一种校园数字化信息系统

摘要

本发明提供一种校园数字化信息系统，包括一个或多个客户端设备、一个或多个数据中心、身份认证系统和经由通信网络彼此通信地耦合的访问管理系统；客户端设备用于用户向数字化信息系统中的一个或多个资源发起访问请求和/或模拟请求，一个或多个资源分布在一个或多个数据中心上；访问管理系统包括用于执行与访问请求和/或模拟请求相关的认证和授权的访问管理服务器，其被配置为通过将一个或多个用户提供的凭据与数据存储器中存储的用户信息进行比较来认证用户，便于对学生信息进行管理，提高其保密性。

说明书

技术领域

本发明属于教育信息管理技术领域，尤其是涉及一种校园数字化信息系统。

背景技术

校园信息管理的是以物联网为基础的以各种应用服务系统为载体，将教学、科研、管理和校园生活进行充分融合。随着网络技术的便捷性，学生的信息杂乱不堪，则给学校的教育工作带来很大的不便，且学生的信息管理，便于高校、家长或者一些公司及时对相关信息进行调用以便考察学生学习履历，以此作为学生日后发展的参考，若信息被篡改，则对其他学生也存在不公平的现象，若利用纸质记录信息，则存在保管场所的问题，使用性下降，不能永久保存的缺点，故而，将物联网应用于学生信息管理中，进行电子化文件上传，并对电子化文件进行转换、签名和保管，组成一个安全的校园数字化信息系统，便于对学生信息进行管理，降低管理的难度且提高管理的准确性，提高其保密性，避免人为对信息进行篡改，避免人力资源的浪费。

发明内容

本发明的目的在于提供一种校园数字化信息系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种校园数字化信息系统，包括一个或多个客户端设备、一个或多个数据中心、身份认证系统和经由通信网络彼此通信地耦合的访问管理系统；客户端设备用于用户向数字化信息系统中的一个或多个资源发起访问请求和/或模拟请求，一个或多个资源分布在一个或多个数据中心上；

访问管理系统包括用于执行与访问请求和/或模拟请求相关的认证和授权的访问管理服务器，其被配置为通过将一个或多个用户提供的凭据与数据存储器中存储的用户信息进行比较来认证用户；所述访问管理服务器包括认证引擎、授权引擎、策略管理器和模拟处理器的一个或多个；访问管理服务器通信地耦合到网络入口上，所述网络入口被配置为拦截来自客户端设备的请求，并将请求重定向到访问管理服务器以进行处理；

认证引擎被配置为基于一个或多个用户提供的凭据与存储的用户凭据的比较来执行用户的认证；授权引擎被配置为执行授权；策略管理器被配置为管理控制对数字化信息系统内的资源的访问的一组策略；模拟处理器被配置成基于模拟策略，与模拟处理相关的特定身份认证系统通信；

身份认证系统操作一个或多个身份存储器执行用户凭证的比较，该身份存储器存储客户端设备的用户信息，身份存储器中的用户信息包括用于认证用户的信息；身份认证系统包括保管服务部、收信服务部、证明服务部、信息数据库和原件/证件存储部。

进一步地，访问请求和/或模拟请求响应于用户对特定资源的显式请求，或通过用户与客户端设备上的应用程序的交互来创建。

进一步地，访问管理服务器基于一个或多个用户提供的凭据为用户创建会话以响应成功的认证，会话创建包括生成会话信息、会话ID、会话有效期和将会话与用户关联。

进一步地，身份存储器中的用户信息还包括模拟属性，模拟属性包括允许模拟特定的用户、模拟该用户的用户、允许特定用户模拟另一用户的时间以及在模拟会话期间特定用户访问的资源。

进一步地，授权引擎被配置为执行授权，包括查找适用于被请求的资源的授权策略，并确定授权策略是否允许用户访问所请求的资源。

进一步地，保管服务部接收用户从客户端设备上传的电子文件，进行注册、储存、移交和废弃处理；收信服务部与保管服务部相连，对保管服务部存储的电子文件的进行收信和确认、状态/履历管理、防止伪造/否认、电子文件移交时的联系和流通；证明服务部与收信服务部相连，并对收信服务部输出的文件进行证明、签发/再发、证明信息管理，证明书有效性验证；信息数据库保存身份认证系统所需的信息；原件/证件储存部保存身份认证系统从客户端设备接收的电子文件的原件和证件。

附图说明

图1为本发明的数字化信息系统的整体结构示意图；

图2为本发明的身份认证系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是根据示例性实施例的数字化信息系统10的简化框图。数字化信息系统网10是一个综合的系统，并且包括经由一个或多个通信网络15彼此通信地耦合的多个系统。图1中的数字化信息系统包括一个或多个客户端设备11、一个或多个数据中心18、身份认证系统12和经由通信网络15通信地彼此耦合的访问管理系统13。

通信网络15促进图1所示的各种系统之间的通信。通信网络15可以是各种类型，包括但不限于因特网、广域网（WAN）、局域网（LAN）、以太网、公共或私有网络、有线网络、无线网络等及其组合。可以使用不同的通信协议来促进通信，包括有线和无线协议，通信网络15可以包括有助于图1所示的各种系统之间的通信的任何基础设施。

图1中的每个系统和计算设备可以包括数据处理组件（例如，一个或多个处理器）和一个或多个存储器资源（例如，易失性和/或非易失性存储器）。处理器可以包括单核或多核处理器。处理器可以包括通用微处理器，存储器资源可被提供用于存储与操作系统和由处理器执行的应用或处理相关联的指令和/或数据。

客户端设备11可以是被配置为以本文描述的方式发起模拟请求的任何计算设备。例如，客户端设备11可以是运行应用程序（例如，Web浏览器）的台式机或膝上型计算机，通过该应用程序，访问请求和/或模拟请求被发送到访问管理系统13。访问请求可以响应于用户对特定资源的显式请求，也可以通过用户与客户端设备上的应用程序交互来创建。

在数字化信息系统10内执行的应用可以使用和/或请求对一个或多个资源18-1到18-N的访问。这些资源可以在数字化信息系统10中虚拟化分布。例如，多个资源18-1到18-N可以分布在一个或多个数据中心18上，并且可以包括受保护的资源和未受保护的资源。虽然图1中仅描绘了一个数据中心18，但是数字化信息系统10可以包括可能在不同地理位置的多个数据中心。每个数据中心可以包含多种类型的资源。访问管理系统13可以控制这些资源的使用和访问。

访问管理系统13可以包括负责执行与访问请求和/或模拟请求相关的认证和授权的一个或多个计算设备。例如可以包括访问管理服务器50，其被配置为通过将一个或多个用户提供的凭据与存储的用户信息进行比较来认证用户。如下文所述，认证处理中的至少一部分可以委托给身份认证系统 12。因此，身份认证系统 12可以代表访问管理服务器 50执行用户凭证的比较。

一些用户凭证可以存储在访问管理系统13可访问的默认标识存储16。其他用户凭证可以存储在访问管理系统 13无法访问的数据存储中。例如，身份认证系统12可以管理至少一些用户凭据。访问管理服务器 50可以基于一个或多个用户提供的凭据为用户创建会话以响应成功的认证。会话创建可以包括生成会话信息17，包括生成会话ID、确定会话有效期等和将会话与用户关联等。

访问管理服务器50可以通信地耦合到网络入口14上，所述网络入口14被配置为拦截来自客户端设备11的请求（例如，模拟请求），并将请求重定向到访问管理服务器15以进行处理。例如，可以通过用户的浏览器发起模拟请求，网络入口14拦截该请求，网络入口 14确定该模拟请求与受保护的资源相关联，然后重定向到访问管理服务器 50进行处理。可以有多个网络入口与同一访问管理服务器通信，每个网络入口拦截对各自资源对应的请求。

身份认证系统12可以操作一个或多个身份存储器22，该身份存储器22存储用于客户端设备11的用户信息。身份存储器22中的用户信息可以包括用于认证用户的信息（例如，用户名、密码和/或其他凭证）。身份存储器22可以包括一个或多个目录，例如轻量级目录访问协议目录。在一些实施例中，身份存储器22可以包括一个或多个组织（例如，学校组织及其子组织）的用户的信息。身份存储器22中的用户信息还可以包括模拟属性24。模拟属性的示例包括允许模拟特定的用户、可以模拟该用户的用户、允许特定用户模拟另一用户的时间以及在模拟会话期间特定用户可以访问哪些资源。因此，身份存储器22还可以包括与模拟者相关联的模拟属性。

访问管理服务器50可以包括执行认证、授权和模拟处理的一组组件。例如，访问管理服务器50可以包括认证引擎52、授权引擎54、策略管理器56和模拟处理器58。认证引擎52、授权引擎54、策略管理器56和模拟处理器58中的每一个可以用硬件、软件或其组合来实现。例如，模拟处理器58可以是由访问管理服务器15的一个或多个物理处理器执行的软件应用程序或模块。

认证引擎52可以被配置为基于一个或多个用户提供的凭据与存储的用户凭据的比较来执行用户的认证。如前所述，凭证可以存储在默认标识存储16和/或身份存储器22中。在某些实施例中，至少一些认证处理委托给身份认证系统12，例如，对其信息存储在身份存储器22中的用户的认证处理。因此，认证引擎52可以向身份认证系统 12发送认证请求。反过来，身份认证系统 12可以验证一个或多个用户提供的凭据，以将响应发送回认证引擎52，指示用户是否已成功认证。在这种情况下，尽管访问管理服务器50不直接执行认证，但是从网络入口14的角度来看，访问管理服务器50仍然是负责保护资源的实体。

在某些实施例中，当访问管理系统13接收到要求认证的请求（例如，模拟请求）时，访问管理服务器50可以将认证委托给身份认证系统12，身份认证系统 12可以生成用户提交一个或多个凭据的登录屏幕，基于凭据对用户进行认证，并将用户的属性发送到访问管理服务器50。身份认证系统12可以在不发送用户凭证的情况下将用户属性发送到访问管理服务器50。以这种方式，访问管理服务器50可以确定用户具有哪些权限来访问资源，但是访问管理服务器 50没有权限访问用户的凭据（例如，用户的密码）。

授权引擎54可以被配置为执行授权，包括例如查找适用于被请求的资源的授权策略，并确定授权策略是否允许用户访问所请求的资源。授权引擎54还可以被配置为响应于从模拟处理器58接收到启动模拟会话的要求已经满足的指示而启动模拟会话。授权引擎54可以负责切换与当前会话相关联的用户。尤其是，当前会话可以是模拟程序建立的会话。要启动模拟会话，授权引擎54可以将与当前会话相关联的用户切换到模拟者。这使模拟程序能够在会话期间假定被模拟者的身份。

策略管理器56可以被配置为管理控制对数字化信息系统10内的资源的访问的一组策略。例如，策略管理器56可以访问各种安全相关策略，例如认证策略、授权策略、同意策略和模拟策略。同意策略可以指定在请求用户同意开始模拟会话时向用户提供哪些类型的信息。例如，同意策略可以指定向用户显示特定的同意页，以确认用户启动模拟会话的意图。模拟策略可用于确定要使用哪个身份认证系统对用户进行身份验证。在具有多个身份认证系统的实施例中，可以为每个身份认证系统定义单独的模拟策略。模拟策略还可用于指定模拟请求所需的身份验证类型。

模拟处理器58可被配置成基于模拟策略，与模拟处理相关的特定身份认证系统12通信。例如，模拟处理器58可以从身份认证系统12请求模拟属性，并处理模拟属性以配置模拟会话。模拟处理器58还可被配置为处理同意策略，例如，以呈现请求用户确认应启动模拟会话的同意页。

负责对用户进行认证的身份认证系统12，还包括保管服务部31、收信服务部32、证明服务部33、信息数据库34和原件/证件存储部35；

保管服务部31接收客户端设备11上传的电子文件，进行注册/储存/移交/废弃。保管服务部31所执行的功能主要为：确定客户是否具有注册权限确认，若没有该注册权限，则对用户的注册进行限制，当客户注册成功时进行通知，检查上传的电子文件中是否具有病毒及语法错误，根据上传的电子文件的属性信息进行分类并进行存储，通过保管服务部31进行移交过程中，需要对存储期限进行确认，超过存储期限则对上传文件进行删除。

收信服务部32与保管服务部31相连，对保管服务部31存储的电子文件的进行收信和确认，状态/履历管理，防止伪造/否认，对其他保管所进行联系和流通。收信服务部32所执行的功能主要为：确认从保管服务部31接收到了电子文件，并对该电子文件进行转换，并输出为包括电子签名、高密度二维条码及防止复制标记的证书文件。

证明服务部33将与收信服务部32相连，并对收信服务部32输出的证书文件进行证明、签发/再发、证明信息管理，证明书有效性验证。证明服务部33所执行的功能主要为：当再向第三方发放电子文件时，提供签发了具有用户教育履历信息的证书文件。

信息数据库31保存身份认证系统12所需的信息；

原件/证件储存部35还保存了身份认证系统12从客户端设备11接收的电子文件的原件和证件。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。