表示，可以根據(jù)學(xué)校的機(jī)構(gòu)的層次結(jié)構(gòu)來構(gòu)建整個(gè)用戶管理體系,,,,基于RBAC的訪問控制,目前在校園網(wǎng)內(nèi)，對于應(yīng)用的訪問控制是采用地址屏蔽技術(shù)和用戶授權(quán)認(rèn)證相結(jié)合的方法來實(shí)現(xiàn)的。通過地址屏蔽，實(shí)現(xiàn)對于不受信網(wǎng)段的拒絕訪問服務(wù)。通過用戶認(rèn)證，實(shí)現(xiàn)具有合法身份的用戶才能訪問某些資源服務(wù)。以上方法都是以校園網(wǎng)內(nèi)的單個(gè)應(yīng)用，單個(gè)獨(dú)立業(yè)務(wù)服務(wù)為背景的。 通過采用

7、訪問控制,實(shí)現(xiàn)用戶對于門戶網(wǎng)站及其應(yīng)用的不同訪問控制。,,,RBAC模型,RBAC模型有效地克服了傳統(tǒng)訪問控制技術(shù)中存在的不足之處，可以減少授權(quán)管理的復(fù)雜性，降低管理開銷，而且還能為管理員提供一個(gè)比較好的實(shí)現(xiàn)安全政策的環(huán)境，是實(shí)施面向企業(yè)的安全策略的一種有效的訪問控制方式，這種策略是對自主訪問控制(DAC)和強(qiáng)制訪問控制機(jī)制(MAC)的改進(jìn)。,RBAC模型擴(kuò)展,二次鑒權(quán)的思想,也就是信息門戶中，首次單點(diǎn)登錄只解決用戶登錄和用戶能否有進(jìn)入

8、某個(gè)應(yīng)用的權(quán)限問題，而在每個(gè)業(yè)務(wù)系統(tǒng)的權(quán)限則由各自的業(yè)務(wù)系統(tǒng)進(jìn)行控制。也就是二次鑒權(quán)的思想。這種方式對于發(fā)揮各子應(yīng)用系統(tǒng)開發(fā)單位的積極性比較合適，同時(shí)也減少了系統(tǒng)的復(fù)雜性。,在具體實(shí)現(xiàn)過程中，對于每個(gè)用戶，其權(quán)限表達(dá)過程如下：用戶U1、U2…Uj……Um，業(yè)務(wù)A1、A2…Ai……An,用戶組分別為G(G1)、G2….Gk…..Gp。 用戶組為用戶和其他用戶組的的組合，表達(dá)為：Gk=[U1][∪U2][∪….][∪Um][∪G1][

9、∪G2][∪…][∪Gk-1][∪Gk+1] [∪…] [∪Gp]式中[]表示可選的意思，該公式表明，一個(gè)用戶組可以定義為數(shù)個(gè)用戶及其它用戶組的組合。設(shè)系統(tǒng)定義了q個(gè)角色組分別為R1、R2、…Rl…..Rq。角色為業(yè)務(wù)與其他角色的組合，表達(dá)為：Rl=[A1][∪A2][∪…][∪An][∪R1][∪R2][∪…][∪Rk-1][∪Rk+1][∪…][∪Rq]該式表明，一個(gè)角色組何以定義為數(shù)個(gè)角色及其他角色組的組合。那么對于用戶Uj

10、（j∈{1,2,….m}）來說，其權(quán)限可以定義為,也就是用戶Uj 的業(yè)務(wù)權(quán)限可以用用戶所屬的用戶組權(quán)限與單獨(dú)授予的業(yè)務(wù)權(quán)限以及所授予的角色權(quán)限來表達(dá)。,RBAC模型的具體實(shí)現(xiàn),網(wǎng)站內(nèi)容管理系統(tǒng),網(wǎng)站信息發(fā)布是校園網(wǎng)上的一個(gè)重要應(yīng)用，承載這些信息的有門戶網(wǎng)站，也有各二級院系及處部所網(wǎng)站，但是由于部門信息水平不一，并且缺乏可管理性。 通過構(gòu)建一個(gè)方便流暢的網(wǎng)站信息統(tǒng)一管理平臺，通過這樣一個(gè)平臺，既能減少對網(wǎng)站發(fā)布人員的技術(shù)要求，

11、又能減輕網(wǎng)站信息發(fā)布的工作量 ，同時(shí)也能實(shí)現(xiàn)信息發(fā)布的編、核、審、發(fā)業(yè)務(wù)管理流程。,現(xiàn)有的網(wǎng)站內(nèi)容管理系統(tǒng)比較,INTERNET信息采集系統(tǒng),INTERNET信息非常豐富，希望擴(kuò)充信息資源，同時(shí)也了解同行業(yè)者的最新動態(tài)，滿足不同用戶的個(gè)性化信息需求的需要。用戶自定義感興趣的需要挖掘網(wǎng)站。系統(tǒng)包括訓(xùn)練與采集兩個(gè)過程，訓(xùn)練過程是獲取用戶的興趣模型，采集過程是給用戶推薦感興趣信息的過程。支持與內(nèi)容發(fā)布系統(tǒng)的接口，將采集結(jié)果有選擇性的發(fā)布

12、到網(wǎng)站平臺上。對于采集結(jié)果支持用戶參與。,異構(gòu)數(shù)據(jù)集成系統(tǒng),基于主題的決策查詢系統(tǒng),領(lǐng)域主題的維護(hù)支持固定報(bào)表和動態(tài)報(bào)表的自動生成支持二維表格和復(fù)合表格的展現(xiàn)形式。二維表格是指表頭很復(fù)雜但數(shù)據(jù)是以二維表的方式出現(xiàn)，復(fù)合表格表格是指是表格中的數(shù)據(jù)與表格說明相互嵌套。系統(tǒng)管理人員可以通過可視化的手段來定義和維護(hù)這些報(bào)表。支持報(bào)表展現(xiàn)的其他方式，如圖形、EXCEL表格倒出等。同時(shí)通過授權(quán)管理模塊，可以實(shí)現(xiàn)多種控制方式的查詢訪問控制

13、。,基于LUCENCE的全文搜索引擎,采用開源代碼LUCENCE，然后進(jìn)行封裝和二次開發(fā)：實(shí)現(xiàn)基于內(nèi)容的搜索，也可以指定查網(wǎng)頁某一部分的內(nèi)容。支持基于AND 和OR 的組合查詢，在結(jié)果中查詢的用戶查詢定置功能。管理員可以通過WEB定義要搜索的站點(diǎn)。在統(tǒng)一的搜索界面上，用戶可以選擇所有站點(diǎn)查詢及某一站點(diǎn)查詢。該搜索引擎既可以作為全校的統(tǒng)一信息服務(wù)平臺的搜索引擎，也可以向?qū)W校某一站點(diǎn)提供搜索引擎服務(wù)。支持WORD,PDF等文件基