農(nóng)業(yè)物聯(lián)網(wǎng)工程數(shù)據(jù)中心設(shè)計

農(nóng)業(yè)物聯(lián)網(wǎng)工程設(shè)計與實施項目XXXXXXXXXXXXXXXxxxxxxxxxxxx第二講數(shù)據(jù)中心軟件技術(shù)提綱第一章統(tǒng)一身份認證的概念和實現(xiàn)統(tǒng)一信息門戶的概念和實現(xiàn)統(tǒng)一數(shù)據(jù)庫及數(shù)據(jù)共享、工作流虛擬化技術(shù)實現(xiàn)數(shù)據(jù)中心（在第三講中講述）第二章第三章第四章第一章統(tǒng)一身份認證概念與實現(xiàn)統(tǒng)一身份認證概念的由來1

信息管理安全需要

BS7799ISO2700XGB/T22080-2008信息安全管理體系認證

ILM管理的需要身份認證主導(dǎo)的ILM沒有身份認證管理，這樣的ILM解決方案充其量不過是較為經(jīng)濟的數(shù)據(jù)備份方案。2第一章統(tǒng)一身份認證概念與實現(xiàn)統(tǒng)一身份認證概念的由來1方便用戶的需要

業(yè)務(wù)系統(tǒng)多，多次注冊、登錄，用戶名、密碼多，容易忘記，沒有一個統(tǒng)一的信息入口，沒有實現(xiàn)統(tǒng)一的用戶管理與統(tǒng)一的身份認證；2

數(shù)據(jù)中心的需要

RSA首席技術(shù)官認為在2009數(shù)據(jù)中心中，為了應(yīng)對各種安全威脅，提升安全防御水平，身份認證方面正在從靜態(tài)安全轉(zhuǎn)移到動態(tài)智能安全；BS7799--信息安全圣經(jīng)

第一部分，名為（CodeofPracticeforInformationSecurityManagement），2000年被采納為ISO/IEC17799，目前其最新版本為2005版，也就是ISO17799:2005。ISO17799:2005通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全控制章節(jié)，還有39個主要安全類和133個具體控制措施（最佳實踐）。

第二部分，名為（InformationSecurityManagementSpecification），其最新修訂版在05年10月正式成為ISO27001，ISO27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

目前7799的第三個部分也正式成為了英國標準（BritishStandard），即BS7799-3:2005-ISMS-信息安全風(fēng)險管理指南（InformationSecurityManagementSystems-GuidelinesforInformationSecurityRiskManagement）。BS7799--信息安全圣經(jīng)

ISO27000--信息安全標準

ISO27000系列安全標準將有6個部分組成:：ISO27000：定義在ISO27000系列信息安全標準中應(yīng)用的特殊技術(shù)術(shù)語；ISO27001：即BS7799-2的ISO版本、已經(jīng)在2005年10月成為正式標準；ISO27002：即BS7799-1的ISO版本，也是ISO17799:2005的更新版本，將在2006或2007年發(fā)布；ISO27003：將成為如何應(yīng)用ISO27000系列標準的指南；ISO27004：將成為一個全新的、用來衡量信息安全管理系統(tǒng)（ISMS）實施效果的信息安全管理結(jié)構(gòu)和度量標準（InformationSecurityManagementMetricsandMeasurementstandard），目前處理草案階段。ISO27005：將是BS7799-3的ISO版本。ISO27006:信息安全管理體系審核認證機構(gòu)的要求GB/T22080-2008

本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系(InformationSecurityManagementSystem,ISMS)提供模型?？傻接嘘P(guān)網(wǎng)站上下載ILM介紹身份認證管理主導(dǎo)的ILM一方面要應(yīng)付數(shù)據(jù)量的快速增長、有效地保護數(shù)據(jù)資源、簡化數(shù)據(jù)資源管理，另一方面又要控制IT成本.ILM（InformationLifetimeManagement，信息生命周期管理）不能僅僅局限于“數(shù)據(jù)的生命周期”，而且要注意到“用戶的生命周期”。也就是說，數(shù)據(jù)在其生命周期的不同階段應(yīng)該怎樣來分別處理？用戶在其生命周期的不同階段應(yīng)該被賦予怎樣的權(quán)限和方式來訪問數(shù)據(jù)？

ILM的起源來自現(xiàn)實需求，也就是說，數(shù)據(jù)應(yīng)該根據(jù)其在生命周期中所處的階段來用不同的手段進行管理。這種技術(shù)在相當大的程度上改善了數(shù)據(jù)管理方式，但是當今普遍流行的ILM仍然有很多局限性，主要體現(xiàn)在以下幾個方面：

?僅僅專注于通過層次化的存儲策略來降低成本，缺乏綜合性的方法；

?數(shù)據(jù)的遷移基本上是單方向的，即從主存儲磁盤向附屬的磁盤或者磁帶庫，缺乏反向的“激活”能力；

?缺乏多種不同的產(chǎn)品來分別實現(xiàn)數(shù)據(jù)的分類、管理和遷移，特別是在歸檔和備份時更是如此；

?僅僅解決數(shù)據(jù)遷移和保持力問題，對數(shù)據(jù)訪問能力缺乏關(guān)注。一、統(tǒng)一身份認證概念（一）身份認證的基本概念：

1、身份認證是計算機系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一。2、身份認證的作用：從上面的定義，我們不難看出，身份認證就是為了確保用戶身份的真實、合法和唯一。這樣，就可以防止非法人員進入系統(tǒng)，防止非法人員通過違法操作獲取不正當利益，訪問受控信息，惡意破壞系統(tǒng)數(shù)據(jù)的完整性的情況的發(fā)生。同時，在一些需要具有較高安全性的系統(tǒng)中，通過用戶身份的唯一性，系統(tǒng)可以自動記錄用戶所作的操作，進行有效的稽核。

一、統(tǒng)一身份認證概念3、身份認證的分類

目前，身份認證的方法形形色色，從身份認證所用的物理介質(zhì)分，主要有口令、磁卡、條碼卡、IC卡、智能令牌、指紋、密碼表等；從身份認證過程中與系統(tǒng)的通信次數(shù)分，有一次認證、兩次認證；從身份認證所應(yīng)用的系統(tǒng)來分，有單機系統(tǒng)身份認證和網(wǎng)絡(luò)系統(tǒng)身份認證。并且，很多系統(tǒng)的身份認證是上述各種方法的組合，更顯得五花八門，但這些都是表面現(xiàn)象，從身份認證的基本原理上來說，身份認證可以分為靜態(tài)身份認證和動態(tài)身份認證。

一、統(tǒng)一身份認證概念靜態(tài)身份認證:

靜態(tài)身份認證是指用戶登錄系統(tǒng)、驗證身份過程中，送入系統(tǒng)的驗證數(shù)據(jù)是固定不變的，符合這個特征的身份認證方法稱為靜態(tài)身份認證。

靜態(tài)身份認證主要可以分為單因素靜態(tài)口令身份認證和雙因素靜態(tài)身份認證。

1、單因素靜態(tài)口令身份認證

（1）單因素靜態(tài)口令身份認證的基本原理

靜態(tài)口令是一種單因素認證方法，通常采用如下形式：當用戶需要訪問系統(tǒng)資源時，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認證中心。并和認證中心保存的用戶信息進行比對。如果驗證通過，系統(tǒng)允許該用戶進行隨后的訪問操作，否則拒絕用戶的進一步的訪問操作。一、統(tǒng)一身份認證概念（2）單因素靜態(tài)口令身份認證的一般應(yīng)用

單因素靜態(tài)口令身份認證一般用于早期的計算機系統(tǒng)，目前，在一些比較簡單的系統(tǒng)或安全性要求不高的系統(tǒng)中也有應(yīng)用，例如PC機的開機口令、UNIX系統(tǒng)中用戶的登錄、Windows用戶的登錄、電話銀行查詢系統(tǒng)的賬戶口令等等。

現(xiàn)在的系統(tǒng)大多數(shù)還是采用的單因素靜態(tài)口令身份認證方法。但事實上，單因素靜態(tài)口令身份認證存在著諸多的不安全因素。

（3）單因素靜態(tài)口令身份認證的不安全因素及應(yīng)對措施

靜態(tài)密碼是用戶和機器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機器所認為的那個人。在大多數(shù)情況下，網(wǎng)絡(luò)或系統(tǒng)登錄控制通常使用的口令是靜態(tài)的，也就是說在一定時間內(nèi)是固定不變的，而且可重復(fù)使用。難道在每次會話后修改一次密碼嗎？顯然是不切實際的！這樣的話，就有安全隱患了！因為若他人知道用戶的密碼，就可冒用用戶的身份登錄系統(tǒng)或網(wǎng)絡(luò)，進行非法操作等行為，給真實用戶的利益造成損害!一、統(tǒng)一身份認證概念單因素靜態(tài)口令身份認證的不安全因素列舉如下：

①一個口令多次使用，容易造成泄露和被黑客或心懷叵測的人觀察竊??；

②為便于記憶，大多數(shù)網(wǎng)絡(luò)用戶，喜歡用自己所熟悉的人名，日期，門牌號碼，電話號碼及組合作為口令，因此很容易被猜測；

③在多個業(yè)務(wù)服務(wù)和應(yīng)用使用相同的口令，用戶喜歡使用容易記住的口令，或在同事之間，由于工作關(guān)系往往共享口令；

④通過竊聽技術(shù)，網(wǎng)絡(luò)中傳輸?shù)目诹顢?shù)據(jù)可能被截獲和分析；

⑤有各種猜測口令的黑客程序可以進行猜測口令攻擊；

⑥某些駐留在計算機內(nèi)部的黑客程序可以記錄用戶輸入的口令；

⑦在很多情況下口令泄露后，往往口令的持有者并不能及時發(fā)覺；

一、統(tǒng)一身份認證概念

由于以口令作為身份認證的要素，不論因為何種原因造成口令泄露都會導(dǎo)致系統(tǒng)侵入攻擊。因此為提高安全性通常會配合相應(yīng)的管理制度控制口令的使用。例如：

①口令長度和內(nèi)容有限制。如要求口令的長度要8位以上，而且要有數(shù)字和大小寫字母混合組成等；

②定期更換口令。有的系統(tǒng)要求用戶在一個月必須更換口令，否則不準登錄；

③不同系統(tǒng)功能采用不同的口令。對擁有不同系統(tǒng)權(quán)限的用戶，登錄不同系統(tǒng)必須采用不同的口令，以減少口令泄露帶來的影響；

④要求用戶在固定的設(shè)備上登錄。有的系統(tǒng)要求某些用戶只能在某些事先設(shè)定的終端上才能登錄，在其他終端上拒絕登錄；

⑤要求用戶在固定的時間段內(nèi)登錄。有的系統(tǒng)要求用戶只能在上班時間或其他時間登錄，在其他時間拒絕登錄；

⑥不準多人共享同一用戶名和口令。

一、統(tǒng)一身份認證概念

采用以上方法雖然可以在一定程度上提高了系統(tǒng)的安全性，但是并不能從根本上解決上述問題。同時也造成用戶使用不便。例如要求用戶采用了復(fù)雜的口令，同時經(jīng)常更換，當然增加了猜測口令的難度。但同時用戶記憶口令的難度也增大。有些用戶為避免遺忘口令，往往將口令記錄在記事本上，甚至記錄在終端上的記錄條上，這又增加了口令泄露的可能性。由此產(chǎn)生的系統(tǒng)安全問題數(shù)不勝數(shù)，而且竊取口令后，對系統(tǒng)的侵入和攻擊不容易分清肇事者的責(zé)任。采用冒名口令方式，已經(jīng)成為非法系統(tǒng)侵入的主要方式。

因此，在需要較高安全性的網(wǎng)絡(luò)登錄上通常不采用單因素認證方法，或采用經(jīng)過改進的雙因素靜態(tài)身份認證，或采用動態(tài)身份認證。

一、統(tǒng)一身份認證概念

因此，在需要較高安全性的網(wǎng)絡(luò)登錄上通常不采用單因素認證方法，或采用經(jīng)過改進的雙因素靜態(tài)身份認證，或采用動態(tài)身份認證。

2、雙因素靜態(tài)身份認證

（1）雙因素靜態(tài)身份認證的基本原理

所謂雙因素認證方式即在單一的記憶因素(固定口令)認證基礎(chǔ)上結(jié)合第二物理認證因素，以使認證的確定性按指數(shù)遞增。

在此所講的物理認證因素包括磁卡、條碼卡、MemoryIC卡、指紋等。

當然，雙因素靜態(tài)身份認證也同樣符合靜態(tài)身份認證方法的特征，即用戶登錄系統(tǒng)、驗證身份過程中，送入系統(tǒng)的驗證數(shù)據(jù)是固定不變的。

一、統(tǒng)一身份認證概念雙因素靜態(tài)身份認證的一般流程如下:①用戶在登錄業(yè)務(wù)終端上輸入ID和口令；

②業(yè)務(wù)終端通過專用設(shè)備如磁條讀寫器、條碼閱讀器、IC讀寫器、指紋儀等設(shè)備將第二個物理認證因素上的數(shù)據(jù)讀入；

③業(yè)務(wù)終端將所有數(shù)據(jù)打包（加密）后，送到中心主機進行驗證；

④中心主機系統(tǒng)將登錄數(shù)據(jù)包解包（脫密）后，進行安全認證；

⑤業(yè)務(wù)終端接收中心主機返回的認證結(jié)果，并根據(jù)結(jié)果進行下一步操作。

一、統(tǒng)一身份認證概念

（2）雙因素靜態(tài)身份認證良好的安全性

雙因素靜態(tài)身份認證是對單因素靜態(tài)口令身份認證的一個改進，因為有了第二物理認證因素，使得認證的確定性得到指數(shù)遞增。所以，目前很多銀行計算機業(yè)務(wù)處理系統(tǒng)中，柜員的身份認證，大多采用雙因素靜態(tài)身份認證，每個柜員都有一張柜員磁卡或柜員IC卡。因此，雙因素靜態(tài)身份認證是目前安全性要求較高的系統(tǒng)中，用得最多的一種身份認證方法。

但只要是靜態(tài)身份認證，就存在著不安全的因素。從原理上分析，一個最簡單的方法就是截取某一合法用戶的登入數(shù)據(jù)，或仿制第二物理認證因素，或?qū)⒑戏〝?shù)據(jù)直接輸入業(yè)務(wù)終端，就可以實現(xiàn)非法登錄。那么，如果想要防止這種情況的發(fā)生，怎么辦呢？采用動態(tài)身份認證的方法。

一、統(tǒng)一身份認證概念動態(tài)身份認證

相對于靜態(tài)身份認證，所謂動態(tài)身份認證就是指用戶登錄系統(tǒng)、驗證身份過程中，送入系統(tǒng)的驗證數(shù)據(jù)是動態(tài)變化的，符合這個特征的身份認證方法稱為動態(tài)身份認證。動態(tài)口令認證技術(shù)的類型與工作原理：

動態(tài)口令(DynamicPassword)也稱一次性口令(One-timePassword)。動態(tài)口令是變動的口令，其變動來源于產(chǎn)生口令的運算因子是變化的。動態(tài)口令的產(chǎn)生因子一般都采用雙運算因子(twofactor)：其一，為用戶的私有密鑰。它是代表用戶身份的識別碼，是固定不變的。其二，為變動因子。正是變動因子的不斷變化，才產(chǎn)生了不斷變動的動態(tài)口令。采用不同的變動因子，一、統(tǒng)一身份認證概念形成了不同的動態(tài)口令認證技術(shù)：基于時間同步（TimeSynchronous）認證技術(shù)、基于事件同步（EventSynchronous）認證技術(shù)和挑戰(zhàn)/應(yīng)答方式的非同步（Challenge/ResponseAsynchronous）認證技術(shù)。

基于時間同步認證技術(shù)是把時間作為變動因子，一般以60秒作為變化單位。所謂“同步”是指用戶口令卡和認證服務(wù)器所產(chǎn)生的口令在時間上必須同步。這里的時間同步方法不是用“時統(tǒng)”技術(shù)，而是用“滑動窗口”技術(shù)。圖1為客戶終端訪問系統(tǒng)時，基于時間同步的認證過程。

一、統(tǒng)一身份認證概念一、統(tǒng)一身份認證概念①：客戶請求接入應(yīng)用服務(wù)器；

②：應(yīng)用服務(wù)器請求認證服務(wù)器對客戶的身份的合法性和真實性進行認證；

③：客戶終端彈出身份認證對話框；

④：客戶在持有的口令卡上鍵入PIN碼（或開機碼），激活口令卡；

⑤：客戶將帳號和口令鍵入終端的身份認證對話框；

⑥：客戶終端將帳號和口令通過網(wǎng)絡(luò)傳輸給認證服務(wù)器；

⑦：認證服務(wù)器調(diào)用客戶信息，產(chǎn)生與客戶信息和時間相關(guān)的隨機序列，并與客戶輸入的口令進行比對，判別客戶身份的合法性和真實性；

⑧：認證服務(wù)器將認證結(jié)果報告給應(yīng)用服務(wù)器；

⑨：應(yīng)用服務(wù)器根據(jù)客戶身份的合法性和真實性反饋給客戶終端，并決定可以提供服務(wù)或拒絕服務(wù)。

一、統(tǒng)一身份認證概念2)事件同步認證技術(shù)

基于事件同步認證技術(shù)是把變動的數(shù)字序列（事件序列）作為口令產(chǎn)生器的一個運算因子，與用戶的私有密鑰共同產(chǎn)生動態(tài)口令。這里的同步是指每次認證時，認證服務(wù)器與口令卡保持相同的事件序列。如果用戶使用時，因操作失誤多產(chǎn)生了幾組口令出現(xiàn)不同步，服務(wù)器會自動同步到目前使用的口令，一但一個口令被使用過后，在口令序列中所有這個口令之前的口令都會失效。其認證過程與時間同步認證相同。一、統(tǒng)一身份認證概念3)挑戰(zhàn)/應(yīng)答認證技術(shù)

挑戰(zhàn)/應(yīng)答（Challenge/Response）方式的變動因子是由認證服務(wù)器產(chǎn)生的隨機數(shù)字序列（Challenge），它也是口令卡的口令生成的變動因子，其認證過程見圖2所示：

一、統(tǒng)一身份認證概念動態(tài)口令三種認證技術(shù)的區(qū)別：一、統(tǒng)一身份認證概念當前，市場上使用最多的是時間同步認證技術(shù)，它既能在大型電子商務(wù)系統(tǒng)中應(yīng)用，也能在內(nèi)部網(wǎng)中應(yīng)用。為了保證認證服務(wù)器“時鐘”的穩(wěn)定、可靠，不被人惡意修改，保證動態(tài)口令算法的安全，北京捷安世紀科技公司為認證服務(wù)器專門開發(fā)了“時鐘/口令卡”。

動態(tài)口令的典型應(yīng)用：（1）動態(tài)口令在內(nèi)聯(lián)網(wǎng)中的應(yīng)用

（2）動態(tài)口令在網(wǎng)上銀行系統(tǒng)中的應(yīng)用(3)動態(tài)口令在證券交易系統(tǒng)中的應(yīng)用

(4)動態(tài)口令在辦公自動化（OA）系統(tǒng)中的應(yīng)用

一、統(tǒng)一身份認證概念動態(tài)口令身份認證系統(tǒng)除了上述典型應(yīng)用之外，凡是使用“口令”進行身份認證的地方，均能使用動態(tài)口令。例如：動態(tài)口令與防火墻結(jié)合，實現(xiàn)防火墻的強身份控制；動態(tài)口令與VPN網(wǎng)關(guān)結(jié)合，建立安全隧道；動態(tài)口令與Web服務(wù)器結(jié)合，控制與互聯(lián)網(wǎng)的接入；動態(tài)口令與E-mail服務(wù)器結(jié)合,避免系統(tǒng)資源通過E-mail服務(wù)器外傳等等。

一、統(tǒng)一身份認證概念一、統(tǒng)一身份認證概念一、統(tǒng)一身份認證概念一、統(tǒng)一身份認證概念一、統(tǒng)一身份認證概念4、統(tǒng)一身份認證的定義統(tǒng)一身份認證就是用戶登錄統(tǒng)一身份認證系統(tǒng)后，可以使用企業(yè)內(nèi)部所有支持統(tǒng)一身份認證系統(tǒng)的應(yīng)用系統(tǒng)。統(tǒng)一身份認證的優(yōu)點是，從使用角度出發(fā).采用統(tǒng)一身份認證后，用戶只需要使用同一用戶名、同一令牌就可以登錄所有允許他登錄的系統(tǒng)，用戶使用更加方便;從安全角度出發(fā)，管理人員可以在認證系統(tǒng)集中地對各個應(yīng)用系統(tǒng)上的用戶進行管理，控制用戶的訪問范圍和權(quán)限，并記錄用戶的行為，使整個企業(yè)應(yīng)用系統(tǒng)的安全管理水平得到極大提高。一、統(tǒng)一身份認證概念5、統(tǒng)一身份認證的應(yīng)用背景計算機網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展使得企業(yè)信息化的程度不斷提高，在企業(yè)信息化過程中，諸如OA、CRM、ERP、OSS等越來越多的業(yè)務(wù)系統(tǒng)應(yīng)運而生，提高了企業(yè)的管理水平和運行效率。與此同時，各個應(yīng)用系統(tǒng)都有自己的認證體系，隨著應(yīng)用系統(tǒng)的不斷增加，一方面企業(yè)員工在業(yè)務(wù)系統(tǒng)的訪問過程中，不得不記憶大量的帳戶口令，而口令又極易遺忘或泄露，為企業(yè)帶來損失；另一方面，企業(yè)信息的獲取途徑不斷增多，但是缺乏對這些信息進行綜合展示的平臺。一、統(tǒng)一身份認證概念6、統(tǒng)一身份認證的設(shè)計目標統(tǒng)一身份認證系統(tǒng)的設(shè)計需要達到以下目標：

(1)支持Web服務(wù)技術(shù)框架，使得在對各個應(yīng)用系統(tǒng)實施應(yīng)用集成的時候，能夠使用這個統(tǒng)一身份認證系統(tǒng)進行身份認證。

(2)方便使用，能夠盡可能地利用現(xiàn)有系統(tǒng)的身份認證模塊以及現(xiàn)有的用戶設(shè)置和權(quán)限設(shè)置，減少新的用戶設(shè)置和權(quán)限設(shè)置的費用，同時避免對現(xiàn)有系統(tǒng)進行大規(guī)模的修改。

(3)具有良好的擴展性和可集成性，不僅能支持現(xiàn)有的應(yīng)用系統(tǒng)，而且當有新的應(yīng)用系統(tǒng)被開發(fā)時，該統(tǒng)一身份認證系統(tǒng)可以作為它的登錄和身份認證模塊的形式工作，減少了新應(yīng)用系統(tǒng)開發(fā)的費用和周期。一、統(tǒng)一身份認證概念7、統(tǒng)一身份認證的認證流程統(tǒng)一身份認證系統(tǒng)提供了兩個接口:

(1)用戶認證，通過統(tǒng)一的接口來驗證用戶名稱和用戶密碼。

(2)用戶信息及權(quán)限，提供指定用戶信息及權(quán)限信息，便于不同應(yīng)用系統(tǒng)獲取用戶信息和權(quán)限。

統(tǒng)一身份認證系統(tǒng)的身份認證流程如圖1所示。一、統(tǒng)一身份認證概念

8、統(tǒng)一認證系統(tǒng)結(jié)構(gòu)當需要訪問的系統(tǒng)增多，各個系統(tǒng)都有自己的安全策略，采用單點登錄機制后，使用單一賬號，系統(tǒng)維護自動接駁到后臺各應(yīng)用系統(tǒng)的賬號管理。靈活可擴展的認證接口，支持LDAP、NIS、AD、PKI等標準認證技術(shù)。采用軟件加密和硬件加密相結(jié)合、應(yīng)用數(shù)字證書，對用戶身份和敏感數(shù)據(jù)進行加密，確保數(shù)據(jù)的安全性和隱私性。一、統(tǒng)一身份認證概念統(tǒng)一認證系統(tǒng)結(jié)構(gòu)圖:如下圖二、統(tǒng)一身份認證技術(shù)（一）常用的主流身份認證技術(shù)1、靜態(tài)的單一密碼體系：用戶名/密碼方式2、靜態(tài)的物理特征認證：IC卡認證、生物特征認證3、動態(tài)的認證：動態(tài)口令4、雙因子認證：USBKEY基于USBKey的身份認證方式是一種方便、安全、經(jīng)濟的身份認證技術(shù)，它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認證。基于USBKey身份認證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認證模式；二是基于PKI體系的認證模式。二、統(tǒng)一身份認證技術(shù)（二）常用的加密認證體系1、數(shù)字證書、數(shù)字簽名數(shù)字證書是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。數(shù)字證書是由權(quán)威機構(gòu)(CA)采用數(shù)字簽名技術(shù)，頒發(fā)給用戶，用以在數(shù)字領(lǐng)域中證實用戶其本身的一種數(shù)字憑證。

數(shù)字證書的內(nèi)部格式是由CCITTX.509國際標準所規(guī)定的，它主要包含了以下幾點：證書擁有者的姓名，證書擁有者的公共密鑰，證書的有效期，證書的序列號，頒發(fā)證書的單位機構(gòu)，頒發(fā)證書單位的數(shù)字簽名，證書的擴展信息。

二、統(tǒng)一身份認證技術(shù)數(shù)字簽名：簽名的作用有兩點：一是簽名難以否認，從而確認了文件已簽署的事實，二是因為簽名不易仿冒，從而確定了文件的真實性。數(shù)字簽名也一樣，它確定以下兩點：信息是由簽名者發(fā)出的，信息自簽名后沒有作過任何修改。

二、統(tǒng)一身份認證技術(shù)（二）常用的加密認證體系數(shù)字簽名：簽名的作用有兩點：一是簽名難以否認，從而確認了文件已簽署的事實，二是因為簽名不易仿冒，從而確定了文件的真實性。數(shù)字簽名也一樣，它確定以下兩點：信息是由簽名者發(fā)出的，信息自簽名后沒有作過任何修改。

數(shù)字簽名的原理和過程如下：1、被發(fā)送文件用某種HASH算法產(chǎn)生128位的數(shù)字摘要。2、發(fā)送方用自己的私鑰對摘要進行加密，這就形成了數(shù)字簽名。3、將原文和加密的摘要同時傳給對方。4、對方用發(fā)送方的公鑰對摘要解密，同時對收到的文件用與發(fā)送方相同的HASH算法產(chǎn)生又一個摘要。5、將解密后摘要和收到的文件在接收方重新產(chǎn)生的摘要相互對比，如兩者一致，則說明文件是由發(fā)送方發(fā)出的，并在傳輸過程中信息沒有被破壞或篡改過。否則不然。二、統(tǒng)一身份認證技術(shù)

2、密碼技術(shù)---DES算法\RSA算法在INTERNET上對數(shù)據(jù)的加密一般分為對稱加密和非對稱加密，對稱加密以DES為代表，非對稱加密以RSA為代表。

DES算法：DES（DataEncryptionStandard）是一種單密鑰算法，也是一種最有代表性的分組加密體制，數(shù)據(jù)分組長度是64bit(8byte)，密文分組長度也是64bit，沒有數(shù)據(jù)擴展。密鑰長度為64bit，其中有8bit奇偶校驗，有效長度為56bit。為加強安全性，又可采用三重DES。DES的整個體制是公開的，系統(tǒng)的安全性依賴賴于密鑰。二、統(tǒng)一身份認證技術(shù)（二）常用的加密認證體系RSA算法：RSA是一種基于公鑰體制的雙密鑰的算法，這一算法的最大特點就是有一對密鑰，一個公開發(fā)布作為加密密鑰，一個由用戶妥善保管作為解密密鑰，通訊雙方無須事先交換密鑰就可進行保密通訊。該體制的另一個特點是無法從一個密鑰推斷出另一個密鑰，以及不能用加密密鑰進行解密。RSA算法的安全性基于數(shù)論中大整數(shù)分解的困難性，其難度與密鑰的位數(shù)相關(guān)，一般用戶使用的是1024bit的RSA密鑰，安全性充分足夠。RSA算法可以用來加密數(shù)據(jù)（用公鑰加密，私鑰解密），也可以用來簽名（用私鑰加密，公鑰解密）。二、統(tǒng)一身份認證技術(shù)3、PKI體系PKI（PublicKeyInfrastructure）即"公開密鑰體系"，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)二、統(tǒng)一身份認證技術(shù)(三）幾種統(tǒng)一身份認證技術(shù)和產(chǎn)品基于頁面集成的統(tǒng)一身份認證--單點登錄（SSO）系統(tǒng)基于CA的統(tǒng)一身份管理平臺基于LDAP的統(tǒng)一身份認證基于WEB的統(tǒng)一身份認證基于SOA的統(tǒng)一身份認證基于VPN的統(tǒng)一身份認證二、統(tǒng)一身份認證技術(shù)1、SSO什么叫單點登錄：單點登錄(SingleSign—On，SSO)是建立在身份認證服務(wù)基礎(chǔ)上的一個重要應(yīng)用，它提供一種機制，讓不同的應(yīng)用系統(tǒng)迅速獲得統(tǒng)一的認證功能，實現(xiàn)全局、安全的軟件環(huán)境。在實現(xiàn)SSO的統(tǒng)一身份認證系統(tǒng)中，用戶只需進行一次登錄操作，即可獲得所需訪問應(yīng)用系統(tǒng)和資源的授權(quán)，不必多次輸入用戶名和密碼來確定用戶身份，即“一次登錄，處處訪問”。SSO產(chǎn)品開源CAS、Kerberos、SAMLTivoli、Siteminder、RSASecure目前SSO的產(chǎn)品和解決方案主要有微軟公司和SUN公司為代表的兩大陣營，其代表技術(shù)分別為基于．netpassport的身份驗證規(guī)范和自由聯(lián)盟(LibertyAlliance)網(wǎng)絡(luò)身份驗證規(guī)范。．netpassport單點登錄身份驗證技術(shù)采用集中式認證和分布式授權(quán)的模式，僅對用戶進行單點身份鑒定，但是否允許用戶訪問某個特定的Web服務(wù)則由內(nèi)容授權(quán)程序來確定；Liberty協(xié)議是基于SAML標準的一個面向Web應(yīng)用的單點登錄的與平臺無關(guān)的開放協(xié)議，它的核心思想是身份聯(lián)合，兩個Web應(yīng)用之間可以保留原來的用戶認證機制，通過建立它們各自身份的對應(yīng)關(guān)系來達到SSO的目的。下面舉一種SSO例子：二、統(tǒng)一身份認證技術(shù)基于頁面集成的統(tǒng)一身份認證--單點登錄（SSO—SINGLESIGNON）系統(tǒng)。原理：當我們提起SSO的時候，我們通常是指WebSSO，它的主要特點是，SSO應(yīng)用之間走Web協(xié)議(如HTTP/SSL)，并且SSO都只有一個登錄入口。簡單的SSO的體系中，會有下面三種角色：User（多個）Web應(yīng)用（多個）SSO認證中心（1個）雖然SSO實現(xiàn)模式千奇百怪，但萬變不離其宗：Web應(yīng)用不處理User的登錄，否則就是多點登陸了，所有的登錄都在SSO認證中心進行。SSO認證中心通過一些方法來告訴Web應(yīng)用當前訪問用戶究竟是不是張三/李四。SSO認證中心和所有的Web應(yīng)用建立一種信任關(guān)系，SSO認證中心對用戶身份正確性的判斷會通過某種方法告之Web應(yīng)用，而且判斷結(jié)果必須被Web應(yīng)用信任。二、統(tǒng)一身份認證技術(shù)2、基于CA的統(tǒng)一身份認證采用數(shù)字證書、數(shù)字簽名和PKI

產(chǎn)品：北京時代憶信公司統(tǒng)一身份認證平臺時代億信推出的基于CA的統(tǒng)一身份管理平臺產(chǎn)品，以資源整合為目標，以PKI技術(shù)為基礎(chǔ)，通過對用戶身份的統(tǒng)一認證和訪問控制，更安全地實現(xiàn)各業(yè)務(wù)系統(tǒng)的單點登錄和信息資源的整合。平臺兼容口令認證、PFX證書文件認證、USB智能卡認證等多種認證方式，并采用SSL加密通道、關(guān)鍵信息加密簽名、訪問控制策略等安全技術(shù)充分保證身份認證和業(yè)務(wù)系統(tǒng)訪問過程的安全性。基于CA認證的統(tǒng)一身份管理平臺架構(gòu)如下：統(tǒng)一身份管理平臺的組件主要包括以下部分：門戶系統(tǒng)：各個業(yè)務(wù)系統(tǒng)信息資源的綜合展現(xiàn)；平臺管理系統(tǒng)：平臺用戶的注冊、授權(quán)、審計；各業(yè)務(wù)系統(tǒng)的配置；門戶管理；CA系統(tǒng)：平臺用戶的數(shù)字證書申請、簽發(fā)和管理；用戶統(tǒng)一認證：用戶身份的CA數(shù)字證書認證、認證過程的SSL加密通道；單點登錄（SSO）：業(yè)務(wù)系統(tǒng)關(guān)聯(lián)映射、訪問控制、訪問業(yè)務(wù)系統(tǒng)時信息的加密簽名和SSL加密通道。安全機制的實現(xiàn)：用戶注冊和授權(quán)企業(yè)每一個用戶在平臺完成用戶注冊，得到自己的統(tǒng)一帳戶；如果采用證書文件或USB智能卡認證方式，則CA系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書，并與用戶的統(tǒng)一帳戶對應(yīng)。注冊的用戶可以由管理員進行分組，并根據(jù)分組設(shè)定相應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。業(yè)務(wù)系統(tǒng)配置安裝業(yè)務(wù)系統(tǒng)訪問代理并配置證書和私鑰，用以建立客戶端與業(yè)務(wù)系統(tǒng)之間的SSL加密通道，并接收處理平臺提供的加密簽名的用戶認證信息；提供關(guān)聯(lián)映射接口和訪問驗證接口，并在平臺進行配置。關(guān)聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務(wù)系統(tǒng)用戶信息（可能包括業(yè)務(wù)系統(tǒng)的用戶名和密碼）的對應(yīng)關(guān)系。應(yīng)用背景：時代億信統(tǒng)一身份管理平臺即解決目前分散認證系統(tǒng)的種種弊端所產(chǎn)生的一種產(chǎn)品通過數(shù)字證書、數(shù)字簽名等機制充分保證了認證過程的安全性，成為身份認證技術(shù)的一個重要發(fā)展方向和趨勢，并已在政府、軍隊、銀行、證券、電信等領(lǐng)域得到了成熟應(yīng)用。3、基于LDAP的統(tǒng)一身份認證LDAP(輕量級目錄訪問協(xié)議，LightweightDirectoryAccessProtoco1)是提供目錄服務(wù)的一種協(xié)議。目錄服務(wù)是一種特殊的數(shù)據(jù)庫系統(tǒng)，它專門針對讀取、瀏覽和搜索操作進行了特定的優(yōu)化。目錄一般用來包含描述性的、基于屬性的信息并支持精細復(fù)雜的過濾能力。目錄一般不支持通用數(shù)據(jù)庫針對大量更新操作需要的復(fù)雜的事務(wù)管理或回卷策略。而目錄服務(wù)的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、Web鏈接、Jpeg圖像等各種信息。為了訪問存儲在目錄中的信息，就需要使用運行在TCP／IP之上的訪問協(xié)議一LDAP。LDAP目錄中的信息是按照樹型結(jié)構(gòu)組織，具體信息存儲在條目(entry)的數(shù)據(jù)結(jié)構(gòu)中。條目相當于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有分辨名DN(DistinguishedName)的屬性(Attribute)。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。比如：類型的一個例子就是mail，其值是一個電子郵件地址。LDAP的信息是以樹型結(jié)構(gòu)存儲的，在樹根一般定義國家(c=CN)或域名(dc=com)，在其下則往往定義一個或多個組織(organization)(o=Acme)或組織單元(organizationalunits)(ou=People)。一個組織單元可能包含諸如所有用戶以及所有用戶的具體信息等內(nèi)容。此外，LDAP支持對條目能夠和必須支持哪些屬性進行控制，這是有一個特殊的稱為對象類別(objectClass)的屬性來實現(xiàn)的。LDAP主要特性：獨特的樹型結(jié)構(gòu)高效的查詢特性：樹形比表形查詢快部署的靈活性：可以部署于幾乎任何的操作系統(tǒng)平臺之上：Windows、Linux以及Unix；同步機制：LDAP協(xié)議本身定義的同步機制，具有以下特點：(1)LDAP可以采用“推”和“拉”的兩種同步方式進行數(shù)據(jù)同步：既可以由主LDAP向備LDAP進行數(shù)據(jù)的“推”，也可以由備LDAP從主LDAP上“拉”數(shù)據(jù)；兩種方式可以任意選擇；(2)一臺主用的LDAP可以向多臺備份的LDAP上同步數(shù)據(jù)；(3)備用的LDAP數(shù)據(jù)為只讀模式，保證數(shù)據(jù)的一致性；(4)同步效率高，基本上可以達到實時數(shù)據(jù)的更新。LDAP相關(guān)產(chǎn)品目前業(yè)界常用的LDAP產(chǎn)品都是按照LDAP協(xié)議規(guī)范產(chǎn)品，LDAP協(xié)議主要包含了以下幾個方面。(1)LDAP協(xié)議的基本模型和基本操作；(2)基本數(shù)據(jù)模式(Schema)(包括語法、匹配規(guī)則、屬性類型和對象類)以及標準的系統(tǒng)數(shù)據(jù)模式；(3)分辨名(DN)表達式、過濾表達式、統(tǒng)一資源地址的格式等；(4)認證方式；(5)如何通過擴展使用TLS服務(wù)、C的LDAP客戶端API開發(fā)接口；(6)LDAP數(shù)據(jù)導(dǎo)人、導(dǎo)出文件接口LDIF等。LDAP產(chǎn)品：(1)開源的OPENLDAP；(2)Microsoft的ActiveDirectory；(3)SUN的DirectoryServer(收購自Netscape)；(4)IBM的DirectoryServer；(5)NovelNDS。以上各個LDAP產(chǎn)品都是遵循LDAP協(xié)議的產(chǎn)品，都能夠?qū)崿F(xiàn)LDAP的相關(guān)特性，應(yīng)用于各種應(yīng)用當中。LDAP應(yīng)用舉例：（1）統(tǒng)一后臺數(shù)據(jù)存儲認證（2）多后臺高效查詢（3）其它使用LDAP的應(yīng)用（1）統(tǒng)一后臺數(shù)據(jù)存儲認證對于用戶而言，需要能夠?qū)崿F(xiàn)一個統(tǒng)一的入口，能夠?qū)⑼挥脩舻膶傩赃M行相關(guān)的合并，實現(xiàn)統(tǒng)一后臺的數(shù)據(jù)存儲，并且對用戶的認證也能夠采用統(tǒng)一認證的方式；而LDAP本身的結(jié)構(gòu)特性使我們可以部署一個統(tǒng)一的后臺數(shù)據(jù)存儲系統(tǒng)，能夠方便得將用戶數(shù)據(jù)從多個后臺系統(tǒng)合并到統(tǒng)一的目錄結(jié)構(gòu)當中，實現(xiàn)用戶的統(tǒng)一認證。具體的后臺結(jié)構(gòu)圖如圖1所示。（2）多后臺高效查詢在當前業(yè)務(wù)系統(tǒng)當中，采用LDAP系統(tǒng)，將多個業(yè)務(wù)系統(tǒng)的用戶數(shù)據(jù)抽取為一個統(tǒng)一的結(jié)構(gòu)當中，可以使客戶端能夠方便地快速查詢到相關(guān)的數(shù)據(jù)。由于數(shù)據(jù)的構(gòu)建就是為了方便客戶端進行相關(guān)查詢，并且按照查詢條件創(chuàng)建相關(guān)索引，所以能夠?qū)崿F(xiàn)高效的查詢，此外，能夠?qū)⒉樵兎謹偟蕉鄠€LDAP系統(tǒng)進行查詢，提高查詢效率，如圖2所示。圖2中，三個查詢客戶端可以分別連接到salve的幾臺LDAP系統(tǒng)進行數(shù)據(jù)的查詢，從而提高系統(tǒng)的查詢效率。（3）其它使用LDAP的應(yīng)用大家經(jīng)常忽略的一個重要的LDAP應(yīng)用是基于微軟域的相關(guān)應(yīng)用。在微軟的域架構(gòu)中就內(nèi)置了微軟的ActiveDirectory，因為微軟的策略原因，微軟沒有把它作為一個單獨的應(yīng)用而是集成在其無所不在的域之中。實際上ActiveDirectory是符合LDAP規(guī)范的，且有自己的一些擴展。通過微軟域(ActiveDirectory)統(tǒng)一認證，可以實現(xiàn)多系統(tǒng)的認證統(tǒng)一使用一組用戶名口令，包括微軟相關(guān)的應(yīng)用，比如exchange郵件、微軟ISA應(yīng)用和VPN服務(wù)等等。此外通過標準的LDAP接口，還可以實現(xiàn)獨立外部系統(tǒng)如SSLVPN等認證使用內(nèi)部域用戶名口令認證。4、基于WEB的統(tǒng)一身份認證盡管SSO產(chǎn)品能夠較好地實現(xiàn)單點登錄功能，然而，這些方案認證方式單一，缺乏靈活性，而且大都比較復(fù)雜，在項目實踐中很難快速實施。WebServices是基于網(wǎng)絡(luò)的、分布式的模塊化組件，執(zhí)行特定的任務(wù)，遵守具體的技術(shù)規(guī)范，是自包含、自描述、模塊化的應(yīng)用，可以在網(wǎng)絡(luò)(通常為Web)中被描述、發(fā)布、查找以及通過We1)來調(diào)用。由于WebService是跨平臺的，所以十分適用于實現(xiàn)SS0的服務(wù)。下面介紹了一種基于Web服務(wù)的統(tǒng)一身份認證系統(tǒng)模型，并采用了基于票據(jù)的集中式架構(gòu)，以跨域Cookie共享為核心來完成用戶的登錄、認證和權(quán)限控制。（1）體系機構(gòu)統(tǒng)一身份認證系統(tǒng)的設(shè)計和實現(xiàn)需要涉及身份認證、訪問控制、用戶角色權(quán)限分配、加密、通信以及數(shù)據(jù)庫等多項技術(shù)，結(jié)合WebServices技術(shù)，設(shè)計了統(tǒng)一身份認證系統(tǒng)結(jié)構(gòu)(圖1)。其中身份認證服務(wù)在統(tǒng)一認證服務(wù)系統(tǒng)中處于核心的地位。他的主要功能是接受用戶認證請求，并在用戶身份認證數(shù)據(jù)庫中檢索所存儲的該用戶的密碼和身份信息并加以驗證，向認證客戶返回認證結(jié)果，成功或者失敗信息，如果成功則還可以包含用戶的權(quán)限信息。

該模型采用了目前流行的WebService技術(shù)，由于WebServices是跨平臺的，所以十分適用于實現(xiàn)SSo的服務(wù)；在WebServices的開發(fā)架構(gòu)之下，任何系統(tǒng)都可以調(diào)用本平臺的服務(wù)進行身份管理和認證管理。系統(tǒng)的擴展性、兼容性得到了較好的解決。（2）功能模塊設(shè)計從圖1中可以看出，基于Web服務(wù)的統(tǒng)一身份認證系統(tǒng)從功能上可以劃分為以下幾大模塊．：1)用戶資料的統(tǒng)一管理：通過統(tǒng)一的接口，對用戶資料進行統(tǒng)一的管理，集中的存儲，避免因數(shù)據(jù)冗余帶來的數(shù)據(jù)同步等方面的麻煩；2)用戶身份的認證與授權(quán)：通過統(tǒng)一的接口實現(xiàn)各應(yīng)用系統(tǒng)的用戶身份認證及授予該用戶相應(yīng)的使用權(quán)限；3)單點登錄：實現(xiàn)一次登錄后能在不同服務(wù)器的應(yīng)用系統(tǒng)之間自由切換，不用到每到一個應(yīng)用系統(tǒng)又要重新手動輸人賬號、密碼等信息重新登錄一次；4)對遺留系統(tǒng)的集成：實現(xiàn)和遺留系統(tǒng)的無縫結(jié)合，充分利用已有投資。（3）核心的業(yè)務(wù)邏輯控制類設(shè)計針對本系統(tǒng)的基本情況，部分數(shù)據(jù)訪問控制、業(yè)務(wù)邏輯控制類設(shè)計如下：1)AuthenticationClass。用戶認證管理類，通過對用戶的身份認證的具體邏輯控制實現(xiàn)。2)UserClass。用戶管理類，統(tǒng)一用戶管理接口，提供用戶信息管理和密碼管理等服務(wù)。3)RoleClass。系統(tǒng)用戶角色管理，角色是具有相同權(quán)限用戶的組是權(quán)限分配的單位與載體。權(quán)限不會直接分配給特定的用戶，用戶要擁有對某種資源的權(quán)限，必須通過角色去關(guān)聯(lián)。一個用戶可以屬于多個角色，一個角色可以包括多個用戶。4)TicketClass。用戶登錄票據(jù)類，票據(jù)是用戶身份的唯一標志，同時包括了用戶的系統(tǒng)授權(quán)信息。該票據(jù)在不同的系統(tǒng)中傳輸，用于用戶的身份識別。5)AppSystemClass。管理應(yīng)用系統(tǒng)記錄信息。該類登記了現(xiàn)有的軟件服務(wù)系統(tǒng)信息，用于對軟件服務(wù)系統(tǒng)的管理。6)PermissionClass。對用戶授權(quán)管理。權(quán)限是綁定在特定的資源實例上的，即權(quán)限是角色與軟件服務(wù)系統(tǒng)的關(guān)聯(lián)。（4）WebServices設(shè)計J2EE平臺對Webservice的構(gòu)建和使用有很好的支持。與其它開發(fā)平臺不同，使用myeclipse平臺，不需要其他的工具或者SDK就可以完成Webservice的開發(fā)。本系統(tǒng)WebService接口設(shè)計如下：1)SysManagementService，SysManagementService是SSO系統(tǒng)管理的WebService接口，提供對系統(tǒng)用戶管理、角色管理、應(yīng)用系統(tǒng)管理和授權(quán)管理。應(yīng)用程序可以通過該接口訪問到系統(tǒng)管理的信息。2)AuthorizationService。AuthorizationServ—ice提供對認證、審核和權(quán)限訪問控制的業(yè)務(wù)接口，應(yīng)用程序可以調(diào)用該服務(wù)驗證用戶的身份和權(quán)限，達到單點登錄的目的。（5）單點登錄的實現(xiàn)單點登錄是建立在身份認證服務(wù)基礎(chǔ)上的一個重要的應(yīng)用實例。所謂單點登錄就是指在以統(tǒng)一身份認證服務(wù)為基礎(chǔ)的B／S結(jié)構(gòu)的應(yīng)用中，用戶在某一個應(yīng)用登錄后，在不退出登錄的情況下，直接進入下一個應(yīng)用，而不需要用戶再次輸入用戶名和密碼。票據(jù)設(shè)計和COOKIE在單點登錄機制中，比較核心的數(shù)據(jù)結(jié)構(gòu)就是票據(jù)，票據(jù)是一個用于記錄登錄用戶狀態(tài)的唯一標識或憑證，成為Ticket和Token，是隨機生成的一個全局唯一的字符串。單點登錄需要客戶機瀏覽器長久保留登錄狀態(tài)的票據(jù)讓瀏覽器保存票據(jù)，那只能借助Cookie。目前，常用而有效的方法是將生成的票據(jù)存儲在客戶機瀏覽器的Cookie里，當客戶機在一定的時間間隔內(nèi)重復(fù)訪問服務(wù)器時就可以從Cookie里提取票據(jù)進行認證，不必提供用戶名和密碼。而HTTP是一種無狀態(tài)協(xié)議，用戶在關(guān)掉瀏覽器時很難保存會話狀態(tài)和保留票據(jù)。由于數(shù)字化校園網(wǎng)絡(luò)是分布式應(yīng)用系統(tǒng)，涉及多臺服務(wù)器，甚至多個校區(qū)的多臺服務(wù)器。而Cookie的存取只對同一域下的主機有效，如何實現(xiàn)跨域共享Cookie來訪問各應(yīng)用系統(tǒng)，是下面要解決的關(guān)鍵問題。跨域SSO認證過程描述跨域SSO登錄，比如A站點為a．hngczy1．corn，B站點為b．hngczy2．corn，認證中心站點C為c．hngczy3．corn，A，B站點和C站點沒有共同的父域，由于這種情況票據(jù)較復(fù)雜，這里暫時把C站點(C．hngczy3．com)g1]建的ticket叫做C-ticket，而A站點創(chuàng)建的叫A-ticket，B的為B-ticket．這種情況每個站點都要有創(chuàng)建Cookie的能力，如圖2所示。

由于A站點(a．hngczy1．corn)不能讀取到由C站點(c．)g1]建的票據(jù)，所以當用戶訪問A站點時，首先查看是否有A-ticket，如果沒有，證明用戶沒有在A站點登錄過，不過并不保證用戶沒有在B站點登錄，請求被重定向到之前訪問過的C站點，C站點讀取C-ticket，如果沒有，就需要重定向登錄頁面，登錄頁面完成登錄后，寫一個加密cookie，也就是C-ticket，并且重定向到A站點，并把ticket作為參數(shù)傳遞過去，A站點也要寫一個cookie，也就是A—ticket，今后用戶再次訪問A站點時，只需要檢查這個A—ticket是否存在即可。當用戶訪問B站點時，會重復(fù)上述過程。（6）用戶登錄服務(wù)流程數(shù)字化校園網(wǎng)站群跨域SSo系統(tǒng)的登錄及認證過程涉及用戶、校園網(wǎng)站群和web服務(wù)認證授權(quán)中心三個角色之間的交互，其登錄流程如圖3所示。本方案的整個流程中，除了最初輸入的用戶名和密碼外，其他所有傳輸?shù)亩际瞧睋?jù)，而最后客戶機拿此票據(jù)獲取登錄的用戶名和結(jié)束認證過程。

5、基于SOA的統(tǒng)一身份認證運用SOA構(gòu)建統(tǒng)一身份認證服務(wù)架構(gòu)，一方面它實現(xiàn)了平臺無關(guān)性，另一方面實現(xiàn)了分布式部署、組合和使用的服務(wù)。面向服務(wù)的架構(gòu)SOA

SOA(Service—OrientedArchitecture)是一種軟件架構(gòu)模型，它可以根據(jù)需要對松耦合的粗粒度應(yīng)用組件進行分布式部署、組合和使用。服務(wù)之間采用松耦合有兩大好處，第一是各種服務(wù)能夠靈活組合，第二是每個服務(wù)的內(nèi)部結(jié)構(gòu)和實現(xiàn)發(fā)生改變時，其構(gòu)成的整個應(yīng)用程序無需改變。目前支持SOA架構(gòu)概念的軟件體系有好幾種。使用基于SOAP（SIMPLEOBJECTACCESSPROTOCOL）協(xié)議的Web服務(wù)技術(shù)來構(gòu)建統(tǒng)一身份認證服務(wù)架構(gòu)，這種技術(shù)正快速發(fā)展．是未來的發(fā)展方向，它提供了一個系統(tǒng)架構(gòu)以及一系列的技術(shù)標準與規(guī)范。SOA的關(guān)鍵是“服務(wù)”的概念，在該架構(gòu)中，定義了兩個角色，服務(wù)提供者和服務(wù)使用者。（1）基于SOA的統(tǒng)一身份認證架構(gòu)

統(tǒng)一身份認證服務(wù)主要實現(xiàn)用戶管理、身份認證、分級權(quán)限管理和單點登錄等功能。以解決校園數(shù)字化建設(shè)過程中用戶定義模糊、用戶身份組織零亂、交叉權(quán)限管理定義和應(yīng)用系統(tǒng)入口多樣性等棘手的問題。

在基于SOA的統(tǒng)一身份認證服務(wù)架構(gòu)中，依據(jù)SOA定義的服務(wù)提供者和服務(wù)使用者角色，將統(tǒng)一身份認證服務(wù)所要實現(xiàn)的功能封裝成為服務(wù)提供者，作為服務(wù)使用者的各應(yīng)用系統(tǒng)必須依據(jù)統(tǒng)一服務(wù)接口所定義的調(diào)用方法才能調(diào)用服務(wù)。服務(wù)提供者按三層結(jié)構(gòu)來設(shè)計，分別為統(tǒng)一認證中心數(shù)據(jù)庫、統(tǒng)一信息管理和統(tǒng)一服務(wù)接口。對統(tǒng)一認證中心數(shù)據(jù)庫的訪問操作經(jīng)過封裝后．只有經(jīng)過統(tǒng)一服務(wù)接口才能進行訪問，同時在統(tǒng)一服務(wù)接口處設(shè)置相應(yīng)的安全性檢查和訪問控制的策略匹配來提高對中心數(shù)據(jù)庫的訪問安全。服務(wù)使用者調(diào)用一次服務(wù)的過程為：1)服務(wù)使用者依據(jù)認證語言及語法構(gòu)造認證指令。2）使用與服務(wù)提供者約定的加密算法對認證指令進行加密。3)將加密后的密文封裝成SOAP消息，并將消息發(fā)送到服務(wù)提供者。4)服務(wù)提供者收到SOAP消息后拆封并提取消息。5)使用與服務(wù)使用者約定的加密算法解密密文。6)對明文進行語法、語義進行有效性驗證，通過驗證后執(zhí)行認證指令。7）將執(zhí)行的結(jié)果加密、封裝為SOAP消息并再發(fā)送給服務(wù)使用者。8)服務(wù)使用者收到SOAP消息后拆封、解密并提取執(zhí)行的結(jié)果。

在上面所提到的認證指令是基于XML格式的，所以構(gòu)造與解析認證指令實際上是對XML的序列化與反序列化的過程，同時執(zhí)行結(jié)果也是XML格式的，所以提取執(zhí)行結(jié)果實際上也是對XML的處理，認證指令的描述見下節(jié)。對認證指令及執(zhí)行結(jié)果的加密與否在這里是可選的。當返回的執(zhí)行結(jié)果的信息量很大而對安全性要求不高的內(nèi)容可以不進行加密而直接返回明文，從而減少加密與解密所花的時間。（2）關(guān)鍵技術(shù)XML認證語言XML語言是被多種開發(fā)語言良好支持的擴展標記語言，建立在XML基礎(chǔ)上的認證語言將很好被其他開發(fā)語言解析利用。SOAP消息基于SOAP協(xié)議的消息的請求／響應(yīng)過程經(jīng)過4個階段：服務(wù)使用者構(gòu)造SOAP消息、服務(wù)提供者接收并解析SOAP消息、服務(wù)提供者響應(yīng)并構(gòu)造SOAP消息、服務(wù)使用者接收并解析SOAP消息認證指令為了定義規(guī)范的接口，通過模擬命令行系統(tǒng)中的指令系統(tǒng)，構(gòu)造一個基于XML的指令系統(tǒng)。6、基于VPN的統(tǒng)一身份認證

利用WebServices技術(shù)，單位內(nèi)所有的應(yīng)用系統(tǒng)都可以方便地發(fā)布和調(diào)用Web服務(wù)，實現(xiàn)異構(gòu)系統(tǒng)的互訪和用戶的統(tǒng)一身份認證。服務(wù)的發(fā)布和查詢等功能是通過建立私有UDDI注冊中心實現(xiàn)，這些服務(wù)只能在單位局域網(wǎng)內(nèi)部才可以調(diào)用。由于很多大型企事業(yè)單位在各地擁有眾多的分部，對于各分部之間以及分部和總部之間的網(wǎng)絡(luò)連接問題，目前主要采用VPN技術(shù)來解決，因此設(shè)計單點登錄系統(tǒng)還必須考慮VPN環(huán)境下的統(tǒng)一身份認證問題。和直接通過Internet訪問或租用專線連接方式相比，VPN(VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò))技術(shù)在構(gòu)建企業(yè)內(nèi)部網(wǎng)方面具有費用低、速度快、安全可靠以及可擴展性強等優(yōu)點。VPN通過“隧道”技術(shù)以及加密、身份認證等手段，達到對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，通過公眾網(wǎng)絡(luò)建立私有數(shù)據(jù)的傳輸通道，如同在廣域網(wǎng)中為企業(yè)提供的一條專線，用戶可以在任何地點安全可靠的進入局域網(wǎng)內(nèi)部，使用單位內(nèi)部的資源。在VPN環(huán)境下，各分部用戶以及外部用戶進入單位總部統(tǒng)一身份認證系統(tǒng)的解決方案見下圖所示：VPN環(huán)境下統(tǒng)一身份認證系統(tǒng)解決方案。通過配置VPN服務(wù)器，各分部和總部局域網(wǎng)內(nèi)的計算機可以暢通無阻地相互訪問，就好像只有一個局域網(wǎng)一樣，因此分部員工也可以正常登錄總部系統(tǒng)，實現(xiàn)統(tǒng)一身份認證，自由訪問任何一個應(yīng)用系統(tǒng)。而對于在家或臨時差又想訪問單位內(nèi)部資源的用戶來講，通過公共的Internet網(wǎng)，只要輸入正確的賬號信息，經(jīng)VPN服務(wù)器驗證通過后也可以作為合法用戶被轉(zhuǎn)至單點登錄系統(tǒng)?？梢钥闯?，采用VPN方式構(gòu)建企業(yè)內(nèi)部網(wǎng)，可以有效保護單位內(nèi)部重要的私有資源，在實現(xiàn)用戶統(tǒng)一身份認證時也更安全。

利用VPN技術(shù)還可以有效擴展統(tǒng)一身份認證系統(tǒng)實現(xiàn)的功能。除了單位固定用戶以外，對一些臨時拜訪或特殊身份人士訪問單位應(yīng)用系統(tǒng)，原本只能在LDAP或中心數(shù)據(jù)庫中增加相應(yīng)的臨時賬號信息來解決，而在VPN網(wǎng)絡(luò)中，只需在VPN設(shè)備中配置臨時用戶信息，不需改變單位原有的統(tǒng)一賬號信息，不僅提高了系統(tǒng)的靈活性，給用戶管理帶來方便，還可以有效解決外部用戶訪問單位內(nèi)部資源的問題。三、統(tǒng)一身份認證技術(shù)集合

第二章統(tǒng)一信息門戶的概念和實現(xiàn)Portal：門戶一、統(tǒng)一信息門戶的相關(guān)概念1、門戶和門戶網(wǎng)站：門戶這個概念是互聯(lián)網(wǎng)上第一次被認定為是一種商業(yè)模式。當時的概念是，門戶第一要有郵件，第二要有搜索，第三要有內(nèi)容。門戶網(wǎng)站的本意像互聯(lián)網(wǎng)的門一樣，因為用戶不可能一下子記住許多網(wǎng)站，門戶網(wǎng)站希望讓用戶習(xí)慣性地一上網(wǎng)就先到這兒，然后再通過它上面的鏈接轉(zhuǎn)到其他網(wǎng)站。不過由于以Google為代表的搜索網(wǎng)站的異軍突起，使得用戶可以從搜索網(wǎng)站直接找到感興趣的網(wǎng)頁，門戶網(wǎng)站美好的希望（成為每個互聯(lián)網(wǎng)用戶的起始網(wǎng)站）似乎落了空。所以門戶網(wǎng)站由搜索轉(zhuǎn)為新聞和內(nèi)容了。2、統(tǒng)一信息門戶非公眾信息企事業(yè)、機構(gòu)等為了使廣大訪問者借助互聯(lián)網(wǎng)與之溝通而產(chǎn)生的。有三層含義：統(tǒng)一入口、數(shù)據(jù)信息統(tǒng)一發(fā)布、內(nèi)/外交互。3、企業(yè)信息門戶平臺（EIP：EnterpriseInformationPorta）

指在Internet的環(huán)境下，把各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源統(tǒng)一集成到企業(yè)信息門戶之下，根據(jù)每個用戶使用特點和角色的不同，形成個性化的應(yīng)用界面，并通過對事件和消息的處理傳輸把用戶有機地聯(lián)系在一起。它不僅僅局限于建立一個企業(yè)網(wǎng)站，提供一些企業(yè)、產(chǎn)品、服務(wù)信息，更重要的是要求企業(yè)能實現(xiàn)多業(yè)務(wù)系統(tǒng)的集成、能對客戶的各種要求做出快速響應(yīng)、并且能對整個供應(yīng)鏈進行統(tǒng)一管理同面向公眾的信息門戶相比，企業(yè)信息門戶肩負著企業(yè)最重要的使命--為企業(yè)客戶的投資增值創(chuàng)建最高效率的業(yè)務(wù)模式，其功能和特性都圍繞著企業(yè)間競爭所需的一切高效率而生成，其最突出的特性就是對信息交流的實時雙向性的要求。在此基礎(chǔ)上，隨著具體功能的增加則可區(qū)分出不同的企業(yè)信息門戶應(yīng)用的水平。第一：企業(yè)信息門戶平臺已經(jīng)超出了傳統(tǒng)的管理信息系統(tǒng)概念，也越過了普通意義的網(wǎng)站，它是是企業(yè)管理信息系統(tǒng)與電子商務(wù)兩大應(yīng)用的結(jié)合點。企業(yè)對知識信息、對增長和擴散速度的需求是產(chǎn)生企業(yè)門戶概念的主要動力。企業(yè)門戶技術(shù)的應(yīng)用必將推動信息技術(shù)革命進入一個全新的階段。第二：企業(yè)信息門戶平臺的特點在于唯一性、集成性、個性化和整體性。企業(yè)門戶正是擁有這些新特點，才有了生命力。其中：唯一性是企業(yè)的要求，也是門戶的意義所在；集成性是現(xiàn)實條件的制約，體現(xiàn)了企業(yè)經(jīng)營的延續(xù)性；個性化則是客戶的偏好，也是企業(yè)門戶的生命力；而整體性則是企業(yè)對信息的高層次要求。第三：門戶只是門戶，企業(yè)只能利用為工具，服務(wù)于企業(yè)的基本目標。任何舍本逐末、脫離實際需要的盲目發(fā)展都是不可取的。當然，這里的目標指的是企業(yè)的中長期目標，從短期來看，實施企業(yè)門戶的效果不一定立竿見影，很有可能與企業(yè)短期贏利的目標相背離。第四：企業(yè)信息門戶平臺的概念仍然有待擴展，有待完善。與其他IT行業(yè)的新概念相仿，在這個新興領(lǐng)域，沒有現(xiàn)成的"詞典"，對概念的理解都是動態(tài)的。

二、企業(yè)信息門戶的功能和特點EIP功能：1、于企業(yè)內(nèi)部是管理和查詢?nèi)粘I(yè)務(wù)的公用平臺：員工可以訪問企業(yè)的客戶信息、銷售信息、生產(chǎn)信息、庫存信息、財務(wù)信息，以最低的成本共享和利用企業(yè)的所有信息；2、對外則是企業(yè)網(wǎng)站：通過企業(yè)門戶及時向客戶和合作伙伴提供產(chǎn)品、服務(wù)的信息。開拓新的網(wǎng)上業(yè)務(wù)，推動企業(yè)走進電子商務(wù)；3、使企業(yè)能夠釋放存儲在內(nèi)部和外部的各種信息；4、使企業(yè)員工、客戶和合作伙伴能夠從單一的渠道訪問其所需的個性化信息。EIP特點：1、統(tǒng)一的信息訪問渠道：通過將內(nèi)部和外部各種相對分散獨立的信息組成一個統(tǒng)一的整體，使用戶能夠從統(tǒng)一的渠道訪問其所需的信息，從而實現(xiàn)優(yōu)化企業(yè)運作和提高生產(chǎn)力的目的。2、不間斷的服務(wù)：通過網(wǎng)絡(luò)和安全可靠的機制使用戶在任何時間任何地點都可以訪問企業(yè)的信息和應(yīng)用，保證企業(yè)的業(yè)務(wù)運轉(zhuǎn)永不停頓，將網(wǎng)絡(luò)經(jīng)營的優(yōu)勢發(fā)揮到極至。3、強大的內(nèi)容管理能力：對企業(yè)各種類型信息的處理能力EIP支持幾乎各種結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)，能識別90多種關(guān)系型和OLAP數(shù)據(jù)庫中的數(shù)據(jù)，并可以搜索和處理各種格式的文檔。4、個性化的應(yīng)用服務(wù)：信息門戶的數(shù)據(jù)和應(yīng)用可以根據(jù)每一個人的要求來設(shè)置和提供，定制出個性化的應(yīng)用門戶，提高了員工的工作效率，增強了對顧客的親和力和吸引力。5、與現(xiàn)有系統(tǒng)的集成：能將企業(yè)現(xiàn)有的數(shù)據(jù)和應(yīng)用無縫地集成到一起，無需重新開發(fā)，保護了原有的投資。6、高度的可擴展性：能適應(yīng)企業(yè)新的人員和部門的調(diào)整的變化，滿足企業(yè)業(yè)務(wù)調(diào)整和擴展的要求，解決企業(yè)與IT部門短時間內(nèi)無法解決的技術(shù)需求問題。7、安全可靠的保障：通過安全機制保證數(shù)據(jù)的機密性及完整性，保障企業(yè)業(yè)務(wù)的正常運轉(zhuǎn)。三、為什么要建立EIP。隨著信息化建設(shè)的不斷發(fā)展，企業(yè)內(nèi)的信息系統(tǒng)的應(yīng)用越來越廣泛，為了適應(yīng)業(yè)務(wù)發(fā)展的需要逐步建立了不同的應(yīng)用系統(tǒng)，如ERP、財務(wù)、CRM、eHR、OA等管理系統(tǒng)，但由于歷史原因系統(tǒng)與系統(tǒng)缺乏整體的考慮。系統(tǒng)間彼此孤立，數(shù)據(jù)分散;用戶由于需要必須要頻繁的登錄不同的系統(tǒng)，使用方法不統(tǒng)一、安全性缺乏統(tǒng)一的管理機制與控制;對于企業(yè)內(nèi)部不同工作崗位的人員來說，所需要的資源存放在不同的系統(tǒng)當中，導(dǎo)致頻繁的在系統(tǒng)間來回的切換;同一信息在財務(wù)、ERP、CRM等系統(tǒng)可能都保存，導(dǎo)致信息的不一致，不同的信息由于分散存儲在不同的系統(tǒng)，也很難形成組織統(tǒng)一的信息模型;當企業(yè)面臨端到端的服務(wù)挑戰(zhàn)時，卻由于不同的業(yè)務(wù)流程在不同的系統(tǒng)流轉(zhuǎn)而無法滿足，企業(yè)的協(xié)同效率明顯受到制約。這些現(xiàn)象已并漸漸開始阻礙企業(yè)的管理與發(fā)展。幫助企業(yè)實現(xiàn)以下目標：員工、客戶、供應(yīng)商、合作伙伴可以在任何時間、任何地點迅速地獲得個性化的內(nèi)容、應(yīng)用和服務(wù)，并提供統(tǒng)一的訪問方式;及時、準確地傳遞各種企業(yè)運營數(shù)據(jù)和信息，提供高效獲取知識、整合知識、積累知識和傳播知識的有效途徑;打通全企業(yè)業(yè)務(wù)流程過程，優(yōu)化業(yè)務(wù)流程，提升業(yè)務(wù)協(xié)作能力，提高運營效率、增強業(yè)務(wù)靈活性和透明度;降低服務(wù)成本，提升快速適應(yīng)市場的能力，應(yīng)對端到端的新的服務(wù)模式。四、企業(yè)門戶要解決的問題及解決方案1、企業(yè)信息門戶平臺（EnterpriseInformationPortal），它通過數(shù)據(jù)與應(yīng)用的集成及個性化的控制，為管理者、雇員、供應(yīng)商、用戶、分銷商等提供一個唯一的企業(yè)接入點，通過該接入點，提供全面的企業(yè)信息和應(yīng)用。企業(yè)門戶是企業(yè)e化轉(zhuǎn)型的一個戰(zhàn)略性方向。企業(yè)e化轉(zhuǎn)型后展現(xiàn)給企業(yè)一個理想的未來：規(guī)范管理購銷過程，降低運營成本，壓縮供應(yīng)鏈，提高效率，科學(xué)決策，快速反應(yīng)，企業(yè)全球化等等。2、企業(yè)信息門戶平臺是將Web技術(shù)與企業(yè)的運作過程相集成的解決方案，提供了一個單獨的系統(tǒng)模塊來訪問信息和應(yīng)用。企業(yè)門戶可以根據(jù)用戶的商業(yè)需求和在企業(yè)中的角色來過濾確定用戶的訪問對象和內(nèi)容。3、企業(yè)信息門戶平臺在企業(yè)信息發(fā)布的高效和簡易性上面具有明顯的優(yōu)勢。它能將存儲在企業(yè)內(nèi)的各種數(shù)據(jù)源轉(zhuǎn)換為可用的信息，通過新型的信息傳遞方式傳遞，從而提高效率。在商務(wù)方面，它控制事務(wù)的處理和內(nèi)容，使得公司內(nèi)部和相互之間的通訊與交易變得更加有效率。它可減少生產(chǎn)循環(huán)的時間，提高客戶服務(wù)質(zhì)量，增加收益、擴大市場分額。4、企業(yè)信息門戶平臺解決方案應(yīng)包含一系列的服務(wù)功能，可以適用于企業(yè)門戶的各個方面，如門戶的設(shè)計、開發(fā)、提交和管理。它提供個性化的Web站點，能夠在Web站點和企業(yè)的其他資源之間把數(shù)據(jù)、應(yīng)用、事件和內(nèi)容連接在一起。5、企業(yè)信息門戶平臺解決方案應(yīng)具備完善的構(gòu)架，無論是采購員、工作調(diào)度員、銷售員，銷售經(jīng)理，行政管理人員，人力資源經(jīng)理，客戶，分銷商，代理商，合作伙伴，還是管理者，企業(yè)門戶都能讓其迅速獲取有關(guān)業(yè)務(wù)、應(yīng)用及服務(wù)等方面的信息，為每一個角色提供一個個性化的信息門戶：面向企業(yè)內(nèi)部：企業(yè)知識門戶，員工門戶。面向企業(yè)外部：分銷商門戶，代理商門戶，客戶門戶，合作伙伴門戶。6、應(yīng)可以集成的模塊：人事管理，知識管理，銷售管理，項目管理，客戶資源管理，資產(chǎn)產(chǎn)品管理，工作流程管理。7、好的解決方案應(yīng)具備：■先進的開發(fā)架構(gòu)

■所有業(yè)務(wù)模塊協(xié)同性

■跨企業(yè)應(yīng)用的集成，集成企業(yè)內(nèi)外的資源

■短小的實施時間

■性能與可伸縮性

■更高的可用性選件8、解決方案結(jié)構(gòu)圖第三章統(tǒng)一數(shù)據(jù)庫及數(shù)據(jù)共享、工作流一、數(shù)據(jù)共享的相關(guān)概念1、數(shù)據(jù)共享的概念非常廣泛。這里討論的數(shù)據(jù)共享是指企事業(yè)單位內(nèi)面對膨大的、按不同存儲機制存儲、存儲在不同介質(zhì)上，不同時期的數(shù)據(jù)如何共享。數(shù)據(jù)共享是數(shù)據(jù)中心的首要任務(wù)，也是數(shù)據(jù)中心資源整合、數(shù)據(jù)融合的需要和體現(xiàn)。2、數(shù)據(jù)共享的模式目前，解決數(shù)據(jù)共享的模式大致有三種：數(shù)據(jù)格式轉(zhuǎn)換模式、直接數(shù)據(jù)訪問模式和數(shù)據(jù)互操作模式。對于數(shù)據(jù)格式轉(zhuǎn)換模式，由于缺乏對數(shù)據(jù)對象統(tǒng)一的描述方法，不同數(shù)據(jù)格式描述空間對象時采用的數(shù)據(jù)模型不同，因而轉(zhuǎn)換后不能完全準確地表達原數(shù)據(jù)的信息，經(jīng)常性地造成一些信息丟失，且各轉(zhuǎn)換方案還沒有為數(shù)據(jù)的集中和分布式處理提供解決方案，不能自動同步更新.直接數(shù)據(jù)訪問提供了一種更為經(jīng)濟實用的多源數(shù)據(jù)共享模式，但直接數(shù)據(jù)訪問同樣要建立在對要訪問的數(shù)據(jù)格式的充分了解的基礎(chǔ)上，如果要訪問的數(shù)據(jù)的格式不公開，就難以實現(xiàn)了。數(shù)據(jù)互操作模式數(shù)據(jù)互操作為多源數(shù)據(jù)集成提供了嶄新的思路和規(guī)范，為數(shù)據(jù)集中式管理、分布式存儲與共享提供了操作的依據(jù).數(shù)據(jù)互操作模式指在異構(gòu)數(shù)據(jù)庫和分布計算的情況下，用戶在相互理解的基礎(chǔ)上，能透明地獲取所需的信息.數(shù)據(jù)互操作是當前數(shù)據(jù)共享與集成研究的熱點問題之一。數(shù)據(jù)互操作模式主有兩種實現(xiàn)途徑：數(shù)據(jù)倉庫技術(shù)（DataWarehouse）和基于中間層系統(tǒng)（Mediator-basedSystem）.兩種技術(shù)的差別主要在于各組件之間關(guān)系的緊密程度和可擴展性上。

數(shù)據(jù)倉庫（DATAWAREHOUSE）技術(shù)將基礎(chǔ)數(shù)據(jù)交給少數(shù)設(shè)計良好、聯(lián)系緊密的數(shù)據(jù)中心管理.數(shù)據(jù)中心內(nèi)數(shù)據(jù)的集成由事先的“預(yù)計算”完成.該模式優(yōu)點在于少數(shù)核心數(shù)據(jù)中心的運行效率高，但缺點在于不利于數(shù)據(jù)中心以外不斷增加的數(shù)據(jù)源的集成，特別是大量半結(jié)構(gòu)化數(shù)據(jù)的集成.而基于中間層系統(tǒng)則是建立在大量相對自治的數(shù)據(jù)和服務(wù)源的基礎(chǔ)上，各數(shù)據(jù)源間通過統(tǒng)一的標準協(xié)議相互通信，在需要時完成的數(shù)據(jù)集成。顯然，基于中間層系統(tǒng)的體系結(jié)構(gòu)更為適應(yīng)數(shù)字流域系統(tǒng)可擴展性和模塊化的要求.本文將根據(jù)數(shù)字流域體系的特點，提出基于中間層系統(tǒng)的數(shù)字流域數(shù)據(jù)集成與共享三層結(jié)構(gòu)框架。3、數(shù)據(jù)共享方法中間數(shù)據(jù)庫方式基于數(shù)據(jù)倉庫的方式數(shù)據(jù)交換系統(tǒng)

基于XML技術(shù)的數(shù)字流域數(shù)據(jù)集成與共享

基于元數(shù)據(jù)的數(shù)據(jù)共享基于統(tǒng)一數(shù)據(jù)庫的數(shù)據(jù)共享介紹中間數(shù)據(jù)庫方式（企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)共享方案）實現(xiàn)數(shù)據(jù)共享：SAP系統(tǒng)、DCMS（DesktopContentManagementSystem的縮寫，意為桌面內(nèi)容管理系統(tǒng)）

、SRM（SupplierRelationshipManagement

）、MES（(ManufacturingExecutionSystem)、PDM(ProductDataManagement)等系統(tǒng)。各系統(tǒng)之間存在著數(shù)據(jù)交換的需求，因此如何設(shè)計出一套數(shù)據(jù)共享方案，將需求的數(shù)據(jù)信息在所有系統(tǒng)中最大程度地得到共享并保證各系統(tǒng)的穩(wěn)定、安全運行，有著十分重要。DCMS、SAP數(shù)據(jù)的一致性、完整性（每15分種運行一次數(shù)據(jù)接口），SRM與SAP的數(shù)據(jù)重用性，SAP的負荷等設(shè)計一個中間數(shù)據(jù)庫（DC），把導(dǎo)入的數(shù)據(jù)以最簡單的格式呈現(xiàn)，各系統(tǒng)需要導(dǎo)出的數(shù)據(jù)均直接導(dǎo)入到DC，需要從其他系統(tǒng)獲取的數(shù)據(jù)，只要從DC中抓取即可。增加一個中間數(shù)據(jù)庫既保證了各系統(tǒng)數(shù)據(jù)的安全性又簡化了系統(tǒng)導(dǎo)入數(shù)據(jù)的復(fù)雜度。

中間數(shù)據(jù)庫-DC結(jié)構(gòu)圖

以SAP與SRM系統(tǒng)數(shù)據(jù)接口為例：SAP接口程序負責(zé)從SAP獲取相關(guān)的數(shù)據(jù)并把其完整的導(dǎo)入到數(shù)據(jù)中心里，SRM接口程序負責(zé)從數(shù)據(jù)中心獲取SAP接口程序最新導(dǎo)入完成的相關(guān)的數(shù)據(jù)并把其完整的導(dǎo)入SRM里。由于方案要求SAP接口程序完成后SRM接口程序要自動把SAP導(dǎo)入接口數(shù)據(jù)庫的數(shù)據(jù)導(dǎo)入到SRM系統(tǒng)中，所以需要在數(shù)據(jù)中心中添加一個接口更新LOG表，當SAP接口程序完成后會在接口更新LOG表添加一個狀態(tài)為S的記錄，而SRM接口程序會不停的輪尋，如果發(fā)現(xiàn)接口更新LOG表有狀態(tài)為S的記錄，則立即進行接口數(shù)據(jù)到SRM系統(tǒng)數(shù)據(jù)的同步。

中間數(shù)據(jù)庫對于傳輸數(shù)據(jù)的觸發(fā)機制詳細方案：還是以SAP與SRM系統(tǒng)之間的數(shù)據(jù)傳輸為例：整個接口的觸發(fā)機制通過SAPJ0b服務(wù)、接口Log表、B2BServiceTool、SAP接口程序、SRM接口程序五部分組成，首先SAPJob服務(wù)會定時觸發(fā)SAP接口程序來把SAP的數(shù)據(jù)進行整理并導(dǎo)入數(shù)據(jù)到接口數(shù)據(jù)庫，在導(dǎo)入成功的同時會在接口數(shù)據(jù)的Log表里插入一筆成功的記錄，B2BServiceTool會定時不停的輪尋并觸發(fā)SRM接口程序，SRM接口程序會到接口Log表查看是否有最新的成功的記錄，如果有則把相關(guān)的數(shù)據(jù)導(dǎo)入到SRM里。請參照下圖。

介紹基于數(shù)據(jù)倉庫的數(shù)據(jù)共享方法：電子校務(wù)概況學(xué)校信息化的現(xiàn)狀業(yè)務(wù)系統(tǒng)信息孤島電子校務(wù)建設(shè)思路保護投資保證業(yè)務(wù)系統(tǒng)正常工作限制項目風(fēng)險擴展性強投資力度靈活適用面廣整合之道今天，在猶如災(zāi)難般的信息洪潮中，我們通過“信息整合”粘合“信息孤島”筑起信息時代的“諾亞方舟”。-------IBM電子校務(wù)結(jié)構(gòu)設(shè)計電子校務(wù)基礎(chǔ)平臺電子校務(wù)應(yīng)用數(shù)據(jù)接口電子校務(wù)的內(nèi)容統(tǒng)一身份認證辦公自動化系統(tǒng)統(tǒng)一信息門戶共享數(shù)據(jù)平臺共享數(shù)據(jù)中心共享數(shù)據(jù)庫時態(tài)數(shù)據(jù)庫數(shù)據(jù)收集模塊報表系統(tǒng)數(shù)據(jù)訂閱OLAP分析統(tǒng)一信息標準應(yīng)用數(shù)據(jù)接口數(shù)據(jù)抽取維護工具共享數(shù)據(jù)平臺基本結(jié)構(gòu)已有的業(yè)務(wù)數(shù)據(jù)庫已有的業(yè)務(wù)數(shù)據(jù)庫已有的業(yè)務(wù)數(shù)據(jù)庫共享數(shù)據(jù)庫數(shù)據(jù)收集庫數(shù)據(jù)收集模塊歷史數(shù)據(jù)庫在線分析庫數(shù)據(jù)整合數(shù)據(jù)訪問服務(wù)數(shù)據(jù)訪問數(shù)字檔案OLAP展現(xiàn)共享數(shù)據(jù)層歷史數(shù)據(jù)層數(shù)據(jù)倉庫層數(shù)據(jù)服務(wù)層業(yè)務(wù)數(shù)據(jù)層新建業(yè)務(wù)數(shù)據(jù)庫共享數(shù)據(jù)流程共享數(shù)據(jù)平臺的數(shù)據(jù)來源（1）■ETL抽取-業(yè)務(wù)系統(tǒng)

ETL：數(shù)據(jù)抽取、轉(zhuǎn) 換、裝載同構(gòu)數(shù)據(jù)源：ORACLE

異構(gòu)數(shù)據(jù)源：

SqlServer，DB2， Sybase，Access， ODBC……

優(yōu)點：不影響業(yè)務(wù)系統(tǒng)的正常工作流程共享數(shù)據(jù)平臺的數(shù)據(jù)來源（2）■數(shù)據(jù)收集-個人

審核機制 關(guān)鍵性數(shù)據(jù)：需審核（一審、二審）非關(guān)鍵數(shù)據(jù)：無需審核時態(tài)數(shù)據(jù)庫■時態(tài)數(shù)據(jù)

保存數(shù)據(jù)的變更信息，如數(shù)據(jù)的插入、刪除、更新，以備查詢過去某個時間點上的數(shù)據(jù)?！鰞深悤r態(tài)數(shù)據(jù)關(guān)鍵性信息（比如：教職工的職稱職務(wù)變更，學(xué)生的學(xué)籍異動等）各類信息標準1.增加了三個特征字段：

ZXZT（操作狀態(tài)）

SXRQ（生效日期）

SHXRQ（失效日期）

時態(tài)數(shù)據(jù)實現(xiàn)技術(shù)時態(tài)數(shù)據(jù)實現(xiàn)技術(shù)2.實現(xiàn)步驟（1）初始化（2）差異數(shù)據(jù)生成。（3）數(shù)據(jù)同步寫入時態(tài)數(shù)據(jù)表中。（4）在OMS里自動調(diào)度。共享數(shù)據(jù)庫數(shù)據(jù)源表時態(tài)數(shù)據(jù)庫時態(tài)數(shù)據(jù)目標表差異比較差異數(shù)據(jù)Updata差異數(shù)據(jù)Delete差異處理存儲過程差異處理存儲過程差異處理存儲過程差異數(shù)據(jù)InsertSXRQ=sysdateSHXRQ=nullSXRQ=sysdateSHXRQ=nullSXRQ=sysdateSHXRQ=sysdate共享數(shù)據(jù)平臺提供的應(yīng)用1.數(shù)字檔案共享數(shù)據(jù)平臺提供的應(yīng)用2.報表-（如考核表）

■過去 個人手工填寫， 部門領(lǐng)導(dǎo)審核 簽字。

■現(xiàn)在可以實現(xiàn)年終考核表個人信息科研信息教學(xué)信息外事信息共享數(shù)據(jù)庫共享數(shù)據(jù)平臺提供的應(yīng)用3.聯(lián)機分析處理（OLAP）共享數(shù)據(jù)平臺提供的應(yīng)用4.數(shù)據(jù)訂閱

－補充完善業(yè)務(wù)部門的數(shù)據(jù)在電子校務(wù)建設(shè)中，共享數(shù)據(jù)平臺是信息資源的積累和應(yīng)用的基礎(chǔ)，今后有必要積累更多的數(shù)據(jù)，開發(fā)更多的應(yīng)用。數(shù)據(jù)挖掘也需要投入更多的工作，以使當前數(shù)據(jù)、歷史數(shù)據(jù)在整個校務(wù)工作中發(fā)揮更好的作用，充分展現(xiàn)數(shù)字化校園的強大優(yōu)勢?；赬ML技術(shù)的數(shù)字流域數(shù)據(jù)集成與共享

二、元數(shù)據(jù)、工作流1、元數(shù)據(jù)元數(shù)據(jù)的定義：元數(shù)據(jù)(Metadata)，即數(shù)據(jù)的數(shù)據(jù)(Dataaboutdata)