门户理解 门户构架 我们工作 一点体会
基本平台选择
目前可供选择的平台 架构有Mircosoft .net 和 J2EE， 但从系统的复杂度、 厂商的支持程度、多平台 的支持，因而校园信息门 户建设采用J2EE平台架构。
OA系统
部门数据
管
பைடு நூலகம்
、
部门数据
理 部门数据
保
统一认证
机构管理
校园信息门户架构
EAI
系 统 接 口
（ ）
WEB浏览器
移动客户端，其他终端
校园信息门户网站
子站1
子站2
子站3
子站n
教务管理
人事管理
科研管理
学生管理
招生管理
其他子系统
决策查询 用户管理
权限管理 安全管理
数据集成 配置管理
报表生成 内容管理
接入层
安
业务逻 辑层
全
平
通用组 件层
基于总线的可扩充式体系结构
业务子系统
应用 管理 部署 工具
消 息 服 务 器
(MB)
消 息 总 统一认证 线
机构管理
应用总线(AB)
决策查询 用户管理
权限管理 数据集成 安全管理 配置管理
报表生成
内容管理
功能 组件 管理
门户理解 门户构架 我们工作 一点体会
总体图示
Browser
Internet
校内用户 WAP

综合查询
信息挖掘
统
决策支持
校园信息化建设的需求
信息化建设有长足的进步，部门都已实现了信息化 管理。
部门信息化建设的蓬勃发展，从更高的层次上需要 实现部门间信息的共享，但各自自主建设，又不可 避免的出现部门“信息孤岛”
为了提高信息服务水平，满足不同用户的信息需求， 信息服务提供方式的转变（学生、教职工、领导、 潜在用户）。
现有的网站内容管理系统比较
手工静态发布 页面管理困难，错误多 改版非常困难，成本高
仅适用于个人网站 和信息量少的网站
动态内容发布
数据库成为瓶颈，对硬件平台 要求高，设备成本高昂技术复 杂，须技术人员参与发布过程 安全性差
适用于对实时性要求
非常高的网站；信息量， 访问量不太大的网站
基于模板的动 改版容易，网站风格统一
目前在校园网内，对于应用的访问控制是采用地 址屏蔽技术和用户授权认证相结合的方法来实现的。 通过地址屏蔽，实现对于不受信网段的拒绝访问服务。 通过用户认证，实现具有合法身份的用户才能访问某 些资源服务。以上方法都是以校园网内的单个应用， 单个独立业务服务为背景的。
通过采用访问控制,实现用户对于门户网站及其 应用的不同访问控制。
认证后的权 限信息
网站信息索 引
其它网站信 息
搜索引擎
其它网站信 息
待发布的信 息
网站发布系 统
发布后网站 信息
部门数据信 息
部门业务系 统
统一身份认证（SSO）
统一校园用户身份，解决用户在校园 信息门户不同的应用之间需要多次登录的 问题。
目前方法
一种是建立在PKI，Kerbose和用户名/口令 存储的基础上 ；一种是建立在cookie的基础上， 如IBM Websphreer , Bea WebLogic和国内金蝶 公司Apusic的应服务器都支持的SSO认证都属于 这种认证方式。在这两种方式中，各有不足， 前者需要安装专门的客户端，因而面向的用户 对象是有限的，而后者授权方式只能支持本产
我们的方法
采用J2EE + LDAP 能实现跨域认证信息共享 支持Web Services技术架构，使得系统更具有通
用性，其它业务子系统进行身份认证。 具备灵活和方便的使用模式，使用者可以通过多
种方式自由的使用统一身份认证服务。 提供后台管理功能，系统管理员可以方便的对用
户进行管理。
基于RBAC的访问控制
RBAC模型
资源
权限 a
角色1
资源 资源
权限 c
权限 b
权限 d
角色2
用户 1 用户 2 用户 3 用户 4
RBAC模型扩展
资源
角色
资源 角色
资源
用户组 用户
用户组
用户组
二次鉴权的思想
也就是信息门户中，首次单点登录只 解决用户登录和用户能否有进入某个应用 的权限问题，而在每个业务系统的权限则 由各自的业务系统进行控制。也就是二次 鉴权的思想。这种方式对于发挥各子应用 系统开发单位的积极性比较合适，同时也 减少了系统的复杂性。
RBAC模型的具体实现
在具体实现过程中，对于每个用户，其权限表达过程如下：
用户U1、U2…Uj……Um，业务A1、A2…Ai……An,用户组分别为G(G1)、 G2….Gk…..Gp。 用户组为用户和其他用户组的的组合，表达为：
Gk=[U1][∪U2][∪….][∪Um][∪G1][∪G2][∪…][∪Gk-1][∪Gk+1] [∪…] [∪Gp]
式中[]表示可选的意思，该公式表明，一个用户组可以定义为数个
用户及其它用户组的组合。设系统定义了q个角色组分别为R1、R2、 …Rl…..Rq。角色为业务与其他角色的组合，表达为：
Rl=[A1][∪A2][∪…][∪An][∪R1][∪R2][∪…][∪Rk-1][∪Rk+1][∪…][∪Rq]
该式表明，一个角色组何以定义为数个角色及其他角色组的组合。
那么对于用户Uj（j∈{1,2,….m}）来说，其权限可以定义为
网站内容管理系统
网站信息发布是校园网上的一个重要应 用，承载这些信息的有门户网站，也有各二 级院系及处部所网站，但是由于部门信息水 平不一，并且缺乏可管理性。
通过构建一个方便流畅的网站信息统一 管理平台，通过这样一个平台，既能减少对 网站发布人员的技术要求，又能减轻网站信
态管理，静态 页面
对硬件设备要求不高
适合于门户网站
校园信息门户建设的一点理解
门户理解 门户构架 我们工作 一点体会
概念理解
信息门户是对内部资源的整合，以提高资 源的利用效率。我们常见的门户有企业信息门 户、政府信息门户。
校园信息门户是对校内资源的整合，以提 高资源的利用效率，也是未来目前校园网资源 建设的一个新的发展方向。信息门户涉及 Portal技术、内容管理、信息检索、应用集成、 单点登录和访问控制等多方面的技术。
数据集成
一
身
认
证
通用服务
内容管理
数据 门户子站
数据 校园门户
...
主要研究内容
统一身份认证（SSO） 基于RBAC的访问控制 网站内容管理 INTERNET信息采集 异构数据集成 基于主题的决策查询
校园信息门户顶层数流图
机构信息
用户/授权 管理系统
权限信息
用户信息
学校公文处 理系统
统一身份认 证