中小学智慧校园软件解决方案技术白皮书.doc

智慧校园软件解决方案白皮书目录1. 总体框架 32. 技术路线 42.1. 编程语言 52.2. 面向对象的组件技术 52.3. 应用程序的开发与运营构造 52.4. 动态网页生成技术 63. 信息原则和规范系统 64. 基本支撑平台 84.1. 统一身份认证系统 84.1.1. 设计要点 84.1.2. 系统框架 94.1.3. 统一授权管理 164.1.4. 单点登录服务 254.1.5. 系统部署阐明 384.1.6. 平台可靠性和扩展性 404.2. 统一信息门户平台 404.2.1. 设计要点 404.2.2. 平台框架 414.2.3. 门户运营环境 414.2.4. 平台重要功能 424.2.5. 平台部署及性能阐明 454.2.6. 平台可靠性和扩展性阐明 474.2.7. 平台安全性考虑 474.3. 数据中心平台 484.3.1. 技术路线 504.3.2. 设计要点 504.3.3. 平台框架 524.3.4. 应用集成与数据集成 534.3.5. 数据互换机制 554.3.6. 平台部署及性能阐明 591. 总体框架亿阳信通智慧校园总体框架如图所示：该框架以“师生”为核心，环绕智慧校园的资源、管理和服务三要素，依托数据中心及应用支撑平台，重点建设校园资源中心、校园管理中心、校园服务中心应用系统，形成数字化的教学环境、科研环境和生活环境。

2. 技术路线智慧校园应用系统应采用成熟先进的技术规范，设计上尽量减少各子系统间的互相依赖性（涉及软件对平台、软件对数据、软件对软件、平台对平台等），某个子系统的减少、增长和变更，不影响其他子系统和整体，从而最大限度地保护既有投资，减少系统的维护量和再投入在应用系统整体化、模块化和规模化的同步，保证应用系统在技术上、经济上的可持续发展亿阳信通智慧校园软件系统遵循如下技术路线：1、 采用“跨平台”的编程语言2、 采用独立于开发环境的面向对象的组件技术，如EJBs (Enterprise Java Beans)，整个系统的重要“应用逻辑”由组件构成，系统架构提供了良好的伸缩性，使系统可以容易地组合与拆分各功能模块3、 应用软件平台的开发及运营架构采用三层构造，即 Web服务器、应用服务器和数据库服务器，在不影响系统其他部分的状况下，保证了应用服务器与其他应用有效和无缝的整合，同步支持大规模的并发顾客访问4、 采用模版（Template) 技术生成动态网页，为顾客提供基于角色和权限的内容和数据服务架构实现采用Java语言和EJBs技术，在数据互换上支持XML，使系统功能最优化，同步将系统内部的互相依赖性减至最低。

2.1. 编程语言遵循J2EE (Java 2 Enterprise Edition)规范 ，采用Java语言和服务器端Java技术（涉及EJBs、 Servlet、JNDI、 JDBC和RMI等）开发系统Java作为Web应用的事实原则，其独立于操作系统和服务器的“跨平台性”，使其“一次编写，到处运营”，是WEB软件系统最适合的编程语言相对于嵌入HTML、受限于顾客端显示、编程能力有限的脚本语言，Java能力完整，可以开发具有强大“业务逻辑”的大型应用系统2.2. 面向对象的组件技术软件编程由依赖于特定单机，到依赖于操作系统，已发展到今天面向对象的组件技术面向对象的组件技术是一种完全独立于硬件和操作系统的开发环境，着重于应用程序“业务对象”的可反复使用组件，运用这些组件，可以像搭积木同样的建立分布式应用系统面向对象的组件技术在异构、分布环境下为不同机器上的应用提供了互操作性，并无缝地集成了多种对象系统；另一方面， 组件大大加快了软件开发的速度，减少了软件开发和再开发的成本2.3. 应用程序的开发与运营构造开发及运营构造基于三层架构，即Web服务器、应用服务器和数据库服务器运用这种架构可以：（1）将“业务逻辑”从Web服务器中分出，在应用服务器中用独立和完整的编程语言而不是“脚本语言”开发应用程序，同步使系统支持任何HTML的显示工具；（2）应用服务器可以作为数据库访问祈求的“缓冲区”，可以重新安排、管理数据库访问。

通过Java Servlets引擎的多线程解决，可以极大地提高系统响应性能和数据库访问效率；（3）应用服务器可以作为与其他应用程序集成的结合点，在不影响系统其他部分的状况下与其他应用有效、无缝集成2.4. 动态网页生成技术信息发布采用基于模版的动态网页生成技术顾客界面的版面和显示效果由预先制作的模版实现，并支持任何原则化的HTML工具，嵌入模版的Java程序根据顾客的角色和权限提取相应的内容和数据，配合模版自动合成针对顾客的个性化的动态网页3. 信息原则和规范系统信息原则是智慧校园建设的重心，是学校各信息系统进行数据采集、解决、互换、传播的前提，也是构建新应用需要遵循的原则亿阳信通按如下原则建设智慧校园的信息原则：l 唯一性：原则采用树形体系构造，唯一的项、唯一的途径、唯一的编码l 规范性：充足参照国家有关最新原则、教育部《教育管理信息化原则》、北京市教委有关原则和各区县教委有关原则l 合用性：原则的制定充足考虑学校的实际状况，以应用为目的l 兼容性：对原则实行版本化的维护管理高版本兼容低版本同一种版本，维护其不同内容的一致性学校校内原则兼容教育部及其他管理部门的原则，以便数据上报l 可管理性：系统提供数据原则集、数据代码集、自定义代码集、数据代码映射等提供B/S架构的可视化管理工具，具有初始化、新增、删除、修改等维护功能，支持分类检索、输出、数据展示等浏览功能。

l 可扩展性：支持原则的增长和变更，具有维护记录和回溯功能，并且相应用该原则的业务系统透明所有历史版本可查询，可比较差别管理信息原则的体系构造涉及如下几种方面：一组有关数据元的集合，对数据元属性的规范描述（又称之为元数据原则化），属性涉及了数据项名称、中文简称、类型、长度、可选性、取值范畴等为了保证数据录入规范、便于查找和记录，每个管理子集都相应着相应的原则代码，代码分国标、行业原则和学校原则 系统遵循国家教育管理信息系统互操作规范，可以与北京市教委制定的小学应用互操作框架（简称CIF）无缝对接，实现各业务系统间规范的数据共享CIF实现规范也定义了基于XML原则的CIF数据模型，支持小学数据对象在应用系统间的共享 “教师”和“学生”是智慧校园系统波及的两大数据对象，业务数据实体重要由这两大对象映射产生通过“教师”对象产生的数据实体重要有教案、作业、教学成绩、教学筹划等一系列和教师教育教学活动有关的数据；通过“学生”对象产生的数据实体重要有考试成绩、课堂体现、获奖、毕业去向等一系列和学生学习成长有关的数据这些数据存储在智慧校园的数据中心，通过综合记录分析，又产生大量的衍生数据，如教师分布状况、学生分布状况、考试成绩综合记录分析等，这些数据可觉得学校的管理层提供微观和宏观的决策支持，使领导可以直观的理解各个部门乃至整个学校的运营状况。

具体数据模型框架如下图所示：4. 基本支撑平台4.1. 统一身份认证系统应用系统如果采用各自独立的身份认证机制，顾客就要记忆不同系统中的账号/密码为以便师生使用，解决多应用带来的多账号问题，需要建立统一的身份管理平台，顾客在平台上登录一次就可以访问所有具有权限的应用统一身份认证以IDM/IM（身份认证管理）为基本提供安全的顾客身份管理功能，并配合Access Manager 基于代理架构的访问控制，提供Web应用的单点登录和Web应用保护IDM/IM都集成了Directory Server(LDAP)目录服务器来存储统一身份库信息统一身份认证明现的功能如下：1.建立统一的集中身份库——统一身份数据中心，对各应用系统的所有顾客提供集中和统一的管理，同步根据各个业务应用系统的认证方式的不同提供灵活的认证机制；2.在集中身份库的基本上，在满足数字校园管理平台信息系统内部业务流程规则的前提下，通过身份管理技术实现身份库与各个业务应用系统(门户、OA、教学、教务等系统)顾客身份信息的自动同步解决功能；3.在集中身份库的基本上，提供单点登录(SSO)功能，顾客只需要通过一次身份认证就可以访问具有权限的所有资源。

集中身份库与门户系统的统一可觉得整个平台提供集中的管理、安全机制，实现整体的统一1.2.3.4.4.1.4.1.1. 设计要点l 支持顾客数据的集成，适应中小学顾客数据分散管理的现状l 支持顾客数据存储模式，适应中小学教职工多重身份的现状l 支持多种认证方式，保证异构业务系统可以集成，让顾客获得完整的单点登录体验l 满足不同顾客或系统的认证安全需求l 保证身份认证平台的高可靠性和高性能前三个需求是身份认证平台发挥作用的基本，而随着应用集成的力度和广度的加大，后两个将是身份认证平台必须妥善解决的问题校园应用功能多样、构造复杂，各应用系统的权限管理基本上采用分级授权的方式身份认证平台可以采用统一的权限模型，供各应用系统使用，相应的权限数据既可集中管理也可分布式管理从实践成果看，集中权限控制的效益并不明显，建议不强求集中控制，由各应用系统设计开发时按需选择4.1.2. 系统框架身份认证平台重要涉及如下三方面功能：l LDAP目录服务，支持海量顾客数据的存储和管理l 高性能SSO(单点登录)身份认证服务l 开放的认证集成方式，支持不同开发语言和不同应用服务器平台的业务系统4.1.2.1. 统一身份管理架构学校的多种应用系统一般均有自己独立的顾客管理、顾客认证和授权机制，导致系统间互不兼容；学校的组织机构也不断变化，顾客来源日趋复杂，角色多样化和角色变化等问题不断浮现。

各方因素交错在一起形成了一种庞大的矩阵，为统一的身份管理带来了困难如图：针对上述问题，建立一种统一的，基于业界原则（如LDAP，XML，Web Service，J2EE等）的，灵活、开放、可扩展性的身份管理框架是最后的解决方案一种好的身份管理解决方案将复杂的身份管理问题变得简朴、实用身份认证平台核心构造如下图所示：身份认证平台管理顾客在各个应用系统中的顾客信息的相应关系，并根据这一关系管理顾客在各个应用系统中的生命周期，如添加、删除、修改等身份认证平台的身份同步工具可以自动发现某个应用系统中顾客信息的变化并通过一定规则，保持和其他应用中的顾客信息同步身份认证平台的核心涉及顾客信息创立和中断的审批流程，该流程由管理员预先定义，可以修改当顾客帐户的申请被批准后，顾客帐户将根据预先定义的规则在中央主目录服务器中创立，并通过资源适配器在各个该顾客可以使用的应用系统中产生帐户信息顾客帐号的中断也是同样原理身份认证平台具有口令管理功能，支持口令方略管理和口令历史记录，支持顾客身份审计和顾客帐户风险分析，支持顾客身份管理系统运营的监测、评估4.1.2.2. 顾客数据模型身份认证平台中的数据模型涉及：1. 顾客帐号：学生、教职工工、合伙伙伴、供应商等帐户信息；2. 资源：身份认证平台所管理的身份数据源和应用系统，如学生数据中心、教职工数据中心、电子邮件、一卡通、综合网络管理系统以及上网认证系统、VPN系统等，以及其他基于顾客属性更改的应用；3. 资源组：按一定顺序组织的资源，身份认证平台将根据这一顺序在应用系统中创立和删除顾客信息；4. 组织：管理一组顾客、资源和其他对象的逻辑容器；5. 角色：顾客的工作角色，。