分类号密级 UDC 注 1 学位论文基于身份信息的云聚合技术研究 ( 题名和副题名 ) 边汤贵 ( 作者姓名 ) 指导教师唐雪飞副教授电子科技大学成都 ( 姓名职称单位名称 ) 申请学

Size: px

Start display at page:

Download "分类号密级 UDC 注 1 学位论文基于身份信息的云聚合技术研究 ( 题名和副题名 ) 边汤贵 ( 作者姓名 ) 指导教师唐雪飞副教授电子科技大学成都 ( 姓名职称单位名称 ) 申请学"

妊准闵
7 years ago
Views:

1 电子科技大学 UNIVERSITY OF ELECTRONIC SCIENCE AND TECHNOLOGY OF CHINA 专业学位硕士学位论文 MASTER THESIS FOR PROFESSIONAL DEGREE 论文题目专业学位类别基于身份信息的云聚合技术研究工程硕士学号作者姓名指导教师边汤贵唐雪飞副教授

2 分类号密级 UDC 注 1 学位论文基于身份信息的云聚合技术研究 ( 题名和副题名 ) 边汤贵 ( 作者姓名 ) 指导教师唐雪飞副教授电子科技大学成都 ( 姓名职称单位名称 ) 申请学位级别硕士专业学位类别工程硕士工程领域名称计算机技术提交论文日期论文答辩日期学位授予单位和日期电子科技大学 2014 年 06 月 29 日答辩委员会主席评阅人

硕士专业学位类别工程硕士工程领域名称计算机技术提交论文日期 20140324 论文答辩日

3 注 1: 注明国际十进分类法 UDC 的类号 RESEARCH OF CLOUD POLYMERIZATION TECHNOLOGY BASED ON IDENTITY INFOERMATION A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Author: Advisor: School : Computer Technology BianTanggui TangXuefei School of Computer Science & Engineering

Electronic Science and Technology of China Major: Author: Advisor: School :

4 独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果据我所知, 除了文中特别加以标注和致谢的地方外, 论文中不包含其他人已经发表或撰写过的研究成果, 也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意作者签名 : 日期 : 年月日论文使用授权本学位论文作者完全了解电子科技大学有关保留使用学位论文的规定, 有权保留并向国家有关部门或机构送交论文的复印件和磁盘, 允许论文被查阅和借阅本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索, 可以采用影印缩印或扫描等复制手段保存汇编学位论文 ( 保密的学位论文在解密后应遵守此规定 ) 作者签名 : 导师签名 : 日期 : 年月日

论文使用授权本学位论文作者完全了解电子科技大学有关保留使用学位论文的规定, 有权保留并向国家有关部门或机构送交论文的复印件和磁盘, 允许论文被查阅和借阅本人授权电子科技大学可

5 摘要摘要应用系统集成一直是企业或单位进行信息化建设的重点和难点随着云计算对生产生活的持续深入影响, 越来越多的企业和个人依赖于其提供的应用和服务与传统应用需要集成一样, 现有的云应用独立并且分散用户在使用时需要分别访问各个应用, 并且对他们的登录凭证分别进行记忆和管理这样, 对用户的工作效率和应用体验都造成了不小的影响另一方面, 对于企业管理人员来说也面着临不小的挑战独立分散的应用在增加对用户和应用资源的管理负担的同时, 也为公司的安全造成了不小的威胁于是, 传统的应用集成问题在云计算背景下, 又一次摆在了人们面前针对上述问题, 本文对云应用集成进行了系统的研究, 并对云应用与本地应用的集成进行了具体的实践首先, 本文对云应用集成进行了相关分析, 并给出云应用有机集成的目标 : 云聚合随后, 本文对云应用与本地应用集成中遇到的身份认证问题进行了分析, 并总结出了现有单点登录技术在解决该问题时候的不足为此, 本文提出了基于云应用代理的身份认证方法来解决这个问题最后, 本文以建设湖南财政经济学院的门户系统的过程为例, 对本文所研究的内容进行了设计和编码实现, 并进行了相关测试在进行门户系统的实现过程中, 本文对云应用与本地应用在展示层和业务层的集成统一身份认证权限认证等功能进行了详细设计和编码实现并对遇到的云应用与门户系统的数据同步和权限同步的问题, 提出了相应的解决方案整个过程, 采用了软件工程的思想来进行介绍从而将实现过程分为了 : 需求分析, 系统设计, 功能实现, 效果展示和相关测试几个部分本文所研究的云应用集成关键技术, 对于企业的信息化建设具有良好的促进作用, 并在实际系统应用中收到了良好效果, 具有一定的实践性和创新性关键词 : 云应用集成, 身份认证, 单点登录, 门户系统 I

担的同时, 也为公司的安全造成了不小的威胁于是, 传统的应用集成问题在云计算背景下, 又一次摆在了人们面前针对上述问题, 本文对云应用集成进行了系统的研究, 并对云应用与本地应用的集成进行了具体的实践首先, 本文对云应

6 ABSTRACT ABSTRACT The problem of applications integration is always letting enterprises put focus on it. Now, with the cloud computing continue to influence our production and living, more and more enterprises and individuals have to use the services or applications. Like traditional applications, the existing cloud applications are independent and decentralized. And these become the problem. Like users have to use to access each application separately, and separately memory and management their login credentials. Thus, these caused some impaction on the user's productivity and application experiences. On the other hand, it is also challenge the company management, because of the applications distribution and independence. Thus, the traditional application integration issues in the context of integration again placed in front of people,but this time,it is cloud computing. For solving the above problems, this thesis carried a systematic study on cloud application integration. And give a specific practice on cloud application integration with local applications. Firstly, we analyze the related issues of cloud application integration and then give the organic integration target of cloud applications: cloud polymerization. Secondly this thesis analyzes the authentication problems of cloud application integrate with the local application and summed up the deficiencies of the existing single signon technology to solve the above problem. To solve this problem, this thesis proposes a method called:"proxy authentication method based on cloud application". Finally, in order to put the method into practice, we build Hunan Finance and Economics College portal system. These theses also give the detail process of designing and coding to implement the system and carry out the related tests. During the implementation process of the portal system, we detailed design and implement the process of cloud applications and local applications integrate in presentation layer and the business layer, unified identity authentication, permissions authentication and other functions. We also give the solutions of data and permissions synchronization problem of the portal system during the system building time. We divided the implementation process into some parts like: requirements analysis, system design, function realization, showing the effect of system and associated test. Throughout the process, we have adopted the idea of software engineering. II

Like traditional applications, the existing cloud applications are independent and decentralized. And these become the problem.

7 ABSTRACT The key technologies of the cloud application integration, which this thesis researched and practiced, have a good role in companies information construction. And these technologies received good results in the actual system application. So, the achievements can promote the popularity of clouds applications to the enterprises and individuals. Keywords: Cloud applications integration, Authentication, SSO, Portal III

And these technologies received good results in the actual system application.

8 目录目录第一章绪论本研究的课题背景本研究的价值和意义国内外的研究现状本论文的研究工作论文组织结构... 4 第二章应用集成相关技术介绍传统应用集成技术辐射型集成方法基于总线的集成方法面向服务的集成方法传统单点登录技术云应用中的身份认证技术介绍云应用单点登录方案介绍云应用与本地应用集成分析云应用集成的目标 : 云聚合云应用集成的特点和方法云应用集成需要解决的关键技术本章小结第三章传统单点登录方法的改进云应用集成的安全策略云应用与传统应用集成的身份认证问题传统单点登录认证方法的不足传统单点登录技术传统单点登录所面临的问题基于云应用代理的身份认证方法要求分析模型建立方法分析本章小结 IV

4 云应用与本地应用集成分析... 18 2.4.1 云应用集成的目标 : 云聚合... 18 2.4.2 云应用集成的特点和方法... 19 2.4.3 云应用集成需要解决的关键技术... 22 2.5 本章小结... 25 第三章传统单点登录方法的改进... 26 3.

9 目录第四章云应用与企业级门户集成的设计云应用与门户集成的需求分析业务建模需求分析应用集成总体结构设计云应用集成设计展示层集成设计业务层集成设计数据同步设计云集成应用统一身份认证设计云集成应用安全设计数据库设计云应用数据存储方案设计应用集成相关数据库表设计门户系统其他相关数据库设计接口设计类图设计云存储类图设计权限认证类图设计本章小结第五章云应用与企业级门户集成的实现开发环境的构建开发环境构建项目资源管理云应用与门户表现层集成的实现云应用与门户业务层集成的实现云应用代理实现云应用与系统平台的集成云应用异构数据处理我的云存储实现云集成应用统一身份认证实现过程实现分析关键方法实现 V

.. 50 4.7 接口设计... 51 4.8 类图设计... 52 4.8.1 云存储类图设计... 52 4.8.2 权限认证类图设计... 53 4.9 本章小结... 54 第五章云应用与企业级门户集成的实现... 55 5.1 开发环境的构建... 55 5.1.1 开发环境构建.

10 目录接入应用实现权限认证模块实现权限分配策略权限管理实现权限认证实现门户其他功能的实现本章小结第六章效果展示及相关测试系统部署云应用与门户系统集成效果展示单点登录效果云应用与门户在展示层集成效果云应用与门户在业务层集成效果消息管理效果安全管理效果系统测试测试环境功能测试压力测试结论分析本章小结第七章总结与展望致谢参考文献在研期间取得的与学位论文相关的研究成果 VI

.. 83 6.2.3 云应用与门户在业务层集成效果... 85 6.2.4 消息管理效果... 90 6.2.5 安全管理效果... 90 6.3 系统测试... 91 6.3.1 测试环境... 92 6.3.2 功能测试... 92 6.3.3 压力测试.

11 第一章绪论第一章绪论 1.1 本研究的课题背景本项目来源于湖南财政经济学院的门户系统建设在建设过程中, 为方便学校师生的日常生活, 同时降低门户系统的开发实施成本针, 我们对现阶段云应用与门户集成的方法进行了研究旨在解决云应用与传统应用集成的问题云应用是随着云计算的发展而发展的从 2011 年被称为云计算元年起, 到现在不足四年的时间里, 云计算从开始的互联网酝酿阶段, 进入到了广泛实际建设使用阶段不仅彻底改变了大中型企业的信息技术环境, 还使得个人或小型团队拥有了和大型企业一样的开发运营环境在这样的环境下, 一大批云应用软件应运而生但随着云应用的进一步发展, 不可避免的出现了问题这些问题主要体现在以下方面 : 对于用户来说, 需要更好的用户体验与应用透明随着云计算的发展, 出现了越来越多的云应用程序但由于云计算提供商不同, 这些应用往往不能与其他应用程序互联互通随着用户对云应用使用的深入, 不可避免的会出现需求业务的增长此时, 用户就不得不自己进行应用整合其次, 不同的云应用往往由于开发者的不同, 其操作习惯和界面风格也差别很大, 用户需要花费不少精力进行操作的熟悉最后, 云应用往往都需要用户提供身份信息和识别口令用户需要自行记忆和输入相关信息这对用户的体验效果和账户安全造成了不小的影响对于开发者来说, 也面临不少的问题首先是云应用提供商的各自为政由于云计算市场尚未形成统一的规范在目前阶段, 各大云计算提供商都在极力推行自己的云计算服务及配套标准, 以左右国内云计算标准, 实现其商业利益最大化这样就使得各个云之间的数据互通资源共享协同合作变得日益复杂和困难相关的云应用就成为了广域网中的信息孤岛 [1] 其次, 是安全不仅用户对云应用的安全有着担忧, 各个云应用提供商之间也缺乏信任这就导致了, 各个云应用服务商之间的认证方式不同这样, 在权限认证方面, 开发者即需要了解本地应用的认证方式, 有需要了解所接入云应用的认证方式开发十分不便最后是, 稳定性由于某些业务的需要, 云计算服务提供商需要确保所提供的服务不能中断这之间, 需要考虑到人为因素, 如操作失误断电内部破坏等, 还需要考虑到自然因素, 如洪水地震火灾等这就要求企业提供异地备份动态迁移等技术同时, 对于客户还需要选择不同云计算服务商作为备用否则, 造成的危害是巨大的 [2] 1

集成的问题云应用是随着云计算的发展而发展的从 2011 年被称为云计算元年起, 到现在不足四年的时间里, 云计算从开始的互联网酝酿阶段, 进入到了广泛实际建设使用阶段不仅彻底改变了大中型企业的信息技术环境, 还使得个人

12 电子科技大学硕士学位论文 1.2 本研究的价值和意义应用系统集成历来是企业信息化建设中的重点随着云计算的快速发展, 以及各大云计算服务商积极投入云计算行业, 各种应用层出不穷但与传统应用相似, 云应用的集成协作也同样出现了信息孤岛问题本论文通过对现阶段云应用发展状况的研究, 在讨论了相关技术产品之后, 总结出了云应用集成所需要解决的关键技术问题这些技术的讨论, 将会对云应用聚合技术的发展, 起到一个抛砖引玉的作用将会进一步促进云计算的发展, 并对消除广域网中的信息孤岛起到很好的借鉴作用此外, 本文还对传统应用与云应用的集成进行了详细研究并给出了具体解决方案, 这将为云应用的更广泛应用提供一定支持和借鉴从经济上来讲, 用户可以在继续使用传统应用的同时, 引入云应用并且可以像使用传统应用那样, 只输入一次口令这样, 在减少用户的投入的同时, 也让用户体会到云计算带来的透明方便快捷此外, 统一协作的云应用必将进一步推动云计算的发展, 从而使云计算市场进一步发展, 进一步降低云计算服务商的硬件管理成本 [3] 从技术上来讲, 云应用聚合技术的发展, 将推进云计算市场的进一步规范也为使用云计算的开发人员和用户提供更加便捷的开发使用环境, 更高的数据安全, 更好的用户隐私保护稳定性保障等并且为国家云计算规范的出台, 做出一定的实践贡献 1.3 国内外的研究现状云应用的蓬勃发展必然带来应用之间的协作集成问题在国外, 尤其在美国, 由于云计算已经普遍进入各行各业, 各个企业或自行整合云应用, 或依托于第三方公司, 或使用第三方整合工具, 都已经积累了一定的经验其中具有代表性的有 :informatica 公司和 oracle 公司其中,informatica 代表云端集成解决方案提供商, 其针对 Force.com 和 Salesforce CRM 平台设计了一整套关于云端数据集成的解决方案, 并提出了集成即服务的概念即该产品可对 Salesforce 平台的数据提供按需集成的服务其使用方法较为 : 用户登录平台后, 在系统的后端进行和 Salesforce CRM 平台的数据管理, 包括的操作有 : 移动监控和同步该方案的核心包含两类服务 : 一个是集成服务工具 Salesforce 平台的管理员可以利用这些工具构建任何数量的集成任务另一个是需要进行密钥交互的数据集成应用服务程序该云应用为特定的集成任务量身定制, 并且操作简单目前,Informatica 提供了三种该类型的应用程序 : 按需加载数据服务按需复制数据服务, 以及按需数据质量评估服务 [4] 2

通过对现阶段云应用发展状况的研究, 在讨论了相关技术产品之后, 总结出了云应用集成所需要解决的关键技术问题这些技术的讨论, 将会对云应用聚合技术的发展, 起到一个抛砖引玉的作用将会进一步促进云计算的发展, 并对消除

13 第一章绪论 Oracle 公司则是本地应用系统与云应用集成的代表 oracle 公司在 2012 年 11 月发表了云集成全面的解决方案白皮书 [12] 该解决方案依托于 oracle 融合中间件进行各层次集成这些层次包含数据层消息称业务处理层和表现层其中包含的 oracle 产品有 :Oracle SOA Suite Oracle Data Integration 以及其他组件该解决方案为需要进行应用集成的用户提供了一个处于本地的集成中间层, 并且屏蔽了云应用的各种差异, 为用户提供统一的开发使用接口 [5] 在云应用集成标准制定方面, 开放组织提出了 SOCCI( 面向服务云计算基础设施 ) 框架该框架主要为云计算的基础设施建设给出了建议其主要内容为 : 定义了一系列用来构成业务和运维的结构单元组件其中, 业务组件包括有以下几个功能 : 追踪记录功能 ( 计量管理器 ) 按消费者用户使用的功能对其进行计费管理功能 ( 支付管理器 ) 和按区域分配资源功能 ( 地址管理器 ) 而运维组件提供的功能包括 : 交付虚拟基础设施服务和对物理基础设施进行仿真功能 ( 虚拟管理器 ) 服务监控管理与运行失效自动恢复功能 ( 事件和监控管理器 ) 基础设施优化功能 ( 供应服务管理器 ) 确保提供资源的可用性 ( 容量和性能管理器 ) 以及为交付服务中各设备提供配置支持优化的功能 ( 配置管理器 ) [6] 在国内, 云应用集成还处于探索阶段 2012 年由腾讯牵头, 云计算领域的相关企业研究机构等几十家单位联合讨论了云计算基础类标准云数据存储和管理系列标准 PaaS 平台规范弹性云计算服务接口标准等标准, 并撰写了云计算 PaaS 平台接口规范该规范主要介绍了国内 PaaS 平台在规范方面的现状, 并对 PaaS 平台的架构体系进行了说明 [7] 根据以上介绍, 不难看出 : 目前关于不同云应用聚合技术的研究只是刚刚起步, 而且由于商业因素, 各企业都只是在抢占市场中进行探索, 尚未总结出广泛合理的技术和标准规范而学术界对此方面的研究也只有寥寥几篇因此, 本文需要对云应用集成相关问题进行相应的研究探讨 1.4 本论文的研究工作本文是在广泛阅读国内外相关文献, 并参考互联网资料的基础上, 以及在湖南财政经济学院的门户系统建设的实际项目中, 对云计算环境下的云应用集成技术以及, 其身份认证技术进行了相应研究主要工作包含以下几个方面 : 1) 系统地介绍了应用集成的相关技术并对云应用与本地应用的集成进行了分析 2) 对云应用集成中产生的身份认证问题的研究, 本文提出了基于传统单点登录的改进方法 : 云应用代理方法 3

接口 [5] 在云应用集成标准制定方面, 开放组织提出了 SOCCI( 面向服务云计算基础设施 ) 框架该框架主要为云计算的基础设施建设给出了建议其主要内容为 : 定义了一系列用来构成业务和运维的结构单元组件其中, 业务组件包括

14 电子科技大学硕士学位论文 3) 对云应用与本地应用的集成, 本文在湖南财政经济学院门户系统建设中进行了详细设计和编码实践具体包括 : 云应用集成, 统一身份认证, 权限认证, 数据库设计, 接口设计, 相关类设计等部分在这个过程中, 对云应用与门户中数据和权限的同步问题进行了探讨, 给出了相应的解决方法并进行了实践 4) 在实践后, 学习了相关的测试技术, 对本文实现的功能进行了功能测试对用户登录和我的云存储部分编写了测试脚本, 进行了压力测试 1.5 论文组织结构本文通过对云应用与本地应用集成的研究, 提出了云应用与本地应用进行有机集成的解决方案, 并实际的项目中进行了设计和实现为此, 全文需要将这个过程分为七章 : 第一章 : 绪论介绍研究的背景和意义国内外的研究状况, 以及本文的研究工作组织结构等第二章 : 介绍了论文中需要借鉴的相关技术以及对云应用与本地应用集成进行了分析这些技术包括 : 传统应用集成技术, 传统单点登录技术, 目前云应用中的身份认证技术以及云应用单点登录方案第三章 : 提出了传统单点登录方法在云集成应用中的改进该章首先过对传统单点登录系统在云应用集成中的不足, 进行了分析随后系统地介绍了基于云应用代理的身份认证方法第四章 : 本章以湖南财政经济学院门户系统建设为对象, 对云应用与本地应用的集成过程, 进行了详细设计说明包括 : 需求, 云应用与门户的集成设计, 身份认证设计, 安全设计, 数据库设计, 接口设计, 相关实现类设计等第五章 : 针对第四章的设计, 本文对云应用集成, 统一身份认证, 权限认证等关键部分进行了实现说明对于实现的步骤和思路本文给出了相应的时序图和相关说明, 关键地方, 还给出了相关代码第六章 : 对实现的效果进行了展示说明, 并对关系云应用集成的单点登录和云应用使用进行了功能测试和压力测试测试结果符合学校实际要求第七章 : 总结与展望对本文的研究成果进行了总结, 并且对云应用聚合相关技术给出了进一步建议 4

试 1.5 论文组织结构本文通过对云应用与本地应用集成的研究, 提出了云应用与本地应用进行有机集成的解决方案, 并实际的项目中进行了设计和实现为此, 全文需要将这个过程分为七章 : 第一章 : 绪论介绍研究的背景和意义国内

15 第二章应用集成相关技术介绍第二章应用集成相关技术介绍本章根据论文研究的需要, 介绍了相关的技术这些技术包含 : 传统的应用集成和单点登陆技术, 以及目前流行的云应用单点登录解决方案和身份认证技术在这之后, 将对云应用集成的相关问题和方法进行分析, 并提出云应用与本地应用进行有机结合的目标 : 云聚合 2.1 传统应用集成技术辐射型集成方法辐射型方法, 英文全程为 :Hub and Spoke Approach 其中 Hub 指的是应用集成中心, 他有自己所规定的连接协议所有需要连接的应用系统 (spoke), 都通过该协议和中心相连接这样一来, 这个集成中心就成了控制该集成系统的唯一节点, 所有需要接入进该系统的应用都只需要和该中心进行连接即可这样, 相对于点对点的连接,N 个系统的连接数由原来的 N*(N1)/2 减少到 N 其结构如图 21 所示 : 应用系统 1 适配器网络适配器应用系统 2 应用集成中心应用系统 3 适配器网络适配器应用系统 4 图 21 辐射型集成方法 (Hub and Spoke Approach) 结构图在图 21 中, 所有的应用都需要通过应用集成中心 (hub) 或引擎进行数据的接受和发送具体来说, 适配器需要把数据从源应用程序中提取出来, 再把数据发送给数据引擎 (Broker) 数据引擎按照预先设置的规则, 将数据进行相应的转换, 转换后的结果由对应的路由规则, 发送到到目标应用中去中心辐射方式相对于点对点方式有着以下优点 : 1) 一般只有一个中心节点, 结构简单易于实施 5

16 电子科技大学硕士学位论文 2) 各个应用程序间通过应用集成中心进行连接, 降低了了耦合性 3) 由于只需要和集成中心进行交互, 应用程序编码工作明显减少, 且可制定一定得的标准来控制连接此外, 数据的转换和路由规则指定在了中心服务器中, 维护和升级变得轻松当然, 中心辐射式的集成方式会有以下缺点 : 1) 中心辐射的方式对应用集成中心要求比较高, 并且该中心可能成为整个系统的性能瓶颈 2) 整个系统的风险提高中心服务器的失效将对整个系统造成影响 3) 实际情况中, 由于涉及安全及数据保密等问题, 将所有应用集中到中心服务器将面临困难基于总线的集成方法基于总线的集成方法, 其英文为 Bus Based Approach 该方法相比于中心辐射方法, 去掉了中心节点他的所有节点都是平等的所有应用程序经过适配器包装后, 连接到总线上即, 所有需要发送的数据和消息都经过适配器进行处理后传入总线其结构, 如图 22 所示 : 应用系统 1 适配器网络网络适配器应用系统 2 系统总线应用系统 3 适配器网络网络适配器应用系统 4 图 22 总线应用集成方法架构图由图 22 可知, 总线连接并控制着所有应用当某个应用收到来自总线的信息时, 需要适配器进行相应处理转换后才能进入该应用应用发出的数据和消息, 也需要经过适配器进行相应的转换后, 才能发到总线中进行这样做的好处有以下几点 : 首先是避免了系统负荷过度集中和单节点失效的风险 ; 其次, 这样的系统开放性很好, 已经加入的应用程序不会因为新的应用的加入而进行改变当然, 由于所用应用都需要通过总线来进行通讯和数据交换, 总线的协调能力会随着应用的增多而下降, 系统性能也会随之下降, 因而可接入的应用程序较少 6

成影响 3) 实际情况中, 由于涉及安全及数据保密等问题, 将所有应用集中到中心服务器将面临困难 2.1.

17 2.1.3 面向服务的集成方法第二章应用集成相关技术介绍面向服务的体系架构 (ServiceOriented Architecture,SOA) 是当前主流的企业应用集成方法它具有高可靠低耦合易扩展易维护等优良特点, 这对云应用集成技术研究具有良好的借鉴作用为此, 本章单独出一个小节来进行详细介绍 [8] SOA 的结构 SOA 是一种组件模型, 它将企业的业务进行组件化和流程化每个组件则称之为服务这些服务相对独立可重用并且可相互包含而每个服务的组成则可以有不同的形态 : 可以是一个或者多个分布式系统所实现, 也可以是由现有服务经过设定的流程所组装而成的服务之间的交互规则需要通过服务中定义的接口来实现而这些接口则是服务的关键组成部分, 它随着服务的定义而一同定义定义的具体内容, 这需要根据服务的具体内容来确定这些内容包括 : 服务质量性能指标安全要求业务规则法律规则关键业绩指标 (Key Performance Indicator,KPI)) 等此外在定义服务的时候, 还需要遵守一定的标准这些标准, 需要是全局的中立的这样, 构建于不同系统中的服务就可以以统一和通用的方式进行互相协作 [9] SOA 的组件通常包括三个部分 : 服务注册服务和服务质量其中, 服务包含有 : 接口描述内容流程服务质量包含 : 规范安全转换管理等部分具体结构如图 23 所示 : 服务服务质量业务流程服务服务描述会话协议接口相关规则安全保障交付管理服务注册图 23 SOA 的体系结构 SOA 运行机制在 SOA 系统中, 所有的服务都需进行服务注册 (Service Registry), 并且使用企业服务总线 (Enterprise Service Bus) 来进行服务的查询和动态定位通过服务总线和服务注册这两项技术, 使得服务的提供者和使用者有了高度的独立性不同系统间的耦合程度也大大降低 ; 集成系统的灵活性也大大增强 ; 同时由于服 7

形态 : 可以是一个或者多个分布式系统所实现, 也可以是由现有服务经过设定的流程所组装而成的服务之间的交互规则需要通过服务中定义的接口来实现而这些接口则是服务的关键组成部分, 它随着服务的定义而一同定义定义的具

18 电子科技大学硕士学位论文务对外变得不可见, 从而保障了服务的安全 [10] 服务之间的协同工作需要遵循一定的规范这些规范包含主要集中在三个方面 : 查找绑定和调用其中, 查找需要用到动态服务定位技术其方法流程是查询服务注册中心, 找到与其需求相匹配的服务如果服务存在, 注册中心就为该服务提供目标服务的接口和端点地址图 24 展示了服务的查找绑定和调用过程服务描述查找服务注册发布服务请求者绑定调用服务提供者服务服务描述图 24 SOA 中服务协作图现对图 24 进行说明 : 1) 服务请求者 : 服务使用者是多种多样的, 如 : 应用程序软件模块甚至可以是另一个服务它可以发起对注册中心所管理的服务进行查询交互绑定等操作, 然后根据查找到的标识让被调用的服务执行而被执行的服务只需要返回运行结果或进行某种操作即可这一过程都是通过接口调用来实现的 2) 服务提供者 : 服务提供者是一个通过网络寻址来确定的实体它接受和执行来自服务请求者的使用要求它需要在建立的时候, 将自己的服务和接口注册并发布到服务注册中心, 让需要使用的服务请求者发现和访问它 3) 服务注册中心 : 服务注册中心是所有服务的管理者它管理着所有可用的服务及其对应的接口此外, 他还拥有控制这些服务及其接口的访问使用权利传统单点登录技术单点登录 SSO(Single Sign On) 是门户系统中身份管理的一部分, 是系统的重要技术之一单点登录的流行说法为 : 用户只需要进行一次身份验证, 就可以 8

SOA 中服务协作图现对图 24 进行说明 : 1) 服务请求者 : 服务使用者是多种多样的, 如 : 应用程序软件模块甚至可以是另一个服务它可以发起对注册中心所管理的服务进行查询交互绑定等操作, 然后根据查找到的标识让被调用的服

19 第二章应用集成相关技术介绍多次访问同一应用系统, 或者不同应用系统中受保护的资源, 但却不再需要进行身份验证的技术 [16] 其常用的解决方案如下 : 基于 Cookie 的方法 Cookie 是一种比较流行的保存用户登录信息的技术该技术将用户的登录信息和状态信息以文本的方式保存在客户端, 当用户下一次访问相同的网站时, 浏览器就会将相关信息发送给网站网站经过确认后, 即认为该用户登录成功基于 Cookie 的单点登录方法正是利用了这一特性来实现其技术方案现将其过程介绍如下 : 首先, 当用户第一次登录系统时, 需要进行传统的登录和认证但在成功认证后, 该技术会在用户的客户端设置其临时的 Cookie; 然后, 当用户再次访问网站或者该网站的子系统时, 系统会首先验证用户的 Cookie 这个过程对用户是来说透明的如果在验证时, 用户的 Cookie 存在并仍然有效, 系统认为该用户登陆成功即, 用户不再需要进行相关登录操作这个过程的时序如图 25 所示 [17] : 用户登录成功需免登录的系统 1: 登录 2: 登陆成功 3: 生成相应的 Cookie 4: 免登录 5: 验证携带的 Cookie 6: 登陆成功图 25 cookies 方式的单点登录时序图由以上描述可知 : 基于 Cookie 的方式由于用户的相关信息存储于客户端, 故存在安全隐患基于经纪人的方法基于经纪人的单点登录方法, 其英文为 Broker based 该技术方案中存在一个服务器该服务器用于用户身份的集中认证和相关帐号的管理由于服务器的使用, 这种方案减少了管理的代价, 并可以将认证部分独立出来, 甚至可以将此功能交由第三方来进行由以上描述可知, 该单点登录方式具有如下优点 : 首先, 该方案实现了一次 9

技术方案现将其过程介绍如下 : 首先, 当用户第一次登录系统时, 需要进行传统的登录和认证但在成功认证后, 该技术会在用户的客户端设置其临时的 Cookie; 然后, 当用户再次访问网站或者该网站的子系统时, 系统会首先验证用户

20 电子科技大学硕士学位论文性的票据发放, 该票据的有效期一般为 8 小时其次, 该方案支持双向身份认证技术即, 服务器可以通过身份认证来确认访问者的身份, 反过来, 访问者也可以对服务器进行身份认证最后, 该方案可以在分布式环境下进行部署但该方案也有明显的不足首先, 在该方案中, 认证服务器是整个认证系统的核心一旦认证服务器出现故障, 就会导致整个系统无法运行此外, 安全性不高如对重放攻击的防范不得力 ; 有口令猜测攻击的危险等基于代理的方法该方案的英文为,Agent based 这种解决方案使用一个具有中间介绍者功能的中间应用程序, 进行认证代理, 从而实现不同应用程序对用户身份的认证过程这个代理程序可以有多种表现形式 : 可以放在服务器端, 也可以放在客户端在服务器端时, 它一般会使用口令表或加密密钥来转移认证的任务放在客户端时, 当用户通过认证后, 该程序就会将被认证身份加入其列表中此后, 如果用户访问与已认证系统有集成关系的系统时, 该代理程序就会将认证传给这个新的连接, 从而实现单点登录基于代理的方式易于移植, 并且有强有力的安全通讯机制为其进行保障但同时, 也使得系统对用户的身份难以管控此外, 开发者还需要协调服务提供商与原有老旧系统, 以便该代理程序能够顺利运行基于票据的方法该方案的英文名称为,Token based 简单的说, 就是所有应用采用一个登录口令这也是对未进行应用整合的系统所使用的最广泛的方式显然, 这种方式在减少用户记忆的同时, 带来了许多安全隐患如 : 口令易于猜测 ; 很少进行变更 ; 容易泄漏等基于网关的方法该方法的英文名称为 :Gateway Based 其中, 网关可以是电脑中的防火墙保护软件, 也可以是局域网中专门用于管理通讯服务的大型服务器在该方案中, 网关需要额外具有隔离访问控制和记录用户信息的功能具体来说, 在这种方案中, 所有需要进行单点登录的系统都需要放在网关所能管理到的网段里面当用户通过网关的认证和相应的服务授权后, 网关会基于用户的 IP, 将此户的授权信息记录在网关中的用户信息数据库中当用户需要再次访问或者访问其他已授权的应用系统时, 网关就会根据已有的授权信息, 对用户进行审查通过之后, 用户就可以对应用服务进行访问了这个审查的过程对用户来说是完全透明的由于网关根据实际情况, 控制应用服务的数据流, 因此, 网关可以在不修改应用服务的情况下, 动态地改变认证信息, 从而实现对用户的访问控制由此, 该方 10

的方法该方案的英文为,Agent based 这种解决方案使用一个具有中间介绍者功能的中间应用程序, 进行认证代理, 从而实现不同应用程序对用户身份的认证过程这个代理程序可以有多种表现形式 : 可以放在服务器端, 也可以放在客

21 第二章应用集成相关技术介绍案实现了单点登录 [23] 该方案的好处在于比经纪人方法更容易管理缺陷为, 应用服务系统和网关需要部署在同一网段内, 不便于分布式环境下的使用此外, 如果进行控制的网关较多, 还需要进行网关之间的同步和安全设计基于安全断言标记语言的方法该方案的英文名称为 :SAML based 该方案是基于 XML 来实现 Web 站点之间互操作的安全访问控制框架体系和协议的由于 XML 具有跨平台性, 因此该方案可以在复杂环境下进行用户的身份识别信息的交换此方案大大简化了 SSO 的结构, 已被 OASIS 批准为 SSO 的执行标准 2.2 云应用中的身份认证技术介绍云应用是采用云计算技术开发的, 具有实际使用功能的应用程序因此, 云应用的运行部分是放在云端, 而展现部分则是通过浏览器来实现的因此, 作为云应用的第一道安全防线, 终端接入中的身份认证成为了云应用中的关键技术经过几年的研究实践, 出现许多较为流行的技术, 具体介绍如下 : (1) OpenID 技术 OpenID 是一个采用统一资源标识符 (URI,Uniform Resource Identifier) 来对用户进行标注识别的数字身份识别框架该框架所具有的 URI 是唯一确定的, 因此它可以在所有遵循 OpenID 的网站中进行使用, 从而达到一次验证, 多处使用的目的 [20] OpenID 主要由下表中的三部分组成在该表中, 用户名是 URL, 相应的密码存储在获取 OpenID 的网站中用户在进行登录 RP 时, 需要提交 URL 和获取 OpenID 的网站地址详细如表 21: 表 21 OpenID 组成表 OpenID 系统组成部分部分 End User: 用户 Relying Part(RP): OpenID 支持者 OpenID Provider(OP): OpenID 提供者图 26 是 OpenID 的认证流程图描述使用 OpenID 信息作为网站登陆凭证的互联网用户支持 OpenID 的网站提供 OpenID 生成存储等服务的网站机构 11

22 电子科技大学硕士学位论文终端用户 1: 访问 OpenID 支持方 OpenID 提供方 2: OPenID 登录页面 3: 输入 OPenID 凭证 4: 标准化 5: 发现 6: 关联 7: 关联成功 9: 认证成功 10: 登录 12: 认证确认 13: 返回已授权资源 8: 请求认证 11: 认证回应图 26 OpemID 认证流程图现对图 26 中的流程进行描述 : 1) 用户选择 OpenID 方式来请求登录 RP 网站 2) RP 返回 OpenId 登录界面 3) 用户输入 OpenID 进行 RP 网站登录 4) RP 网站对用户的 OpenID 凭证进行预先定义的操作 5) RP 对 OpenID 进行解析, 从而发现相应的提供者 6) RP 同 OpenID 的提供者建立关联 7) OpenID 的提供者处理 RP 的关联认证请求 8) RP 请求 OpenID 的提供者对用户的身份进行验证 9) OpenID 的提供者对用户鉴权请求用户登录, 以便对用户身份进行确认 10) 用户登录到 OpenID 的提供者中 11) OpenID 的提供者将验证结果返回给 RP 12) RP 对返回的结果进行分析 13) RP 根据分析, 确认用户身份的合法性经过上述分析, 可得出 OpenID 具有以下优点 : 首先, 对用户来说, 简化了其访问网站的注册登陆流程 ; 在减少用户记忆口令的同时, 也减少了用户密码的泄漏风险 ; 此外, 用户还可以对使用自己 OpenID 的网站进行控制其次, 对 12

23 第二章应用集成相关技术介绍于网站来说, 可以共享用户资源, 减少用户管理成本和安全维护成本当然,OpenID 也具有以下缺点 : 首先, 对 OpenID 网站认证较少, 容易造成用户登录信息泄漏 ; 其次, 该认证系统稳定性较差, 它需要 OpenID 网站提供稳定的运行服务, 否则用户可能因为注册 OpenID 的网站的关闭而无法登录其他网站 ; 最后,OpenID 的使用者太少, 使其缺乏市场效应 (2) OAuth 技术 OAuth 从诞生到现在, 一共有两个版本由于 OAuth 2.0 目前已经广为云应用厂商所接受且 OAuth 2.0 并不兼容 OAuth 1.0, 因此, 本文只对 OAuth 2.0 进行介绍 OAuth( 开放授权 ) 是一个允许用户授权第三方应用访问该自己存储的在某一网站上私密资源 ( 如联系人列表照片 ), 而无需向该应用提供登录该网站的凭证的开放标准其中,OAuth2.0 是目前国内云计算服务提供商采用最多的身份认证技术 OAuth 允许用户提供一个令牌 (token), 而不是登录信息给第三方应用, 从而授权该应用访问他们存放在特定服务提供者处的资源这个令牌指定了第三方应用访问的网站时间段和资源从而确保第三方应用在服务提供者处的活动, 不会超出用户指定的范围 OAuth 2.0 中包含四个角色, 分别为 : 服务提供方, 它既可以指传统的网站, 也可以指云服务用户使用服务提供方来存储自己的资源, 如照片, 视频, 联系人列表等, 这些资源是受到一定策略的保护的用户, 此处指服务提供方中资源的拥有者授权服务器, 负责发放访问令牌的地方 OAuth 2.0 协议中, 认证和授权的过程如图 27 所示 : 授权请求授权许可用户第三方应用授权许可访问令牌授权服务器访问令牌受保护的资源服务提供方图 27 OAuth2.0 工作流程 13

24 电子科技大学硕士学位论文 1) 第三方应用向用户请求授权许可该请求可以直接发给用户, 也可以通过授权服务器进行转发 2) 第三方应用收到授权许可 ( 稍后进行说明 ) 3) 第三方应用向授权服务器发送所获得的授权许可 4) 授权服务器核查第三方应用并验证授权许的有效性, 验证成功则发访问令牌 ( 稍后进行说明 ) 5) 第三方应用出示访问令牌, 以便获取服务提供方中需要的受保护资源 6) 服务提供方验证出示访问令牌出示的访问令牌的有效性, 验证成功则返回所请求的资源 (3) 联合身份验证联合身份认证的定义在现阶段还比较模糊它一般的说法是, 当服务器或应用程序需要对用户进行身份验证时, 如果该服务器或应用所信任的其他服务或应用对该用户已经进行了身份验证, 则该服务或应用就认为该用户的具有合法性的身份这个过程的实现可以是层层递归的即当提出验证需求的应用将验证传递到最后一个应用时, 该应用就对用户进行验证当该验证结束后, 应用服务就将结果按照原来的认证需求传递顺序, 进行层层回传中间每一个应用服务都采用传递的结果, 作为对该用户的验证结果值得提出的是, 对该用户进行最终身份验证的服务器成为 : 联合身份验证服务器该服务器在成功验证用户后, 会向用户发放一个 SAML( 安全声明标记语言 ) 令牌该令牌描述了用户的身份信息和验证时间等信息当用户回到需要验证的应用服务的时候, 只需要提供该令牌就可进行身份验证应用服务根据收到的令牌, 和之前从其他应用服务传回的结果, 就就可以认定该用户的合法性这个令牌的有效期一般为 10 个小时 [27] (4) 多因素认证多因素认证主要应用于需要很高安全保护的场景, 如金融交易, 关键密码输入等该认证方式需要通过 Usekey 用户指纹保密问题手机认证用户口令等多种方式共同对用户身份进行验证 (5) 生物认证生物认证是依靠人体的指纹骨架视网膜声音面部虹膜甚至 DNA 等人体的生物特征对身份进行确认的一种解决方案该技术的关键包括 : 获取用户的生物特征 ; 将生物特征转换为数字信息, 并存储于计算机中 ; 进行验证和识用户身份的匹配算法生物认证由于采用了用户的生物特征来作为其验证凭证, 因此具有不会遗忘 14

25 第二章应用集成相关技术介绍不会丢失难以伪造和假冒的优良特性但该认证方式也存在着不足这是由于生物识别技术现阶段还不成熟, 且用于认证的身体特征如 : 指纹唇纹眼镜面部眼睛等可能存在特殊群体, 导致不能认证其次, 该认证技术需要硬件设备的支撑, 现阶段投入成本较高这些都阻碍了该技术的推广使用 [29] 2.3 云应用单点登录方案介绍云应用的单点登录技术方案在国外已经较为成熟, 其中比较流行的有 :SAML 方式 WSFederation 方式代理方式下面将对这些云应用单点登录技术进行介绍 (1) SAML 方式 SAML(Security Assertion Markup Language, 安全断言标记语言 ) 是 OASIS 组织安全服务技术委员会 (Security Services Technical Committee) 制定的, 用于在不同安全域 (security domain) 之间进行认证和授权数据交换, 并且采用 XML 标准的语言其中, 安全域主要由身份提供者 (identity provider) 和服务提供者 (service provider) 构成它的声明主要包括三个方面 : 认证申明, 通常用于单点登录, 表明用户是否已经进行过认证 ; 属性申明, 用于表明某个主题的属性 ; 授权申明, 用于表明某个资源的权限采用此技术的单点登录流程, 一般如图 28 所示 : 图 28 采用 SAML 技术的单点登录示意图 1) 用户通过浏览器登录一个云应用程序 2) 云应用程序以 SAML 的形式将请求重定向到单点登录服务器 3) 单点登录服务器对 SAML 进行解密, 并根据结果对用户进行身份认证 4) 单点登录服务器向云应用程序返回一个成功或失败的 SAML 响应 5) 用户登录成功或看到认证失败的消息 (2) WSFederation 方式 15

26 电子科技大学硕士学位论文 WSFederation (web server Federation, web 服务联盟 ) 它是 IBM 公司和微软公司联合发布的一个 Web 服务安全框架协议规范该协议主要用于规范用户身份信息在不同身份验证和授权系统中的共享方式 WSFederation 规范包括三个部分 :(1) Web 服务联盟语言 ( WSFederation Language) 它定义了在不同安全领域进行身份用户属性和身份验证的方式 (2) 主动请求者文档规范它定义了活动请求者如何根据 Web 服务联盟已制定的规则, 在不同访问域之间, 验证用户的身份属性以及相关的授权信息 (3) 被动请求者活动规则它的主要目标是规范为被动请求者的身份确定凭证鉴定以及相关授权活动的行为 [23] 根据上述内容, 可以得出 WSFederation 的两种单点登录方式现描述如下 : 基于主动请求者的跨域单点登录身份认证过程请求者 1: 请求服务请求者 IP/STS WEB 服务服务 IP/STS 3: 请求安全令牌 2: 请求认证 4: 请求安全令牌 5: 发放安全令牌 7: 发送安全请求 6: 返回安全令牌 8: 返回结果图 29 基于主动请求者的跨域单点登录身份认证过程现对该过程描述如下 : 1) 服务申请请求服务的用户根据已定义的机制, 对所需的服务, 请求该服务的使用方法说明此方法说明了所请求的服务的使用方法, 此外还给出了相应安全令牌的存放地址 2) 请求认证请求者根据得到的方法说明, 利用预先指定的方法, 在服务认证处进行相关的验证 3) 请求安全令牌请求者的身份认证服务器利用预先指定的方法, 给通过认证的请求者发放包含其身份信息的安全令牌 16

27 第二章应用集成相关技术介绍 4) 请求安全令牌根据已定义的方法规定, 请求者携带安全令牌, 再次利用实现规定的方法到 Web 服务的身份认证服务器处, 请求访问资源所需的安全令牌 5) 发放安全令牌 Web 服务的身份认证服务器对请求者携带的安全令牌进行合法性验证, 若验证成功, 则使用预先定的规则给请求者发放其自己的安全令牌由于之前两个身份认证服务器已成功建立了信任关系, 管理 Web 服务身份认证的服务器可根据信赖关系, 可直接验证请求者令牌的有效性, 而不再要求请求者再次通过常规的登录流程, 进行身份认证这样, 就实现了跨域单点登录的认证 6) 返回安全令牌请求者利用预先指定的方法, 将安全令牌发送给所请求的 Web 服务 7) 发送安全请求 Web 服务检查请求者的安全令牌后, 决定允许或拒绝请求访问所请求的服务基于被动请求者的跨域单点登录身份认证过程请求者请求者资源 IP/STS WEB 资源 IP/STS 1: 请求资源 2: 请求重定向 3: 确定资源域 4: 重定向到资源拥有者 5: 登录认证中心 6: 返回令牌 7: 传递令牌 8: 返回令牌 9: 传输安全令牌 10: 返回结果图 210 基于被动请求者的跨域单点登录身份认证过程认证过程具体描述如下 : 1) 请求资源浏览器利用 HTTP 超文本传输协议中的获取方法, 请求访问某个 Web 服务中的资源 2) 请求重定向请求被重定向到资源的身份认证服务器处, 该服务器对用户 17

28 电子科技大学硕士学位论文的合法性进行验证 3) 资源域确认请求被重定向到资源的身份认证服务器处后, 将要求确定能对请求者进行身份认证的服务器地址, 以便对请求者能够访问到该服务器, 从而完成身份验证 4) 重定向到资源拥有者确定身份认证服务器的地址后, 请求又被重定向到管理请求者的身份的认证服务器处, 进行身份验证 5) 登录认证中心身份认证服务器对请求者进行相关的身份认证如果用户是第一次登录到系统, 请求者就需要输入登录信息进行身份确认 6) 返回令牌当请求者完成认证过程后, 使用者对应的身份认证服务器就为请求者建立相应的安全令牌, 并使用重定向方式将令牌传递到资源的认证服务器处 7) 传输令牌资源的身份认证服务器对请求者携带的安全令牌进行验证 8) 返回令牌当资源验证服务器成功验证安全令牌后, 身份认证服务器就为请求者建立相应的资源安全令牌此后, 身份认证服务器使用重定向方式将产生的令牌传递到相关资源管理处 9) 传输安全令牌资源管理者接收到对应的安全令牌后, 对令牌进行合法性验证 10) 返回结果将请求的资源返回给请求者 (3) 代理方式该方式需要将云应用单点服务服务提供商作为代理由该代理对所有到连接到它的云应用进行身份认证这样做的好处在于, 可以对所有用户的活动进行日志记录, 从而为审计提供必要的数据信息 2.4 云应用与本地应用集成分析云应用集成的目标 : 云聚合 2008 年爆发的金融危机的持续深入, 引发了欧洲债务危机的不断发酵, 并且从 2013 年开始, 金融危机更有向新兴经济体转移的趋势 [3] 在这种情况下, 各企业都进行了生产成本的不断压缩, 力求降低生产成本, 提高竞争力云计算由于天生具有低成本, 高效率, 低维护等特性, 迅速获得了企业组织甚至国家的青睐云计算由此获得了空前的发展, 并且推动了相关技术的不断进步各个云应用的推广为个人和企业带来全新的用户体验和高效的工作辅导但问题也随之而来由于云计算组织推出的标准广泛而不具备实际操作性, 各个厂商出于自身利益的考虑都在推崇自身的云服务接口标准, 各个国家地区也出于安全等因素的 18

29 第二章应用集成相关技术介绍考虑也很难参与到云服务标准的制定中来从而导致各个公有云的标准不统一当用户或者企业需要进行多种云应用之间的协同工作时, 就变得复杂和困难这样, 云应用集成和传统应用集成一样, 成了发展的瓶颈或吃掉云计算成本的老虎 [4] 基于以上原因, 本文提出了对云应用进行有机集成的目标 : 云聚合它是一种以用户服务为中心, 根据已有的云应用或服务, 针对目标市场, 整合公有云私有云或者传统应用资源, 形成用户云服务提供商其他市场参与者共同创造价值的有机云应用集成模式具体来说, 他是一个由各个云应用和传统应用进行有机组成协调工作, 面向某种综合应用或服务某种工作, 并提供给客户统一的一站式的云应用体验的整体这也是解决当下云分物扰的重要发展方向之一云应用集成的特点和方法 (1) 云应用开发的特点云聚合技术和传统的应用集成技术有着很大的不同, 主要原因有以下几点 : 1) 云应用的运行状态不易控制由于云计算处于云端, 并且其所需数据和结果都需要通过网络来进行传输, 因此云应用的运行状态受到网络和云服务提供商等多种因素的干扰, 不易控制 2) 云应用的运行状态不易保存由于云计算具有虚拟性并且是按需提供资源, 因此云计算需要对资源的使用具有弹性伸缩的能力为此, 云应用的运行具有无状态性, 即每次运行都与上次运行结果无关 3) 云应用由于不是本地提供, 因此用户对应用的稳定性无法预知 4) 云应用运行在云端, 其安全受到来自因特网的全面挑战以上这些问题都是传统应用集成所不会考虑的因此云应用的集成, 需要进行全面的研究此外, 由于现阶段还处于云计算和传统应用共同为企业提供服务的时期本文需要将云应用集成的场景分为两种 : 一种为, 用户需要进行集成的云应用在云端进行集成这种集成主要是在某个 paas 平台上进行这些需要进行集成的云应用可以来自同一个 paas 平台 ( 此时该 paas 平台一般都提供相应的本平台内的云应用集成方案 ), 也可以来自不同的 paas 平台或者服务提供商另一种为, 本地现有应用系统与云应用的聚合随着信息化的深入, 许多企业都已经对企业内部的应用系统完成了集成或者互联互通的改造当云应用需要被引入现有系统时, 就需要对集成进行良好的构造, 以避免新的信息孤岛 19

30 电子科技大学硕士学位论文出现这是本文所研究的重点 (2) 云应用集成的三种方式如上小节所述, 云应用的集成需要了解集成的环境和云应用的特点其中, 环境是指云应用聚合的平台是在 Paas 平台还是本地平台, 以及该平台所具有的特点和采用的集成技术云应用的特点如 : 该云应用的认证方式, 数据的传输格式, 消息传递的方, 是否支持第三方接入等经过对传统应用集成方法的研究, 并且结合以上所述的云应用特点本文总结出现阶段的云应用集成的方法主要分类具体的分类如下所示 : 1) 人工编码 saas 服务商通常在为企业进行 saas 服务提供时, 会提供相应的开发平台 (paas) 如 saleforce 的 force.com 和国内的八百客的 booapp 这样, 企业在进行企业的应用集成的时候, 就可以根据平台的要求和云应用服务提供商的 API 开发规范, 进行云端或者本地化的开发这种方法的特点是 : 量身定制, 符合企业实际情况同时, 不足之处就是, 需要企业自己进行二次开发, 尤其在异构平台环境下, 人工编码的难度是不容小觑的 2) 专门的工具应用集成, 向来是困扰应用集成的老大难问题现阶段的云应用也不例外因此, 在一开始, 一些云计算服务提供商就想到了这一问题的存在因而, 提供了一些专门的云应用数据集成工具如在数据集成方面,informatca 的按需数据同步化服务此外, 该公司还将提供基于 saas 的数据清洗工具 [6] 然而, 专门的集成工具现阶段还只是针对特定产品或者云应用集成的某一层次 ( 具体见云应用集成的四个层次部分 ) 此外, 还面临着云应用程序的安全等问题 3) 把集成作为一种服务由于云计算的本意是节省用户对于基础设施和服务软件的投入, 从而使用户关注与业务发展云计算中, 涉及数据的传输存储同步异构等技术问题就应该由服务提供商来进行解决用户没有必要再分散注意力来进行管理这样做的好处在于 : 使用户在使用云应用的前期投入不大, 部署也变得灵活, 非常适合业务的变更和拓展然而, 此方案现阶段还处于研究探索阶段 [26] (3) 云应用集成的四个层次根据云应用集成所涉及的系统以及进行应用整合力度的不同, 可以将云应用集成技术分为以下四个层次 : 屏幕层的集成顾名思义, 这种方法就是通过截图和 URL 链接, 将其他云应用中的内容和页 20

31 第二章应用集成相关技术介绍面抓取到展示的屏幕中该方法可以从公开的云, 如雅虎, 谷歌中直接进行编码抓取数据图像然后展现出来 ; 也可以将抓取后的内容图像经过相应的技术处理, 如 Ajax, 再展现给用户相比于前一种, 后一种具有更好的页面效果和更高的用户体验但这种方法从技术上来说就具有较低的安全保障, 所以对于重要的数据, 还需要采用另外的安全技术来进行保障此外, 该方法需要云应用提供商在允许抓取的情况下才能进行, 这就限制了他的适用范围展示层的集成该集成方法可根据云应用生成页面的方式, 在浏览器中对云应用的内容进行集成因此该方法可以在页面中展示来自不同云应用的内容该方法的优点是 : 实现简单, 并且可以对页面的内容和布局进行修改组合缺点为 : 该方法一般用于数据的展示, 并且某些应用由于安全和实现方式的约束不能使用该方法进行集成业务逻辑层的集成由于业务逻辑是云应用集成的关键部分, 因此需要将云应用的 API 进行整合管理在这一层, 平台需要提供这些 API 集成所需的环境和相应的系统 API 因此, 这一层是进行云应用集成深层整合的地方由于该层是进行云应用集成的关键层次, 因此它需要集成到的系统或平台提供大量的非关键业务功能的支持, 如安全传输界面支持等此外, 云应用在该层所能提供的 API 的数量和质量, 是考核该云应用提供商的重要参照标准数据层的集成数据层的集成, 一直是一个复杂和敏感的问题对于云应用的数据层集成来说, 有如下几个问题 : 1) 由于云应用没有连接状态和对应的协调机制, 对共同数据库的读取将会造成数据的不安全 2) 各个云应用之间的数据格式往往不兼容, 需要集成或开发人员进行人工协调 3) 在数据层的操作需要考虑数据安全的问题这里不仅仅需要考虑操作的安全, 还需要考虑访问控制和传输数据的安全整合的数据需要具有隔离性因为进行整合的操作往往具有数据库的最高权限, 因此这些操作对于表来说, 是不可控制的因此需要特定的机制来约束整合的操作, 使其对用户数据具有隔离性 21

32 电子科技大学硕士学位论文云应用集成需要解决的关键技术经过对现阶段市场上存在的云应用解决方案的研究, 本文总结出进行云应用集成所需的几项关键技术, 现详述如下 : (1) 云服务的认证云服务认证是云应用聚合的关键部分, 它是云应用集成系统安全的基础就现阶段来说, 云服务认证的内容包含两个方面 : 对云服务提供商的认证对云服务提供商的认证主要包含两个方面 : 一是对云应用的认证这个主要是云应用性能和可靠性的验证现在流行的做法是采用轮询的机制来确定云服务是否还存在轮询的时间间隔一般不宜过短, 否则会给集成的系统造成不必要的负担, 同时还会造成云服务提供商的安全误判二是对云服务商的认证这个过程主要依靠第三方机构来完成认证的内容包括 : 云服务提供能力稳定性安全性用户隐私保护采用的体系架构等多个方面在完成相关的资质认证后, 认证中心会发放相关的证书用户或者第三方程序可根据此证书, 来判断云服务商的合法性对云服务商的认证可以带来诸多好处首先, 可以消除现阶段公众对云计算安全问题的担忧, 培养相关市场信心, 让云服务相关的交易顺利进行其次, 规范了云应用市场, 使得云计算的建设不在盲目和混乱再有, 保护了云计算市场投资者的合法利益, 避免出现云计算技术盗取的现象, 进一步促进云计算行业的良性发展另外, 云服务商资质的认证, 也使得政府或企业在进行云计算采购时, 变得有章可循, 对相关的服务质量和水平也有了考核标准和把控手段目前来说, 我国对云服务提供商的认证明显落后于国外其中, 日本韩国德国已建成面向大众市场的公共云服务认证 ; 英国美国已建成对政府采购云服务的执行标准在我国, 目前还处于研究阶段其中, 云计算发展与政策论坛开展了面向大众市场的可信云服务认证和政府采购云服务标准的相关研究工作此外国家初步完成了云计算服务协议参考框架标准和可信云服务认证评估方法文档的征求意见稿, 相信在不久的将来, 对云应用服务提供商的认证标准就会出台 [20] 对云服务使用者合法性的认证现阶段来说, 国内能提供云服务的厂商还不多, 相应的认证使用方法还比较单一而云计算的主要用户还是企业面向个人的云服务定制还尚未出现故用户需要量身定制云服务的时候, 还需要相应厂商提供技术支撑就目前来说, 云服务商对用户的身份认证技术主要有以下三种 : 22

33 第二章应用集成相关技术介绍 CACM(eXtensible Access Control Markup Language, 可扩展访问控制标记语言 ), OAuth(Open the Authentication, 开放认证 ) 和 SAML(Security Assertion Markup Language 安全断言标记语言 ) 关于这几种技术的详细介绍, 将在本文 2.2 小节进行详细介绍此外, 当用户需要将云应用与传统应用进行集成使用时, 由于国内还缺乏相应的集成管理工具, 就需要用户自行进行处理为此, 本文提出了一种基于云应用代理的身份证方法该方法将在第三章进行介绍 (2) 连接状态保持云应用集成系统与云端应用服务的状态保持, 是进行云应用聚合开发所必须要解决的问题这个问题来源于云计算为实现弹性服务而具有的无状态性此外, 企业流行的面向服务架构 (SOA) 和简单对象访问协议 (SOAP) 架构与云应用通常采用的 REST 和 HTTP 架构的不同, 也是造成该问题原因因此, 为解决该问题需要从技术和企业系统架构两方面来进行才能取得较好的效果其中, 系统架构的改造从以下几个方面进行首先, 服务请求的处理云应用服务提供平台能处理几乎所有的 REST 服务请求, 但 SOASOAP 架构下的系统则只能处理最初选择的某种具体的软件元素其次, 云应用服务平台能够支持支持简单的负载共享均衡, 但是 SOASOAP 则不具有这种功能这意味着当 SOASOAP 的吞吐量跟不上云应用服务的传入信息时, 就会出现拥塞, 从而造成连接中断或反映缓慢 [21] 对于技术解决方案, 目前主流的有下述几种 : 首先是轮询集成后的系统可以通过代理或自身的连接程序, 定时分别向系统中的各个云应用进行询问, 以建立新的连接来达到程序与云端应用保持联通的效果这种方法的优点代码量少, 实现简单 ; 缺点是较为浪费资源, 并且容易被服务商误认为服务攻击其次是 webservice 技术与 socket 长状态技术的整合其中 webservice 用于服务的提供, 在进行云应用连接时服务将 socket 设置为长状态, 时间一般为 40 分钟这种方法主要运用于云端服务提供商, 如百度云推送还有是消息传递这种机制需要云应用能够进行消息监听, 从而使得服务不会中断该方法主要适用于提供状态记录云应用如 Windows 的 Azure 最后为 XML 保存状态方法该方法利用 XML 的采用标记语言来进行记录的特性, 将云应用服务按照一定的格式记录 XML 文件中当程序需要云应用的执行状态或者执行结果的时候, 直接从 XML 中进行读取在这记录和读取的过程中, 聚合的系统仿佛和云应用建立了长久的连接由于 XML 具有与平台无关的特性, 因此在这种方法具有较好适应性 23

34 电子科技大学硕士学位论文 (3) 异构数据交互异构数据的交互需要解决两个问题 : 对不同数据结构的数据的处理和数据的存储访问问题目前来说, 各大云应用服务提供商均采用 Json 来作为其少量数据传输的标准而对于较大量的数据传输, 则是采用数据流的方式进行因此, 需要对 Json 格式的数据进行转化这方面的技术请参考文献 [22] 对于数据的存储主要是针对, 云应用与本地系统集成的情况由于将企业敏感关键的数据存储到云端, 涉及到成本和安全的问题故一般情况下, 企业都会将集成系统的数据库放在本地并且为云应用建立一个本地数据库, 用来存储其访问日志和运行状态在这样的情况下, 云应用访问本地数据库, 就需要解决访问控制和访问优化的问题在现有技术中, 访问控制可使用代理访问和查询服务技术来解决而缓存技术则可以用来减少数据库访问次数和互次数并且增加访问效率, 从而达到访问优化的目的 (4) 流程配置云应用聚合不仅需要解决交互的问题, 还需要解决协作顺序, 以便达到整体效率的最大云应用之间的协作问题分为两种情况, 一种是云端云应用的聚合另外一种是云应用与本地应用的集成对于第一种情况, 需要根据云应用服务商提供的 WSDL 文档并结合聚合应用本身的业务流程, 来对应用进行配置而相关的协作和实时应答, 现有的 paas 平台都会进行提供此处不在进行描述而对于云应用与本地系统聚合的情况, 这需要根据本地系统的架构来进行实施配置一般来说, 可以用到的技术可以有 : 硬编码技术服务组件技术工作流技术硬编码即人工进行应用的业务逻辑整合这种方式将应用的协作和协作流程, 以编码的方式固定在相关程序中显然, 这种方式具有难移植难维护的缺点, 但好处是能很好的满足实际工作要求服务组件技术在这种方案中, 传统应用和本地应用都被设计成为组件或者服务而这些组件服务之间的协作需要进行流程配置和相应的协作平台如 : 消息总线数据总线等这种服务的特点是易于升级维护易于组装变更缺点是较为复杂, 开发难度大工作流技术该技术是将各种应用看作是一个个节点他们之间的协作实在工作流评上进行的开发人员或者实施人员, 需要将这些应用介入到工作流平台中去, 形成节点并配置相应的准入准出规则和流程控制条件现在开源的工作流平台有 :JBPM,Activity 24

35 第二章应用集成相关技术介绍 (5) 冗余设计虽然云应用服务提供商声称其服务具有很高的可靠性和稳定性但由于在过去几年, 不时出现云应用服务中断的情况因此对于某些特殊的应用如金融等, 当这些应用需要介入到云计算中来的时候, 就必须考虑其可靠性和稳定性目前所采用的通常做法是进行冗余设计和多处备份其中冗余设计通常包含的技术有 : 应用服务冗余配置, 云服务间协同, 云服务推荐, 云服务重定位等应用服务冗余配置该技术需要用户在搭建云应用聚合系统时, 对所涉及到的云应用都需要有相应的冗余应用当其中一个云应用由于某种原因不能工作的时候, 系统智能切换到备份的应用这就要求, 在进行操作时需要对冗余的系统进行实时同步并且需要这些云应用进行定期检查以确定其可用性云服务推荐是伴随冗余设计而出现的技术其功能是在用户允许的情况下, 在广域网中进行与用户使用的云应用功能相仿的云应用的搜索, 并按照一定规则将排名最靠前的几个应用推荐给用户云服务重定位该技术的使用环境是, 是当用户指定的云应用及其备用应用终止服务时, 系统利用该技术对已失效的云应用服务进行重新搜索定位, 并将结果重新配置在系统中云服务失效的原因一般在于云应用服务商进行域名变更或用户所在局域网进行了程序访问控制 (6) 安全审计云应用聚合中的云应用由于来源与企业外部, 或者由不同人员所开发, 其行为状态必须进行安全监控, 以保证不泄露企业的核心机密和正常企业的正常运转这些安全审计措施包含传统的 : 日志审查权限分配身份认证访问控制等, 也包含云应用所特有的 : 实时监控技术其中, 实时监控需要系统有一个独立的安全监视程序或服务该监控服务需要对系统中的云应用的行为和状态进行实时监控其中, 云应用的状态检测需要定时使用云服务商提供的调用接口, 从而得到云应用的状态情况对于云应用的行为控制, 则需要对云应用进行访问控制, 并且进行日志记录 2.5 本章小结本章主要对本论文所需要的应用集成相关技术进行了介绍首先介绍了传统的应用集成技术, 并对其中的单点登录技术进行了详细介绍 ; 其次, 对目前流行的云应用单点登录技术和云应用身份认证技术进行了详细介绍在介绍这些技术的同时, 本章都尽量给出相应的图表进行说明最后, 本章对云应用与本地应用的集成进行了分析, 并总结出了云应用与本地应用集成的目标 : 云聚合 25

36 电子科技大学硕士学位论文第三章传统单点登录方法的改进云应用集成中, 身份认证是保障系统和相关信息安全的重要部分然而, 传统的单点登录技术, 在应对这一问题的时候显现了某些不足本章将在分析这些不足之后, 提出基于云应用代理的身份认证方法来解决这一问题 3.1 云应用集成的安全策略云应用集成的安全涉及到信息存储传输, 访问控制, 终端安全, 容灾安全等各个方面其中, 既有集成的各个云应用所共同需要的安全保障 ; 也有个别云应用所特别需要的安全措施如 : 对于云聚合中数据的整合, 某些应用包含用户敏感数据, 需要对其进行强认证和灾难恢复保障 ; 而其他的云应用则要求低一些, 或者不需要对其进行全局保障因此, 在云应用集成的安全保障中, 需要采用整体保护, 区别对待, 重点监测的安全策略 [27] 身份认证在保障系统安全方面有着不可替代的作用对于云应用和本地应用的集成, 我们需要在传统身份认证的基础上, 加入对云应用的身份认证下面我们将对此进行研究讨论 3.2 云应用与传统应用集成的身份认证问题随着云计算的快速发展, 越来越多的云应用被应用到生产生活中这些应用在方便企业和个人的同时, 由于提供该应用的服务商的不同, 加之目前云计算市场还未形成统一的规范标准, 也给使用者带来了诸多不便对于使用者来说, 他需要对各个应用 ( 包含云应用和传统应用 ) 的登录凭证进行分别记忆和管理这不仅容易造成登录凭证的遗忘也降低了工作效率而不容遗忘的密码或口令, 又容易造成泄漏, 形成安全隐患对于企业来说, 多种应用的独立验证, 容易使管理成本升高, 给管理人员带来负担由于多个应用的登录凭证的不同, 就需要对各个系统分别进行用户管理, 凭证管理, 登录验证, 密码找回, 访问统计等日常操作这些繁重的操作, 往往需要多个管理人员来分担这样, 在降低工作效率的同时, 又给企业增加了人力成本对于开发者来说, 不同的登录验证方式, 也会增加他们的工作量开发者往往需要针对不同应用, 开发其对应的验证功能而对于, 云应用, 开发这还需要熟悉云应用服务提供平台的验证方式, 从而为其制定特定的验证方案这些都给 26

37 第三章传统单点登录方法的改进开发带来了额外的工作量, 分散了企业信息化的注意力为此, 我们需要引入统一身份认证技术来解决这一问题使用云集成应用的统一身份认证, 将使集成后的应用程序更能形成一个整体该集成后的应用将为使用者提供单一的登录, 使不同的登录对用户变得透明统一的身份认证, 还将进一步提高系统的整体安全性相对与分布独立的认证, 集中统一的认证, 更能减少凭据在网络中的传递次数, 降低系统开销 3.3 传统单点登录认证方法的不足传统单点登录技术传统的单点登录由三个主体构成 : 登录服务器访问者以及服务提供者登录服务器主要用于保存用户信息和相关的登陆信息 ; 服务提供者可以向登录服务器获取相关的登录, 但这个过程是受控的 [32] 单点登录过程的示意如图 31 所示 : 登录服务器服务提供者 4 认证响应 3 认证请求 1 访问请求 2 HTTP 重定向 5 6 访问请求访问内容用户浏览器图 31 单点登录过程示意图在图 31 中 : 用户首先向服务提供者发出资源访问请求此时, 若用户尚未进行身份验证, 服务提供者就会对用户的浏览器进行强制重定向这个重定向的目的地是登录服务器然后, 用户输入登录信息给登录服务器登陆服务器根据用户输入的信息, 对用户进行身份验证若认证成功, 登录服务器会将用户引导到服务提供者服务提供者, 收到登录服务器的验证成功结果后, 就可以对用户的再次访问进行受理, 并返回其所需要的资源内容传统单点登录所面临的问题云应用集成的系统中, 不仅需要传统单点登录的统一身份认证功能, 还需要解决如下问题 : 27

38 电子科技大学硕士学位论文 (1) 云应用的独立认证云集成应用由一个或多个云应用与本地应用所构成若云应用与本地应用在展示层进行集成, 则其认证规则相同若云应用与本地应用进行业务层或者数据层的集成, 则认证规则会出现较大的差异主要有 : 一在业务层和数据的集成, 一般依靠该云应用提供平台所对外开放的 API 以及相应的身份认证规则来使用应用的由于是对 API 的合法性进行验证, 因此不能依靠传统的 CAS 接入或凭证代填的方式来完成二各个云应用的认证规则不同, 且并未建立统一的认证规则或者相互信赖关系, 因此需要认证中心分别对应用进行合法性验证因此传统身份认证中的一次认证就不再适用 (2) 应用的重复认证由于云集成应用是由多个应用所组成, 由第一点原因的介绍可知 : 集成应用的组成云应用需要独立进行验证因此, 每次使用都要传递相关的使用凭证而传统的认证方式, 则需要为此进行将应用凭证常驻内存, 并且在每次使用的时候都进行凭证验证和权限验证操作这样, 系统的操作效率就会降低 3.4 基于云应用代理的身份认证方法为了解决 3.2 和 3.3 小节中提到的问题, 本文在此小节将提出基于云应用代理的身份认证解决方法要求分析企业在云计算时代, 既想要使用云计算带来的方便快捷, 又想要继续使用现有的应用系统因此, 就需要将云应用与传统应用进行有机的结合并且需要一种能同时满足二者认证的方法这样的方法, 在小节 2.3 中已经进行了介绍而且这些方法已经较为成熟的在进行使用这些方法的使用, 大多是企业第一次建设或需要全面改造建设统一身份认证时采用的然而, 更多的情况是, 企业已经经过多年的信息化建设, 完成了本地应用的统一认证, 消除了内部的信息孤岛因此, 企业更希望在现有资源和技术的基础上进行改造, 以便减少资金和精力的投入这样就要求新的方法需要对原有的单点登录具有继承性和兼容性另一方面, 云计算的快速发展, 使得云应用层出不穷 ; 企业业务的变更也需要对进行统一身份的应用进行灵活快速的更换为此, 统一单点登录, 应该具有灵活性和可扩展性此外, 由于不同的云应用的提供平台不同, 相应的身份认证方法也不相同因此, 需要统一身份认证的法方具有跨平台性最后, 安全 28

39 第三章传统单点登录方法的改进性, 也是企业所必不可少的例如, 数据的隔离和传输的保密等模型建立为了解决 3.2 小节中的问题, 以及达到小节的要求本文通过对传统验证方式的比较扩展, 以及现有云单点登录技术的学习, 提出了基于云应用代理的统一身份认证方法本模型的基本思想是 : 由于传统的身份认证需要在本地进行, 而云应用的用户认证则有其服务提供商自己独立的认证方式, 详细参考 2.2 小节为此, 在云应用与本地应用的集成过程中, 需要将两种验证方式进行整合, 形成统一的集中的认证中心因此, 本文在小节介绍的基于票据的单点登录实现方案的基础上, 增加了云应用代理部分该部分的作用是,1) 负责分析集成应用中所涉及的应用 2) 进行票据的有效性验证, 减少身份认证中心的压力 3) 代用户向云应用发送相关凭证, 减少认证中心的验证 4) 进行权限的缓存操作, 减少对权限的认证 5) 其他功能, 如 : 数据收发, 数据转换等对于云应用 API 的认证和权限认证, 需要在云应用代理程序中, 保存一个全局的, 具有用户访问生命周期的凭证对象, 以及相应的连接池连接池的功能主要为集成应用的基本功能, 如 : 对云应用中的数据进行查询, 收发等功能, 权限认证提供相应的功能线程这样就可以在保存凭证和权限认证结果的同时, 减少相关的重复操作而对于不同云应用需要不同的认证方式和数据的问题, 需要设计专门的数据库, 来记录该应用的认证方式当需要对该应用的 API 进行验证的时候云应用代理就读取出该认证的方式, 并根据该认证的提交方式, 生成对应的凭证对象来进行认证整个认证的流程如图 32 所示该图中包括的部分有 : 用户 : 指使用云聚合应用的使用者本地云集成应用 : 指一个或多个云应用和本地的一个或者多个应用集成而成的具有一定功能的应用身份认证中心 : 对本地应用程序进行身份认证, 对云应用进行凭证保存和权限管理的认证中心目录服务数据库 : 保存本地应用和云应用的认证凭据云应用代理 : 该代理在验证过程中负责票据的有效性, 应用中是否包含云应用 ; 向相应的云应用发送用户凭证以便云应用进行身份认证 ; 建立线程池和权限认证缓存, 以便减少相关重复操作此外, 该代理还可提供应用集成的部分功能, 29

40 电子科技大学硕士学位论文详细参见本文第五章的学校门户系统设计实现部分云应用 : 组成云聚合的基本应用, 由云计算服务商提供被认证的用户身份认证服务器云应用代理用户终端 3B. 身份认证身份认证 4 10 身份授权身份授权 3A. 身份认证 9 身份发现 5 请求云应用与联合 8 7. 返回认证结果权限认证 6B. 进行验证云应用云存储应用 1. 调用 3C. 读取该应用所涉及到的用户凭证 12. 建立连接微博云相册应用本地云聚合应用目录服务数据库 2. 请求该集成应用中所涉及的应用 6A. 读取云应用凭证 13. 使用等等 11. 再次请求该应用所涉及的云应用 14. 发放凭证并使用图 32 基于本地代理身份认证技术示意图现对该方法的流程进行详细说明 : 1) 用户请求使用已经集成云应用的程序 2) 云聚合应用向云应用代理发送使用请求, 同时提供自己的应用 ID 3) 对用户的身份进行证包含 A B C 三个部分 A 云应用代理要求用户提供身份凭证云应用代理首先检查用户是否已经登录过该应用若登陆过, 则通过此次身份认证若没有, 则并且将用户引导至信息输入页面, 要求用户输入相关登录凭证并将身份认证工作交给身份认证中心 B 身份认证中心对用户输入的身份信息, 进行认证认证的凭证读取则依靠步骤 C 完成 C 从目录数据库中读取相应的用户凭据该凭据为系统或者所需要访问的集成应用的凭据 4) 身份发现与联合, 主要是针对系统的统一身份认证若系统需要进行单点登录, 则在认证中心进行该应用的单点登录接入用户在登录系统中的其他应用后, 默认也登陆了该应用, 从而可以使用该应用这样就可以使用户方便, 快捷地进行一站式访问 5) 当用户通过身份认证之后, 认证中心就向云应用代理发出云应用使用申请从而将执行权传递给云应用代理进行步骤 6 30

41 第三章传统单点登录方法的改进 6) 云应用代理在接收到用户身份验证成功的消息后, 就着手进行云应用的验证连接首先, 云应用代理根据此次发起请求的应用 ID 号, 从数据库中获取该集成应用所涉及的应用列表, 从而判断出该应用中是否包含有云应用若没有, 则进行步骤 7 若存在云应用则进行此步骤中的 A,B 两步 A 从目录数据取出所涉及云应用的用户使用凭证若没有, 则返回云应用凭证输入界面给用户从而取得登录凭证值得说明的是, 凭据的读取, 也是通过认证中心的凭据管理接口来获取的 B 在取得云应用登录凭证后, 云应用代理向云应用发起身份验证若通过验证, 则进行步骤 7 若未通过验证, 则返回相应提示给用户, 并通过用户的重新输入, 再次登录若多次验证仍然不成功, 则终止此次用户应用使用申请 7) 将步骤 6 的认证结果返回给身份认证中心 8) 权限认证此部分认证中心, 将根据系统管理员分配给用户的权限来对用户所请求的权限进行一一核查若该用户未具有相应权限, 则返回相应提示给用户若用户具有该权限, 则进行步骤 9 9) 身份授权此时, 认证中心会发给用户浏览器一个刷新令牌 (token) 该令牌 (token) 是用户在该认证系统中的访问凭证记录了用户的可使用时间身份信息等内容 10) 返回令牌 (token) 给用户 11) 用户通过该令牌, 再次访问云应用, 云应用向云代理发出资源使用请求, 同时展示令牌 12) 云应用根据该令牌和发起连接的云应用, 向对应的云应用建立连接 13) 云应用与云应用代理建立连接, 用户可以使用该云聚合应用完成该次认证过程方法分析基于云应用代理的身份认证方法在传统的统一身份认证方法的基础上增加了云应用代理部分, 使得该方法具有以下优点 : 1) 整个过程同传统单点登录一样, 只需要对用户进行一次身份认证该系统将集成后的应用接入到认证中心用户只需要通过认证中心的认证, 该方法就认为用户是合法的而对于云应用的认证, 则交由云应用代理来进行处理 2) 减少和云应用的验证次数全局凭证的保存, 使得用户在访问系统的生命周期内, 凭证都有效 31

42 电子科技大学硕士学位论文 3) 权限缓存的建立减少了云应用的认证操作开销, 提高了响应速度 4) 提高了认证效率云应用代理可以对用户凭据预先进行有效性验证, 这样, 在用户已经登录该集成应用的某些部分时, 就会显著减少验证步骤, 从而提高验证效率 5) 增加云集成应用的整体性整个认证过程, 只需要用户输入一次登录凭证即可用户对集成的应用的使用与对单一应用的使用具有相同的体验 6) 增加了安全性整个认证过程, 用户凭据在网络上的传输次数只有一次减少了用户凭据被截取的可能性 7) 增加了灵活性由于是云应用代理和云应用之间进行的身份认证, 使得集成应用中的云应用可以较为灵活的进行更换, 而对用户的影响较少 8) 易于实现在该解决方案中, 系统只需要在传统的单点登录框架的基础上增加云应用代理部分其中, 传统的单点登录, 可根据实际需要选择具有开源跨平台易于理解具有代理功能并且受到 Spring Framework 支持的 CAS 实现方式而存放凭证的数据库, 可采用常规的 LDAP( 轻型目录访问协议, 即 Lightweight Directory Access Protocol) 数据库进行存储这样就使得该方法具有较低的实现成本和较强的实用性 3.5 本章小结本章分析了传统应用与云应用集成时所遇到问题并分析了传统的单点登录技术在解决这一问题时所遇到的不足针对这些问题, 本章对传统的身份认证进行了改进, 提出了基于云应用代理的身份认证方法在提出方法的过程中, 本章对方法进行了详细描述此外还分析了该方法在云应用与本地应用集成时所具有的优良特性 32

43 第四章云应用与企业级门户集成的设计第四章云应用与企业级门户集成的设计云应用与传统应用的集成, 可以让用户在切身体会云应用的方便快捷的同时, 又能减少资金的投入在本章中, 将以湖南财政经济学院的学校门户 (CIP, Capture Information Portal, 校园信息门户 ) 系统为对象, 对云应用与学校门户的集成进行详细设计涉及到的内容有 : 需求分析, 应用集成设计, 统一身份设计, 云集成安全设计, 数据库设计, 接口设计和实现类设计 4.1 云应用与门户集成的需求分析学校门户是展现全校状况的一个主要平台它不仅需要对学校情况进行介绍, 也需要向全校师生职工进行相关信息的展示 ; 此外, 他还是全校应用系统的入口, 需要为学校相关人员提供一站式的体验另一方面, 湖南财政经济学院又有特殊的要求他们希望将互联网甚至目前流行的云应用集成到门户中从而可以利用门户的特点, 方便快捷地使用互联网热门应用这样, 我们就需要对传统的门户系统进行适当的调整设计以便能根据需要不断调整, 整合不同的应用 ( 包括云应用 ), 来为全校师生提供方便为此, 本章将从以下部分将对该门户系统的应用需求进行整理分析业务建模 (1) 系统逻辑架构学校信息门户需要依托学校现有的资源, 将已建成的应用系统接入门户, 并针对不同的角色用户进行个性化展示经过调研, 本章给出了校园门户系统的架构设计现将该系统的逻辑架构如图 41 所示现对图 41 进行说明表现层整合该层主要对门户的展示进行控制, 也是系统中与用户进行交互的主要层次因此, 需要为用户提供对系统的主题风格个性化设置内容安排等操作的支持其中, 还需要对用户进行统一身份认证和访问控制等后台管理 33

44 电子科技大学硕士学位论文底层整合接入应用应用层整合表现层整合 IT 基础设施 ( 校园网服务器存储等 ) 云应用 1 云应用 2 等等学生信息类表教师信息类表等等门户数据库云应用安全接口适配数据整合共享中心访问凭据管理学校现有应用系统门户本身云应用异构数据整合权限配置流程配置消息管理统一的身份认证统一的主题风格个性化的访问页面构成校园信息门户云应用代理系统安全 (4A) 图 41 校园门户系统的逻辑架构图应用层整合应用层整合主要是对门户所涉及的各种应用进行整合包含有 : 异构通讯数据的整合接入方式的整合各个应用的流程关系以及为达到以上效果进行的企业消息总线 (EMB,enterprises message buss) 其中, 异构数据是指各个应用产生的不同结构的数据统一接入, 包括应用的单点登录和管理流程配置, 由于应用系统之间需要进行协调工作, 故需要对应用进行配置, 此外, 流程配置需要确保应用的实时通讯, 这就需要消息总线进行协调管理接入层整合主要是对接入的应用进行整合管理包括学校已经部署的系统和门户接入的云应用在这里, 就需要进行门户系统的一些整体基本操作如 : 安全监控日志记录基本操作控制等底层整合门户系统中对云应用的底层整合, 主要包含云应用安全, 接口配置, 访问凭据管理以及数据的存储等其中, 云应用安全主要是指数据在网络中传输的安全, 此部分系统需要对传输的数据进行加密处理接口配置主要是需要对云应用的使用接口进行统一封装和集成, 以便使用门户系统所提供的功能访问凭据管理主要针对目前各大云服务提供商所采取的 OAuth2.0 技术, 该技术需要第三方应用提 34

45 第四章云应用与企业级门户集成的设计供访问密钥, 并且该密钥还具有有效期为此, 系统需要对访问密钥进行妥善保管并且在失效时, 重新进行申请系统安全门户由于涉及到多个系统, 并且进行了多个层次的整合因此安全需要贯穿整个过程为此, 门户系统在引进传统的 4A 认证的同时, 使用身份认证和单点登录进行安全保障确保系统的安全对学校传统应用来说, 应用之间的整合需要根据一定的标准, 进行数据整合接口整合以避免出现局域网的信息孤岛对于云应用, 如第三章所述, 需要对相关应用系统进行整合对于云应用, 本系统采用云应用与本地系统整合的方法因此, 需要对门户系统中存在的异构数据即时通讯接口适配身份认证单点登录等问题进行整合考虑 (2) 系统相关者根据相关学校实地调研, 以及上面小节对门户逻辑架构的描述, 可以识别出以下系统相关者 : 用户主要有以下角色 : 学生辅导员教师领导学校职工游客这些用户在了解学校公共新闻事件的同时, 还需要拥有个性化的门户应用内容同时还需要根据他们的工作职责接入不同的系统入口, 以及定制相应的云应用管理人员由于门户的多角色多应用, 因此需要对权限进行多重细粒度的分配为此, 系统将在门户系统中进行多层次授权即, 根据管理内容和部门组织, 将用户管理平台维护门户内容分别交由不同管理人员云应用提供商由于现阶段, 各种云应用层出不穷且各有特色, 因此, 门户系统需要接入多个云应用并与相应的服务提供商建立联系此外, 需要根据学校的实际情况, 给出学校现有系统与云应用进行整合的方案在这个过程中, 需要了解相关云应用开发方法, 根据相关的开发规范来进行与本地应用的整合 (3) 业务概念云应用代理由于云应用的接入方式与学校传统应用不同, 且尚无成熟技术可参考为此, 本文决定在系统中引入云应用代理的概念, 来表达为实现不同云应用的本地化集成所建立的适配器的概念它包含部分身份认证, 接口数据的转化, 消息的处理转化传递, 连接状态的保持等具体连接协同问题 35

46 电子科技大学硕士学位论文 4A 认证 4A 认证即是传统的 4A( 集中帐号 (account) 管理集中认证 (authentication) 管理集中权限 (authorization) 管理 ) 集中审计 (audit) 管理 ) 管理它是对整个门户的安全保障, 不仅涵盖了传统的应用集成门户系统本身, 还包含了集成的应用需求分析 (1) 云应用与门户系统集成用例图学校门户系统是学校人员进行信息获取和应用登录的主要地方为此, 门户需要具有凭证管理风格管理内容管理应用管理消息管理安全审计管理系统维护等功能这些内容或多或少的包含在用户和管理员中经过需求的分析归纳提炼和确认, 本文为系统中的每个用户角色都建立相关的功能列表由于篇幅有限且本文的研究重点是门户系统中云应用的集成为此, 本节将以学生和系统管理员为例, 简单介绍他们在实际系统中的功能操作图 42,44 为门户系统中, 学生和管理员的用例图图 43,45 为门户中学生和用管理员的关于云应用的用例图学生用例登录账户管理凭证查询水费查看新闻 <<owner>> <<owner>> 查询电费 <<owner>> 查看水电网费查看课表 <<extend>> <<extend>> <<include>> 制作个性化页面 <<include>> 登录云门户退出 <<owner>> 教务系统 <<owner>> 查询网费用户进入其他应用 <<owner>> 学工系统 <<extend>> 查询生活相关 <<extend>> 查询校车时刻 <<extend>> 财务系统等查询日历查看消息云应用 <<extend>> <<extend>> 使用网盘查看新浪微博使用 QQ 邮箱图 42 学校门户学生用例图图 42 中需要学校信息系统整合后才能实现的功能有 : 查看课表进入其他应用系统消息查看生活信息这些由系统的数据整合和 ESB(Enterprises Services Bus, 企业服务总线 ) 来进行支撑 36

47 第四章云应用与企业级门户集成的设计在云应用的用例中, 学生可以使用网盘微博邮箱等信息在网盘中, 学生可以对网盘中的文件进行管理 ; 在微博模块, 学生可以查看自己的微博, 在 QQ 邮箱中, 学生可以对邮箱进行查看回复等其用例为图 43 所示查看开心网查看新浪微博 <<include>> 云应用访问凭据使用 QQ 邮箱 <<include>> 管理凭证云 API 访问公钥使用网盘用户制作个性化云应用页面查询快递查询火车信息登录云应用图 43 用户使用门户中的云集成应用用例图管理人员用例图管理帐号 <<owner>> 管理接入系统 <<owner>> 管理员功能管理 <<owner>> 管理云应用 <<owner>> 管理主题 <<owner>> 发布新闻授权管理管理页面内容 <<owner>> 管理消息查看系统状况图 44 学校门户系统管理员用例图门户系统采用 web2.0 技术开发, 并且拥有许多应用系统管理这些内容, 对于管理员来说工作量大, 任务繁重故系统实行多级授权其中超级管理员具有系统最大的权限他可以对系统资源进行再次授权上图中, 简要列出了具有部 37

48 电子科技大学硕士学位论文分管理权限的管理员的工作内容如 : 可以管理网站的内容和用户, 还可以查看资源的访问使用情况在上图中, 对于云应用管理来说, 由于云应用尚未形成统一标准规范, 管理员需要手工确认接入云应用的来源认证方式传输数据格式消息格式等这样, 当管理员完成云应用的接入后, 一般用户就可以在云应用列表中进行选择, 并进行使用其用例如图 45 所示 : 管理用户帐号 <<include>> 管理接入的应用 <<include>> 管理云应用 <<include>> 管理接入方式管理员管理应用风格管理数据格式管理云应用权限查看云应用使用状况图 45 管理员管理云集成应用用例图 (2) 整体功能设计根据上一小节对系统逻辑架构的分析以及对湖南财政经济学院的实际需求调研分析, 本文总结出该校的需求功能这些功能, 大体分为 : 系统平台功能需求, 用户功能需求, 非功能性需求三大部分系统平台功能其中系统平台功能需求有 : 整合学校现有的几个应用系统, 如 : 财务, 一卡通, 教务等, 是这些系统的部分数据能在门户进行展示 ; 消息提醒, 需要对整合的应用系统发出的消息, 在门户进行展示和管理 ; 统一身份认证, 学校需要对接入的系统进行统一身份认证 ; 其他系统的接入, 如 : 新浪微博的接入, 以及其他常用功能和网站的接入 ; 此外还有系统管理, 网盘管理等用户功能用户功能需求有 : 门户系统的用户需求需要同时考虑系统所涉及的各个角色这些角色包括 : 学生, 任课教师, 辅导员, 行政老师, 领导, 管理员总的来说, 可以将门户功能分为图 46 中的几个大类 38

库, 中间件的要求图 47 学校门户应用功能列表门户系统中的单点登录应用主要放在我的应用中本文主要研究的云应用统

49 第四章云应用与企业级门户集成的设计图 46 门户系统用户功能需求由于篇幅所限, 就不再对每类需求进行进一步介绍非功能性需求性能要求, 如 : 响应时间, 并发用户数等 ; 安全要求, 如 : 能授权, 审计等 ; 支持环境, 如 : 对操作系统, 数据库, 中间件的要求图 47 学校门户应用功能列表门户系统中的单点登录应用主要放在我的应用中本文主要研究的云应用统一身份认证和云应用集成, 包含在了系统平台中其在用户的功能中也有体现其所在部分, 如图 47 所示云应用功能需求 39

50 电子科技大学硕士学位论文云应用需求属于用户功能需求由于该部分是本文研究的重要部分, 但由于目前云应用还较少故门户系统, 只接入了部分云应用这些应用主要有以下几个部分 : 新浪微博 : 登录用户在门户系统中进行其微博信息的查看开心网 : 登录用户在门户系统中查看其开心网的信息铁路客服中心 : 登录用户在门户系统中浏览客服中心信息快递查询 : 登录用户在门户系统中进行快递的查询 QQ 邮箱 : 登录用户在门户系统中对其 QQ 邮箱中的邮件, 进行查看回复删除等操作我的云盘 : 登录用户在门户系统中对其云盘文件进行查看, 上传, 下载, 和删除等操作 4.2 应用集成总体结构设计门户系统需要涉及到学校的许多方面主要包含 : 底层的校园网络, 通讯设施 ; 学校的数据共享中心和各个集成系统的数据 ; 门户需要接入的各个应用系统 ; 在拥有应用系统和相应数据后, 需要向系统相关用户提供的各项功能 ; 以及门户系统需要一些平台支撑和安全保障这些组成部分的架构如图 48 所示 : 学校门户系统架构用户学生辅导员任课教师行政教师领导管理员功能依托系统学校系统入口集成 SSO( 单点登录 ) 学校各个应用系统教务系统离校系统人事系统等等信息展示查询信息展示查询报表统计功能数据处理 DCI( 数据清洗平台 ) 教务系统人事系统学籍管理系统等等门户自身提供的功能消息系统考勤系统新闻公告云应用入口集成 SSO( 单点登录 ) 云存储云代理新浪微博等依托 U T 3. 0 开发平台最新国家数字校园信息标准多重授权的运行管理体系立体的数字校园安全保障体系企业消息总线共享数据交换监控管理学校数据中心学生主题库老师主题库共享数据中心平台教务主题库... 云本地数据库学校基础设施 ( 校园网服务器存储等 ) 图 48 学校门户系统架构图 40

51 第四章云应用与企业级门户集成的设计在图 48 中, 将门户功能分为了四个大的类 : 单点登录实现类, 信息展示查询类, 门户自身功能类, 云应用类这些功能的实现都需要依托学校的共享数据中心这个中心的建立, 需要对学校各个应用系统的数据进行标准化处理依据的标准则是最新的国家教学校园信息化标准在框架的指导下, 本次系统开发还使用了以下技术 : 门户系统技术架构门户系统采用了目前流行的 J2EE 企业应用开发框架他使用 struts2,spring, hibernate 技术来具体实现该结构如图 49 所示 Ajax JS JSP JS Ajax 表现层技术 struts2 控制层技术 Facade Bean Service JavaBean Ajax Others 业务逻辑层技术 Spring Hibernate DAO JDBC 持久层技术 File System Oracle Database Mysql 物理层图 49 门户系统技术结构图如图 49 所示, 在该开发框架下, 门户系统的各层上使用了以下技术 : 表现层 :Ajax,js,jsp 等其中,Ajax 主要用于异步刷新,js 用于页面逻辑控制,jsp 用于页面在后台的管理输出控制层 : 主要采用 struts2 技术其中 action 方法和拦截器方法来进行逻辑控制业务逻辑层 : 由 JavaBean Ajax 以及 struts 等共同来对业务逻辑层进行实现持久层 : 即数据层, 采用 DAO 对象技术来对操作对象进行封装管理底层的数据操作则由 hibernate 和 jdbc 来实现物理层 : 数据库在开发时候使用 mysql, 在门户系统实际部署时按照学校要求及商业要求采用 oracle 此外, 对图片, 文件等, 采用一般的文件系统来进行压缩管理由于 J2EE 并不是本文的研究重点, 相关资料, 读者可以查看参考文献 [9] 41

52 电子科技大学硕士学位论文个性化的交互技术为增强门户系统的用户喜爱和依赖程度, 系统采用目前流行的 web2.0 技术 Web2.0 具有以用户为中心用户参与设计的特点, 使得门户可定制可共享, 更好的适应了互联网网站的发展的学校以人为本的应用需求由于并不是本文的研究重点, 相关资料, 读者可以查看参考文献 [10] 由于采用以上架构规范, 使得本系统具有易维护易扩展以及较好的交互性等特点 4.3 云应用集成设计根据第三章的研究, 现阶段我国云计算尚处于发展阶段, 云应用接入的相关技术尚不成熟 ; 另一方面, 学校已经经过多年信息化建设, 已初步形成了校园各个系统之间已经有机整合的现状为此, 门户系统决定采用云应用和本地系统结合的方式, 来为学校提供服务此外, 系统还将实现云应用与门户在表现层的集成实现现分别对这两种集成方式进行设计说明展示层集成设计展示层的集成较为简单, 系统通过地址连接, 将需要集成的应用的效果页面和门户系统的框架进行整合从而拥有该功能的展示效果这种集成方式只涉及门户的身份认证, 权限认证和单点登录问题, 因此较为简单该方法的结构示意图如图 410 所示门户系统访问控制 iframe 框架单点登录连接链接的网站图 410 表现层集成结构示意图在图 410 中, 系统通过门户的框架来接入需要连接的云应用网站在进行展示之前, 门户系统需要对云应用进行单点登录和权限控制完成后, 就可以将应用展示到门户中了具体的实现和操作见 5.2 小节 42

53 数据接收应用认证业务层集成设计第四章云应用与企业级门户集成的设计门户系统与云应用在业务层的集成主要包括 : 展示层整合, 处理逻辑整合, 数据库集成对于展示层的整合, 在使用平台接入的同时, 还需要针对具体的展示效果进行编码实现此处可参考展示层的实现部分对于处理逻辑的整合, 除了需要对具体的处理逻辑进行实现外, 还需要将他们的公共功能抽取出来, 进行实现这个部分就是云应用代理该部分的设计本文将独立出一个小节, 进行详细说明数据的集成, 除了 4.6 小节中的云应用数据的设计, 还需要对具体应用进行数据库表设计该部分, 可参考我的云存储部分下面将对这些部分, 进行分别说明 (1) 业务层集成总体设计云应用与门户在业务层的集成, 在门户系统中的位置如图 48 所示具体来说, 需要涉及到云应用本身的实现 ; 云集成应用与门户的身份认证 ; 云集成应用与门户的权限管理 ; 云集成应用与门户数据总线和消息总线的集成, 以及安全日志, 帐号, 凭据等的管理这些功能主要与云应用集成所涉及的技术有关, 如第三章所述具体实现这些功能的部分有 : 云应用代理统一身份认证即单点登录权限管理以及系统日志等几个主要模块详细介绍和实现在 5.3 节的实现部分这些模块的具体关系如图 411 所示门户展示云存储应用新浪微博云应用 Q Q 邮箱快递查询等云应用单点登录 (sso) 身份认证身份联合业务处理方法调用权限管理系统其他功能数据发送应用认证权限修改权限认证权限修改云应用代理数据格式转化消息格式转化企业消息总线 (EMB) 企业数据总线 (EDB) 连接连接数据共享中心包含到相关数据库图 411 门户系统云应用集成整体结构图在图 411 中, 包含的几个模块的作用如下 : 43

54 电子科技大学硕士学位论文云应用代理 : 包含了数据的收发 ; 数据格式和编码的转化 ; 身份认证中凭证的验证 ; 存取云应用 API 访问凭证 ; 验证云应用 API 的访问凭证 ; 改变云应用中数据信息的访问权限等单点登录 : 对用户进行统一的身份认证当用户通过身份认证后, 系统就认为其对云集成应用也具有了合法性权限管理 : 对云集成应用的访问权限进行管理此外, 还需要使用云应用代理中的权限修改方法, 来实现对云端数据的访问权限同步业务处理 : 此模块与具体的云集成应用有关用于处理用户的操作请求系统其他功能 : 如日志记录, 个性化交互页面等系统提供的功能 (2) 访问流程设计这些模块和门户系统相互协调, 共同为用户提供相应的服务用户的操作流程如下 : 首先, 用户根据需要, 点击云应用系统, 若用户对该云应用拥有相关权限, 则系统经过权限审查和应用登录后, 打开该应用为用户服务这个过程中的系统处理逻辑流程如图 412 所示 : 用户操作系统处理流程用户登录门户系统用户点击需要访问的云应用系统根据设置读取云应用列表, 并进行显示系统获取该云应用 id 从应用集成数据库中找到该 id 对应的云应用读取访问控制列表判断该用户是否具备相关权限不具有返回缺少相关权限提示具有在应用集成数据库中查找该应用所涉及的云应用从目录数据库中获取相关凭证开始使用登录相关云应用退出图 412 系统处理云集成应用访问逻辑流程图 44

55 第四章云应用与企业级门户集成的设计当系统接受到用户的使用请求时, 由于用户已经登陆成功, 故不再需要对用户进行身份认证此外, 系统需要对用户的权限进行认证当确认用户具有相应权限后, 系统就读取出, 该集成应用所涉及到的云应用, 并从目录数据库中取出相应凭证, 进行云应用的使用认证若不成功, 则需要用户输入相应凭证重新进行验证当验证成功后, 用户就可以使用该应用了数据同步设计数据集成是云应用集成的重要组成部分为此, 需要将云应用中的相关信息进行本地存储, 以便本地应用能够进行使用但随之也带来了数据同步的问题这主要是由于集成应用中的云应用部分具有开放性即, 用户可以不通过门户系统来对云应用的相关数据进行操作这样, 门户系统中的存储信息就会和云应用中的信息不相匹配考虑到云应用是云集成应用的依托, 并且为了方便用户的使用, 在门户系统中存储的关于云应用的信息, 以云应用中的实际信息为准为此, 系统决定对数据进行拉的操作需要同步的信息包括 : 集成应用的数据, 数据的描述信息, 数据的权限信息等具体做法有以下几点 : 1) 对数据库设置计划任务于每天的空闲时间向云应用发起同步操作 2) 当用户对云集成应用进行刷行时, 进行同步操作 3) 对于用户在门户中对云集成应用的操作, 如 : 上传文件, 修改权限, 系统将在对云应用进行相应操作的同时, 同步修改本地相关信息 4) 对于用户访问门户云集成应用时, 为提高相应时间, 不进行同步操作直接从本地数据库进行读取系统只需要验证, 云应用是否可用即可 4.4 云集成应用统一身份认证设计由于门户系统需要整合学校自己的现有系统, 还需要接入来自不同厂商的云应用, 因此, 需要为学校门户实现单点登录功能即统一身份认证功能而在云应用集成过程中, 也需要对集成的应用进行统一身份认证为此可以将, 传统应用系统的身份认证部分和云应用集成的身份认证部分合在一起, 共同使用身份认证中心云应用的身份认证, 门户系统采用第三章所提出的基于云应用代理的身份认证方法其具体组成部分包含 : 云应用代理模块, 身份认证模块, 相关数据库模块, 云应用, 用户其架构示意图如 413 所示 : 45

56 电子科技大学硕士学位论文云应用提供者商 (SP) 新浪微博应用云存储应用等等门户系统云应用代理模块读取相应的凭证 ID 身份认证模块 (IDP) 认证中心相关数据库访问学校门户系统的浏览器 ( 客户端 ) 图 413 云应用单点登录架构其中相关数据库主要有目录数据库和应用集成数据库这些组成部分的协作关系如图 414 所示 : 请求访问用户结束通过验证是云应用代理是否已经登录单点登录认证中心否输入用户身份信息重定向到登录页面否验证是否在其他应用中登陆过结束返回提示否验证身份是否正确结束返回提示否验证云应用凭据是否正确是是是结束结束通过验证是返回提示否判断用户是否具有该权限图 414 单点登录各部分协作工作图现对上图进行说明 1) 当用户对门户中的云集成应用进行访问时, 集成应用会根据检查用户的令牌, 判断用户是否已经登录过 2) 若该用户已经登录过该应用, 则系统通过此次认证若用户还未登陆过该应用, 则转步骤 3) 3) 将检查交给认证中心身份认证模块检查用户是否登录过其他统一身份认证中的应用若有则进行步骤 5) 若没有, 则进行步骤 4) 46

57 第四章云应用与企业级门户集成的设计 4) 用户需要在重定向到的登录页面, 输入相应的登录信息进登录系统则根据用户的输入信息, 进行合法性验证若验证通过则进行步骤 5) 若未通过, 则返回相应的提示信息 5) 验证用户需要访问的云集成应用的凭据是否正确若正确则进行步骤 6); 若不正确则返回相应提示 6) 对用户是否有权限访问该应用进行验证若成功, 则此次验证成功 ; 若未通过, 则返回相应的提示身份认证的具体方法已经由 3.4 小节进行了介绍, 此处不再重复 4.5 云集成应用安全设计在门户系统中, 除了上面小节进行的身份认证外, 还需要采用其他措施来保证门户系统的安全在门户系统的开发中, 系统使用了康赛公司的 UT3.0 开发框架平台, 该平台支持 : 多重权限分配细粒度访问控制多级授权日志审查图片验证码数据加密等为此, 只需要将集成后的云应用接入该平台即可获得相关保护功能但由于云应用平台对其资源也进行了访问控制, 因此, 需要在门户进行访问权限控制的同时, 将相应的权限修改同步到云应用中基于这个原因, 需要对系统中的权限认证进行改造, 以便达到目标图 415 是门户系统中修改权限的时序图 : 操作者用户中心云应用代理云应用 1: 修改权限 2: 验证用户权限 3: 发送修改权限消息 4: 发起验证 5: 验证成功 6: 进行访问权限修改 7: 返回修改结果 9: 返回修改结果 8: 返回修改结果图 415 门户系统中修改云应用权限时序图现对图 415 中所涉及的部分进行说明 : 操作者指的是 : 用户或管理员用户中心指的是 : 门户系统中对权限进行管理的地方用户中心除了对权限 47

58 电子科技大学硕士学位论文进行管理, 还对验证的凭据进行管理云应用代理和云应用此前已经进行过介绍, 此处不在重复验证的步骤如下 : 1) 操作者向用户中心发起进行云应用的权限修改的请求 2) 用户中心对操作者进行权限判断若具有相应权限, 则进行步骤 3); 若不具备, 则返回相应提示 3) 用户中心根据操作者的修改要求, 将相关要求发送给云应用代理 4) 云应用代理接收到相关请求后首先向云应用进行身份和权限的验证若通过云应用的验证, 则进行步骤 5); 若不通过验证, 则向用户中心发回相关结果, 并将用在云应用中所拥有的权限一并发送 5) 云应用代理修改云应用中的相关权限并将结果返回给用户中心 6) 用户中心接收到相关返回结果进过相关处理 ( 如权限同步, 日志记录 ) 后, 将结果返回给用户其中, 对于权限的认证, 具体实现见 5.5 小节, 效果参见 6.2 效果展示小节 4.6 数据库设计由于学校门户系统涉及学校现有应用系统和多个云应用, 他们之间的数据结构差异很大为实现门户系统应用整合在数据层面的互通, 系统需要使用康赛公司的数据清洗 (DCI) 技术来建立规范的数据共享中心其中, 对于学校现有系统, 需要根据教育部 2012 年颁发的中华人民共和国教育行业标准来进行数据整合对于云应用, 也需要将其部分信息根据学校信息化标准, 整合到数据共享中心中去其中的重要内容如下所示 : 云应用数据存储方案设计目前国内云应用主流的数据传输格式为 Json 考虑到国内相关行业尚未对这方面进行规范, 目前系统暂时按照此格式进行数据处理对于数据的存储, 系统需要在云应用集成的时候, 为该集成应用分配一个统一的标识 ID 云应用集成中云应用程序所需要的数据大部分存储在云端, 本地只需要存储简单的数据信息, 相应的云应用信息身份验证信息应用协作信息流程配置信息以及相关监控日志对于数据的同步, 参考小节这些信息为方便管理, 系统将身份凭证存储于目录服务数据库 (directory service database) 中, 其他信息存储于应用集成数据库此外, 还用到了门户系统数据库以及学校数据共享中心现对这些数据库进行说明 48

59 第四章云应用与企业级门户集成的设计数据共享中心 : 包括了学校所涉及到的各个信息系统他是校园信息化建设的重点门户系统数据库 : 专门存储门户有关的数据该数据中也需要抽取并同步其他应用系统的数据, 来在门户进行展示该数据库, 位于数据共享中心目录数据库 : 目前流行的用于存储用户登录凭据的数据库具有快速简洁高效的特点应用集成数据库 : 该数据库是对门户系统数据库中关于应用集成部分数据表的抽象该数据库主要用于应用集成相关信息的记录下面将详细进行介绍应用集成相关数据库表设计集成应用数据库是记录云应用本地整合的数据库他需要记录, 云应用及运用厂商, 云应用集成情况, 日志情况, 授权情况, 以及云应用消息等内容在本系统中, 应用集成包含了如下数据库表 : 这些数据库表及他们之间的关系如图 416 所示 : 用户编号云集成应用号 2 云集成应用号相应权限有效期凭证号... FK_Reference_cloud FK_Reference_cloudsAPP 云集成应用号云应用编号 2 云应用编号凭证号创建日期创建者优先级日志编号状态描述... 用户表 i nt i nt i nt i nt dat e i nt eger 云应用集成表 i nt i nt var char ( 50) l ongbl ob dat e var bi nar y( 50) i nt i nt i nt var char ( 100) <pk> <f k> <pk, f k2> <f k1> FK_Reference_log 日志编号操作内容操作类型类型用户编号日期... FK_Reference_Message 云应用编号凭证编号 2 消息信 _ 消息编号云应用 _ 厂商编号厂商编号消息编号有效期认证方式编号凭证编号状态描述... 云应用日志信息表 i nt var char ( 50) i nt i nt dat e 云应用表 i nt i nt var bi nar y( 50) i nt i nt i nt dat e i nt i nt i nt var char ( 100) <pk> <pk> <f k1> <f k2> <f k3> 凭证编号类型更新日期 FK_Reference_identify 有效期 FK_Reference_SP 厂商编号厂商名称厂商类型状态描述... 云应用编号消息编号消息名称消息类型消息源消息状态优先级描述... 云应用服务提供商表 i nt var char ( 50) i nt i nt var char ( 100) 使用方式编号状态描述... <pk> 消息信息表 var bi nar y( 50) var bi nar y( 50) <pk> var bi nar y( 50) i nt var bi nar y( 50) i nt i nt var char ( 200) bi nar y 云应用凭证信息表 i nt var char ( 50) dat e dat e i nt i nt var char ( 100) <pk> 图 416 应用集成相关数据库表设计图上图中主要表的功能如下所示 : 用户表 : 该表是门户系统用户表的拓展表主要用于记录该用户所拥有的云集成应用此外, 该表还关联了用户权限表等云应用集成表 : 记录该云应用集成的应用以及其他相关信息云应用表 : 记录该云应用的来源, 认证方式等信息云应用服务提供商表 : 记录该服务商的名称等信息云应用日志表 : 记录相关日志信息 49

.. 角色表 int <pk> varchar(50) varchar(50) int int int varchar(100) FK_ROLE_PERMISSIONGROUP 角色编号授权组编号角色授权组表 int int FK_PERMISSIONGROUP_ROLE FK_PERMISSIONGROUP_PLUGIN 模块插件授权组表授权

60 电子科技大学硕士学位论文消息表 : 记录消息的格式, 发送者, 日期等相关信息该表与系统消息管理系统有关凭证表 : 该表记录凭证的一些大致情况包括有效期, 当该凭证超过有效期后, 可以减少对数据库的相关操作该表是对目录数据库中凭证的部分信息进行的抽取门户系统其他相关数据库设计角色编号角色中文名角色标识符上级优先级状态描述... 角色表 int <pk> varchar(50) varchar(50) int int int varchar(100) FK_ROLE_PERMISSIONGROUP 角色编号授权组编号角色授权组表 int int FK_PERMISSIONGROUP_ROLE FK_PERMISSIONGROUP_PLUGIN 模块插件授权组表授权组编号插件编号 int int <pk,fk2> <pk,fk1> FK_PLUGIN_PERMISSIONGROUP FK_ROLE_USER 用户编号角色编号 FK_USER_ROLE 用户角色表 int int FK_PERMISSIONGROUP_USER 用户编号授权组编号 <pk,fk1> <pk,fk2> 授权组编号授权组名称授权组标识描述插件编号插件名称插件编码插件地址插件文件类型描述... 用户编号岗位编号部门编号部门管理员账号别名密码密码强度姓名手机邮箱身份证状态类型禁用账户 <pk,fk2> 密码有效期 <pk,fk1> 帐号有效期账户锁定... FK_USER_PERMISSIONGROUP 授权组用户授权组表 int int <pk,fk2> <pk,fk1> int <pk> varchar(50) varchar(50) varchar(100) 用户表 int int int int varchar(50) varchar(50) varchar(50) int varchar(50) varchar(20) varchar(100) varchar(18) int int int date date int <pk> <fk1> <fk2> FK_MENU_PLUGIN FK_USER_POST FK_PERMISSIONGROUP_VIEW FK_VIEW_PERMISSIONGROUP 模块插件 int <pk> varchar(50) varchar(50) varchar(100) varchar(200) int varchar(100) 授权组组织编号 int <pk> 授权组编号 int <fk> 组织编号 int 组织类型 int... FK_organize_permissionGroup 视图编号授权组编号视图授权组表 int int <pk,fk1> <pk,fk2> FK_user_department 部门编号部门名称部门标识符上级优先级级别描述... 部门表 int <pk> varchar(100) varchar(50) int int int varchar(100) FK_POST_department 岗位表岗位编号岗位名称岗位标识符部门编号上级优先级级别描述... int varchar(50) varchar(50) int int int int varchar(100) <pk> <fk> 应用视图视图编号菜单编号视图名称优先级验证登录页面来源描述... 菜单编号插件编号菜单名称父级菜单优先级级别描述... 图 417 学校门户支撑系统数据库设计化简图菜单 int <pk> int <fk> varchar(100) int varchar(256) varchar(100) FK_FK_VIEW_MENU int <pk> int <fk> varchar(50) int int int varchar(100) 门户数据涉及到许多方面, 总的来说可以将门户系统所涉及的数据库表分为两大类 : 平台系统数据库表, 这些系统包括 : 系统的支撑平台, 单点登录系统, 消息管理系统等 ; 门户本身数据库, 该数据库需要保存门户所涉及的多种数据, 如 : 门户展示类数据, 门户操作类数据等由于该部分只是本文研究的辅助功能, 本文只给出部分相关数据库表设计如图 417 所示 50

61 第四章云应用与企业级门户集成的设计 4.7 接口设计门户涉及多个系统并且需要企业平台的支撑, 因此, 其接口之间以及接口和类之间的关系较为复杂此处以门户系统中用户访问控制部分为例, 介绍其接口之间的关系该部分所涉及的类和接口的关系如图 418 所示 : FilterSecurityInterceptor securitymetadatasource : FilterInvocationSecurityMetadataSource dofilter (ServletRequest request, ServletResponse response, FilterChain chain) getsecuritymetadatasource () getsecureobjectclass () invoke (FilterInvocation fi) obtainsecuritymetadatasource () setsecuritymetadatasource (FilterInvocat ionsecuritymetadatasource securitymetada tasource) destroy () init (FilterConfig filterconfig) : void : FilterInvocationSecurityMetadataSource : Class<? extends Object> : void : SecurityMetadataSource : void : void : void <<Unresolved Class>> AbstractSecurityInterceptor (intercept) securitymetadatasource AccessDecisionManager <<Unresolved Interface>> Filter (servlet) <<Unresolved Interface>> FilterInvocationSecurityMetadataSource (intercept) decide (Authentication authentication, Object object, Collection<ConfigAttribute> configattributes) supports (ConfigAttribute attribute) supports (Class<?> clazz) : void : boolean : boolean InvocationSecurityMetadataSourceService _ANONYMOUSLY : String _ROLE_ANONYMOUS : String resourcedao : IResourceDao urlmatcher : UrlMatcher resourcemap : Map<String, Collection<ConfigAttribute>> + loadresourcedefine () getattributes (Object object) supports (Class<?> clazz) getallconfigattributes () setresourcedao (IResourceDao resourcedao ) : void : Collection<ConfigAttribute> : boolean : Collection<ConfigAttribute> : void = "IS_AUTHENTICATED_ANONYMOUSLY" = "ROLE_ANONYMOUS" = new AntUrlPathMatcher() = null <<Unresolved Interface>> AccessDecisionManager (access) <<Unresolved Interface>> PasswordEncoder (encoding) <<Unresolved Interface>> UserDetailsService (userdetails) UTPasswordEncoder + encodepassword (String rawpass, : String Object salt) + ispasswordvalid (String encpass, : boolean String rawpass, Object salt) urlmatcher UrlMatcher (url) compile (String urlpattern) pathmatchesurl (Object compiledurlpatter n, String url) getuniversalmatchpattern () requireslowercaseurl () : Object : boolean : String : boolean UserDetailService userservice : IUserService + loaduserbyusername (String username) : UserDetails userservice getloginuser (String accountid) getauths (User user) findall () IUserService (service) : User : Collection<GrantedAuthority> : List<User> 图 418 用户访问权限控制部分的接口设计用户访问控制所需要涉及到的主要接口和类有 : FilterSecurityInterceptor: 安全过滤拦截器类实现 AbstractSecurityInterceptor 和 Filter 两个接口并且需要关联 FilterInvocationSecurityMetadataSource 接口该类主要负责拦截请求, 以便进行访问控制 AbstractSecurityInterceptor: 安全拦截器公共接口 Filter: 过滤器公共接口 FilterInvocationSecurityMetadataSource: 安全元数据资源过滤器对元数据的 51

电子科技大学硕士学位论文访问接口 InvocationSecurityMetadataSourceService: 安全元数据访问服务类该类需要实现 FilterInvocationSecurityMetadataSource 接口其核心是定义其管理资源的控制访问规则该类需要关联

62 电子科技大学硕士学位论文访问接口 InvocationSecurityMetadataSourceService: 安全元数据访问服务类该类需要实现 FilterInvocationSecurityMetadataSource 接口其核心是定义其管理资源的控制访问规则该类需要关联 UrlMatcher 接口, 以便对资源进行定位, 找到其拥有者 UrlMatcher: 资源定位接口每个资源在系统中都有其唯一的标识, 称为 URL 接口为使用 URL 定位的类规定公共方法 AccessDecisionManager 类 : 访问控制判定类该类将判定用户是否有相关的权限来访问其请求的资源其实现接口为 :AccessDecisionManager AccessDecisionManager 接口 : 定义访问控制判定类所需要具有的方法 4.8 类图设计由于门户系统涉及到学校的所有人员和机构, 其需要提供丰富的信息展示和个性化的功能处理, 为此门户的设计较为复杂, 其中的类结构也较为复杂为此本文将只对涉及本文内容的云集成应用进行简要说明其中包含权限认证功能类图和云集成应用的数据处理两部分云集成部分将以我的云存储功能为例进行介绍云存储类图设计我的云存储功能中包含有对相关实体和其信息的增删查等功能这些功能的实现, 需要门户系统的提供的多种接口和操作类其主要分类有 :Action 类,manager 类,domain 类这些类的部分关系图如图 419 所示图 419 我的云存储相关类设计 52

63 第四章云应用与企业级门户集成的设计 1)Action 类型 : 主要用于行为控制 ClousAction 类 : 需要继承 CipBasicAction 和 CloudsAppProxAction 类其中包含我的云存储所涉及到功能包括, 文件上传, 下载, 删除, 查询, 排序等功能 CloudsAppProxAction 类 : 主要包含云集成应用所需的基本方法如获取云应用列表, 向云应用进行凭据验证, 向云应用进行权限更改, 信息同步等操作其也需要集成 CipBasicAction 类 CipBasicAction 类 : 门户的基本操作类其包含 account( 帐号 ) 属性主要是将帐号放入 session 中因此其包含 account 的 get 和 set 方法, 以及将帐号放入 session 中的 execute 方法其需要继承 CRUDBaseAction 类 CRUDBaseAction 类 : 该类主要是执行数据的增加, 删除, 查询, 修改等操作其需要继承开发平台的 CRUD 基本类此处不再进行深入讨论 2)Business 类型 : 主要用于业务处理, 即对数据的处理 CloudsManager 接口类 : 主要规定云存储中文件信息的管理其方法包含 addobject,deleteobject,searchobject 分别对应文件信息的增加, 删除, 查询他需要继承 DaoManager 和 Pageable 两个接口类 DaoManager 接口类 : 主要规定 dao 的基本操作包括 get,set,delete,update 等 Pageable 接口类 : 数据的分页处理 CloudsManagerImpl 类 :CloudsManager 类的实现者 3)domain 实体类型 : 主要规定操作对象的属性, 以及这些属性的 get 和 set 方法该类将用于数据库的映射 Clouds 类 : 云存储中对象信息的实体其包含 name,size,lastmodifiedtime, fatherdir 等属性以及这些属性的 get 和 set 方法该类需要继承 EntityObject 类 EntityObject 类 : 该类主要是对数据的基本操作如格式转换, 判空等该类还需要实现平台的 DomainObject 等接口, 此处不再进行介绍门户的其他功能的类图较为复杂, 为此本文只选取其中的的用户权限管理相关类进行简要描述权限认证类图设计该部分在门户系统中主要放在用户中心部分用户权限在系统中的管理涉及到用户所属的角色, 团队, 组织机构, 岗位, 等此外系统还需要保存系统的授权策略和用户的保密问题这些就构成了权限认证的类图 420 是这些类之 53

64 电子科技大学硕士学位论文间的关系图这些类之中, 都保存了各自的属性和相应的属性获取方法因此, 都有相应的 get 和 set 方法此外某些还需要相应的处理方法如在用户类中, 还需要判定用户密码是否过期 accountcredentialsexpired(), 账户是否过期 accountexpired(), 账户是否锁定 accountlocked(), 账户是否可用 accountenabled() 等方法其权限认证的实现参见 5.5 小节部分 0..1 parent departmentid departmentname departmentidentify priority level description... permissiongroupid permissiongroupname permissionidentify description 0..* resources * organization children 组织机构 iongroupid) * permissiongroups : Integer : String : String : Integer : Integer : String 授权组 : Integer : String : String : String + <<Getter>> getpermissiongroupid () + <<Setter>> resourceid resourcename status resourcetype src islog description isanonymous priority 资源 0..* posts 0..* 0..* roles roles setpermissiongroupid (Integer newpermiss : Integer : String : Integer : Integer : String : Integer : String : String : Integer + <<Getter>> getresourceid ()... : Integer 0..* permissiongroups roleid rolecnname roleidentify priority status description <<Getter>> <<Setter>> <<Getter>> postid postname postidentify level priority description 岗位 : Integer : String : String : Integer : Integer : String + <<Getter>> getpostid... () : Integer 0..1 organization * permissiongroups securityid question answer <<Getter>> <<Setter>> <<Getter>> <<Setter>> <<Getter>> <<Setter>> 角色 : Integer : String : String : Integer : Integer : String 0..1 security 密保问题答案 : Integer : String : String getroleid () setroleid (Integer newroleid) getrolecnname... () 0..* users 0..* users 0..* user 0..* users getanswer () teamid setanswer (String newanswer) * parent children * children parent post getsecurityid () 0..* setsecurityid (Integer newsecurityid) teams getquestion () setquestion (String newquestion) teamname teamidentify priority level description <<Getter>> <<Setter>> <<Getter>> <<Setter>> <<Getter>> <<Setter>> <<Getter>> <<Setter>> <<Getter>> <<Setter>> <<Getter>> <<Setter>> userid loginid password pwdstrength name alias phone cardid enabled status type credentialsexpired accountexpired accountlocked isdepartadmin * parent children 团队 : Integer : String : String : Integer : Integer : String 用户 0..* users : Integer : String : String : String : String : String : String : String : String : String : Integer : Integer : java.util.date : java.util.date : Integer : Integer + <<Getter>> getuserid ()... : Integer 0..* users getteamid () setteamid (Integer newteamid) getteamname () setteamname (String newteamname) getteamidentify () setteamidentify (String newteamidentify) getpriority () setpriority (Integer newpriority) getlevel () setlevel (Integer newlevel) getdescription () setdescription (String newdescription) 图 420 用户权限管理类图 4.9 本章小结本章对云应用与企业级门户的集成进行了设计首先本章对集成的需求进行了分析随后, 本章对集成中所涉及的展示层集成, 业务层集成, 身份认证, 权限认证, 安全, 接口, 数据库, 类关系等进行了设计说明这个过程中, 由于篇幅有限, 本文以我的云盘的设计为例, 进行了示例说明在下一章, 将对集成的实现进行说明 54

65 第五章云应用与企业级门户集成的实现第五章云应用与企业级门户集成的实现经过第四章的设计, 解决了云应用与企业级门户集成所涉及的问题在这一章中, 本文将对第四章的设计进行实现对于简单的实现, 本章将给出源码, 并进行分析对于复杂部分, 本章将通过时序图, 伪代码的方式进行说明 5.1 开发环境的构建开发环境构建由于学校门户系统是学校信息的重要展示平台, 需要各个应用系统的集成来作为支撑为此, 系统使用了企业级的开发平台具体的开发环境如下 : 1) 操作系统 :WindowsXP 2) 数据库 :oracle10 3) 开发工具 :eclipse4.2.1 及其它集成工具 4) 使用开发平台 :UT3.0,webcis,DCI 5) Web 服务器 :Tomcat6.0 6) 运行环境 :jdk 1.6 7) 使用技术 :Java 开发语言其中系统开发平台基于 Java Web 主流框架 (J2EE+Struts+Hibernate+Spring) 其中, 在 J2EE 技术的技术上, 本系统采用了成都康赛信息有限责任公司 ( 公司简称 comsys) 的产品 :UT3.0,webCIS,DCI 作为基础平台其中,UT3.0 是指 :unit develop platform 3.0( 统一开发平台 3.0) 的缩写他是康赛公司自主研发的一个专业集成应用开发平台 WebCIS 是指 : 协同信息服务平台 ( 简称 WebCIS) 是用于系统中各个应用的消息发布和接受 DCI 是指 : 康赛企业级数据清洗与整合系统 (Data clean and integration) 该系统主要用于处理诸如关系型数据库非关系型数据库结构性文档非结构性文档等复杂的数据清洗整合场景 ; 能够解决异构数据的转换 ; 解决不同数据结构间的转换清洗 ; 解决不同数据源间的数据同步 55

66 电子科技大学硕士学位论文项目资源管理图 51 UT3.0 项目结构实现相关功能的资源, 主要是通过定义有一定语义的包来进行组织的整个平台系统的包主要分为 : 应用源码包标签库定义包权限源码包配置文件包测试代码包 UT 核心代码包日志文件夹模板文件夹主题文件夹上传文件夹以及应用 JSP 文件夹如图 51 所示现对这些包进行说明应用源码包 : 所有在 UT 基础规范上开发的功能模块代码都放置在此源码包内权限源码包 : 放置了 UT 统一身份识别权限系统源码配置文件包 : 放置系统的配置文件, 配置文件按照不同的功能模块进行划分测试代码包 : 放置系统中的单元测试源码 UT 核心代码包 : 放置了 UT3.0 的基础性的核心的代码, 如 CRUD 和一些其他工具类日志文件夹 : 用于放置系统日志文件模板文件夹 : 用于放置系统动态视图布局模板主题文件夹 : 用于放置系统动态视图的主题文件, 其中包括 :css js 以及图片文件上传文件夹 : 用于放置系统上传的资源文件应用 JSP 文件夹 : 放置功能模块代码的 JSP 文件, 其中下一级文件夹以不同的模块名称进行命名本论文所涉及的部分主要集中在 idm 权限资源包和 UT 代码核心包由于篇 56

第五章云应用与企业级门户集成的实现幅限制, 本文将只对云应用接入, 单点登录和身份认证三个部分的实现进行说明 5.2 云应用与门户表现层集成的实现根据 4.3.

67 第五章云应用与企业级门户集成的实现幅限制, 本文将只对云应用接入, 单点登录和身份认证三个部分的实现进行说明 5.2 云应用与门户表现层集成的实现根据小节中对展示层的实现设计, 我需要设计页面来接收实施人员或者管理员进行的接入操作该输入页面如图 52 所示 : 图 52 展示层接入设置页面在图 52 中, 系统管理员或开发人员根据需要输入相关信息, 即可进行云应用的展示层集成输入的信息包括 : 应用名称 ; 单点登录提交方式, 接入方式, 以及接入方式所对应的参数其中, 提交方式为原应用的凭证提交方式包括 get 和 post 两种方式 get 方式是将参数添加到 url 地址后发送给服务器,post 方式则是进行表单传送数据类型为原应用中凭据的类型 url 为访问该应用的地址具体的云应用接入流程如图 53 所示 : 实施人员进入应用接入页面设置应用名称设置凭证提交方式设置接入方式设置凭证元素设置应用的 url 云应用接入设置完成图 53 云应用与门户系统表现层接入设置步骤图 57

68 电子科技大学硕士学位论文现以新浪微博为例, 说明该接入方式的工作方式其时序图如图 54 所示 : 用户 1: 登录 2: 登录成功门户系统新浪微博服务器 3: 访问新浪微博应用 4: 登陆 5: 登陆成功 6: 请求用户微博主页 7: 返回相关页面数据 8: 打开某链接 9: 转发打开链接请求 10: 返回相关页面图 54 门户中新浪微博访问时序图现对该图进行说明 1) 用户登录门户, 并输入凭证进行验证 2) 门户提示登录成功 3) 用户访问门户中的新浪微博功能 4) 门户根据之前用户存放在门户系统中的登录凭证, 向新浪微博服务器发起登录请求 5) 新浪微博服务器验证成功 6) 门户向新浪微博服务器请求该登录用户的个人页面 7) 服务器返回该页面数据门户展现出该页面 8) 用户由于需要点击微博页面中的某链接 9) 门户向新浪微博服务器转发该连接请求 10) 新浪微博服务器将此次的请求的数据直接返回给用户浏览器进行呈现该方式在门户开发中具有较高的灵活性和较低的实施成本但缺点是, 用户在门户系统中只能对页面进行浏览, 一旦点击具体链接或进行相关操作, 则会跳转到实际页面, 从而离开门户系统 58

69 第五章云应用与企业级门户集成的实现 5.3 云应用与门户业务层集成的实现与表现层集成方式不同, 云应用与门户在业务层进行集成, 将使应用接入到门户所在的平台这样, 就使应用得到门户所有的安全保障, 并且所有操作都在系统框架下完成对于云应用和本地应用在业务层的集成实现, 系统需要按照小节对云应用集成的设计来进行实现其主要部分包含 : 云应用代理, 平台的使用, 具体业务实现下面介绍其主要实现部分云应用代理实现云应用代理是云应用在门户系统中集成的基础部分其主要包含 : 数据收发, 消息管理, 接口转换, 获取云应用列表, 云应用权限验证, 权限策略缓存, 验证数据格式转换等基本功能其中, 获取云应用列表和云应用权限认证的 API 实现较为简单本文将在其他实现地方顺带进行说明现对这些功能的实现进行详细说明 (1) 数据收发云应用适配器, 还需要对异构数据进行转化其中格式转化的主要方法是进行数据映射字段截取字段合并而编码的转化, 则需要根据从应用配置文件中获取需要的编码方式, 然后进行转化云应用转化后的数据将发送到企业数据总线 (EDB) 进行统一存取当云集成应用需要进行数据收发时, 则需要用到该部分数据的收发过程的时序图如 55 和 56 所示数据发送当用户需要将本地数据保存到云端时, 如将门户系统中的通讯录备份到云端, 需要用到此功能现对该过程进行说明 1) 用户使用云集成应用, 需要访问门户系统中的某种数据如, 通讯录 2) 云应用调用数据请求方法 ( 该方法由企业数据总线提供 ), 向系统总线发出数据请求 3) 系统总线向数据共享中心的相关数据库进行数据读取 4) 数据库返回需要的数据 5) 数据总线返回读到的数据给云集成应用 6) 用户选择将此次读取到的数据保存到云应用, 以便永久保存或进行共享云应用调用数据发送方法进行数据发送该方法会首先调用适配器, 对需要传输的数据进行数据格式转化 59

70 电子科技大学硕士学位论文 7) 适配器建立与云应用的连接, 随后将转化后的数据传输给云应用门户系统用户 1: 使用云集成应用企业数据总线共享数据中心数据库云应用 2: 发起本地数据请求 3: 数据读取 5: 返回相关数据 4: 返回相关数据 6: 格式转化 7: 将数据存到云端应用图 55 向云应用发送数据流程时序图数据接收门户系统用户 1: 使用云集成应用企业数据总线 2: 请求某数据共享数据中心数据库云应用 3: 返回相关数据 4: 数据处理 5: 发送需要存储的数据 6: 存入数据 8: 存入成功 7: 存入成功图 56 从云端接收数据流程时序图在图 56 中, 当用户需要将云应用中的数据下载到本地进行编辑或者保存时, 如将云相册中的相片, 保存到门户系统中作为系统头像, 需要用到此功能现对该过程进行说明 1) 用户使用云集成应用此次使用, 需要对云应用中存储的数据进行编辑如日志或者照片 60

71 第五章云应用与企业级门户集成的实现 2) 云应用代理向云应用发起数据请求该过程, 也是调用云应用代理中建立连接, 和数据请求方法来完成的 3) 云应用返回相关数据 4) 云应用对收到的数据进行相关处理, 以便能在门户系统中进行展示这些处理包括 : 数据校验, 格式转换等 5) 若用户需要将得到的数据存储到系统中则云应用向数据总线发起数据存储请求 6) 数据总线接受请求, 读取应用中的数据并向数据共享中心中的门户系统数据写入数据 7) 当数据写入成功后, 数据库返回相应消息 8) 数据总线转发数据保存成功的消息给云应用云应用向用户做出相应提示在以上相关功能的介绍中, 都默认用户已经登录系统, 并对相关操作拥有足够的权限 (2) 消息管理消息的管理主要分为消息的格式转换和发送对象的定位云应用的消息格式转换, 系统参照企业消息总线 (EMB) 规定的格式在本系统中具体格式为 : CIP_MS_ 具体类型发送对象则根据消息的目的地, 由企业消息总线 (EMB) 中的消息路由转发至接入的应用 (3) 接口转化对于使用接口, 根据学校的信息化建设情况, 决定对不同应用接口进行封装, 统一其使用方式因此, 对于云应用集成来说, 需要将云应用所开放的接口进行封装, 以便本地应用进行使用而在封装的内部, 需要接口对数据的合法性进行相关校验等操作 (4) 权限策略缓存权限缓存策略的主要目的是为了减少权限认证中心 ( 门户系统中为用户中心 ), 对用户权限的认证这个过程的主要部分, 是在云应用中心建立一个权限缓存表该表中记录了访问应用的用户权限当用户第一次成功通过权限认证后, 云应用代理就在缓存表中存储下这个用户所具有的权限用户在有效期内再次访问该云集成应用时, 就不再需要进行权限认证当用户的权限发生变更时, 会同步到此权限缓存表这样, 就减少了对于门户系统中用户的权限认证的次数, 同时也减少了云应用的验证次数从而提高系统效率权限缓存建立的示意图如图 57 所示 : 61

72 电子科技大学硕士学位论文用户访问云集成应用云应用代理获取云集成应用是否存在该用户所需要的权限否正常的权限认证是权限是否相同否是通过权限认证更新权限缓存图 57 权限缓存使用过程云应用代理检查是否存在用户所需要的权限, 主要是通过检查权限缓存表来进行的该表的结构如表 51 所示表 51 权限策略缓存表 UID APPID P validdate P1,p2.pn 该表中,UID 是用户的 id 号,APPID 是应用的 ID 号,P 则表示权限策略组, validdate 指的是该权限的有效期云应用与系统平台的集成 (1) 展示层集成展示层的集成, 主要依靠平台的标签和 Ajax 异步刷新技术将云集成应用处理的结果以同平台统一的方式展示出来其中, 常见的数据表格的实现代码为 : colmodel : [ {display: ' 文件名称 ', vtype:'varchar',name : 'fname', width : 150, sortable : true, align: 'center',columntype : "FieldColumn"}, {display: ' 云盘上文件路径 ', vtype:'varchar',name : 'filedir', width : 150, sortable : true, align: 'center',columntype : "FieldColumn"}, {display: ' 修改时间 ', vtype:'varchar',name : 'lastmodifiedtime', width : 150, sortable : true, align: 'center',columntype : "FieldColumn"}, {display: ' 文件大小 ( 字节 )', vtype:'varchar',name : 'fsize', width : 150, sortable : true, align: 'center',columntype : "FieldColumn"} 其他操作 ] 62

73 该部分的效果如图 58 所示第五章云应用与企业级门户集成的实现图 58 云应用与门户系统展示层集成效果 (2) 业务层的集成与平台在业务层的集成需要使用平台所具有的编码规范,API 等在门户系统中, 需要将功能拆分为 : 逻辑控制, 业务处理和实体映射三个部分其中逻辑处理负责提供云集成应用的具体功能 ; 业务处理需要处理功能所涉及的对数据的格式转化, 读取, 存入等操作实体则是对数据库表的映射其结构如我的云存储的类图所示 (3) 数据层的集成数据层的集成, 由于云应用的数据部分存放于云端为此, 系统需要解决数据信息存储和数据同步的问题数据的存储, 门户系统分为两个部分 : 云集成应用信息的存储和具体业务数据存储前者, 本文对其进行了设计, 详细请参考 : 小节对于具体业务的数据存储, 需要对其设计专门的表进行存储如我的云存储功能中关于文件信息的存储系统专门设计了 CLOUDS 表来对其进行存储该表包含 :FNAME,FSIZE,FDIRE,LASTMODIFIDTIME,CLOUDS_ID 字段具体效果参见的效果展示部分对于门户系统和云应用平台的数据同步问题, 请参考数据同步设计小节云应用异构数据处理 (1) Json 格式转换云应用所传输的数据, 系统根据目前流行的云应用使用格式进行转化目前国内几大云服务提供商 : 阿里巴巴 ( 阿里云 ) 腾讯 ( 微云 ) 百度 ( 百度云 ) 所提供的传输数据格式都是 Json 格式图 59 是来自百度官网的传输数据格式介绍 63

74 电子科技大学硕士学位论文图 59 百度云传输格式因此, 现阶段系统只需要将 Json 格式的数据进行转化关键转化代码如下 : jsondata = jsondata.replace("\"items\":\"\"", ""); // 去掉空的 items String parentid = jsondata.substring(jsondata.indexof("\"id\":")+5);// 获取需要字符 parentid = parentid.substring(0,parentid.indexof(",")).trim();// 进行转换 parentid = parentid.replace("\"", "");// 得到结果此外, 对于图片, 大的文件目前的传输方式是采用字节流的方式来进行相关具体操作将在下面的例子中给出示例代码 (2) 传输数据格式转化对于某些云应用, 系统还需要对其编码方式进行转换如百度的云存储, 目前只支持 UTF8 编码方式因此系统需要在接收和发送的时候对其编码方式进行转化次较为简单, 此处不再详述由于云应用的接入尚处于起步阶段, 没有成熟的模式可借鉴且各个云应用的接入方式和集成后的云集成应用的处理逻辑都不尽相同, 为此, 在完成上述主要公共部分的基础上, 对于云应用的其他部分, 系统采取人工编码的方式来完成下面本文以门户中我的云存储为例进行介绍我的云存储实现百度云存储, 是百度云平台中的一项应用服务其具有开放性易操作性以及可靠性为此, 在门户系统中选取其作为我的云存储应用的云应用提供者该部分的操作主要包含 : 文件的查看, 文件的上传和下载, 以及文件的删除在该过程的实现过程中, 系统默认用户已经经过门户系统认证 64

75 第五章云应用与企业级门户集成的实现该功能所涉及的类以及功能的划分已在小节, 我的云存储类图设计中进行说明, 此处不再对类的关系进行说明在 CloudsAction 类中, 也就是在控制层, 系统需要响应客户的操作, 进行关键处理, 返回数值给客户端由于系统使用了平台, 因此, 按照平台的规范来进行开发, 就可以节省不少的工作量并且可以使用平台的许多基础功能, 如日志管理, 操作管理等这样, 云应用在业务层, 就可以很好的与门户系统进行集成为此, 只需要按照平台的规范, 来开发关键的文件上传, 下载, 删除, 访问权限的管理以及文件信息的获取, 存储文件上传文件的上传, 需要系统对从客户端传来的文件流进行处理, 然后调用云应用代理中的适配器功能进行文件上传相关流程, 参考图 55, 关于云应用数据发送流程的介绍这个过程的关键代码为 : putobjectbyfile(baidubcs, subfile, serverdir,file.getname()); 其中,baiduBCS 是百度云存储平台所提供的云存储服务对象 ;subfile 则是用户上传到系统中的文件指针 ;serverdir 是存放在百度云存储中的目录 ; 最后一个参数则是上传的文件名此外, 由于百度云存储目前只支持 UTF8 编码格式, 为此系统还需要将服务的格式设置为该格式关键代码为 : baidubcs.setdefaultencoding("utf8"); 此操作也需要在云应用代理中来进行完成文件下载文件的下载, 则需要将百度云存储中的文件经过门户系统, 传递给用户相关流程参考图 56 的介绍其关键代码为 : GetObjectRequest getobjectrequest = new GetObjectRequest(bucket, os.getname()); File file = new File(localDir + getfilename(os.getname())); baidubcs.getobject(getobjectrequest, file); 其中,getObjectRequest 是用户需要下载文件的状态连接 File 则是需要传送给客户的文件指针 baidubcs.getobject 这是百度云存储所提供的获取文件的接口文件删除文件的删除, 其关键代码为 : baidubcs.deleteobject(bucket, fname); 其中,bucket 为百度云存储中所规定的存储容器 fname 则是用户需要删除 65

76 电子科技大学硕士学位论文的文件名称本地文件信息记录对于云应用集成中, 门户对云存储中文件信息的记录则需要进行以下操作 : 1) 获取文件的信息包含文件名称, 文件大小, 云存储中的目录以及最后修改时间等关键关代码如下 : Clouds clouds = new Cloudst(); clouds.setfname(os.getname()); clouds.setfsize(os.getsize()); this.lastmodifiedtime=os.getlastmodifiedtime(); clouds.setlastmodifiedtime(format.format(new Date(os.getLastModifiedTime() * 1000L))); clouds.setfiledir(os.getparentdir()); 上面代码中,clouds 是云存储文件中的实体系统将得到的文件信息存储到该实体中其中, 由于百度云存储中关于时间的描述是整数, 需要将其转换为日期类型 2) 文件信息的存入在 CloudsManagerImpl 类中使用平台所提供的方法来进行存储关键代码如下 : this.addobject(clouds); 其中 addobject 方法是开发平台所提供的方法他帮应用完成了数据库的连接, 性能优化, 异常处理等操作 3) 信息删除取出等操作信息的删除平台也为系统提供了方法其代码为 : UT.dbOperator.delete("delete from Clouds t where t.name="+fname); 其中 UT 是开发平台该方法是其提供的删除方法 Clouds 是系统中的实体, 平台会自动将该实体关联到相关数据库 fname 是用户需要删除文件的名称对于取出操作, 由于取出后不进行文件名的修改等涉及文件名的操作为此, 云集成应用使用平台的页面端的功能, 在页面提供该文件的信息字段名称即可平台会自动处理信息字段的取出和展示操作权限修改除了以上操作, 还需要在适配器中进行权限修改, 访问密钥获取等操作关于权限修改, 本文将在 5.5 权限实现小节进行介绍百度云存储采取公钥和私钥的加密体系来保障安全为此, 集成应用需要获取公钥来进行文件的访问其关键代码为 : 66

77 第五章云应用与企业级门户集成的实现 String credentials.getaccesskey(); 其中 credentials 为获取到的凭证服务由于目前百度云存储还未对公钥的有效期进行限定, 因此集成应用只需要将该公钥保存至目录数据库中即可以上操作的相关效果图本文放在了小节进行展示此外, 该实现部分还涉及到其他细节, 此处不在详细介绍 5.4 云集成应用统一身份认证实现在小结 4.4 中, 本文对单点登录的架构进行了设计, 在此将对其进行进一步的说明并且, 将会把 3.4 小节提出的基于本地代理的云聚合身份认证技术应用于其中对于具体的身份验证过程, 在 3.4 小节已经进行了详细的说明, 此处不再重复过程实现分析在本系统的实现过程中, 将采用基于票据的集中式认证框架认证的令牌, 系统采用用户的 SessionID session 是客户端和服务器保持会话状态的一种机制该身份认证过程的详细流程如图 510 所示集成应用用户身份认证中心云应用云应用代理身份认证权限认证请求访问是 session 是否过期该应用是否包含云应用否 ( 返回响应接受 ) 用户是重定向到身份认证中心, 请求身份认证结束通过验证身份信息是否合法验证身份信息是否合法未通过 ( 返回响应不接受 ) 结束否未通过 ( 返回响应不接受 ) 通过结束不具有 ( 返回响应不接受 ) ( 返回响应接受 ) 验证该用户是否有相应的权限具有发放新的 sessionid 图 510 统一身份认证详细流程图 1) 用户申请访问门户的某一集成应用时, 系统首先在该应用处进行 67

78 电子科技大学硕士学位论文 sessionid 有效性的检验若没有过期, 表明该用户可以对此应用进行访问于是, 系统不再对此用户进行身份验证, 用户可以直接使用该应用若用户尚未登录或者 sessionid 已经过期, 则需要重定向到登录页面, 令用户输入相应身份凭证后, 再进行步骤 2) 2) 对用户身份进行验证验证该系统的登录凭据是否与用户提供的凭据相符合若通过则进行步骤 3) 若不通过, 则返回相应提示给用户关键代码见本小节代码实现部分 3) 对集成应用进行分析若该应用包含云应用, 则需要代理用户向云应用发起验证若门户系统的目录数据库中保存有用户凭证, 且未超出有效期限, 则系统转发该凭证给云应用若目录数据库中未保存有相应凭证, 或者凭证已经超出有效期限, 验证的结果有两种若用户通过验证, 则进行步骤 4), 进行相应权限认证 ; 若用户未通过验证, 则返回相应提示给用户而对该应用的分析依据则是依靠集成应用数据库系统从该数据库中, 依据集成应用 ID, 读取云应用集成表, 从而获取出该应用的组成, 获得所需信息这个过程中, 云集成应用与云应用的验证过程参见图 511 4) 该步骤是对用户的访问权限进行验证具体验证方法参见 5.5 权限认证实现小节当, 用户通过权限认证之后, 系统会重新生成令牌, 即 sessionid, 保存后返回给用户用户, 通过该令牌, 就可以访问相应的应用了若用户权限不够, 则系统会返回相应提示给用户云应用代理数据共享中心云应用集成表 1: 获取应用列表目录数据库云应用 2: 返回相关数据 3: 获取云应用相关登陆凭证 4: 返回相关凭证 5: 发送凭证请求验证 6: 验证通过 7: 发送相关请求图 511 云集成应用与云应用的验证过程时序图如图 511 所示, 云集成应用与云应用的验证过程涉及到 : 云应用代理, 云应 68

79 第五章云应用与企业级门户集成的实现用集成表, 目录数据库和位于互联网中的云应用整个过程如下 : 1) 当需要向云应用进行请求时, 如数据获取或者发送数据, 进行该步骤云集成应用将请求转发给云应用代理云应用代理在内存中未有相关凭据保存的情况下, 需要向数据共享中心发起其组成的云应用相关信息请求该信息存放于门户数据库中的云应用集成表中 2) 数据库返回相关数据云应用代理将返回结果保存为 list 类型此外, 云应用代理还需要对返回信息中的凭证有效性, 进行判断若凭证有效则进行步骤 3); 若已经失效, 则直接返回相应提示给用户用户输入相关凭据再执行步骤 1) 3) 云应用代理向目录数据库发起凭证请求云应用代理根据所获取的云应用 ID 号, 到目录数据库中读取相关凭证信息 4) 目录数据库返回相关凭证信息 5) 云应用代理根据系统的云应用 API 网络路径, 向云应用发送相关凭证, 进行验证 6) 云应用返回验证结果 7) 若验证成功, 云应用代理则向云应用发送相关请求本次验证结束由于云应用的无状态性, 为此需要每次请求都需要进行该验证操作故系统在获得相关云应用凭证后, 将其保存在内存对象中, 以减少数据库访问操作, 提高运行速度关键方法实现云集成应用调用统一身份认证服务来进行身份认证, 涉及到的主要方法有单点登录的身份认证, 客户端进行认证请求, 云应用代理认证, 获取云应用列表等, 现对他们的实现进行说明身份认证方法用户身份的认证关键代码为 protected Pair<AuthenticationHandler, Principal> authenticateandobtainprincipal(final Credentials credentials) throws AuthenticationException { final Class<? extends Credentials> credentialsclass = credentials.getclass(); // 获得已经经过处理的用户凭证 final DirectAuthenticationHandlerMappingHolder d = 69

80 电子科技大学硕士学位论文 this.credentialsmapping.get(credentialsclass); // 调用相应的认证方法进行认证 if (!d.getauthenticationhandler().authenticate(credentials)) { // 认证不通过, 抛出异常 throw new BadCredentialsAuthenticationException(); } // 认证成功接下来的进一步认证 final Principal p = d.getcredentialstoprincipalresolver().resolveprincipal(credentials); // 返回用户凭证认证通过后的对象 return new Pair<AuthenticationHandler,Principal>(d.getAuthenticationHandler(), p); } 在上述代码中,if 语句为判定用户是否通过认证的关键在判断过程中, 它调用了认证对象 d 中的认证方法, 而用户的凭证则已经传给了该类 this 若认证不成功, 则会抛出异常, 由另外的程序进行捕获, 从而将结果传递给用户若成功, 在 final 方法中, 则传递相应的后续认证规则, 如 :IP 认证,mac 地址认证等并返回包含该用户的对象客户端请求认证中心进行认证方法当用户在客户端输入登陆凭证后, 客户端将用户凭证经过处理后, 发送给认证中心进行认证通过对返回结果的判断, 来判断用户是否为合法用户由于代码较多, 现用其伪代码进行说明 : protected boolean authenticateusernamepasswordinternal(usernamepasswordcredentials credentials) { credentials va= credentials.getuser credentials ();// 获取用户输入的凭证 if(credentials.validate(va,userid)==true);// 验证凭证的有效性 { return true; }; credentialsservice servier=new credentialsservice ();// 创建并实例化认证服务 boolean *b=server.getvalidate(va,userid) // 向认证服务器发送用户凭据进行验证 if(*b==true) [ 对验证结果进行判断 ] 70

81 第五章云应用与企业级门户集成的实现 { return true; // 成功 : 返回 true }else if(b==null) {.// 异常处理 } esle { return false; // 失败 : 返回 false } } 该方法的使用, 可以使认证中心和应用服务器分开来使得应用系统不需要开发自己的认证模块从而达到了统一, 集中认证的效果, 增加了安全性获取云集成应用的应用列表方法获取云集成应用列表, 是云集成应用中很常用的方法该方法需要对数据库进行存储为此, 应用使用了平台 UT 的数据读取方法其主要代码如下所示 : public List<Clouds> getcloudslist(int id) throws SQLException { String sql="select "+id+"from CLOUDAPP"; ResultSet rst=ut.dboperator.executesqlquery(sql);// 进行数据库查询 ArrayList<Clouds> clouds=new ArrayList<Clouds> (); if(null!=clouds){ // 获取应用列表 while(rst.next()){ String kcxz=rst.getstring("id"); Clouds kc=new Clouds(); kc.setid(kcxz); clouds.add(kc); } } return clouds; } 在上面代码中,CloudsApp 是应用集成表 ( 详细结构见数据库设计小节 ) 集成应用只需要获取云集成应用中应用的 ID 就可以对其他数据库进行信息 71

82 电子科技大学硕士学位论文获取了而传入的 id 则是云集成应用的 id 号云应用代理进行应用认证方法云应用的认证, 需要在对用户进行身份认证之后进行由于各个云应用的认证方式不同系统需要对不同的认证方法进行抽象, 来对问题进行解决先给出这个过程的伪代码描述 public boolean authenticationcloudsapp( [ 传入云集成应用 ID]) { [ 创建云集成抽象管理对象 ] [ 获取该对象的云应用列表 ] [ 获取云应用的凭证 ] [ 检查云所有应用列表是否有效 ] If( 无效 ) { [ 重定向到输入页面, 进行输入, 并保存 ] } [ 调用对象的验证方法 ] if( 判断验证是否成功 ) {// 成功 [ 更新凭据的有效性 ] [ 设置验证成功的实体对象 ]// 方便后续操作 [ 结束 ] }// 不成功 else{ [ 抛出不成功异常, 通知认证中心 ] [ 更新凭据的有效性 ] [ 结束 ] } } 接入应用实现门户系统的统一身份认证分为两个部分 : 认证中心和用户中心认证中心负责对用户的身份进行认证而用户中心, 则负责存取用户的凭据和相应的权限管理应用程序接入统一身份认证系统, 首先需要在用户中心进行配置, 以便进行 72

83 第五章云应用与企业级门户集成的实现用户凭据的存取然后在认证中心进行应用注册用户中心的关键配置如下 : <appconfigs> <appconfig name ="acegicas"> <parameter serviceurl ="j_spring_cas_security_check"/> <! spring 和 cas 整合时的服务后缀, 默认不用修改 > <parameter loginurl ="/login.jsp"/> <! 通过 spring security 登录的系统默认登录地址 > <parameter casurl =" <! cas 服务的 Url 地址 > <parameter logouturl ="/logout.html"/> <! cas 登录 url 地址 > <parameter errorpage ="/commons/error/error.jsp"/> <! 错误跳转页面 > <parameter interceptall ="false"/> <! 在与 CAS 对接时, 是否拦截所有 URL, 默认为 false > <parameter exceptiveinterceptall =""/> <! 当 interceptall 为 true 时, 本参数以分号 ; 分隔, 列出所有不需要拦截的 URL > </appconfig> <appconfig name ="local"> <! 被集成的客户端服务应用, 通过 local.ip port 和 context 可以在 UserCenter 中注册 sso 服务应用 > <parameter ip = " "/> <! 被集成服务的 IP 地址 > <parameter port = "51045"/> <! 被集成服务的端口 > <parameter context = "/UserCenter"/> <! 被集成服务的 web 应用上下文 > <parameter appname = "CIP"/> <! 集成到用户中心用于授权和管理凭证的应用名称 > </appconfig> </appconfigs> 认证中心在接入应用的同时, 还需要配置应用在用户中心的设置以便认证中心能够顺利读取到系统管理的用户凭证需要配置的配置有 : 应用程序的参数, 所采用的传输协议, 验证端口号等内容具体如下所示 : <appconfigs> <appconfig name="platform"><!ut 开发平台的基本配置信息 > <parameter platformtitle=" 湖南财政经济学院 " /> <! 平台的名称, 是登录应用的网页 title > <parameter version="v1.1.0" /> <! 版本号 > <parameter publishdate=" " /> <! 发布日期 > 73

84 电子科技大学硕士学位论文 </appconfig> <appconfig name ="usercenter"> <! 用户中心的相关配置信息 > <parameter protocol= "http"/> <! 用户中心所采用的协议, 包括 http 和 https 两种 > <parameter ip = " "/> <! 用户中心的 ip 地址 > <parameter port = "51045"/> <! 用户中心的 port 端口 > <parameter context = "/UserCenter"/> <! 用户中心的应用上下文 > <parameter rmiport = "52099"/> <! 用户中心的远程认证端口 > <parameter usepicvalidate = "true"/> <! 是否使用验证图片 > </appconfig> <appconfig name ="cas"> <! 认证服务器参数 > <parameter host.name = "cas"/> </appconfig> </appconfigs> 5.5 权限认证模块实现权限分配策略权限认证是门户系统中安全保障的重要部分为此门户系统采用多种授权策略来进行权限分配图 512 是门户系统的权限分配方式示意图用户权限策略 1 权限策略 2 角色 1 角色 2 角色 3 角色 3 权限 1 权限 2 权限 3 权限 4 图 512 门户系统权限分配方式示意图在图 512 中, 权限策略包含 : 二级授权, 多重授权等二级授权只要是针对管理员, 使之可以在其权限范围内指定管理员, 来分担他的一部分工作多重授权是指, 用户的权限来自多个角色或者部门只要用户拥有其中一个的授权, 就对该资源或操作拥有权限该权限策略, 可由超级系统管理员或者实施人员来进行设定 74

85 第五章云应用与企业级门户集成的实现角色包含 : 所属机构, 岗位, 团队, 职责等权限管理实现用户的权限是他所属的所有角色和相关权限策略共同作用的结果此外, 相关管理员也可以对特定用户进行权限管理操作相关的授权实现, 以超级管理员为例, 关键代码如下 : if (resourcelist!= null) { // 所有资源, 超级管理员组均有权限 String AdministratorsURL = UT.get("idm.sys_accountAdministrator_roles", "ROLE_SYS_Administrators"); for (cn.net.comsys.ut.idm.security.domain.resource resource : resourcelist) { if (resource!= null) { // 授权 / 匿名访问 if (!StringHelper.isEmpty(resource.getIsAnonymous())&& _ANONYMOUSLY.equalsIgnoreCase(resource.getIsAnonymous())) { resources.put(resource.getsrc(), _ROLE_ANONYMOUS); } // 超级管理员组 resources.put(resource.getsrc(), AdministratorsURL); } } 超级管理员拥有系统的所有权限因此, 只需要将所有资源的权限依次对其进行添加即可此外, 云集成应用一般都会对存储于云端的数据进行访问控制为此, 当系统需要修改本地云集成应用的权限时, 需要同步修改云应用中的访问控制权限以百度云存储为例, 其访问控制权限称为 : 访问控制列表 (Access Control List, ACL) 其取值有 :Private,PublicRead,PublicWrite,PublicReadWrite,PublicControl 默认值为 private 为此需要将其访问权限提升为 PublicRead, 或者 PublicReadWrite 就能对其进行访问了其方法为 : void changetobjectpolicyaction extends CipBasicAction(Resource resource, Ruller rull,userid id); 其中,resource 是需要提升权限的资源, 此处为需要修改的对象,rull 为需要 75

86 电子科技大学硕士学位论文改变的权限规则,id 为实行此次操作的对象在这个过程中, 其关键代码为百度云存储的权限修改方法 : public void putobjectpolicybyx_bs_acl(baidubcs baidubcs,string bucket,string object,x_bs_acl acl) { baidubcs.putobjectpolicy(bucket, object, acl); } 其中,baiduBCS 是百度 BCS(Baidu Cloud Storage, 百度云存储 ) 的对象, 其中包含了百度云存储所提供的各种调用接口 ;bucket 是百度云存储规定的进行存储的容器 ;object 是需要修改权限的对象 ;acl 则是修改的具体规则对于云应用的权限同步问题, 本文在 4.5 云集成应用安全小节已经给出了解决方法此处不在重复权限认证实现权限的验证, 需要将用户所拥有的权限和所访问资源所要求的权限进行对比其验证过程的时序图如图 513 所示门户系统数据库用户访问控制中心 1: 请求使用某云集成应用 2: 读取应用列表云应用集成表数据库资源权限表数据库用户权限表 3: 返回应用列表 4: 请求获取资源的相关权限 5: 返回资源权限 6: 获得所需权限列表 7: 请求获取用户拥有的权限列表 8: 返回用户权限列表 9: 进行权限比对 10: 返回权限认证结果图 513 权限认证过程时序图 76

87 第五章云应用与企业级门户集成的实现该权限认证是门户中访问控制的一部分其过程如下 : 1) 用户登录系统后, 对某云集成应用发起使用请求 2) 认证模块向云应用集成表发起数据请求以便分析该应用所涉及到的应用组成该过程是通过调用云应用代理中的获取应用列表功能来实现的 3) 数据库返回认证模块所请求的应用列表该过程需要多次读取应用组成表并将结果组成列表, 列表为 list 类型 4) 认证模块根据应用列表, 向资源权限表请求获取该应用的访问控制权限资源权限表记录了门户系统中所有资源的访问控制权限 5) 数据库返回权限控制信息 6) 认证模块将所有应用的访问控制权限组成访问控制列表列表的数据结构为 list 类型 7) 认证模块请求获取请求用户所拥有的权限列表该数据保存在用户权限表中用户的权限由权限分配策略来进行分配具体参见本部分开头所述 8) 认证模块获得用户的权限列表保存类型为 list 9) 权限认证模块进行权限认证认证模块将用户的权限列表和所请求资源的权限列表进行比对 10) 将验证结果返回给云应用若用户拥有访问的权限, 则云集成应用打开并为用户服务 ; 若用户没有相关权限, 则提醒用户缺少某项资源的权限验证的关键代码如下所示 : // 加载权限列表 Iterator<ConfigAttribute> ite = configattributes.iterator(); // 依据权限列表, 对每条权限进行核查 while (ite.hasnext()) { ConfigAttribute ca = ite.next(); String needrole = ((SecurityConfig) ca).getattribute();// 用户需要的权限 for (GrantedAuthority ga : authentication.getauthorities()) { // 判断用户拥有的权限是否满足其请求的权限. if (needrole.equals(ga.getauthority())) {... return; } } 77

88 电子科技大学硕士学位论文 } // 把没有权限的 URL 保存到 Request filter.getrequest().setattribute("url", url); throw new AccessDeniedException(" 没有权限 "); } 在上面代码中, 若用户通过相应权限验证, 则此部分认证通过 ; 若未通过相应认证, 系统则需要保存相关 URL, 以便在返回相应提示时, 指出缺乏权限的具体项目和进行日志记录 5.6 门户其他功能的实现在完成学校门户系统的系统级功能后需要将该开发平台的应用系统开发包导出 ( 该做法主要是为减少系统编译的工作量, 提高开发效率, 同时也增加平台的保密性 ), 并将该具体项目命名为 CIP 与系统级别功能开发的资源组织方式相同, 也是通过定义有一定语义的包来进行组织的工程的组织结构如图 514 所示图 514 CIP 项目资源组织结构图其中, 工程分为 CIP 和 shared 两个部分 CIP 包中的部分是除平台外, 系统级别所需要提供的功能, 或者是多数角色所共同需要的功能, 如 : 数据统计考 78

89 第五章云应用与企业级门户集成的实现勤管理等 Shared 包中的部分则是门户系统所涉及的五个角色 ( 学生任课老师行政老师领导辅导员 ) 所需要的功能在上图中, 其他包的功能介绍如下 : Business 包 : 该包主要处理业务层即定义各个角色的功能存放 Manager 和 ManagerImpl 类 Controller.action 包 : 业务的控制层主要控制和实现各个业务功能存放 Action 类 Dao 包 : 包含 dao 对象由上一平台版本所遗留主要采用 dao 技术来定义数据对象目前该功能已经集成到 domain 包中 Domain 包 : 数据作用域即数据库对象映射层该层主要是建立数据对象和程序中对象的映射因此, 其包含的方法也多为 get 和 set 方法存放实体类 View 包 : 视图层主要是建立数据库视图和程序对象的映射其包含的方法方法也多为 get 和 set 方法存放视图实映射类这些包的组织之间的关系如图 515 所示 Business 1 Controller.act ion 5 dao 2 3 domain 4 view 图 515 CIP 应用系统开发包之间的关系在图 515 中,1 代表 business 包需要使用到 controller.action 包中的控制逻辑而 controller.action 中的业务处理需要使用到数据对象 domain(2) 或者视图对象 (3) Dao 对象则由于系统的升级而暂不使用 ( 向前兼容 ) 具体的门户功能和相应的代码分析, 则由于与本论文的研究内容和篇幅的限制, 不再进行介绍 5.7 本章小结本章根据第四章中的设计, 对云应用与企业级门户的集成进行了实现实现的部分具体有 : 云应用与门户系统在展示层和业务层的集成, 统一身份认证, 权限认证等与云应用集成相关的部分这个过程中, 本章还详细描述了我的云存储的具体实现过程 79

90 电子科技大学硕士学位论文第六章效果展示及相关测试通过前面章节的设计和实现, 本文基本完成了学校门户系统与云应用集成的开发工作然而, 还有大量的工作需要继续进行, 如测试, 部署, 交付和维护等本章将在展示论文的工作成果的同时, 对门户中涉及到云应用集成的功能进行测试说明通过对效果的展示说明和功能的测试, 将决定门户系统是否符合学校的要求 6.1 系统部署学校门户系统总体为 C/S 三层架构其中, 服务端分为应用服务器和数据库服务器数据库服务器应学校和环境的要求, 部署为 oracle 数据库, 并固定执行数据库计划任务应用服务器分为系统应用服务器和验证服务器系统应用服务器运行学校门户系统, 并协调使用验证服务器和数据库服务器验证服务器, 在实际中, 将与门户系统部署到同一个服务器中前面几个小节对学校门户系统的构建进行了详细的介绍说明, 为实现门户系统的运行, 需要部署系统所需的软件环境包括 UT3.0 运行平台,webcis,oracle10, tomcat1.6,jdk1.5 其中 UT3.0 是该项目的应用支撑平台,webcis 是该项目的消息平台,oracle10 是系统数据库,tomcat1.6 是运行服务器图 61 是系统部署的物理结构示意 : 图 61 门户系统部署结构图对于系统的部署, 需要遵循以下步骤首先, 需要对需要建设的学校进行详细了解, 确认学校的需求和相关的组织架构涉及用户等其次, 需要根据整理 80

91 第六章效果展示及相关测试出来的需求调整系统所需要的功能及其相关流程然后进行门户内容的定制和裁剪, 如 : 部分具有业务流程的应用的流程配置, 云应用和本地应用的增减和配置等最后运行平台和门户系统, 这样门户平台就部署完成了门户系统的部署步骤如图 62 所示图 62 门户系统实施步骤图 6.2 云应用与门户系统集成效果展示本小节将展示本章所设计功能的效果图这些效果图来自于湖南财政经济学院门户系统的学生角色和管理员角色的部分操作页面单点登录效果当学生通过网络地址访问学校门户网站时, 出现门户系统的单点登录界面如图 63 所示图 63 门户系统单点登录界面学生输入正确的用户名密码后出现如图 64 所示界面 81

92 电子科技大学硕士学位论文图 64 门户系统学生首页在图 64 中, 由于尚未拥有完整相关数据, 故部分功能未能显示出来在这个页面中, 包含了单点登录模块该模块, 接入了学校已有的应用系统, 如 : 教务系统, 心理咨询系统等 ; 也包含了互联网热门网站, 如 : 人人网等非管理员角色在门户系统中只能管理自己的身份凭证门户系统的身份凭证分为 : 主帐号和从账号主账号用于登录门户系统, 也是单点登录系统的身份认证对象从账号指的是各个接入应用的登录凭证图 65 是学生管理登录凭据页面图 65 应用凭据管理 82

2.2 云应用与门户在展示层集成效果下图是新浪微博的接入页面由于新浪微博展示的内容较多, 且用户需要进行较多的操

93 第六章效果展示及相关测试对于门户系统所接入的应用, 由管理员进行管理图 66 是系统管理员管理接入系统的界面图图 66 管理员管理应用接入界面在图 66 中, 可以看到, 管理员可以查看管理接入系统中的应用也可以进行新的应用系统添加云应用与门户在展示层集成效果下图是新浪微博的接入页面由于新浪微博展示的内容较多, 且用户需要进行较多的操作为此, 系统在进行新浪微博门户统一登录的同时, 对微博采用了页面集成的方式效果如图 67 所示图 67 接入新浪微博页面 83

94 电子科技大学硕士学位论文图 68 铁路客服中心接入门户页面图 68 是铁路客服中心网站的集成示意图该功能的集成, 可大大方便用户的火车班次查询和购票操作该应用的集成也是在展示层进行的图 69 开心网门户集成效果图 69 是开心网的门户集成效果, 由于测试该帐号还未进行邮箱绑定等操作该页面的集成也是在展示层进行的 84

95 第六章效果展示及相关测试云应用与门户在业务层集成效果而对于一些简单的应用, 如 :QQ 邮箱, 快递查询等, 系统则进行了业务层的集成用户可以直接在此页面进行相关操作图 610 快递查询服务页面在图 610 中, 用户在查询框中输入中通的订单号, 可正确显示出了详细的投递信息和日期图 611 QQ 邮箱集成效果图 611 是 QQ 邮箱的集成效果在该页面, 可进行邮件的查看和收发操作图为正在进行邮件的回复操作对于门户的深度集成, 包括展示层, 业务层, 数据层的集成本文实现了百度云和门户的集成在此展示其在门户中的集成应用 : 我的云储存的集成效果 85

96 电子科技大学硕士学位论文首先是我的云存储页面效果如图 612 所示图 612 我的云存储应用效果在图 612 的页面中, 展示了百度云存储中用户文件的信息包括文件名称, 云盘上的存储路径, 最后修改时间, 文件大小以及文件个数的信息用户可以在该页面进行文件查询, 文件上传, 文件下载, 文件删除的操作图 613 文件上传效果图 613 是文件上传过程中, 用户点击浏览按钮后弹出的文件选择框效果用 86

97 第六章效果展示及相关测试户选择好文件后, 点击上传按钮即可上传到百度云盘中图 614 百度云储存中上传的文件图 614 是用户上传文件到百度云盘中的文件为显示效果, 此处选择同时传输多个文件图 615 本地数据库中记录的文件信息门户系统记录下了用户百度云盘中的文件信息这样, 就使得文件的查询不需要向云存储服务发起请求提高了效率该数据表位于门户数据库中, 用于记 87

98 电子科技大学硕士学位论文录云存储中文件的相关信息图 615 是门户数据库中的记录图 616 文件下载成功效果图 616 是用户进行文件下载时, 下载成功后的提示消息用户只需要点击相关文件对应的下载图标, 即可进行下载图 617 门户系统后台显示下载成功图图 617 是系统后台下载成功时的记录信息门户系统采用的是经过改造的 tomcat6.0 作为运行服务器为展示效果, 此处开启了日志信息输出功能 88

99 第六章效果展示及相关测试图 618 文件删除确认页面图 618 是文件删除时, 弹出的用户确认框效果该效果采用了平台的确认对话框此外, 该应用的翻页功能 ( 位于页面底部 ), 也由系统平台进行提供从而使得百度云存储应用和门户进行了完好的结合图 619 我的云存储访问记录图 619 展示了门户系统记录用户访问我的云存储应用的信息展示了云集成应用与门户日志系统的集成 89

100 电子科技大学硕士学位论文消息管理效果门户系统可以对来自各个应用系统的消息进行管理此外, 门户系统也可以自行发布消息这些的管理, 都依靠系统管理员图 620 是管理员消息管理页面 : 安全管理效果图 620 管理员消息管理页面门户系统中对用户的管理可依据 : 组织结构 ( 学生则为院系 ), 角色, 用户, 团队, 岗位来进行权限管理图 621 是管理员管理用户界面图 621 管理员管理用户页面系统的监控是系统安全的必要组成部分门户系统的系统监控包括 : 在线用户, 操作日志, 访问日志, 帐号监控等方面图 622 是系统日志记录部分的截图 90

101 第六章效果展示及相关测试图 622 系统平台日志系统中权限的设定, 也是安全的重要环节图 623 是对门户系统中用户组的权限策略的维护管理员, 在该部分中能对系统的各个角色进行权限的调整和管理图 623 门户系统权限策略维护页面 6.3 系统测试系统测试是在门户系统交付给学校前进行的综合测试其涉及了多方面的内容, 包括功能测试, 流程测试, 界面测试, 压力测试等诸多内容而门户系统中的云应用集成不仅涉及到了门户系统的云集成应用, 单点登录, 权限管理等几部分内容还涉及到相关数据库的访问, 日志记录, 安全控制等方面为此, 对系统的测试需要达到两个目标 : 一个是对系统进行功能测试 ; 另一个是对用户的登录进行压力测试功能测试的主要内容是对门户中集成的云应用进行测试, 以检查 91

102 电子科技大学硕士学位论文其是否满足要求登陆的压力测试涉及到单点登录和权限认证, 是用户进入系统的必须操作为此在进行压力测试的同时, 还需要对该项操作的资源使用情况进行查看, 以便确定该系统是否满足学校需求由于门户系统功能众多, 且具有多个角色为减少重复叙述, 本部分以学生角色为例, 对门户系统中的登录和云应用使用进行测试测试环境为了模拟真实的场景, 此处选择了一台服务器运行门户系统, 三台安装 Lodarunner 软件的客户机来模拟用户, 进行测试具体配置如表 61 所示表 61 门户系统测试环境机器 IP 地址用途硬件环境软件环境服务器 16G 内存,8 核双 CPU Windows 位, Tomcat6.0,JDK6, 压力机压力机压力机压力机功能测试 Pentium DualCore CPU 2G 内存 Pentium DualCore CPU 2G 内存 Pentium DualCore CPU 2G 内存 Pentium DualCore CPU 2G 内存 Windows XP, Loadrunner Windows XP, Lodarunner Windows xp, Loadrunner Windows7,Loadrunner 基于学生的功能测试, 主要是对学生用户是否能能够登录门户系统, 是否具有权限使用云集成应用, 云集成应用是否能正常工作几个方面来进行的测试的手段主要是进行手动测试这个过程主要通过两个部分来完成的第一步 :α 测试, 即在内部进行测试需要安排测试人员模拟学生, 对学生角色可能的操作进行尽可能的模拟同时让系统开启调试功能, 在系统后台查看运行情况一旦发现问题或者缺陷, 立刻通知开发人员进行处理这个过程持续了大概 8 天的时间第二步 :β 测试实施人员实地部署了系统, 并导入实际数据库, 和接入云应用, 让系统试运行在试运行期间, 需要在学校进行了推广宣传, 让同学们实 92

3 压力测试为了解云应用与门系统是否满足学校的日常需求, 需要对门户系统进行压力测试本文涉及到的压力测试的内容主要是用户登录和云集成应用使用对用

103 第六章效果展示及相关测试际使用门户系统在他们进行登录, 使用的同时, 安全管理员对他们进行实际管理这个过程持续了一个月经过以上两步, 完成了系统功能测试, 并正式学校运行到目前为止, 该系统仍处于正常运行状态压力测试为了解云应用与门系统是否满足学校的日常需求, 需要对门户系统进行压力测试本文涉及到的压力测试的内容主要是用户登录和云集成应用使用对用户登录的测试, 首先采用 50 用户进行并发登录系统响应时间, 最高 68 秒, 最小 17 秒, 响应时间平均为 37 秒服务器 CPU 在并发瞬间最高达到了 52% 详细情况参见图 624 和图 625 图个用户同时登陆反映时间图图 625 用户同时登陆系统 CPU 消耗情况 93

最大为 120 秒, 最小为 19 秒, 平均 71 秒服务器 CPU 在并发瞬间最高达到了 71% 具体效果参见图 626 和图 627 图 626 100 个用户同时登陆

104 电子科技大学硕士学位论文随后, 进行 100 个用户的并发登录测试设置响应超时为 120 秒, 超过 120 秒被判断为登录失败第一次和第二次并发登录成功, 响应较慢 ; 第三次和第四次并发用户均登录失败由于第三次和第四次登录失败, 所以只统计了前两次登录响应时间图其中, 最大为 120 秒, 最小为 19 秒, 平均 71 秒服务器 CPU 在并发瞬间最高达到了 71% 具体效果参见图 626 和图 627 图个用户同时登陆系统反映时间图图个用户同时登陆系统 CPU 消耗情况随后, 对云集成应用的使用进行了测试测试人员模拟教师用户和学生用户, 94

105 第六章效果展示及相关测试每秒启动 1 个用户, 进入系统后, 每隔 60 秒操作一次事务, 循环进行 : 我的云存储, 新浪微博,QQ 邮箱, 开心网等云集成应用的操作效果图的展示见图 628. 图 628 云集成应用使用压力测试图系统未达到并发瓶颈的情况下, 登录及各事物响应时间较为平稳, 登录为 3 秒左右, 事物操作响应时间在 1 秒以下当达到系统并发瓶颈时, 各项事务均开始变慢结论分析并发量不高,50 个用户的瞬时并发登录系统较慢,100 个用户瞬时并发登录很慢,160 个瞬时并发登录, 服务器 tomcat 停止较为理想的情况是, 用户登录大概为每秒 4 人登录进系统当思考时间在秒时, 大概能满足 1400 人左右用户在线支持人左右的学校日常运行达到了学校 8000 在校学生的要求并发量不高的主要原因有以下几点 : 一是, 使用了免费的 tomcat6.0 服务容器和较低配置的服务器来运行门户系统 ; 二是, 门户系统的开发使用了 J2EE 开发框架和富客户端开发技术 ; 三是, 未考虑用户二次访问系统的情况这种情况下, 用户将减少不必要的登陆认证开销 ; 四是, 认证系统应用服务系统数据库系统在一个服务器上运行, 增加了服务器负担, 从而导致性能下降 6.4 本章小结本章首先对门户系统的部署进行了简单介绍其次对云应用与门户系统的集成效果进行了展示, 重点展示了我的云存储的集成效果和运行情况最后本文对涉及云应用集成的部分进行了功能测试和压力测试测试的结果表明, 门户系统在目前来说, 能够满足学校的日常要求 95

展开

科研信息化技术与应用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management

科研信息化技术与应用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management 科研信息化技术与应用 2015, 6(1): 41 49 应用 / APPLICATION 身份管理发展趋势和中国科学院身份管理系统薛聪 1,2, 向继 1 1, 高能 1. 中国科学院信息工程研究所信息安全国家重点实验室, 北京 100093 2. 中国科学院大学, 北京

分 类 号 密 级 UDC 注 1 学 位 论 文 基 于 身 份 信 息 的 云 聚 合 技 术 研 究 ( 题 名 和 副 题 名 ) 边 汤 贵 ( 作 者 姓 名 ) 指 导 教 师 唐 雪 飞 副 教 授 电 子 科 技 大 学 成 都 ( 姓 名 职 称 单 位 名 称 ) 申 请 学

分类号密级 UDC 注 1 学位论文基于身份信息的云聚合技术研究 ( 题名和副题名 ) 边汤贵 ( 作者姓名 ) 指导教师唐雪飞副教授电子科技大学成都 ( 姓名职称单位名称 ) 申请学