基于一卡通的数字化校园资源整合研究与实现

1 引言
 
我国高校信息化建设从网络硬件平台的搭建到核心业务管理系统的广泛应用，经过十余年的发展，已逐渐步人数字化校园建设阶段。许多学校形成了较好的基础硬件环境，各类教学与管理业务系统逐步得到应用，为数字化校园的建设积累了资源和经验。从整体上看，数字校园建设取得了一些成绩，但存在一些关键问题需要我们认真研究和解决。比较突出的问题有：缺乏数字化校园的总体规划和部署、信息资源分散、共享程度低、缺乏公共基础数据平台、重复建设、信息标准不统一等。 

新一代数字校园需要建立整体数字校园解决方案，在建设目标上要把学校建设成面向校园内外的超越时间和空间的虚拟校园；在建设途径要贯彻整体规划分步实施的原则；在实现手段上要采用web Services、LOAP等方法。应用平台建设、资源整合和数据服务的一体化整合是其核心和重点。 

2 资源整合概述 

资源整合“是依据一定的需要，对各个相对独立的数字资源系统中的数据对象、功能结构及其互动关系进行融合、类聚和重组，重新结合为一个新的有机整体，形成一个效能更好、效率更高的新的数字资源体系”。资源整合包含两个层面，即源整合和数据整合。源整合是针对数据库入口，按各种分类原则进行标引，提供给用户统一的数据库检索入口，即平台整合。数据整合是深入到数据结构，通过统一的检索机制实现异构库的检索，有本地和网络两种整合模式。

校园信息资源的整合针对分散的异构信息资源体系，兼顾现有信息资源配置与管理状况，实现无缝集成，在新的信息交换与共享平台上开发新应用，实现信息资源的最大增值。信息资源整合对异构分散的非结构化数据(如文件、声音、图像等)、异构的结构化数据(如数据库等)进行管理和应用，集成不同应用系统(如教务系统、财务系统、科研系统、教育平台等)，为用户提供更高的资源管理、挖掘、展现手段的过程和方法，其目标就是消灭信息孤岛，提供内容管理、数据整合、门户整合、应用整合等功能。 

内容管理平台是一个将不同类型信息统一存储、管理、综合检索、发布的系统平台。数据整合是数字校园信息系统的核心部分之一，其目的是形成完整、统一的数据视图，其数据模型在逻辑上是统一的，而在物理上是可以分布存储的。门户整合通过集中认证技术实现应用系统的用户集中管理和统一认证，彻底改变各自为政、管理松散的用户管理模式，规范用户操作行为，实现用户管理、权限管理、身份认证和单点登录等功能。应用整合以流程驱动技术为核心，通过流程与服务的有机配合达到在不同系统直接的分工合作，有效地解决不同系统数据模型的一致性、技术路线以及软硬件平台的异构问题。

3 传统资源整合模式与“1+X"整合模式 

3．1 传统资源整合模式 
    (1)建立全新的中央数据中心模式。该模式是针对原有各个信息系统的数据格式不统一和重复定义的弊病，按照《教育管理信息化标准》建立的统一的数据中心。它具有规范的数据定义，是校园各个应用子系统的超集。 该模式的局限性是：因几乎是构建一个全新的超级系统，不仅放弃了原有系统，而且需对原有系统进行重新定位。这涉及全校教学、业务和生活的方方面面，投入巨大，造价昂贵，开发周期长，失败的风险大。这种模式适合校园原有应用子系统较少、校园网应用系统建立尚不完善的学校。
    (2)统一授权，单点登陆模式。该模式采用统一身份认证、统一授权、单点登陆、跨系统漫游的方式，认为各个子系统的生命周期不同，没有必要进行整合。它不对各个应用子系统进行数据库底层的重新构建，也不进行整合。该模式的局限性在于各个子系统不相关，不能进行深层次的数据挖掘，无法提供精确的统计数据，存在信息冗余、信息重叠甚至是信息不一致的现象。这种模式比较适合于应用子系统都是自主开发的学校。

3．2 “1+X”整合模式 

一个“数字化”基础平台：以校园一卡通系统为基础，构建统一的身份认证平台，继而构建统一的数据交换平台、门户接入平台和用户管理平台。 

X个应用系统：X个应用系统包括校园网中的所有应用系统和校园卡的所有子系统。这些系统在一个基础平台、统一身份认证以及统一门户的支撑下，实现真正的集成整合、数据共享和传递。 

“1+X，’模式如图1所示，虚拟数据中心是采用元数据管理形成的“逻辑数据库”，为用户屏蔽下层分散异构的各种数据。逻辑数据库是物理数据经由元数据定义、映射而成的统一数据管理中心，而不需要改变原来的数据结构。这种关键技术的采用无疑可以避免以上两种模式的局限性。

图I “1+X”模式层次结构图

    基于“1+X” 模式的资源整合系统采用Web Service技术的多层体系结构，如图2所示。

图2 “1+X”模式体系结构图

4 基于一卡通应用平台资源整合的实现 

数字化校园应用平台是为数字化校园提供的—种应用操作平台，由一个中心(校园一卡通)、两个平台(系统核心平台和校园网应用平台)组成，通过系统安全策略和第三方接入解决方案，实现用户身份认证与管理作用、电子钱包消费结算、信息共享与统一管理三大功能。 

“一卡通”以校园网为载体，以电子和信息技术为手段，集身份识别、校务管理以及各项校园服务为一体的系统。通过校园一卡通的应用，形成一个跨平台、跨数据库、可自我发展的数字化校园应用平台。通过统一访问入口，用户可以方便地访问门户中集成的各种资源，数字校园以一个整体的形象呈现在用户面前；通过应用系统集成技术提供统一的应用系统管理工具，实现校园网应用系统的集中管理；通过统一的用户管理，提供完整的用户权限管理工具，实现用户访问权限的集中管理。

4．1 基于Portlet信息门户 

门户(Porta1)是IT领域的新兴技术，属于网格技术的分支，其核心是分布式计算与资源管理。校园信息门户(CIP)是整个数字化校园的访问入口点，通过Portlet技术构建的校园信息门户可以集成已有的信息系统和Web应用程序；同时，通过可订制的门户渠道传递继承的内容、应用程序和服务，允许从校外访问校园信息门户，而且不需要额外的客户端软件来安装和维护，降低了门户实现和管理的成本，提高了工作效率，解决了数字校园建设中系统集成、信息整合和个性化信息服务的问题。

在具体的实现中，采用基于开发源代码的JetSpeed系统。JetSpeed按照MVC模型来构建，由Portlet、ServletEngine、Http Server等构件组成。Portle．t的校园信息门户的框架设计分为界面和服务两个部分。门户的界面由各个预先构造的Portlet组成，每个Portlet占用浏览器的一块区域显示信息，用户与具体的Portlet交互，Portlet的显示内容由Portlet的内部逻辑所决定。门户的功能设计从而转化为设计实现单独的Portlet，用户在定制自己的显示页面时，从注册的Portlet选择可用且有权限访问的Portlet。

用户在访问本信息门户时，通过浏览器发送HTTP请求，Web服务器将收到的请求传递给Sezvlet容器，Servlet容器调用门户引擎(t-J户服务器Servlet)，门户引擎将请求转换为Portlet请求，依次调用Portlet容器，根据需要经过多次调用后将多个Portlet的输出合成起来生成结果页面。

4．2 统一身份认证技术 

统一身份认证是校园应用平台实现资源整合、提供个性化服务的前提和基础，由认证服务系统接管各自的认证模块，各应用系统只需要遵循统一认证服务调用接口，即可实现用户身份的认证。系统利用身份认证服务提供的安全认证协议来保证用户身份信息、密码的存储以及在网络上传输的安全性，同时通过传输层安全(TLS)与简单认证和安全层(SASL)认证机制来保护数据的完整性和私密性。统一身份认证包括认证整合、统一用户授权及单点登录(SSO)。 

随着数字校园的深入建设，需要对学校的身份认证体系重新规划，将卡作为统一身份认证的载体，把原有一卡通系统的用户管理、用户组管理模块和统一身份认证系统集成，使统一身份认证系统作为添加用户和获取身份信息的唯一人口。针对学校的组织结构和安全性策略，对其所有用户进行分组，并基于学校业务模块的应用权限为组和用户统一分配角色。通过LDAP目录服务将校内的用户或组织的信g(称为属性)以层次结构、面向对象数据库的方式加以收集和管理，对用户信息进行统一管理，保证数据的一致性和完整性，为校园各类应用系统提供用户信息的共享。考虑到校园一卡通系统的特殊应用场景，根据专网设计和脱机使用的要求，统一身份认证中心支持一卡通系统建立单独的数据库，定制开发后台数据复制的服务，使校园一卡通系统可以保持和统一身份认证数据的一致；对于校园一卡通系统的Web应用部分，将其纳入信息发布门户体系，使用统一身份认证系统接口，自然地支持单点登录。

4．3统一的数据交换中心 

数字化校园有其阶段性建设的特点，各应用系统松耦合、相对独立。为了使目前的应用系统得到有效利用，在结构上统一数据中心和其他应用系统也应是松耦合的关系。数据层面所需的信息集中存储，各应用子系统共享，可以有效防止信息的冗余和不一致，保证数据的准确性和可靠性，实现核心数据的集中管理、备份，提高系统的安全性，减少设备的投资和管理的人力成本。数据中心在数据级对“一卡通”和其他系统的数据进行无缝集成，便于信息的共享、交流和各项业务的协作。 

一卡通系统使用统一数据交换中心提供的公共数据编码、身份信息等数据，同时一卡通系统拥有自己的业务数据库，将其他应用系统需要的信息纳入共享数据库的统一设计中，实现校园一卡通系统数据对整个数字化校园的共享。 

    (1)XML数据交换引擎的设计与实现。XML数据交换引擎是数据交换系统的核心部分，主要负责异构数据信息的转换。在数据转换过程中，引擎根据系统中已注册的传人源文件与输出目标文件，从XLST"映射文件库中调用与之对应转换映射文件XLST(Sourse--D)将源文件转换为系统标准XML文档。随后，引擎再次调用XLST (Destination)文件，将系统标准XML文档转换为目标文件，完成一次转换过程。引擎采用多线程处理机制，主要由数据转换模块与XSLT数据转换映射文件库组成。 

    (2)XML数据交换接口的设计与实现。数据交换接口主要实现两个方面的功能：(1)将待交换数据映射为XML文档，即数据的输出。数据输出根据各系统后台数据库的具体情况与其建立连接，从数据库中获取需要转换的数据生成DataSet数据集，并将数据转换为XML文档，完成转换后关闭与数据库的连接。(2)对转换后的输入XML文档进行合法性检查，通过检查的数据被读人数据库实现数据的更新，即数据的输入。输人数据的身份验证主要验证传人数据是否为系统的合法数据、数据的来源及目标是否有效。利用XSD架构定义语言进一步对转换后的XML输人数据进行结构及合法性检查，确保输入数据的完整性及正确性。然后，建立与数据库的连接，将数据读人系统，并对数据库进行更新。数据输入流程如图3所示。

图3 数据输入流程图

4．4 统一的用户管理 

一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。在数据同步的过程中，既有上行也有下行。所以，对于统一数据交换中心应建立一套任务调度机制，保证在系统运行的过程中产生的差异数据能被准确地捕获和复制。解决用户数据同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。 

UUMS分为两大子系统：用户集中管理和用户信息服务。用户集中管理子系统通过JNDI访问LDAP目录服务，进行人员信息的集中管理、更新和查询。当组织结构变化时，只需在这里修改一次，无需去维护每个相关的应用系统。用户信息服务子系统提供应用系统访问统一用户管理服务的接口，采用简单对象访问协议(SOAP)实现的用户信息远程查询接口和采用ServletFilter代理技术实现的认证服务是其中两种核心服务。

图4 UUMS实现框图

基于LDAP目录服务开发统一用户管理系统，实现校园网用户权限的分级、分层管理，并充分利用目录服务的树状信息存储结构、快速响应大容量查询和分布式复制信息的特性，一方面降低数字化校园应用系统中用户管理的成本，提高新应用系统的开发效率，尤其提供包括单点登陆在内的认证服务；另一方面，有了通用的用户信息基础结构，可以集中地管理用户角色，制定安全政策，大大减少了各个应用系统权限管理的维护量。

5 结束语 

依托数字化校园应用平台的建设，对一卡通和校园资源进行“1+x”整合，将校园网原来的单一服务转为多元化服务，为“数字化校园”提供全面的数据采集网络平台。通过一卡通系统，实现校园网用户访问权限的集中管理，统一控制用户对信息资源和应用系统的访问，为用户提供集成的访问人口，并根据用户身份提供满足其需求的特定信息资源和业务数据，为用户提供个性化的服务。一卡通系统在身份认证和密码识别以及用户授权方面具有优良的特性，因此整合高校现有一卡通和校园网资源是构建数字化校园概念下的校园网应用平台关键的第一步。目前，学校新闻发布系统、学生管理系统、机房管理系统、食堂消费系统等网络应用系统已实现基于Web Service的“1+X”整合。通过一卡通，对各种资源的有效集成、整合和优化，实现了资源的有效配置和充分利用，实现了校务管理和后勤服务的改进，实现了教学、学习、生活过程的优化，从而提高了各种管理和服务工作的效率和效果，很好地解决了校园复杂网络环境下各类网络应用的统一身份认证、数据同步、用户权限管理等问题。