《智慧校园整体建设解决方案.doc》由会员分享,可在线阅读,更多相关《智慧校园整体建设解决方案.doc(101页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中 学 智 慧 校 园 整体解决方案2016、10第1章 指导思想与建设原则1.1 指导思想坚持以科学发展观为指导,贯彻“起点高、体制新、有特色”的办学思想与创建一流学校的办学思路,力争构建完整统一、技术先进,覆盖全面、应用深入,高效稳定、安全可靠的数字化教学环境、科研环境、管理环境和生活环境,成为学校教育理念创新、管理机制创新、人才培养模式创新和服务创新的重要体现,全面促进科学的管理机制形成、人才培养质量提高、学校核心竞争力全面提升。1.2 建设目标以学校发展规划为指导,为建成有学校特色的全国一流学校提供优质的数字化环境与服务平台。依托已有的基于一站式服务的学校信息门户,延伸和拓展传统校园的
2、功能, 依托已有的办公管理无纸化,提高工作、管理和决策效率,提高信息利用率;建成权威可信的学校数据中心,即学校基础数据库与管理平台,构建灵活规范的业务应用服务体系;建成安全可靠、全校统一的校园身份认证平台,通过一卡通平台建设,提高管理与服务水平及效益;建成统一开放的数据标准和业务工作模型,构建具有为产学研提供支撑的数字化服务体系,最终实现学校教学、科研、管理和服务过程的全面信息化,信息集约化利用。1.3 建设原则1.3.1 统一规划u 智慧校园领导小组负责审定总体规划和重大问题决策,组织专家,根据学校建设现状以及各部门应用需求情况,制定学校智慧校园建设规划,以及整体解决方案,经校内外专家论证后
3、,提交智慧校园建设领导小组研究同意后实施。各业务部门均应在学校整体规划指导下,具体规划本部门分管的信息子系统,提出详细的应用需求和管理需求上报智慧校园建设领导小组。 1.3.2 统一标准u 标准是信息化建设的基础。信息标准直接影响着各部门信息系统的建设、信息的交流与共享、管理信息系统软件的研制与开发以及全校基本数据的收集、分析和发布等工作。由智慧校园建设领导小组,对各业务部分实行分类指导,确定各类数据的标准与格式,科学设计各业务工作的模型与流程。1.3.3 分期建设u 智慧校园建设是一项庞大的系统工程,不仅在各个实施环节,力求技术的先进性和实用性,更应强调整体优化、全局合理,突出发挥资源整合的
4、整体效益。根据建设规划,按照“共建共享、建用结合、以用促建、分步实施”的原则,开展各项建设任务,杜绝重复建设。 u 分期建设有助于学校逐步整理、改善各个软件系统的功能,有助于学校领导及教师逐步熟悉各个业务系统功能,让各个系统真正的做到为学校所用,为教师所用,真正的利用信息化手段帮助学校领导进行管理、帮助教师减轻工作负担。1.3.4 统一管理u 智慧校园建设由领导小组领导下,对相关项目、经费与应用实行统一管理。由相关职能部门组织项目论证、招标、验收和审计等程序进行施工与建设;学校信息中心负责工程技术把关、项目施工监理和数据中心设备运行与维护;各职能部门负责本部门主管的业务子系统的用户需求书、数据
5、管理和权限分配等;全院性的网络资源服务器和控制设施原则上应与学校的中心机房整合,充分发挥设备集中存放带来的低能耗、高安全、易维护等诸多优点。1.4 建设思路 通过信息资源规划,加强顶层设计。建立学校的业务模型、功能模型、用户模型、权限模型、信息模型、数据模型和数据标准; 设计统一的系统架构,强化统一建设。数据、流程、技术,信息系统三要素;通过三要素的分离,实现业务与技术发展的无关性,达到良好的可扩展性; 整合数据资源,构建集成数据环境。加强数据的规划、组织与管理; 以提高效率为目的,规划应用系统建设。充分分析学校的各项业务工作,了解用户需求,建立科学的应用系统以及以人为本的用户环境。 以系统适
6、用性为标准,逐步分期完善系统建设。系统的功能要真正的为学校各业务部门使用,需要教师不断的熟悉系统功能,逐步掌握信息化工具的使用技巧,系统统一规划、分期建设能够有效的为学校系统使用者提供了缓冲的时间,能够逐步提高使用者对系统的认可及使用率。第2章 学校软件总体规划和设计2.1 软件架构总体规划【总体建设效果】1、智慧校园架构规划,保证学校的智慧校园建设的可扩展性、可持续发展。2、技术路线规划,在保证技术可行的情况下,技术路线的规划需要有前瞻性,如引进SOA、云计算、RAC、负载均衡(含软集群)等。3、标准与规范体系规划。4、基础设施规划(校园网络规划、数据中心IDC规划),重点进行双核心网络、统
7、一数据中心IDC(含统一存储)、异地灾备中心等规划。5、基础平台规划(教育信息枢纽平台、统一身份认证平台、公共数据中心中心平台)。6、应用系统规划。7、信息安全规划。8、运维体系规划。2.2 总体架构设计【总体系统架构】“智慧校园”综合管理信息系统主要包括7个层次:硬件支撑环境、软件支撑环境、信息资源中心、应用系统公共支撑平台、应用系统层、用户认证及用户层,同时所有应用均严格遵循相关技术标准和规范。 平台采用N层次结构体系,自下而上构筑了硬件及网络层、信息资源中心、公共支撑平台、应用层、用户认证、用户层,各层都以其下层提供的服务为基础。平台通过异构应用整合技术,整合各部门现有信息系统,通过界面
8、整合和单点登录技术,为最终用户提供统一界面入口。1. 基础设施层:是智慧校园软硬件支撑系统,包括网络资源、硬件服务器、存储、支撑软件等。2. 智慧校园应用系统基础平台:包括教育信息枢纽平台、统一身份认证平台、公共数据中心平台。3. 应用系统层:是面向学校各部处的各类信息管理系统和面向师生的各类信息服务系统,可以分为管理中心、资源中心、服务中心,具体如下: 管理中心包括学校现有应用系统和新建应用系统; 资源中心是指整个学校的各类资源库、资源库的管理、资源服务。资源库包括教学资源、数字教学资源、数字图书馆、数字档案馆、各类数字出版产品及数字期刊等数字资源; 服务中心是指提供的各类信息服务和人工服务
9、,包括管理中心、资源中心提供的信息服务,认证服务,邮件、短信、即时消息等通讯服务,一卡通服务,软硬件运维服务等。4. 信息服务层:为各级领导、相关管理员、教师、学生提供各种个人业务操作服务、查询、报表、统计分析、决策等,还可以根据系统数据得到数据填报、提醒、报警等一站式信息服务。5. 信息安全体系:在平台建设过程中,充分考虑各层次的安全措施和安全技术手段,通过软硬件技术和安全管理手段以保证系统在安全稳定的环境中运行。通过机房管理、内外网隔离、CA认证、数据加密、权限控制等安全机制实现对数据和信息的合法化访问。6. 信息标准/管理/保障体系:在平台建设过程中,充分参考各种国家技术规范和行业标准。
10、标准规范体系是系统正常运行的重要保障,包含了两方面的含义:数据标准化和管理标准化。数据标准化是指针对空间数据及相关业务数据标准化体系的建立;管理标准化是指制定各个相关负责主体的工作规范、考核标准等以健全日常工作体系。2.3 基于SOA系统架构设计【SOA架构】基于SOA架构体系的智慧校园及其应用系统应遵循如下的SOA技术,包括服务组件架构SCA相关技术与服务数据对象SDO相关技术: 可扩展标记语言XML(Extensible Markup Language) 简单对象访问协议SOAP (Simple Object Access Protocol) Web服务描述语言 WSDL (Web Ser
11、vices Description Language) 统一描述、发现和集成 (Universal Description, Discovery and Integration) JAVA消息服务JMS ( Java Message Service) 企业服务总线ESB(Enterprise Service Bus)2.4 总体技术路线2.4.1 企业级J2EE框架系统开发基于J2EE平台,主体代码采用Java编程语言和服务器端Java技术(如EJBs、Servlet、JSP、JNDI、JDBC和RMI等13种)开发。J2EE平台是目前为企业级应用所提供的分布式、高可靠性、先进性的解决方案。J
12、ava作为基于Web的软件业的公共标准,其独立于操作系统,独立于服务器的“跨平台性”,使其“一次编写,到处运行”,是最适合运行于互联网上软件的编辑语言。Java相对于嵌入HTML并受限于用户端显示的编程能力有限的脚本语言,其完整的编程能力可开发具有强大“业务逻辑”的应用程序。我们使用Java相关技术配合先进的开发和管理工具完整地执行于整个软件开发生命周期中。如下图所示:【总体技术路线】2.4.2 面向对象组件技术面向对象的组件技术是一种完全独立于硬件和操作系统的开发环境,着重于开发构成应用程序“业务对象”的可重复使用的组件,利用这些组件顺利地建立分布式应用程序。应用平台模块间相对独立,接口清晰
13、,内部的业务流程升级和改造与其它模块无关,所有模块基于组件如EJB、Web Services开发,可插拔,并为将来学校二次开发提供开发API。2.4.3 负载均衡与应用服务器集群根据学校的情况,龙创软件提出同时使用负载均衡和Session高可用的方案:用户前端,采用硬件负载均衡器;后端,部署多台Application Server,并启用Application Server的集群session功能,如下图所示:【负载均衡、集群】2.5 性能指标影响系统性能的主要因素包括:网络环境(校园网与互联网接入),硬件配置(服务器与客户机),系统软件(操作系统、数据库管理系统与WEB服务系统),系统架构设
14、计,数据结构设计,核心算法设计,部署设计等。充分考虑系统整体架构设计的科学性、数据结构设计的合理性、核心算法设计的先进性、部署设计的灵活性,确保系统的整体性能优越,完全满足设计要求。在运行环境部分列出的软硬件条件下,主要性能指标设计如下:性能项目设计指标用户量5000并发访问量1000同时在线用户数3000运行时长7*24 小时存储容量600GB平均延时3 秒负载均衡支持2.6 系统运行环境服务器要求系统名称服务器参数网络参数服务器1教育教学管理系统CPU:8核,内存:16G,硬盘:4T全部服务器共享100M带宽服务器2云桌面+基础数据库与管理平台+单点登录服务器3门户网站服务器4OA+RTX
15、服务器5数据库服务器CPU:16核,内存:32G,硬盘:4T第3章 一期系统建设方案 智慧校园建设是一项庞大的系统工程,需要在各个实施环节考虑到系统的先进性和实用性。从我们以往的经验需求分析,分期建设有助于学校逐步整理、改善各个软件系统的功能;有助于学校领导及教师逐步熟悉各个业务系统功能,为了让各个系统真正的做到为学校所用,为教师所用,真正的利用信息化手段帮助学校领导进行管理、帮助教师减轻工作负担。在为学校进行了统一的建设规划的前提下,特别建议学校进行分期建设。建设规划如下:建设规划期系统名称期数建议原因预估完成时间一期建设基础数据库与管理平台整体框架运行的基础,需优先建设单点登录系统云桌面系
16、统可提高系统使用效率,建议优选建设门户网站系统学校基本使用模块,建议优选建设教学管理信息系统协同办公系统(OA)学生综合素养评价系统招生系统即时通讯系统(RTX)移动端APP 二期建设资源管理平台学校可根据业务部门的需求紧急程度进行选择教师绩效管理系统工资查询系统成绩分析系统医务管理系统德育考核管理系统服务窗口3.1 基础数据库管理平台(信息标准、数据中心 & 数据交换)3.1.1 系统概述基础数据库是智慧校园所有业务应用系统的公共数据库,处于中心位置,基础数据库保持最完整、最准确的数据,提供其他业务系统使用。基础数据库管理系统实现对基础数据库所有信息库的维护管理。1) 建立学校统一的共享数据
17、中心,提供其他应用系统使用,保证了数据的统一性和权威性。2) 基础数据的新增、修改和删除等维护操作只需要在基础数据库管理平台操作一次,系统会自动同步到其他系统,减轻了维护工作量。3) 统一用户管理。基础数据库管理平台具有统一用户管理的功能,基础数据库管理平台分配的用户是智慧校园实现单点登录的唯一用户。4) 数据同步。基础数据库管理平台自动接收数据来源系统的数据,并自动同步到需要使用这些数据的应用系统。5) 互联互通。打破了学校内部的信息孤岛,实现了应用系统之间数据的互联互通6) 辅助决策。基础数据库管理平台汇集了各个业务系统的数据,这些业务数据是学校日常教学管理的量化指标,是学校的重要资产之一
18、,可以对这些数据从不同的角度进行分析统计,进行趋势分析,提供领导进行决策。3.1.2 系统架构【系统架构】3.1.3 系统特点1) 数据结构标准静、动态化结合。系统预置了学校通用数据结构标准,支持动态结构定义,生成动态表单,动态页面。全面支撑学校建立公共数据标准中心。2) 支持公共数据库平台做为数据源,系统初始化工作,大批量导入工作,均可在平台一次完成,自动同步。3) 支持分表数据源,任何一个数据标准可定义来自任何一个业务系统。4) 支持实时同步,定时同步,同步记录、状态查询,同步出错查询、统计、重发,同步日志及数据恢复。支持各种异构数据类型同步需求。5) 支持同步数据校验功能,定时核对业务系
19、统与公共数据库平台记录是否一致,内容是否完成,产生校验报告,并提供数据恢复机制。6) 整合业务系统数据功能,提供多样的综合统计数据分析,辅助决策。7) 支持同步数据校验功能,定时核对业务系统与公共数据库平台记录是否一致,内容是否完成,产生校验报告,并提供数据恢复机制。8) 服务自我监控功能,能对平台服务,业务系统进行运行状态监控,能通过web重启远程服务。9) 运行自动化,平台所有服务均是在后台自动运行,同步无需人工干预。3.1.4 主要功能1) 信息标准。系统包括国家标准和学校标准两种代码集。国家标准代码集包括户口类型、血型、港澳台侨、身体健康、婚姻状况、民族、政治面貌、性别、班级类型、学生
20、类型、行政区、世界各国地区和名称、家庭出生、本人成分、文化程度、编制类别和岗位职业,共17项国家信息标准;学校标准代码集包括用户登录、教职工信息、学生基本信息、部门信息、班级信息、学届、年级、部门教师、班级学生和学年,供10项学校信息标准。同时,系统支持学校以上标准类型和标准代码的重定义;支持对标准类型和标准代码的扩展,如新增、修改和删除标准类型,新增、修改、删除标准代码;支持对标准代码结构进行自定义,扩展和重定义的标准代码经过简单定制,即可满足学校基础数据动态扩展需求。2) 交换配置。实现基础数据交换的一系列配置,保障基础数据库与管理平台与其他应用系统基础数据实现同步交换。功能包括应用系统注
21、册、基础平台注册、开启数据同步、数据源设置、数据源映射应用系统、应用系统映射数据源和应用系统数据初始化。应用系统注册实现对应用系统配置和数据库配置;基础平台注册实现基础数据库与管理平台系统配置和数据库配置;开启数据同步用于设置国家标准和学校标准等数据类型的同步设置,开启或不开启数据同步;数据源设置,系统设置所有基础数据的数据来源,系统默认由基础数据库与管理平台作为基础数据数据源,通过简单定制即可支持应用系统作为相应标准代码的数据源;数据源映射应用系统,用于设置数据同步目标系统,即设置相关的标准代码要同步到的应用系统;应用系统映射数据源,设置应用系统接收的标准代码;应用系统数据初始化,手动的方式
22、实现对应用系统基础数据的初始化,大大降低应用系统基础数据初始化的繁琐工作。3) 开放接口。包括基础平台开放接口和应用系统开放接口。基础平台开放接口包括平台服务组件、数据上报组件、数据分发组件、数据监控组件和数据校验组件;应用系统开放接口配置各应用系统用于实现数据同步交换的地址。4) 数据中心。根据信息标准定义的标准类型,实现对基础数据的集中管理,包括新增、修改、删除、查看、导入、导出、发送功能;系统内置信息标准中定义的17项国家信息标准和10项学校信息标准,发送功能可实现手工发送。5) 交换中心。功能包括数据交换查询、数据交换报表、应用系统交换统计和基础平台数据交换统计。数据交换查询可检索一天
23、、三天、一周和更多时段的数据交换记录,包括同步记录、同步消息和同步失败消息查询;数据交换报表,查看基础数据库平台所有应用系统数据交换情况,包括全部、成功和失败三种统计数据,同步失败的记录进入可以进行重发,并告知用户明确的同步状态和结果报告;基础平台数据交换统计,记录时间段统计、月趋势统计、年度趋势统计,统计图采用Flash柱状图、统计趋势图采用Flash线状图体现;应用系统数据交换统计,记录各应用系统时间段统计、月趋势统计、年度趋势统计,统计图采用Flash柱状图、统计趋势图采用Flash线状图体现;6) 数据同步。基础数据的新增、修改和删除等维护操作只需要在基础数据库管理平台操作一次,系统会
24、自动同步到其他系统,保障基础数据唯一性、准确性和及时性的同时,减轻了维护工作量。支持实时同步,手动同步,同步记录、状态查询,同步出错查询、统计、重发,同步日志。支持对各种异构数据库,异构数据结构的同步交换。7) 系统管理。配置基础数据库与管理平台的基本信息,如系统名称,logo,版权信息;记录系统用户登录日志、系统日志、系统公告管理,以及对基础数据库与管理平台权限管理,包括菜单管理,角色管理,分配权限。3.1.5 功能列表主模块子模块功能描述信息标准标准代码分类定义学校各种信息标准代码类别国家标准代码定义国标表结构,如血型表,户口表,性别表。功能包括国标表增,删,改,字段详情,字段增,删,改学
25、校标准代码定义学校标准表结构。功能包括学校表结构的增,删,改,字段详情,字段增,删,改交换配置应用系统注册注册应用系统到基础数据库与管理平台,配置系统数据库,域名,系统标识等基本信息基础平台注册配置基础数据库与管理平台数据库,域名,系统标识等基本信息开启数据同步设置平台业务表是否启用同步功能数据源设置设置平台业务表对应的数据源系统数据源映射应用系统设置平台业务表映射应用系统应用系统映射数据源设置应用系统映射到平台业务表应用系统数据初始化将做了映射的业务表数据初始化到应用系统开放接口基础平台开放接口设置平台各种组件的服务接口应用系统开放接口设置各个应用系统适配器的服务接口数据中心国家标准代码对国
26、家标准代码的表进行动态数据增,删,改,查,导入,导出,发送,并进行数据同步学校标准代码对学校标准代码的表进行动态数据增,删,改,查,导入,导出,发送,并进行数据同步交换中心数据交换查询查询数据交换记录,包括近一天,近三天,近一周查询,同步记录同步消息,同步失败消息查询数据交换报表对每一个同步数据表,同步到系统,总数,成功数据,失败数的统计应用系统数据交换统计统计各个应用系统接收记录,时段统计,总量日趋势统计,月趋势统计基础平台数据交换统计统计平台接收、发送消息,数据,时段统计,日趋势统计,月趋势统计系统管理公告管理管理基础平台公告信息菜单管理基础平台菜单管理角色管理管理基础平台角色分配权限为基
27、础平台角色分配权限平台服务组件无为平台系统其他组件、同步系统提供所有平台服务、接口。包括获取数据库连接读取接口,提供各种同步表的写入接口,权限上发写入接口等数据上报组件无监听数据源的数据状态,上报变动的数据信息到公共数据库平台数据分发组件无监控消息信息,分发消息数据到各个应用系统系统监控组件无获取平台组件系统监控参数,发送心跳消息到各个组件系统数据校验组件无实现各个应用系统的同步数据的校验适配器组件无各个同步应用系统适配器组件3.2 单点登录系统(一站式 & 单点登录)3.2.1 系统概述随着学校智慧校园应用建设的逐步深入,已经建成的和将要建成的各种应用系统存在不同的身份认证方式,安全信息各自
28、管理,广大师生用户必须记忆不同的密码和身份。为了解决多账户问题,方便老师和学生使用智慧校园的各个应用管理系统,迫切要求建立一套统一的身份管理平台,用户只需要在平台上登录一次就可以使用所有的智慧校园内的应用软件系统。单点登录系统提出的目的就是要解决不同的网络应用系统用户名和口令不统一的问题,期望提供统一的授权机制及一套方便、安全的口令认证方法,让用户只要一套用户名和口令就可以使用校园网络上他有权使用的所有应用系统。3.2.2 系统架构【单点登录系统架构】单点登录系统(Single Sign-On),是一个集中的用户认证管理和集成环境,可管理和分发用户的权限和身份,为不同的应用系统提供用户和权限管
29、理服务。随着学校信息化建设的不断发展,基础设施的不断投入与升级,基于WEB的应用系统的开发也得到迅速开展,但是按照传统的开发模式,每个应用系统都必须开发各自独立的用户认证模块。比如,办公自动化系统、财务管理系统、人事管理系统、电子邮件系统、网络办公等应用系统都需要验证用户的用户名及密码。这样存在以下弊端:一方面会造成用户认证信息在多个应用系统的数据库中的重复放置,带来大量的数据冗余,也造成了各个应用系统的重复开发,另外也给系统的用户认证信息管理和用户的使用造成诸多不便,用户需要注册或更改自己的认证信息,就必须在所有的应用系统中逐个注册或更改。另一方面,用户在不同应用系统之间切换时,必须重复多次
30、登录;而且,在安全性和系统管理方面,需要大量的IT技术管理人员,分别管理和维护不同系统(如:信息发布系统、教务管理信息系统、OA、财务、网络教学平台等系统)的用户信息。另外,传统的开发模式都是基于关系型数据库的用户认证信息管理模型,读取速度慢,可移植性差。信息化建设需要建立可靠、安全、保密的业务系统网络环境,保证学校业务不受破坏和干扰。显然,这些传统的开发模式的诸多弊端已经严重影响了基于WEB的应用系统的性能和使用的方便性。单点登录系统基于LDAP,能够解决上面提到的传统的开发模式的诸多弊端:首先,系统实现了统一的用户身份认证信息管理,可以实现用户认证信息的统一管理,避免了在各个应用系统的身份
31、信息数据库的数据同步更新,用户只需要在单点登录系统中注册或更改自己的认证信息即可,这无疑方便了用户使用,也保证了数据的完整性,减少数据冗余,同时避免了各个应用系统的重复开发。其次,系统实现了基于多个应用系统的统一身份认证,这将极大的方便用户使用,提高系统的易用性。另外,单点登录系统采用分布式的目录信息树结构,对用户认证信息进行有效组织和管理,可以提供高效安全的目录访问。目录服务是一种特殊的数据库,可以用来保存描述性的,基于属性的信息,并且支持复杂的过滤搜索能力。目录被优化为针对大量的查找或者搜索操作进行快速的响应。它们可以具有大范围复制信息的功能,以便提高可用性和可靠性,同时缩短响应时间。3.
32、2.3 系统特点智慧校园单点登录系统为上层各应用系统提供统一的用户身份认证服务,管理校园内各种人员在各个信息系统中的数字身份信息,使得各应用系统不再需要分别建设各自的用户管理模块,既提高了用户在使用这些应用系统时的简便性,也是实现用户权限集中管理,应用集成,统一身份认证的基础。1、为每一个用户、每一项应用服务分别提供唯一的电子身份采用非对称加密方法、使用RSA算法,为每一个用户生成并发放一对密钥(由一个私有密钥与一个公开密钥构成),其中公开密钥连同用户基本信息以数字证书形式面向所有应用服务公开;为每一项应用服务生成并发放一对密钥(由一个私有密钥与一个公开密钥构成),其中公开密钥连同应用服务基本
33、信息以数字证书形式面向所有用户公开。2、使用动态秘密密钥实现数据网上传输的加密与解密对于每一项应用服务的每一次访问,采用对称加密方法、使用DES算法,动态地为用户生成一个一次性的秘密密钥,用于数据网上传输的加密与解密。3、安全、可靠的统一身份认证对访问者通过客户端提交的帐号与密码使用HASH函数获得数据摘要、使用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、密码及数字签名进行加密,使用单点登录系统数字证书的公开密钥对秘密密钥进行加密;由服务器端使用单点登录系统的私有密钥进行解密获得秘密密钥,使用秘密密钥还原出帐号、密码及数字签名,依据帐号与密码使用相应用户数字证书的公开密
34、钥将数字签名还原出数据摘要,同由帐号与密码使用HASH函数获得的数据摘要进行比对,如果完全一致,认定接收到的帐号与密码真实、不可否认,在网络传输过程中没有被伪造、篡改或冒充;依据用户基本信息库对访问者提交的帐号与密码进行验证,确认访问者作为用户身份的合法性。4、安全、可靠的网上数据传输 对用户通过客户端提交的数据使用HASH函数获得数据摘要、使用用户私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对数据及数字签名进行加密,使用相应应用服务数字证书的公开密钥对秘密密钥进行加密;由服务器端使用相应应用服务的私有密钥进行解密获得秘密密钥,使用秘密密钥还原出数据及数字签名,使用用户数字证书的公开
35、密钥将数字签名还原出数据摘要,同由数据使用HASH函数获得的数据摘要进行比对,如果完全一致,认定接收到的数据真实、不可否认,在网络传输过程中没有被伪造、篡改或冒充。5、功能强大,技术先进单点登录系统基于反向代理技术,用户的访问请求只发送到反向代理服务器而不是应用系统本身。支持FormFill, Http Header方式填表,支持SSL VPN集成。系统应支持SAML 2.0和Liberty Alliance等规范,能提供支持Sarbanes-Oxley,HIPAA等法规报告。LDAP(Lightweight Directory Access Protocol:轻度目录访问协议)是由美国Mic
36、higan大学研发的一个新的目录访问协议,它是在继承了X.500标准的所有优点的基础上发展起来的, 并对其进行了改进。单点登录中包含了有关认证的重要信息,因此单点登录必须具备高效完备的安全机制,而LDAP通过TLS(Transport Layer Security:传输层安全)和SASL(Simple Authentication and Security Layer:简单认证和安全层)完全能够保证信息传输的安全性。3.2.4 功能介绍)回话管理n 会话设置:对系统的会话数进行设置,同时设置它是否有效的状态。会话安全策略设置是多个用户不能同时使用一个账号同时登录,设置后面的用户禁止登陆。n 会
37、话监控:会话监控主要统计在线的会话数,无效的会话数不需要进行监控。会话撤消主要是从服务器后台管理系统中可以直接让客户端登录的账户无效。会话刷新实时统计在线的会话。n 会话管理:会话删除是可以删除系统中无效、历史会话,对系统已无用的会话则可以使用此功能。按状态查询是根据会话的状态来进行过滤,主要有无效和在线两种状态的会话。按时间查询是选择一段日期来查询出这一段时间所有的会话记录。会话刷新实时统计所有的会话数。)配置管理n 应用配置:动态的添加单点登录系统接入的应用,主要有应系统接入的方式、参数的配置、系统的名称。针对系统无用的应用可以使用删除功能,删除此应用。查询系统中所有的应用数据并以列表分页
38、形式显示。修改应用,根据相关的数据关系进行修改。认证方式主要有:CAS、FORM FILL(URL)、WebService、LDAP四种方种:选择CAS认证方式:需要配置应用系统的数据库类型、地址、驱动、账户、密码等,是一种直接接入应用系统数据库的一种认种方式,不需要应用系统改变表结构,也不会改动应用系统表结构。选择FORM FILL(URL)方式:需要配置地址对应的格式,http:/域名:端口/工程名?参数1=$参数1&$参数2=$参数2,需要在配置的地方增加描述,参数就是对应的变量名,可以根据不同的应用系统,修改参数名称和数量,不需要应用系统改变表结构,需要业务系统增加FORM(URL)单
39、点登录的入口。选择WebService,配置参数如下:需要配置地址对应的格式,http:/域名:端口/工程名?参数1=$参数1&$参数2=$参数2,需要在配置的地方增加描述,参数就是对应的变量名,可以根据不同的应用系统,修改参数名称和数量,不需要应用系统改变表结构,需要业务系统增加webService的接口。选择LDAP,配置参数如下:配置LDAP的JNDI工厂,域名或IP地址,登录帐户和密码,认证模式等信息,即可与LDAP服务器进行连接,并实现组织结构和用户等元数据的交换,可以与提供LDAP接口的服务器进行统一身份认证。n 群组应用配置:群组应用配置是分配普通用户访问应用系统的权限,根据系统
40、中所有的用户组来设置不同的访问权限。提供树状结构的用户组来查询对应的应用系统权限,在用户没有选择用户组时,应当默认显示所有的用户组应用的对应关系,当用户点击特定的用户组时,只显示此用户组的访问应用的权限。n 认证处理:根据相应的关系来添加认证方式数据。查询相应的认证方式数据,并显示为分页表格。修改相应的认证方式数据。根据选择框删除对应的数据。n 认证方式管理:根据相应的关系来添加认证方式数据。查询相应的认证方式数据,并显示为分页表格。修改相应的认证方式数据。根据选择框删除对应的数据。)协议管理n 协议类型管理:根据相应的关系来添加协议类型数据,主要有HTTP/HTTPS两种协议。查询相应的协议
41、类型数据,并显示为分页表格。修改相应的协议类型数据。根据选择框删除对应的数据。n 协议管理:根据相应的关系来添加协议数据。查询相应的协议数据,并显示为分页表格。修改相应的协议数据。根据选择框删除对应的数据。)证书管理n 证书管理:生成证书主要是利用java keytool来生成数字证书,以方便管理域名的密钥信息,添加:新增一个与组织域名对应的证书信息。修改:修改相应的组织域名证书信息。查询:查询系统中所有的证书信息,以动态分页表格显示。删除:删除相应的证书信息。导出证书:把生成好的.keystore文件导出成证书文件(.cer)。安装证书:把导出的证书,提供可操作界面来把证书文件安装到系统服务
42、器的安装目录下。n 证书下载:针对于普通用户登入单点登录系统中,如果此系统采用https协议,并且没有经过认证机构颁发,则需要提示用户下载系统的证书,并有帮助文件提示如何让浏览器信任证书。)日志管理n 登录日志管理:主要管理用户登录时的记录,可以删除过历史的登录记录。n 系统日志管理:查询系统日志记录,并且分页表格显示。删除对应的系统日志记录。提供系统日志导出功能,主要有导出为excel这种格式。n 日志审计:精确的记录日志信息,可按日期、地址、用户等信息对日志进行查询、统计分析。审计结果通过Web界面以图表的方式展示给管理员,主要为柱状图的形式。3.3 云桌面系统(PC云桌面 & 颗粒化应用
43、聚合)3.3.1 系统概述云桌面系统集成了智慧校园所有与教师、学生、家长有关的重点业务功能模块。教师得以把精力回归到教学工作本身上,无需关注众多复杂业务系统的操作和使用,方便日常办公。教师可以根据自己教学工作的实际情况,定义所需的功能模块,如:我的教学、我的办公、我的消息等。3.3.2 系统特点(1)采用JAVA EE技术开发,支持跨平台和跨数据库部署。(2)包含个人桌面和后台管理功能两部分。(3)基于业界最先进的SOA技术架构设计。(4)集成各个业务系统的功能,以达到业务整合的要求。3.3.3 系统功能(1) 个人桌面登录(2) 主页1) 工作区:用户可自定义工作区,例如教学、办公、学习、资
44、源等;2) 应用区:系统默认为每个用户定义好了个人桌面,用户可对桌面上的功能聚合进行重新编排,并支持备注。3) 功能聚合:桌面系统通过系统功能注册,将所有的应用系统功能全部都注册到桌面系统,并根据不同的用户角色进行分类,用户可将所有系统与自身相关的功能加载到个人桌面。4) 代办任务:列出所有应用模块的代办事项,包括:通知公告、我的待办、已办工作等。5) 主题设置:桌面内置多种桌面主题,用户可自定义个人桌面主题。6) 系统中心:云桌面基于智慧校园基础数据库管理平台和单点登录系统,可实现云桌面与各应用系统之间的完美切换。(3) 后台管理1) 应用管理:业务系统信息的新增,修改,删除功能,并对相关的
45、业务系统进行模块采集,设置导航模块以及导航模块相关参数的配置。2) 自定义应用分类管理:支持对应用模块进行自定义分类,例如可分成教学类、办公类、查询类等。3) 角色授权:业务系统的角色采集,角色模块采集,角色人员采集,角色。查询人员拥有的业务系统,业务系统拥有角色,角色拥有权限4) 应用图标管理:对目录图标和菜单图标进行导入和删除操作。5) 系统管理分为:用户管理:用户的新增,删除,密码重置,导入,导出,分配角色角色管理:角色的新增,修改,删除,角色授权,角色人员系统配置:系统相关参数的配置菜单管理:菜单的新增,修改,删除登录日志:登录日志的查询3.4 门户网站系统3.4.1 系统概述在“数字
46、校园”中,通常都存在数量众多的应用系统,用户在使用这些系统时,往往需要访问不同入口,接触不同的多种界面。建立一个集成的校园门户网站系统,可以在一定程度上把分立系统的不同功能有机地组织起来,为用户提供一个统一的信息服务功能入口。通过应用单点登录技术,用户登录门户网站系统之后,再访问其他应用系统和数据时,不再需要重复输入用户名/密码。这将极大地降低用户使用多种应用系统的复杂性,增进用户使用这些系统的兴趣,提高应用系统的使用效益。门户网站系统的建设将为用户提供个性化的信息服务环境。校园网用户可以在各自的权限范围内访问不同的信息和应用系统,并获得与其个人身份和权限相对应的数据和信息。同时,门户网站系统
47、提供了一个可定制的个性化门户平台,可以方便、灵活地为学生、教职员工、各课题组、各部门建立各具特色的信息窗口,真正做到将适当的信息传递给适当的人,并且各取所需。3.4.2 系统架构3.4.3 系统特点1)集中管理信息资源与应用服务通过科学编目与合理组织,集中管理校内外各种信息资源(包括新闻、公告、通知、文件、多媒体课件等);通过功能映射与应用漫游,集中管理校内外各种应用服务(包括信息收集、信息查询、信息发布等)。2)统一采用单点登录通过单点登录系统,验证访问者的身份;提供所有应用服务的入口,实现单点登录;基于权限分配与访问控制,快速浏览相应的信息资源,方便使用相应的应用服务。3)灵活实施访问控制通过限制访问者IP、限制用户、限制用户访问时间,实现灵活的访问控制,有效保障门户访问安全。4)全面实现自定义、个性化的综合信息服务依据定义的信息资源自身密级与用户访问信息资源权限,提供个性化的综合信息服务;用户还可通过自由组合信息资源与应用服务,根据个人