版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
农业物联网工程设计与实施项目XXXXXXXXXXXXXXXxxxxxxxxxxxx第二讲数据中心软件技术提纲第一章统一身份认证的概念和实现统一信息门户的概念和实现统一数据库及数据共享、工作流虚拟化技术实现数据中心(在第三讲中讲述)第二章第三章第四章第一章统一身份认证概念与实现统一身份认证概念的由来1
信息管理安全需要
BS7799ISO2700XGB/T22080-2008信息安全管理体系认证
ILM管理的需要身份认证主导的ILM没有身份认证管理,这样的ILM解决方案充其量不过是较为经济的数据备份方案。2第一章统一身份认证概念与实现统一身份认证概念的由来1方便用户的需要
业务系统多,多次注册、登录,用户名、密码多,容易忘记,没有一个统一的信息入口,没有实现统一的用户管理与统一的身份认证;2
数据中心的需要
RSA首席技术官认为在2009数据中心中,为了应对各种安全威胁,提升安全防御水平,身份认证方面正在从静态安全转移到动态智能安全;BS7799--信息安全圣经
第一部分,名为(CodeofPracticeforInformationSecurityManagement),2000年被采纳为ISO/IEC17799,目前其最新版本为2005版,也就是ISO17799:2005。ISO17799:2005通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳实践)。
第二部分,名为(InformationSecurityManagementSpecification),其最新修订版在05年10月正式成为ISO27001,ISO27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。
目前7799的第三个部分也正式成为了英国标准(BritishStandard),即BS7799-3:2005-ISMS-信息安全风险管理指南(InformationSecurityManagementSystems-GuidelinesforInformationSecurityRiskManagement)。BS7799--信息安全圣经
ISO27000--信息安全标准
ISO27000系列安全标准将有6个部分组成::ISO27000:定义在ISO27000系列信息安全标准中应用的特殊技术术语;ISO27001:即BS7799-2的ISO版本、已经在2005年10月成为正式标准;ISO27002:即BS7799-1的ISO版本,也是ISO17799:2005的更新版本,将在2006或2007年发布;ISO27003:将成为如何应用ISO27000系列标准的指南;ISO27004:将成为一个全新的、用来衡量信息安全管理系统(ISMS)实施效果的信息安全管理结构和度量标准(InformationSecurityManagementMetricsandMeasurementstandard),目前处理草案阶段。ISO27005:将是BS7799-3的ISO版本。ISO27006:信息安全管理体系审核认证机构的要求GB/T22080-2008
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,ISMS)提供模型。可到有关网站上下载ILM介绍身份认证管理主导的ILM一方面要应付数据量的快速增长、有效地保护数据资源、简化数据资源管理,另一方面又要控制IT成本.ILM(InformationLifetimeManagement,信息生命周期管理)不能仅仅局限于“数据的生命周期”,而且要注意到“用户的生命周期”。也就是说,数据在其生命周期的不同阶段应该怎样来分别处理?用户在其生命周期的不同阶段应该被赋予怎样的权限和方式来访问数据?
ILM的起源来自现实需求,也就是说,数据应该根据其在生命周期中所处的阶段来用不同的手段进行管理。这种技术在相当大的程度上改善了数据管理方式,但是当今普遍流行的ILM仍然有很多局限性,主要体现在以下几个方面:
•仅仅专注于通过层次化的存储策略来降低成本,缺乏综合性的方法;
•数据的迁移基本上是单方向的,即从主存储磁盘向附属的磁盘或者磁带库,缺乏反向的“激活”能力;
•缺乏多种不同的产品来分别实现数据的分类、管理和迁移,特别是在归档和备份时更是如此;
•仅仅解决数据迁移和保持力问题,对数据访问能力缺乏关注。一、统一身份认证概念(一)身份认证的基本概念:
1、身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一。2、身份认证的作用:从上面的定义,我们不难看出,身份认证就是为了确保用户身份的真实、合法和唯一。这样,就可以防止非法人员进入系统,防止非法人员通过违法操作获取不正当利益,访问受控信息,恶意破坏系统数据的完整性的情况的发生。同时,在一些需要具有较高安全性的系统中,通过用户身份的唯一性,系统可以自动记录用户所作的操作,进行有效的稽核。
一、统一身份认证概念3、身份认证的分类
目前,身份认证的方法形形色色,从身份认证所用的物理介质分,主要有口令、磁卡、条码卡、IC卡、智能令牌、指纹、密码表等;从身份认证过程中与系统的通信次数分,有一次认证、两次认证;从身份认证所应用的系统来分,有单机系统身份认证和网络系统身份认证。并且,很多系统的身份认证是上述各种方法的组合,更显得五花八门,但这些都是表面现象,从身份认证的基本原理上来说,身份认证可以分为静态身份认证和动态身份认证。
一、统一身份认证概念静态身份认证:
静态身份认证是指用户登录系统、验证身份过程中,送入系统的验证数据是固定不变的,符合这个特征的身份认证方法称为静态身份认证。
静态身份认证主要可以分为单因素静态口令身份认证和双因素静态身份认证。
1、单因素静态口令身份认证
(1)单因素静态口令身份认证的基本原理
静态口令是一种单因素认证方法,通常采用如下形式:当用户需要访问系统资源时,系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心。并和认证中心保存的用户信息进行比对。如果验证通过,系统允许该用户进行随后的访问操作,否则拒绝用户的进一步的访问操作。一、统一身份认证概念(2)单因素静态口令身份认证的一般应用
单因素静态口令身份认证一般用于早期的计算机系统,目前,在一些比较简单的系统或安全性要求不高的系统中也有应用,例如PC机的开机口令、UNIX系统中用户的登录、Windows用户的登录、电话银行查询系统的账户口令等等。
现在的系统大多数还是采用的单因素静态口令身份认证方法。但事实上,单因素静态口令身份认证存在着诸多的不安全因素。
(3)单因素静态口令身份认证的不安全因素及应对措施
静态密码是用户和机器之间共知的一种信息,而其他人不知道,这样用户若知道这个口令,就说明用户是机器所认为的那个人。在大多数情况下,网络或系统登录控制通常使用的口令是静态的,也就是说在一定时间内是固定不变的,而且可重复使用。难道在每次会话后修改一次密码吗?显然是不切实际的!这样的话,就有安全隐患了!因为若他人知道用户的密码,就可冒用用户的身份登录系统或网络,进行非法操作等行为,给真实用户的利益造成损害!一、统一身份认证概念单因素静态口令身份认证的不安全因素列举如下:
①一个口令多次使用,容易造成泄露和被黑客或心怀叵测的人观察窃取;
②为便于记忆,大多数网络用户,喜欢用自己所熟悉的人名,日期,门牌号码,电话号码及组合作为口令,因此很容易被猜测;
③在多个业务服务和应用使用相同的口令,用户喜欢使用容易记住的口令,或在同事之间,由于工作关系往往共享口令;
④通过窃听技术,网络中传输的口令数据可能被截获和分析;
⑤有各种猜测口令的黑客程序可以进行猜测口令攻击;
⑥某些驻留在计算机内部的黑客程序可以记录用户输入的口令;
⑦在很多情况下口令泄露后,往往口令的持有者并不能及时发觉;
一、统一身份认证概念
由于以口令作为身份认证的要素,不论因为何种原因造成口令泄露都会导致系统侵入攻击。因此为提高安全性通常会配合相应的管理制度控制口令的使用。例如:
①口令长度和内容有限制。如要求口令的长度要8位以上,而且要有数字和大小写字母混合组成等;
②定期更换口令。有的系统要求用户在一个月必须更换口令,否则不准登录;
③不同系统功能采用不同的口令。对拥有不同系统权限的用户,登录不同系统必须采用不同的口令,以减少口令泄露带来的影响;
④要求用户在固定的设备上登录。有的系统要求某些用户只能在某些事先设定的终端上才能登录,在其他终端上拒绝登录;
⑤要求用户在固定的时间段内登录。有的系统要求用户只能在上班时间或其他时间登录,在其他时间拒绝登录;
⑥不准多人共享同一用户名和口令。
一、统一身份认证概念
采用以上方法虽然可以在一定程度上提高了系统的安全性,但是并不能从根本上解决上述问题。同时也造成用户使用不便。例如要求用户采用了复杂的口令,同时经常更换,当然增加了猜测口令的难度。但同时用户记忆口令的难度也增大。有些用户为避免遗忘口令,往往将口令记录在记事本上,甚至记录在终端上的记录条上,这又增加了口令泄露的可能性。由此产生的系统安全问题数不胜数,而且窃取口令后,对系统的侵入和攻击不容易分清肇事者的责任。采用冒名口令方式,已经成为非法系统侵入的主要方式。
因此,在需要较高安全性的网络登录上通常不采用单因素认证方法,或采用经过改进的双因素静态身份认证,或采用动态身份认证。
一、统一身份认证概念
因此,在需要较高安全性的网络登录上通常不采用单因素认证方法,或采用经过改进的双因素静态身份认证,或采用动态身份认证。
2、双因素静态身份认证
(1)双因素静态身份认证的基本原理
所谓双因素认证方式即在单一的记忆因素(固定口令)认证基础上结合第二物理认证因素,以使认证的确定性按指数递增。
在此所讲的物理认证因素包括磁卡、条码卡、MemoryIC卡、指纹等。
当然,双因素静态身份认证也同样符合静态身份认证方法的特征,即用户登录系统、验证身份过程中,送入系统的验证数据是固定不变的。
一、统一身份认证概念双因素静态身份认证的一般流程如下:①用户在登录业务终端上输入ID和口令;
②业务终端通过专用设备如磁条读写器、条码阅读器、IC读写器、指纹仪等设备将第二个物理认证因素上的数据读入;
③业务终端将所有数据打包(加密)后,送到中心主机进行验证;
④中心主机系统将登录数据包解包(脱密)后,进行安全认证;
⑤业务终端接收中心主机返回的认证结果,并根据结果进行下一步操作。
一、统一身份认证概念
(2)双因素静态身份认证良好的安全性
双因素静态身份认证是对单因素静态口令身份认证的一个改进,因为有了第二物理认证因素,使得认证的确定性得到指数递增。所以,目前很多银行计算机业务处理系统中,柜员的身份认证,大多采用双因素静态身份认证,每个柜员都有一张柜员磁卡或柜员IC卡。因此,双因素静态身份认证是目前安全性要求较高的系统中,用得最多的一种身份认证方法。
但只要是静态身份认证,就存在着不安全的因素。从原理上分析,一个最简单的方法就是截取某一合法用户的登入数据,或仿制第二物理认证因素,或将合法数据直接输入业务终端,就可以实现非法登录。那么,如果想要防止这种情况的发生,怎么办呢?采用动态身份认证的方法。
一、统一身份认证概念动态身份认证
相对于静态身份认证,所谓动态身份认证就是指用户登录系统、验证身份过程中,送入系统的验证数据是动态变化的,符合这个特征的身份认证方法称为动态身份认证。动态口令认证技术的类型与工作原理:
动态口令(DynamicPassword)也称一次性口令(One-timePassword)。动态口令是变动的口令,其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子(twofactor):其一,为用户的私有密钥。它是代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,一、统一身份认证概念形成了不同的动态口令认证技术:基于时间同步(TimeSynchronous)认证技术、基于事件同步(EventSynchronous)认证技术和挑战/应答方式的非同步(Challenge/ResponseAsynchronous)认证技术。
基于时间同步认证技术是把时间作为变动因子,一般以60秒作为变化单位。所谓“同步”是指用户口令卡和认证服务器所产生的口令在时间上必须同步。这里的时间同步方法不是用“时统”技术,而是用“滑动窗口”技术。图1为客户终端访问系统时,基于时间同步的认证过程。
一、统一身份认证概念一、统一身份认证概念①:客户请求接入应用服务器;
②:应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证;
③:客户终端弹出身份认证对话框;
④:客户在持有的口令卡上键入PIN码(或开机码),激活口令卡;
⑤:客户将帐号和口令键入终端的身份认证对话框;
⑥:客户终端将帐号和口令通过网络传输给认证服务器;
⑦:认证服务器调用客户信息,产生与客户信息和时间相关的随机序列,并与客户输入的口令进行比对,判别客户身份的合法性和真实性;
⑧:认证服务器将认证结果报告给应用服务器;
⑨:应用服务器根据客户身份的合法性和真实性反馈给客户终端,并决定可以提供服务或拒绝服务。
一、统一身份认证概念2)事件同步认证技术
基于事件同步认证技术是把变动的数字序列(事件序列)作为口令产生器的一个运算因子,与用户的私有密钥共同产生动态口令。这里的同步是指每次认证时,认证服务器与口令卡保持相同的事件序列。如果用户使用时,因操作失误多产生了几组口令出现不同步,服务器会自动同步到目前使用的口令,一但一个口令被使用过后,在口令序列中所有这个口令之前的口令都会失效。其认证过程与时间同步认证相同。一、统一身份认证概念3)挑战/应答认证技术
挑战/应答(Challenge/Response)方式的变动因子是由认证服务器产生的随机数字序列(Challenge),它也是口令卡的口令生成的变动因子,其认证过程见图2所示:
一、统一身份认证概念动态口令三种认证技术的区别:一、统一身份认证概念当前,市场上使用最多的是时间同步认证技术,它既能在大型电子商务系统中应用,也能在内部网中应用。为了保证认证服务器“时钟”的稳定、可靠,不被人恶意修改,保证动态口令算法的安全,北京捷安世纪科技公司为认证服务器专门开发了“时钟/口令卡”。
动态口令的典型应用:(1)动态口令在内联网中的应用
(2)动态口令在网上银行系统中的应用(3)动态口令在证券交易系统中的应用
(4)动态口令在办公自动化(OA)系统中的应用
一、统一身份认证概念动态口令身份认证系统除了上述典型应用之外,凡是使用“口令”进行身份认证的地方,均能使用动态口令。例如:动态口令与防火墙结合,实现防火墙的强身份控制;动态口令与VPN网关结合,建立安全隧道;动态口令与Web服务器结合,控制与互联网的接入;动态口令与E-mail服务器结合,避免系统资源通过E-mail服务器外传等等。
一、统一身份认证概念一、统一身份认证概念一、统一身份认证概念一、统一身份认证概念一、统一身份认证概念4、统一身份认证的定义统一身份认证就是用户登录统一身份认证系统后,可以使用企业内部所有支持统一身份认证系统的应用系统。统一身份认证的优点是,从使用角度出发.采用统一身份认证后,用户只需要使用同一用户名、同一令牌就可以登录所有允许他登录的系统,用户使用更加方便;从安全角度出发,管理人员可以在认证系统集中地对各个应用系统上的用户进行管理,控制用户的访问范围和权限,并记录用户的行为,使整个企业应用系统的安全管理水平得到极大提高。一、统一身份认证概念5、统一身份认证的应用背景计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高,在企业信息化过程中,诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生,提高了企业的管理水平和运行效率。与此同时,各个应用系统都有自己的认证体系,随着应用系统的不断增加,一方面企业员工在业务系统的访问过程中,不得不记忆大量的帐户口令,而口令又极易遗忘或泄露,为企业带来损失;另一方面,企业信息的获取途径不断增多,但是缺乏对这些信息进行综合展示的平台。一、统一身份认证概念6、统一身份认证的设计目标统一身份认证系统的设计需要达到以下目标:
(1)支持Web服务技术框架,使得在对各个应用系统实施应用集成的时候,能够使用这个统一身份认证系统进行身份认证。
(2)方便使用,能够尽可能地利用现有系统的身份认证模块以及现有的用户设置和权限设置,减少新的用户设置和权限设置的费用,同时避免对现有系统进行大规模的修改。
(3)具有良好的扩展性和可集成性,不仅能支持现有的应用系统,而且当有新的应用系统被开发时,该统一身份认证系统可以作为它的登录和身份认证模块的形式工作,减少了新应用系统开发的费用和周期。一、统一身份认证概念7、统一身份认证的认证流程统一身份认证系统提供了两个接口:
(1)用户认证,通过统一的接口来验证用户名称和用户密码。
(2)用户信息及权限,提供指定用户信息及权限信息,便于不同应用系统获取用户信息和权限。
统一身份认证系统的身份认证流程如图1所示。一、统一身份认证概念
8、统一认证系统结构当需要访问的系统增多,各个系统都有自己的安全策略,采用单点登录机制后,使用单一账号,系统维护自动接驳到后台各应用系统的账号管理。灵活可扩展的认证接口,支持LDAP、NIS、AD、PKI等标准认证技术。采用软件加密和硬件加密相结合、应用数字证书,对用户身份和敏感数据进行加密,确保数据的安全性和隐私性。一、统一身份认证概念统一认证系统结构图:如下图二、统一身份认证技术(一)常用的主流身份认证技术1、静态的单一密码体系:用户名/密码方式2、静态的物理特征认证:IC卡认证、生物特征认证3、动态的认证:动态口令4、双因子认证:USBKEY基于USBKey的身份认证方式是一种方便、安全、经济的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码学算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式;二是基于PKI体系的认证模式。二、统一身份认证技术(二)常用的加密认证体系1、数字证书、数字签名数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限。数字证书是由权威机构(CA)采用数字签名技术,颁发给用户,用以在数字领域中证实用户其本身的一种数字凭证。
数字证书的内部格式是由CCITTX.509国际标准所规定的,它主要包含了以下几点:证书拥有者的姓名,证书拥有者的公共密钥,证书的有效期,证书的序列号,颁发证书的单位机构,颁发证书单位的数字签名,证书的扩展信息。
二、统一身份认证技术数字签名:签名的作用有两点:一是签名难以否认,从而确认了文件已签署的事实,二是因为签名不易仿冒,从而确定了文件的真实性。数字签名也一样,它确定以下两点:信息是由签名者发出的,信息自签名后没有作过任何修改。
二、统一身份认证技术(二)常用的加密认证体系数字签名:签名的作用有两点:一是签名难以否认,从而确认了文件已签署的事实,二是因为签名不易仿冒,从而确定了文件的真实性。数字签名也一样,它确定以下两点:信息是由签名者发出的,信息自签名后没有作过任何修改。
数字签名的原理和过程如下:1、被发送文件用某种HASH算法产生128位的数字摘要。2、发送方用自己的私钥对摘要进行加密,这就形成了数字签名。3、将原文和加密的摘要同时传给对方。4、对方用发送方的公钥对摘要解密,同时对收到的文件用与发送方相同的HASH算法产生又一个摘要。5、将解密后摘要和收到的文件在接收方重新产生的摘要相互对比,如两者一致,则说明文件是由发送方发出的,并在传输过程中信息没有被破坏或篡改过。否则不然。二、统一身份认证技术
2、密码技术---DES算法\RSA算法在INTERNET上对数据的加密一般分为对称加密和非对称加密,对称加密以DES为代表,非对称加密以RSA为代表。
DES算法:DES(DataEncryptionStandard)是一种单密钥算法,也是一种最有代表性的分组加密体制,数据分组长度是64bit(8byte),密文分组长度也是64bit,没有数据扩展。密钥长度为64bit,其中有8bit奇偶校验,有效长度为56bit。为加强安全性,又可采用三重DES。DES的整个体制是公开的,系统的安全性依赖赖于密钥。二、统一身份认证技术(二)常用的加密认证体系RSA算法:RSA是一种基于公钥体制的双密钥的算法,这一算法的最大特点就是有一对密钥,一个公开发布作为加密密钥,一个由用户妥善保管作为解密密钥,通讯双方无须事先交换密钥就可进行保密通讯。该体制的另一个特点是无法从一个密钥推断出另一个密钥,以及不能用加密密钥进行解密。RSA算法的安全性基于数论中大整数分解的困难性,其难度与密钥的位数相关,一般用户使用的是1024bit的RSA密钥,安全性充分足够。RSA算法可以用来加密数据(用公钥加密,私钥解密),也可以用来签名(用私钥加密,公钥解密)。二、统一身份认证技术3、PKI体系PKI(PublicKeyInfrastructure)即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术二、统一身份认证技术(三)几种统一身份认证技术和产品基于页面集成的统一身份认证--单点登录(SSO)系统基于CA的统一身份管理平台基于LDAP的统一身份认证基于WEB的统一身份认证基于SOA的统一身份认证基于VPN的统一身份认证二、统一身份认证技术1、SSO什么叫单点登录:单点登录(SingleSign—On,SSO)是建立在身份认证服务基础上的一个重要应用,它提供一种机制,让不同的应用系统迅速获得统一的认证功能,实现全局、安全的软件环境。在实现SSO的统一身份认证系统中,用户只需进行一次登录操作,即可获得所需访问应用系统和资源的授权,不必多次输入用户名和密码来确定用户身份,即“一次登录,处处访问”。SSO产品开源CAS、Kerberos、SAMLTivoli、Siteminder、RSASecure目前SSO的产品和解决方案主要有微软公司和SUN公司为代表的两大阵营,其代表技术分别为基于.netpassport的身份验证规范和自由联盟(LibertyAlliance)网络身份验证规范。.netpassport单点登录身份验证技术采用集中式认证和分布式授权的模式,仅对用户进行单点身份鉴定,但是否允许用户访问某个特定的Web服务则由内容授权程序来确定;Liberty协议是基于SAML标准的一个面向Web应用的单点登录的与平台无关的开放协议,它的核心思想是身份联合,两个Web应用之间可以保留原来的用户认证机制,通过建立它们各自身份的对应关系来达到SSO的目的。下面举一种SSO例子:二、统一身份认证技术基于页面集成的统一身份认证--单点登录(SSO—SINGLESIGNON)系统。原理:当我们提起SSO的时候,我们通常是指WebSSO,它的主要特点是,SSO应用之间走Web协议(如HTTP/SSL),并且SSO都只有一个登录入口。简单的SSO的体系中,会有下面三种角色:User(多个)Web应用(多个)SSO认证中心(1个)虽然SSO实现模式千奇百怪,但万变不离其宗:Web应用不处理User的登录,否则就是多点登陆了,所有的登录都在SSO认证中心进行。SSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是张三/李四。SSO认证中心和所有的Web应用建立一种信任关系,SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用,而且判断结果必须被Web应用信任。二、统一身份认证技术2、基于CA的统一身份认证采用数字证书、数字签名和PKI
产品:北京时代忆信公司统一身份认证平台时代亿信推出的基于CA的统一身份管理平台产品,以资源整合为目标,以PKI技术为基础,通过对用户身份的统一认证和访问控制,更安全地实现各业务系统的单点登录和信息资源的整合。平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式,并采用SSL加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。基于CA认证的统一身份管理平台架构如下:统一身份管理平台的组件主要包括以下部分:门户系统:各个业务系统信息资源的综合展现;平台管理系统:平台用户的注册、授权、审计;各业务系统的配置;门户管理;CA系统:平台用户的数字证书申请、签发和管理;用户统一认证:用户身份的CA数字证书认证、认证过程的SSL加密通道;单点登录(SSO):业务系统关联映射、访问控制、访问业务系统时信息的加密签名和SSL加密通道。安全机制的实现:用户注册和授权企业每一个用户在平台完成用户注册,得到自己的统一帐户;如果采用证书文件或USB智能卡认证方式,则CA系统自动为平台用户签发数字证书,并与用户的统一帐户对应。注册的用户可以由管理员进行分组,并根据分组设定相应的业务系统访问权限。业务系统配置安装业务系统访问代理并配置证书和私钥,用以建立客户端与业务系统之间的SSL加密通道,并接收处理平台提供的加密签名的用户认证信息;提供关联映射接口和访问验证接口,并在平台进行配置。关联信息主要是平台统一帐户与业务系统用户信息(可能包括业务系统的用户名和密码)的对应关系。应用背景:时代亿信统一身份管理平台即解决目前分散认证系统的种种弊端所产生的一种产品通过数字证书、数字签名等机制充分保证了认证过程的安全性,成为身份认证技术的一个重要发展方向和趋势,并已在政府、军队、银行、证券、电信等领域得到了成熟应用。3、基于LDAP的统一身份认证LDAP(轻量级目录访问协议,LightweightDirectoryAccessProtoco1)是提供目录服务的一种协议。目录服务是一种特殊的数据库系统,它专门针对读取、浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的、基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、Web链接、Jpeg图像等各种信息。为了访问存储在目录中的信息,就需要使用运行在TCP/IP之上的访问协议一LDAP。LDAP目录中的信息是按照树型结构组织,具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录;条目是具有分辨名DN(DistinguishedName)的属性(Attribute)。LDAP把数据存放在文件中,为提高效率可以使用基于索引的文件数据库,而不是关系数据库。比如:类型的一个例子就是mail,其值是一个电子邮件地址。LDAP的信息是以树型结构存储的,在树根一般定义国家(c=CN)或域名(dc=com),在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizationalunits)(ou=People)。一个组织单元可能包含诸如所有用户以及所有用户的具体信息等内容。此外,LDAP支持对条目能够和必须支持哪些属性进行控制,这是有一个特殊的称为对象类别(objectClass)的属性来实现的。LDAP主要特性:独特的树型结构高效的查询特性:树形比表形查询快部署的灵活性:可以部署于几乎任何的操作系统平台之上:Windows、Linux以及Unix;同步机制:LDAP协议本身定义的同步机制,具有以下特点:(1)LDAP可以采用“推”和“拉”的两种同步方式进行数据同步:既可以由主LDAP向备LDAP进行数据的“推”,也可以由备LDAP从主LDAP上“拉”数据;两种方式可以任意选择;(2)一台主用的LDAP可以向多台备份的LDAP上同步数据;(3)备用的LDAP数据为只读模式,保证数据的一致性;(4)同步效率高,基本上可以达到实时数据的更新。LDAP相关产品目前业界常用的LDAP产品都是按照LDAP协议规范产品,LDAP协议主要包含了以下几个方面。(1)LDAP协议的基本模型和基本操作;(2)基本数据模式(Schema)(包括语法、匹配规则、属性类型和对象类)以及标准的系统数据模式;(3)分辨名(DN)表达式、过滤表达式、统一资源地址的格式等;(4)认证方式;(5)如何通过扩展使用TLS服务、C的LDAP客户端API开发接口;(6)LDAP数据导人、导出文件接口LDIF等。LDAP产品:(1)开源的OPENLDAP;(2)Microsoft的ActiveDirectory;(3)SUN的DirectoryServer(收购自Netscape);(4)IBM的DirectoryServer;(5)NovelNDS。以上各个LDAP产品都是遵循LDAP协议的产品,都能够实现LDAP的相关特性,应用于各种应用当中。LDAP应用举例:(1)统一后台数据存储认证(2)多后台高效查询(3)其它使用LDAP的应用(1)统一后台数据存储认证对于用户而言,需要能够实现一个统一的入口,能够将同一用户的属性进行相关的合并,实现统一后台的数据存储,并且对用户的认证也能够采用统一认证的方式;而LDAP本身的结构特性使我们可以部署一个统一的后台数据存储系统,能够方便得将用户数据从多个后台系统合并到统一的目录结构当中,实现用户的统一认证。具体的后台结构图如图1所示。(2)多后台高效查询在当前业务系统当中,采用LDAP系统,将多个业务系统的用户数据抽取为一个统一的结构当中,可以使客户端能够方便地快速查询到相关的数据。由于数据的构建就是为了方便客户端进行相关查询,并且按照查询条件创建相关索引,所以能够实现高效的查询,此外,能够将查询分摊到多个LDAP系统进行查询,提高查询效率,如图2所示。图2中,三个查询客户端可以分别连接到salve的几台LDAP系统进行数据的查询,从而提高系统的查询效率。(3)其它使用LDAP的应用大家经常忽略的一个重要的LDAP应用是基于微软域的相关应用。在微软的域架构中就内置了微软的ActiveDirectory,因为微软的策略原因,微软没有把它作为一个单独的应用而是集成在其无所不在的域之中。实际上ActiveDirectory是符合LDAP规范的,且有自己的一些扩展。通过微软域(ActiveDirectory)统一认证,可以实现多系统的认证统一使用一组用户名口令,包括微软相关的应用,比如exchange邮件、微软ISA应用和VPN服务等等。此外通过标准的LDAP接口,还可以实现独立外部系统如SSLVPN等认证使用内部域用户名口令认证。4、基于WEB的统一身份认证尽管SSO产品能够较好地实现单点登录功能,然而,这些方案认证方式单一,缺乏灵活性,而且大都比较复杂,在项目实践中很难快速实施。WebServices是基于网络的、分布式的模块化组件,执行特定的任务,遵守具体的技术规范,是自包含、自描述、模块化的应用,可以在网络(通常为Web)中被描述、发布、查找以及通过We1)来调用。由于WebService是跨平台的,所以十分适用于实现SS0的服务。下面介绍了一种基于Web服务的统一身份认证系统模型,并采用了基于票据的集中式架构,以跨域Cookie共享为核心来完成用户的登录、认证和权限控制。(1)体系机构统一身份认证系统的设计和实现需要涉及身份认证、访问控制、用户角色权限分配、加密、通信以及数据库等多项技术,结合WebServices技术,设计了统一身份认证系统结构(图1)。其中身份认证服务在统一认证服务系统中处于核心的地位。他的主要功能是接受用户认证请求,并在用户身份认证数据库中检索所存储的该用户的密码和身份信息并加以验证,向认证客户返回认证结果,成功或者失败信息,如果成功则还可以包含用户的权限信息。
该模型采用了目前流行的WebService技术,由于WebServices是跨平台的,所以十分适用于实现SSo的服务;在WebServices的开发架构之下,任何系统都可以调用本平台的服务进行身份管理和认证管理。系统的扩展性、兼容性得到了较好的解决。(2)功能模块设计从图1中可以看出,基于Web服务的统一身份认证系统从功能上可以划分为以下几大模块.:1)用户资料的统一管理:通过统一的接口,对用户资料进行统一的管理,集中的存储,避免因数据冗余带来的数据同步等方面的麻烦;2)用户身份的认证与授权:通过统一的接口实现各应用系统的用户身份认证及授予该用户相应的使用权限;3)单点登录:实现一次登录后能在不同服务器的应用系统之间自由切换,不用到每到一个应用系统又要重新手动输人账号、密码等信息重新登录一次;4)对遗留系统的集成:实现和遗留系统的无缝结合,充分利用已有投资。(3)核心的业务逻辑控制类设计针对本系统的基本情况,部分数据访问控制、业务逻辑控制类设计如下:1)AuthenticationClass。用户认证管理类,通过对用户的身份认证的具体逻辑控制实现。2)UserClass。用户管理类,统一用户管理接口,提供用户信息管理和密码管理等服务。3)RoleClass。系统用户角色管理,角色是具有相同权限用户的组是权限分配的单位与载体。权限不会直接分配给特定的用户,用户要拥有对某种资源的权限,必须通过角色去关联。一个用户可以属于多个角色,一个角色可以包括多个用户。4)TicketClass。用户登录票据类,票据是用户身份的唯一标志,同时包括了用户的系统授权信息。该票据在不同的系统中传输,用于用户的身份识别。5)AppSystemClass。管理应用系统记录信息。该类登记了现有的软件服务系统信息,用于对软件服务系统的管理。6)PermissionClass。对用户授权管理。权限是绑定在特定的资源实例上的,即权限是角色与软件服务系统的关联。(4)WebServices设计J2EE平台对Webservice的构建和使用有很好的支持。与其它开发平台不同,使用myeclipse平台,不需要其他的工具或者SDK就可以完成Webservice的开发。本系统WebService接口设计如下:1)SysManagementService,SysManagementService是SSO系统管理的WebService接口,提供对系统用户管理、角色管理、应用系统管理和授权管理。应用程序可以通过该接口访问到系统管理的信息。2)AuthorizationService。AuthorizationServ—ice提供对认证、审核和权限访问控制的业务接口,应用程序可以调用该服务验证用户的身份和权限,达到单点登录的目的。(5)单点登录的实现单点登录是建立在身份认证服务基础上的一个重要的应用实例。所谓单点登录就是指在以统一身份认证服务为基础的B/S结构的应用中,用户在某一个应用登录后,在不退出登录的情况下,直接进入下一个应用,而不需要用户再次输入用户名和密码。票据设计和COOKIE在单点登录机制中,比较核心的数据结构就是票据,票据是一个用于记录登录用户状态的唯一标识或凭证,成为Ticket和Token,是随机生成的一个全局唯一的字符串。单点登录需要客户机浏览器长久保留登录状态的票据让浏览器保存票据,那只能借助Cookie。目前,常用而有效的方法是将生成的票据存储在客户机浏览器的Cookie里,当客户机在一定的时间间隔内重复访问服务器时就可以从Cookie里提取票据进行认证,不必提供用户名和密码。而HTTP是一种无状态协议,用户在关掉浏览器时很难保存会话状态和保留票据。由于数字化校园网络是分布式应用系统,涉及多台服务器,甚至多个校区的多台服务器。而Cookie的存取只对同一域下的主机有效,如何实现跨域共享Cookie来访问各应用系统,是下面要解决的关键问题。跨域SSO认证过程描述跨域SSO登录,比如A站点为a.hngczy1.corn,B站点为b.hngczy2.corn,认证中心站点C为c.hngczy3.corn,A,B站点和C站点没有共同的父域,由于这种情况票据较复杂,这里暂时把C站点(C.hngczy3.com)g1]建的ticket叫做C-ticket,而A站点创建的叫A-ticket,B的为B-ticket.这种情况每个站点都要有创建Cookie的能力,如图2所示。
由于A站点(a.hngczy1.corn)不能读取到由C站点(c.)g1]建的票据,所以当用户访问A站点时,首先查看是否有A-ticket,如果没有,证明用户没有在A站点登录过,不过并不保证用户没有在B站点登录,请求被重定向到之前访问过的C站点,C站点读取C-ticket,如果没有,就需要重定向登录页面,登录页面完成登录后,写一个加密cookie,也就是C-ticket,并且重定向到A站点,并把ticket作为参数传递过去,A站点也要写一个cookie,也就是A—ticket,今后用户再次访问A站点时,只需要检查这个A—ticket是否存在即可。当用户访问B站点时,会重复上述过程。(6)用户登录服务流程数字化校园网站群跨域SSo系统的登录及认证过程涉及用户、校园网站群和web服务认证授权中心三个角色之间的交互,其登录流程如图3所示。本方案的整个流程中,除了最初输入的用户名和密码外,其他所有传输的都是票据,而最后客户机拿此票据获取登录的用户名和结束认证过程。
5、基于SOA的统一身份认证运用SOA构建统一身份认证服务架构,一方面它实现了平台无关性,另一方面实现了分布式部署、组合和使用的服务。面向服务的架构SOA
SOA(Service—OrientedArchitecture)是一种软件架构模型,它可以根据需要对松耦合的粗粒度应用组件进行分布式部署、组合和使用。服务之间采用松耦合有两大好处,第一是各种服务能够灵活组合,第二是每个服务的内部结构和实现发生改变时,其构成的整个应用程序无需改变。目前支持SOA架构概念的软件体系有好几种。使用基于SOAP(SIMPLEOBJECTACCESSPROTOCOL)协议的Web服务技术来构建统一身份认证服务架构,这种技术正快速发展.是未来的发展方向,它提供了一个系统架构以及一系列的技术标准与规范。SOA的关键是“服务”的概念,在该架构中,定义了两个角色,服务提供者和服务使用者。(1)基于SOA的统一身份认证架构
统一身份认证服务主要实现用户管理、身份认证、分级权限管理和单点登录等功能。以解决校园数字化建设过程中用户定义模糊、用户身份组织零乱、交叉权限管理定义和应用系统入口多样性等棘手的问题。
在基于SOA的统一身份认证服务架构中,依据SOA定义的服务提供者和服务使用者角色,将统一身份认证服务所要实现的功能封装成为服务提供者,作为服务使用者的各应用系统必须依据统一服务接口所定义的调用方法才能调用服务。服务提供者按三层结构来设计,分别为统一认证中心数据库、统一信息管理和统一服务接口。对统一认证中心数据库的访问操作经过封装后.只有经过统一服务接口才能进行访问,同时在统一服务接口处设置相应的安全性检查和访问控制的策略匹配来提高对中心数据库的访问安全。服务使用者调用一次服务的过程为:1)服务使用者依据认证语言及语法构造认证指令。2)使用与服务提供者约定的加密算法对认证指令进行加密。3)将加密后的密文封装成SOAP消息,并将消息发送到服务提供者。4)服务提供者收到SOAP消息后拆封并提取消息。5)使用与服务使用者约定的加密算法解密密文。6)对明文进行语法、语义进行有效性验证,通过验证后执行认证指令。7)将执行的结果加密、封装为SOAP消息并再发送给服务使用者。8)服务使用者收到SOAP消息后拆封、解密并提取执行的结果。
在上面所提到的认证指令是基于XML格式的,所以构造与解析认证指令实际上是对XML的序列化与反序列化的过程,同时执行结果也是XML格式的,所以提取执行结果实际上也是对XML的处理,认证指令的描述见下节。对认证指令及执行结果的加密与否在这里是可选的。当返回的执行结果的信息量很大而对安全性要求不高的内容可以不进行加密而直接返回明文,从而减少加密与解密所花的时间。(2)关键技术XML认证语言XML语言是被多种开发语言良好支持的扩展标记语言,建立在XML基础上的认证语言将很好被其他开发语言解析利用。SOAP消息基于SOAP协议的消息的请求/响应过程经过4个阶段:服务使用者构造SOAP消息、服务提供者接收并解析SOAP消息、服务提供者响应并构造SOAP消息、服务使用者接收并解析SOAP消息认证指令为了定义规范的接口,通过模拟命令行系统中的指令系统,构造一个基于XML的指令系统。6、基于VPN的统一身份认证
利用WebServices技术,单位内所有的应用系统都可以方便地发布和调用Web服务,实现异构系统的互访和用户的统一身份认证。服务的发布和查询等功能是通过建立私有UDDI注册中心实现,这些服务只能在单位局域网内部才可以调用。由于很多大型企事业单位在各地拥有众多的分部,对于各分部之间以及分部和总部之间的网络连接问题,目前主要采用VPN技术来解决,因此设计单点登录系统还必须考虑VPN环境下的统一身份认证问题。和直接通过Internet访问或租用专线连接方式相比,VPN(VirtualPrivateNetwork,虚拟专用网络)技术在构建企业内部网方面具有费用低、速度快、安全可靠以及可扩展性强等优点。VPN通过“隧道”技术以及加密、身份认证等手段,达到对网络数据的封包和加密传输,通过公众网络建立私有数据的传输通道,如同在广域网中为企业提供的一条专线,用户可以在任何地点安全可靠的进入局域网内部,使用单位内部的资源。在VPN环境下,各分部用户以及外部用户进入单位总部统一身份认证系统的解决方案见下图所示:VPN环境下统一身份认证系统解决方案。通过配置VPN服务器,各分部和总部局域网内的计算机可以畅通无阻地相互访问,就好像只有一个局域网一样,因此分部员工也可以正常登录总部系统,实现统一身份认证,自由访问任何一个应用系统。而对于在家或临时差又想访问单位内部资源的用户来讲,通过公共的Internet网,只要输入正确的账号信息,经VPN服务器验证通过后也可以作为合法用户被转至单点登录系统。可以看出,采用VPN方式构建企业内部网,可以有效保护单位内部重要的私有资源,在实现用户统一身份认证时也更安全。
利用VPN技术还可以有效扩展统一身份认证系统实现的功能。除了单位固定用户以外,对一些临时拜访或特殊身份人士访问单位应用系统,原本只能在LDAP或中心数据库中增加相应的临时账号信息来解决,而在VPN网络中,只需在VPN设备中配置临时用户信息,不需改变单位原有的统一账号信息,不仅提高了系统的灵活性,给用户管理带来方便,还可以有效解决外部用户访问单位内部资源的问题。三、统一身份认证技术集合
第二章统一信息门户的概念和实现Portal:门户一、统一信息门户的相关概念1、门户和门户网站:门户这个概念是互联网上第一次被认定为是一种商业模式。当时的概念是,门户第一要有邮件,第二要有搜索,第三要有内容。门户网站的本意像互联网的门一样,因为用户不可能一下子记住许多网站,门户网站希望让用户习惯性地一上网就先到这儿,然后再通过它上面的链接转到其他网站。不过由于以Google为代表的搜索网站的异军突起,使得用户可以从搜索网站直接找到感兴趣的网页,门户网站美好的希望(成为每个互联网用户的起始网站)似乎落了空。所以门户网站由搜索转为新闻和内容了。2、统一信息门户非公众信息企事业、机构等为了使广大访问者借助互联网与之沟通而产生的。有三层含义:统一入口、数据信息统一发布、内/外交互。3、企业信息门户平台(EIP:EnterpriseInformationPorta)
指在Internet的环境下,把各种应用系统、数据资源和互联网资源统一集成到企业信息门户之下,根据每个用户使用特点和角色的不同,形成个性化的应用界面,并通过对事件和消息的处理传输把用户有机地联系在一起。它不仅仅局限于建立一个企业网站,提供一些企业、产品、服务信息,更重要的是要求企业能实现多业务系统的集成、能对客户的各种要求做出快速响应、并且能对整个供应链进行统一管理同面向公众的信息门户相比,企业信息门户肩负着企业最重要的使命--为企业客户的投资增值创建最高效率的业务模式,其功能和特性都围绕着企业间竞争所需的一切高效率而生成,其最突出的特性就是对信息交流的实时双向性的要求。在此基础上,随着具体功能的增加则可区分出不同的企业信息门户应用的水平。第一:企业信息门户平台已经超出了传统的管理信息系统概念,也越过了普通意义的网站,它是是企业管理信息系统与电子商务两大应用的结合点。企业对知识信息、对增长和扩散速度的需求是产生企业门户概念的主要动力。企业门户技术的应用必将推动信息技术革命进入一个全新的阶段。第二:企业信息门户平台的特点在于唯一性、集成性、个性化和整体性。企业门户正是拥有这些新特点,才有了生命力。其中:唯一性是企业的要求,也是门户的意义所在;集成性是现实条件的制约,体现了企业经营的延续性;个性化则是客户的偏好,也是企业门户的生命力;而整体性则是企业对信息的高层次要求。第三:门户只是门户,企业只能利用为工具,服务于企业的基本目标。任何舍本逐末、脱离实际需要的盲目发展都是不可取的。当然,这里的目标指的是企业的中长期目标,从短期来看,实施企业门户的效果不一定立竿见影,很有可能与企业短期赢利的目标相背离。第四:企业信息门户平台的概念仍然有待扩展,有待完善。与其他IT行业的新概念相仿,在这个新兴领域,没有现成的"词典",对概念的理解都是动态的。
二、企业信息门户的功能和特点EIP功能:1、于企业内部是管理和查询日常业务的公用平台:员工可以访问企业的客户信息、销售信息、生产信息、库存信息、财务信息,以最低的成本共享和利用企业的所有信息;2、对外则是企业网站:通过企业门户及时向客户和合作伙伴提供产品、服务的信息。开拓新的网上业务,推动企业走进电子商务;3、使企业能够释放存储在内部和外部的各种信息;4、使企业员工、客户和合作伙伴能够从单一的渠道访问其所需的个性化信息。EIP特点:1、统一的信息访问渠道:通过将内部和外部各种相对分散独立的信息组成一个统一的整体,使用户能够从统一的渠道访问其所需的信息,从而实现优化企业运作和提高生产力的目的。2、不间断的服务:通过网络和安全可靠的机制使用户在任何时间任何地点都可以访问企业的信息和应用,保证企业的业务运转永不停顿,将网络经营的优势发挥到极至。3、强大的内容管理能力:对企业各种类型信息的处理能力EIP支持几乎各种结构化和非结构化的数据,能识别90多种关系型和OLAP数据库中的数据,并可以搜索和处理各种格式的文档。4、个性化的应用服务:信息门户的数据和应用可以根据每一个人的要求来设置和提供,定制出个性化的应用门户,提高了员工的工作效率,增强了对顾客的亲和力和吸引力。5、与现有系统的集成:能将企业现有的数据和应用无缝地集成到一起,无需重新开发,保护了原有的投资。6、高度的可扩展性:能适应企业新的人员和部门的调整的变化,满足企业业务调整和扩展的要求,解决企业与IT部门短时间内无法解决的技术需求问题。7、安全可靠的保障:通过安全机制保证数据的机密性及完整性,保障企业业务的正常运转。三、为什么要建立EIP。随着信息化建设的不断发展,企业内的信息系统的应用越来越广泛,为了适应业务发展的需要逐步建立了不同的应用系统,如ERP、财务、CRM、eHR、OA等管理系统,但由于历史原因系统与系统缺乏整体的考虑。系统间彼此孤立,数据分散;用户由于需要必须要频繁的登录不同的系统,使用方法不统一、安全性缺乏统一的管理机制与控制;对于企业内部不同工作岗位的人员来说,所需要的资源存放在不同的系统当中,导致频繁的在系统间来回的切换;同一信息在财务、ERP、CRM等系统可能都保存,导致信息的不一致,不同的信息由于分散存储在不同的系统,也很难形成组织统一的信息模型;当企业面临端到端的服务挑战时,却由于不同的业务流程在不同的系统流转而无法满足,企业的协同效率明显受到制约。这些现象已并渐渐开始阻碍企业的管理与发展。帮助企业实现以下目标:员工、客户、供应商、合作伙伴可以在任何时间、任何地点迅速地获得个性化的内容、应用和服务,并提供统一的访问方式;及时、准确地传递各种企业运营数据和信息,提供高效获取知识、整合知识、积累知识和传播知识的有效途径;打通全企业业务流程过程,优化业务流程,提升业务协作能力,提高运营效率、增强业务灵活性和透明度;降低服务成本,提升快速适应市场的能力,应对端到端的新的服务模式。四、企业门户要解决的问题及解决方案1、企业信息门户平台(EnterpriseInformationPortal),它通过数据与应用的集成及个性化的控制,为管理者、雇员、供应商、用户、分销商等提供一个唯一的企业接入点,通过该接入点,提供全面的企业信息和应用。企业门户是企业e化转型的一个战略性方向。企业e化转型后展现给企业一个理想的未来:规范管理购销过程,降低运营成本,压缩供应链,提高效率,科学决策,快速反应,企业全球化等等。2、企业信息门户平台是将Web技术与企业的运作过程相集成的解决方案,提供了一个单独的系统模块来访问信息和应用。企业门户可以根据用户的商业需求和在企业中的角色来过滤确定用户的访问对象和内容。3、企业信息门户平台在企业信息发布的高效和简易性上面具有明显的优势。它能将存储在企业内的各种数据源转换为可用的信息,通过新型的信息传递方式传递,从而提高效率。在商务方面,它控制事务的处理和内容,使得公司内部和相互之间的通讯与交易变得更加有效率。它可减少生产循环的时间,提高客户服务质量,增加收益、扩大市场分额。4、企业信息门户平台解决方案应包含一系列的服务功能,可以适用于企业门户的各个方面,如门户的设计、开发、提交和管理。它提供个性化的Web站点,能够在Web站点和企业的其他资源之间把数据、应用、事件和内容连接在一起。5、企业信息门户平台解决方案应具备完善的构架,无论是采购员、工作调度员、销售员,销售经理,行政管理人员,人力资源经理,客户,分销商,代理商,合作伙伴,还是管理者,企业门户都能让其迅速获取有关业务、应用及服务等方面的信息,为每一个角色提供一个个性化的信息门户:面向企业内部:企业知识门户,员工门户。面向企业外部:分销商门户,代理商门户,客户门户,合作伙伴门户。6、应可以集成的模块:人事管理,知识管理,销售管理,项目管理,客户资源管理,资产产品管理,工作流程管理。7、好的解决方案应具备:■先进的开发架构
■所有业务模块协同性
■跨企业应用的集成,集成企业内外的资源
■短小的实施时间
■性能与可伸缩性
■更高的可用性选件8、解决方案结构图第三章统一数据库及数据共享、工作流一、数据共享的相关概念1、数据共享的概念非常广泛。这里讨论的数据共享是指企事业单位内面对膨大的、按不同存储机制存储、存储在不同介质上,不同时期的数据如何共享。数据共享是数据中心的首要任务,也是数据中心资源整合、数据融合的需要和体现。2、数据共享的模式目前,解决数据共享的模式大致有三种:数据格式转换模式、直接数据访问模式和数据互操作模式。对于数据格式转换模式,由于缺乏对数据对象统一的描述方法,不同数据格式描述空间对象时采用的数据模型不同,因而转换后不能完全准确地表达原数据的信息,经常性地造成一些信息丢失,且各转换方案还没有为数据的集中和分布式处理提供解决方案,不能自动同步更新.直接数据访问提供了一种更为经济实用的多源数据共享模式,但直接数据访问同样要建立在对要访问的数据格式的充分了解的基础上,如果要访问的数据的格式不公开,就难以实现了。数据互操作模式数据互操作为多源数据集成提供了崭新的思路和规范,为数据集中式管理、分布式存储与共享提供了操作的依据.数据互操作模式指在异构数据库和分布计算的情况下,用户在相互理解的基础上,能透明地获取所需的信息.数据互操作是当前数据共享与集成研究的热点问题之一。数据互操作模式主有两种实现途径:数据仓库技术(DataWarehouse)和基于中间层系统(Mediator-basedSystem).两种技术的差别主要在于各组件之间关系的紧密程度和可扩展性上。
数据仓库(DATAWAREHOUSE)技术将基础数据交给少数设计良好、联系紧密的数据中心管理.数据中心内数据的集成由事先的“预计算”完成.该模式优点在于少数核心数据中心的运行效率高,但缺点在于不利于数据中心以外不断增加的数据源的集成,特别是大量半结构化数据的集成.而基于中间层系统则是建立在大量相对自治的数据和服务源的基础上,各数据源间通过统一的标准协议相互通信,在需要时完成的数据集成。显然,基于中间层系统的体系结构更为适应数字流域系统可扩展性和模块化的要求.本文将根据数字流域体系的特点,提出基于中间层系统的数字流域数据集成与共享三层结构框架。3、数据共享方法中间数据库方式基于数据仓库的方式数据交换系统
基于XML技术的数字流域数据集成与共享
基于元数据的数据共享基于统一数据库的数据共享介绍中间数据库方式(企业应用系统数据共享方案)实现数据共享:SAP系统、DCMS(DesktopContentManagementSystem的缩写,意为桌面内容管理系统)
、SRM(SupplierRelationshipManagement
)、MES((ManufacturingExecutionSystem)、PDM(ProductDataManagement)等系统。各系统之间存在着数据交换的需求,因此如何设计出一套数据共享方案,将需求的数据信息在所有系统中最大程度地得到共享并保证各系统的稳定、安全运行,有着十分重要。DCMS、SAP数据的一致性、完整性(每15分种运行一次数据接口),SRM与SAP的数据重用性,SAP的负荷等设计一个中间数据库(DC),把导入的数据以最简单的格式呈现,各系统需要导出的数据均直接导入到DC,需要从其他系统获取的数据,只要从DC中抓取即可。增加一个中间数据库既保证了各系统数据的安全性又简化了系统导入数据的复杂度。
中间数据库-DC结构图
以SAP与SRM系统数据接口为例:SAP接口程序负责从SAP获取相关的数据并把其完整的导入到数据中心里,SRM接口程序负责从数据中心获取SAP接口程序最新导入完成的相关的数据并把其完整的导入SRM里。由于方案要求SAP接口程序完成后SRM接口程序要自动把SAP导入接口数据库的数据导入到SRM系统中,所以需要在数据中心中添加一个接口更新LOG表,当SAP接口程序完成后会在接口更新LOG表添加一个状态为S的记录,而SRM接口程序会不停的轮寻,如果发现接口更新LOG表有状态为S的记录,则立即进行接口数据到SRM系统数据的同步。
中间数据库对于传输数据的触发机制详细方案:还是以SAP与SRM系统之间的数据传输为例:整个接口的触发机制通过SAPJ0b服务、接口Log表、B2BServiceTool、SAP接口程序、SRM接口程序五部分组成,首先SAPJob服务会定时触发SAP接口程序来把SAP的数据进行整理并导入数据到接口数据库,在导入成功的同时会在接口数据的Log表里插入一笔成功的记录,B2BServiceTool会定时不停的轮寻并触发SRM接口程序,SRM接口程序会到接口Log表查看是否有最新的成功的记录,如果有则把相关的数据导入到SRM里。请参照下图。
介绍基于数据仓库的数据共享方法:电子校务概况学校信息化的现状业务系统信息孤岛电子校务建设思路保护投资保证业务系统正常工作限制项目风险扩展性强投资力度灵活适用面广整合之道今天,在犹如灾难般的信息洪潮中,我们通过“信息整合”粘合“信息孤岛”筑起信息时代的“诺亚方舟”。-------IBM电子校务结构设计电子校务基础平台电子校务应用数据接口电子校务的内容统一身份认证办公自动化系统统一信息门户共享数据平台共享数据中心共享数据库时态数据库数据收集模块报表系统数据订阅OLAP分析统一信息标准应用数据接口数据抽取维护工具共享数据平台基本结构已有的业务数据库已有的业务数据库已有的业务数据库共享数据库数据收集库数据收集模块历史数据库在线分析库数据整合数据访问服务数据访问数字档案OLAP展现共享数据层历史数据层数据仓库层数据服务层业务数据层新建业务数据库共享数据流程共享数据平台的数据来源(1)■ETL抽取-业务系统
ETL:数据抽取、转 换、装载同构数据源:ORACLE
异构数据源:
SqlServer,DB2, Sybase,Access, ODBC……
优点:不影响业务系统的正常工作流程共享数据平台的数据来源(2)■数据收集-个人
审核机制 关键性数据:需审核(一审、二审)非关键数据:无需审核时态数据库■时态数据
保存数据的变更信息,如数据的插入、删除、更新,以备查询过去某个时间点上的数据。■两类时态数据关键性信息(比如:教职工的职称职务变更,学生的学籍异动等)各类信息标准1.增加了三个特征字段:
ZXZT(操作状态)
SXRQ(生效日期)
SHXRQ(失效日期)
时态数据实现技术时态数据实现技术2.实现步骤(1)初始化(2)差异数据生成。(3)数据同步写入时态数据表中。(4)在OMS里自动调度。共享数据库数据源表时态数据库时态数据目标表差异比较差异数据Updata差异数据Delete差异处理存储过程差异处理存储过程差异处理存储过程差异数据InsertSXRQ=sysdateSHXRQ=nullSXRQ=sysdateSHXRQ=nullSXRQ=sysdateSHXRQ=sysdate共享数据平台提供的应用1.数字档案共享数据平台提供的应用2.报表-(如考核表)
■过去 个人手工填写, 部门领导审核 签字。
■现在可以实现年终考核表个人信息科研信息教学信息外事信息共享数据库共享数据平台提供的应用3.联机分析处理(OLAP)共享数据平台提供的应用4.数据订阅
-补充完善业务部门的数据在电子校务建设中,共享数据平台是信息资源的积累和应用的基础,今后有必要积累更多的数据,开发更多的应用。数据挖掘也需要投入更多的工作,以使当前数据、历史数据在整个校务工作中发挥更好的作用,充分展现数字化校园的强大优势。基于XML技术的数字流域数据集成与共享
二、元数据、工作流1、元数据元数据的定义:元数据(Metadata),即数据的数据(Dataaboutdata)
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度城市快速路设计规划合同
- 2024年叉车租赁服务标准合同范例
- 2024年度影视制作合同及版权分配
- 2024年度工程监理合同监理范围与职责3篇
- 2024年度服装品牌代理与合作合同
- 深圳数据中心装修工程合同(2024版)
- 2024年度广告制作合同专业条款3篇
- 2024夫妻双方无争议离婚合同参考文本版B版
- 2024年度食堂租赁合同(含厨房设备)3篇
- 2024年度影视制作合同:网络大电影制作、发行及分成协议2篇
- 主题班会:班风校风主题班会课课件
- 【基于PLC的交通信号灯控制系统设计7000字(论文)】
- 《社会学概论》教案
- 充电桩工程施工组织设计施工组织
- 化工园区招商政策
- 中西方文化差异PPT
- 计量经济学李子奈eviews完整实验
- 第九讲科学假说与科学理论
- 常见症状评估-黄疸症状的评估(健康评估课件)
- 大班语言课教案《欢迎秋爷爷》
- JJF 2007-2022 光纤端面干涉仪校准规范
评论
0/150
提交评论