“一站式”服务系统的架构

13.3　“一站式”服务系统的架构

13.3.1“一站式”服务系统的架构^[3]

“一站式”电子政务服务系统是建立在“一站式”电子政务架构基础之上的，通过电子政府统一交互平台，实现政务信息的交换和共享，为企业和公众提供一站式服务的信息系统。

“一站式”服务框架的核心功能是基于可信Web Service实现资源的查询和调度，实现对社会公众的政务服务和数据资源的整合。“一站式”架构主要针对公众用户和政务专网用户，分别提供接入和工作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能，这两部分用户之间可以通过可信信息交换模块来完成信息的安全交换功能，以满足目前对于电子政务内网敏感信息的安全保密要求。

“一站式”电子政务服务架构的接入系统提供了多种接入方式的支持功能，除了常用的互联网和政务专网接入、电信公用网拨号接入方式外，还可对无线接入方式以及PDA等多接入终端提供支持。下面对几个核心模块进行描述。

(1)可信信息交换模块

信息交换是指利用交换媒介在组织内进行信息传递的过程，承担交换功能的媒介可以是硬件、软件等。电子政务跨平台的信息交换是基于XML技术的内容交换，可以为政务群体的协同工作和政务的“一站式”服务提供信息高速通道，从而实现政务信息交换的规范化和集约化管理。

由于“一站式”架构将同时为社会公众和政务专网用户提供政务服务，因此，“一站式”框架平台包括面向社会公众服务和面向政务专网用户服务两个部分。由于电子政务公众服务系统客观上需要与内部政务业务系统之间进行数据交换，以实现政务服务请求的转入和服务结果的反馈，因此，在“一站式”框架中提供了可信信息交换模块，专门在对外(公众)服务和对内(政务)服务两部分之间进行安全、双向的数据交换。

可信信息交换模块由一个中间层数据共享介质和两个分别连接到对外和对内服务模块的电子开关共同构成。中间的数据共享介质仅提供数据交换功能，而不提供代码交换功能。对于通过共享数据介质交换的政务业务数据中的敏感部分，还可以通过底层的安全机制提供机密性、完整性以及抗抵赖性的保证。

(2)工作流引擎

工作流引擎是“一站式”框架中对各政务业务系统提供的政务服务，以及对跨政府部门的工作流进行协调和统一调度的功能模块。并能针对服务的特殊需求重点增强对工作流程环节的监管能力，提供对政务服务的督办和催办。工作流引擎的主要功能有:

①异构计算环境下的广义工作流支持功能:负责在有关的政务业务系统提供的服务模块之间维持一个统一的广义工作流对象，并根据该工作流对象的工作流程模型，通过事件响应机制在这些服务模块之间完成工作任务的调度，以及与之相对应的信息流的驱动。由于政务服务的特殊要求，工作流引擎还需要对工作流的实际调度执行情况进行详细的可信日志记录，以便实现对政务服务的催办和督办功能。

②工作流的授权支持功能:工作流引擎还将通过底层的授权服务实现对工作流的动态调度，业务管理员可以通过管理操作灵活地改变工作流向。

③单点登录支持功能:主要是对工作流中每个服务环节的用户登录和配置信息进行统一管理，以便用户通过单点系统登录即可自动完成后续的一站式服务流程。

(3)通用电子政务构件

对于“一站式”服务而言，每个政务业务系统所提供的服务都有许多通用的功能模块。如果这些功能模块在各个业务系统中重复实现，不仅会造成资源浪费，而且也很难保证实现的正确性与一致性。因此，理想的解决方案是在“一站式”框架中统一实现这些通用的政务业务构件模块。

通用的政务业务构件主要是在可信Web Service的基础上实现，主要包括以下功能。

①用户身份认证功能:主要支持基于公钥证书(PKC)认证的高强度身份认证机制，认证功能的实现需要与客户端模块的证书管理功能和基础密码运算功能相结合。

②应用操作授权功能:主要支持基于属性证书(AC)的应用操作授权功能，授权计算的实现需要客户端模块证书管理功能的支持，并应提供对多授权模型的支持。

③安全数据交换功能:主要提供对通用政务数据的安全交换功能，提供对目标数据的机密性、完整性保护，并提供对数据交换过程的抗抵赖性保证。

④可信日志功能:主要提供系统级的可信日志功能，为“一站式”框架的运行轨迹记录提供支持，记录的日志信息通过安全机制加以保护。

⑤系统配置管理功能:主要提供系统级的配置管理功能，可以提供对配置信息的安全存储、有效性验证等操作支持。

(4)个性化管理模块

作为面向大规模应用的“一站式”服务，由于所面临的客户群体具有较大的差异性，因此，必须提供个性化服务功能，允许用户根据自己的偏好来定制所需的政务服务。个性化管理模块提供用户界面的风格管理和拖曳式的集成门户功能，并通过拖曳式的集成门户功能，将多个政务应用集成到一个站点，通过一个站点连接多个子站点，实现各部门政务的统一协同管理。个性化管理模块提供的功能主要包括以下内容:

①用户服务定制功能:允许用户根据自己的偏好，对一站式服务框架提供的服务界面的风格进行个性化定制，并允许用户根据实际需要，对个人主页上的信息栏目进行灵活定制，从而面向每个最终用户提供更友好、更贴近实际应用需求的政务服务。

②基于客户关系管理的服务定制功能:在基本的用户服务定制功能的基础上，还可以进一步针对客户关系管理功能，将用户对政务服务的使用情况进行分析，并在此基础上对用户进行分类化管理，提供相应的等级化区分服务。

(5)服务集成模块

服务集成模块主要是在“一站式”框架的层次上提供进一步的应用服务整合与集成支持功能。服务集成模块提供的功能主要包括以下内容:

①跨计算平台的接口功能:“一站式”框架能够通过服务集成模块对C/S、B/S以及非可信Web Service等多种类型的计算平台提供集成式支持，并提供更广泛的异构计算平台资源整合功能。

②集成的安全机制:“一站式”框架通过服务集成模块能够实现安全机制的嵌入，从而确保集成的应用服务能够得到全面、有效、一致的安全保障。

③单点登录支持功能:“一站式”框架通过服务集成模块能够提供单点登录支持，实现对各个政务站点登录用的证书管理及配置管理。

(6)客户端模块

客户端是“一站式”电子政务服务系统的最终用户接口，它包括两层含义:首先，这一概念指的是客户端的应用程序(如浏览器);其次，这一概念也指运行客户端应用程序的具体硬件设备(如PC机、PDA设备等)。

客户端种类繁多，但是具有相同的特点:其一，通过Internet可以和电子政务系统连接，并进行交互;其二，一般具有图形用户界面GUI，如果无GUI界面，那么需要具有易于非专业用户使用的特征;其三，客户端一般需要支持电子政务系统表示层的各种格式化数据表达标准，如HTML、XML、WML等;其四，如果客户端是专用的，那么一般支持HTML/WML的子集或者Java标准。

客户端模块是“一站式”框架的客户端支持模块。由于整个“一站式”系统是建立在Web平台上的，因此，客户端主要是一个通用的浏览器，而且客户端模块主要以插件的形式工作。客户端模块提供的功能主要包括以下内容:

①证书管理功能:“一站式”框架通过客户端模块能够提供用户证书下载、管理和验证等功能，为用户享用信任服务和授权服务提供支持。

②安全功能支持:“一站式”框架通过客户端模块能够对用户公钥证书的硬件载体及其软件环境提供安全功能支持，保护用户的私钥不会从证书所依附的硬件载体泄露出去，从根本上保证用户的信息安全。

③可信XML数据的解释与显示功能:“一站式”框架通过客户端模块能够提供可信XML。数据的解释与显示，通过Internet浏览器享用政务服务。

④会话功能:支持“一站式”框架通过客户端模块提供会话功能，实现用户与一站式服务框架站点的人机会话。

⑤用户界面定制功能:“一站式”框架通过客户端模块提供用户定制功能，用户可以使用站点个性化工具直观地修改站点风格，使之符合自己的个性需求。

13.3.2“一站式”服务的关键技术

(1)CegXML^[4]

在一站式的电子政务架构中，XML是其运行的核心技术之一，也是整个框架中的应用层数据编码格式。XML作为国际标准并没有考虑到我国政府的工作流程特点和传统习惯，不能完全适合我国国情。针对我国一站式电子政务应用模式的实际需求，国家电子政务统一采用政务专用的XML语言，即CegXML(China E-GovernmentXML)。

CegXML是可扩展标准语言，是一种基于SGML的简单灵活的语言，XML源自SGML，具有HTML语言所欠缺的巨大伸缩性与灵活性优势。CegXML实际上是一种元语言(Meta Imguage)，不再像HTML一样有着一成不变的格式，是一种能够创建标记语言的语言，使用者可以定义无穷无尽的标记来描述文件中的任何数据元素，从而突破HTML固定标记集合的约束，使文件的内容更丰富、更复杂，并组成一个完整的信息体系。

CegXML规范定义了电子政务业务处理系统对智能化的信任与授权服务平台所提供的全网统一的信任和授权服务管理的集成调用接口，并可实现与应用业务密切结合的安全功能调用模式。

①CegXML的消息规范

CegXML支持请求∕回应、单向发送和多向发送三种交互方式。请求∕回应方式属于同步方式，由交互的一方发出请求，另一方接收到请求后进行处理，并发出响应，第一方只有接收到应答后才能继续往下执行，这种方式适用于双方进行的大部分交互活动，如政务查询等。单向发送方式是一种异步方式，交互的一方发出信息后就接着往下执行，这种方式适用于交互一方向另一方发出一些消息通知，如消息转发等。多向发送方式可以同时将信息发送给多个接收者，一般基于单向发送方式。

CegXML针对国家电子政务具体应用要求进一步定义了对应的公共元素、电子政务服务通知元素、状态元素以及电子政务服务目录元素，为电子政务的消息语义格式标准化提供了参考。

②CegXML安全机制扩展

CegXML在通用文档规范的基础上增加了对安全机制的扩展，使政务公文对象的表示和业务处理流程中的安全保护机制能够有机整合起来，最大限度地发挥XML的优势。CegXML在XML1.0、DTD和XSL规范的基础上，增加了消息安全机制和XML文档安全机制。在保留XML技术自描述等优点的同时，在应用层保证元素级数据的安全。

③CegXML签名

XML签名主要是针对XML结构树的制定部分提供数字签名，这与电子政务具体的应用需求相适应(特别是在文件中的不同组件由不同的实体分别进行授权的情况下)。这种灵活性保证了整个XML文档中各部分的完整性，并可保证文档其余部分的开放性。

(2)J2EE^[5]

J2EE是SUN公司提出的基于Java的组件构架，是一种利用Java 2平台来简化解决方案的开发、部署和管理相关的复杂问题的体系结构。J2EE技术的基础就是核心Java平台或Java 2平台的标准版，J2EE不仅巩固了标准版中的许多优点，例如“编写一次、随处运行”的特性、方便存取数据库的JDBC API、CORBA技术以及能够在Internet应用中保护数据的安全模式等等，同时还提供了对EJB(Enterprise JavaBeans)、Java Servlets API、JSP(Java Server Pages)以及XML技术的全面支持。其最终目的就是成为一个能够使企业开发者大幅缩短投放市场时间的体系结构。

J2EE核心是一组技术规范与指南，其中所包含的各类组件、服务架构及技术层次，均有共通的标准及规格，让各种依循J2EE架构的不同平台之间，存在良好的兼容性，解决过去企业后端使用的信息产品彼此之间无法兼容，导致企业内部或外部难以互通的窘境。

J2EE使用多层的分布式应用模型，应用逻辑按功能划分为组件，各个应用组件根据他们所在的层分布在不同的机器上。J2EE典型的四层结构，如图13-2所示。

①应用程序组件

J2EE应用程序是由组件构成的。J2EE组件是具有独立功能的软件单元，它们通过相关的类和文件组装成J2EE应用程序，并与其他组件交互。J2EE说明书中定义了以下的J2EE组件:应用客户端程序和applets是客户层组件;Java Servlet和Java Server Pages(JSP)是Web层组件;Enterprise JavaBeans(EJB)是业务层组件。

图13-2　J2EE结构

②客户层组件

客户层支持不同的客户端，包括基于浏览器的主客户端和其他客户端。J2EE应用程序可以是基于Web方式的，也可以是基于传统方式的。

③W eb层组件

J2EE Web层组件可以是JSP页面或Servlets。按照J2EE规范，静态的HTML页面和Applets不算是Web层组件。正如图13-3所示的客户层那样，Web层可能包含某Java Bean对象来处理用户输入，并把输入发送给运行在业务层上的Enterprise Beans来进行处理。

④业务层组件

业务层代码的逻辑用来满足银行，零售，金融等特殊商务领域的需要，由运行在业务层上的Enterprise Beans进行处理。

J2EE体系结构提供中间层集成框架用来满足无需太多费用而又需要高可用性、高可靠性以及可扩展性的应用的需求。通过提供统一的开发平台，J2EE降低了开发多层应用的费用和复杂性，同时提供对现有应用程序集成强有力支持，完全支持Enterprise JavaBeans，有良好的向导支持打包和部署应用，添加目录支持，增强了安全机制，提高了性能(如图13-3所示)。

(3)Web Service技术

Web Service是一种构建在Web上的组件编程技术，W3C(WorldwideWeb Consortium，万维网协会)对其进行定义，提出Web Service是一种通过URL标识的软件应用程序，其接口及其绑定形式可以通过XML标准来定义、描述和查找，并能通过XML消息及Internet协议与其他程序进行直接交互。Web Service提供的是基于网络的、分布式的模块化组件，能与其他兼容的组件进行互操作，不同系统之间能用“软件—软件对话”的方式相互调用，实现“基于Web无缝集成”。

图13-3　Web层组件

Web Service平台给用户提出一套标准，它定义了应用程序如何在Web上实现互操作性。功能全面的Web Service平台是可扩展标记语言(XML)+超文本传输协议(HTTP)﹢简单对象访问协议(SOAP)﹢Web服务定义语言(WSDL)﹢UDDI。若要提供功能更强大的服务，还要加上XAML、XFS、XKMS等技术。其中，XML是Web Service的基本标记语言，是Web Service的基石;SOAP作为互操作协议，提供了应用程序和Web Service之间的通信手段;通过UDDI可以注册服务的特性，其他应用程序可以通过UDDI查找到需要的Web Service;WSDL作为服务描述语言，是描述Web Service的编程接口。

Web Service吸收了分布式计算、Grid计算和XML等各种技术的优点，解决了异构分布式计算以及代码与数据重用等问题，具有高度的可集成性和互操作性、跨平台性和松耦合等特点，为运行在不同平台、不同架构以及使用不同语言编写的各种软件应用程序之间的互操作提供了一种标准的解决方案。

Web Service是建立在SOAP传输的基础上的，它的实现过程是:

①服务提供者开发和测试Web服务，使用WS2DL定义服务描述，包括定义服务接口描述和定义服务实现描述，并将这些服务描述注册并发送到UDDI注册中心;

②UDDI注册中心使用UDDI注册表将服务描述存储为绑定模块，提供多种不同的SOAP操作，使得请求者可以访问其数据;

③服务请求者通过查找UDDI注册表找到所需服务的绑定信息，找到Web服务应用程序的提供者，激活并获取该服务的WSDL描述，从而与服务提供者进行绑定，使用SOAP协议调用所需的Web服务。

Web Service的使用将改变目前的政务系统的开发模式，大大降低政府政务系统开发部署费用。通过使用Web Service，每个政府部门可以根据这个标准将自身的政务系统组件化，很方便地在不同的部门之间共享，同时架构跨政府部门的政务应用，形成政务Web服务。同时这种政务Web服务是以PKI/PM I证书服务和基础安全服务为基本功能支撑，运行在自主技术的基础运行平台和软件支撑平台之上，足以保证安全、可信，可以规范定义、描述和注册调度。

(4)工作流技术

工作流技术来源于计算机支持协同工作理论，CSCW理论与OA产品的结合形成了工作流技术的基础。20世纪80年代中期，FileNet、View Star等公司率先开拓了工作流市场，分别推出支持业务流程的集成化软件包，这便是早期的工作流管理系统，他们成为最早的一批工作流产品供应商。1993年工作流管理联盟(WFMC)的成立标志着工作流技术开始进入相对成熟的阶段。为了实现不同工作流产品之间的互操作，WFMC在工作流管理系统的相关术语、体系结构以及应用程序接口(API)等方面制订了一系列的标准。

工作流的概念起源于生产组织和办公自动化领域，根据工作流管理联盟(WFMC)的定义，工作流是一类能够完全或者部分自动执行的经营过程，它根据一系列过程规则，文档、信息、任务就能在不同的执行者之间进行传递与执行。它的主要特点是实现人与计算机交互结合过程的自动化。

工作流管理系统(WFMS)是一个完整定义、管理和执行工作流的系统，并按计算机表示的工作流逻辑规定的次序，以执行软件的方式执行工作流。为实现不同类型的WFMS的互连和互操作，1994年11月29日，WFMC发布了工作流参考模型(Workflow Reference Model)，它详细描述了工作流系统的相关概念，并在此基础上给出了工作流管理系统的各主要组成部分，以及各部分的功能和相互之间的接口，如图13-4所示。

图13-4　工作流参考模型

①工作流执行服务

工作流执行服务是工作流管理系统的核心部件，它的功能包括创建、管理流程定义，创建、管理和执行流程实例。在执行上述功能的同时，应用程序可能会通过编程接口同工作流执行服务交互。一个工作流执行服务可能包含有多个分布式工作的工作流引擎，不同的工作流引擎通过协作共同执行工作流，这涉及WFMS系统之间的互联。

②过程定义工具

过程定义工具是给用户提供对实际业务过程进行分析、建模的手段，并生成业务过程的可被计算机处理的形式化描述，即过程定义。过程定义工具与工作流执行服务之间的交互是通过工作流过程定义读写接口完成的，它为工作流过程定义信息的交换提供了标准的互换格式及API应用。

③客户端应用

客户端应用是通过请求的方式同工作流执行服务交互的作用，它的作用是给用户提供一种手段，以处理过程实例运行中需要人工干预的任务。每一个这样的任务就被称作是一个工作项，它包括处理上的一些要求(如处理时间的限制)及待处理的数据对象等。客户与工作流执行服务之间的接口为客户应用程序API接口。WFMS的各种服务，如会话连接、过程控制、活动控制、过程状态、活动状态、工作项列表的处理以及过程实例的管理等都可通过此接口实现。

④调用应用

调用应用主要是通过工作流执行服务调用的用来对应用数据进行处理的应用程序。在过程定义中包含这种应用程序的详细信息，如类型、地址等。调用应用可以同工作流执行服务进行交互来协作完成一个流程实例的执行。

⑤管理及监控工具

管理及监控工具主要指组织机构、角色等数据的维护管理和流程执行情况的监控。它与工作流执行服务之间的交互是通过管理及监控接口完成的。该接口规范详细描述了需要从过程执行过程所发生的各种事件上捕获和记录的各种信息，如过程实例信息、工作项信息、活动实例信息及远程操作信息等。

工作流技术有利于构筑基于政务的组织流程，而动态工作流可以大大提供工作流系统的灵活性，更好地规范政务业务流程，降低流程调整带来的影响，实现跨部门的协同业务办理，加深电子政务应用的深度。

(5)业务规则技术

业务规则管理技术是伴随着面向对象技术、软件构件技术、人工智能、数据库、XML(数据库的表示)等相关技术的发展而出现的一项技术。业务规则管理系统是一组工具集，它主要包括业务规则、业务规则库、业务规则引擎和业务规则管理四个方面。它具有规则管理、规则部署、规则分析、规则定制和设计功能。

①业务规则

业务规则是描述和约束业务的语句，实质上也可以理解为一组条件和在此条件下的操作，用于描述、约束及控制企业的结构、运作和战略，是应用程序中的一段业务逻辑。它的理论基础是:设置一个条件集合，当满足这个条件集合时，触发一个或者多个动作。以规则形式捕捉策略语句能提供极大的灵活性和良好的适应性，是企业保持竞争优势的决定性因素。主要有声明性、准确性、原子性、一致性、非冗余性等特性。

②业务规则库

业务规则库用于存储业务规则和规则元数据以及与规则有关的属性。它提供一组工具用于存储、分类、查询、版本控制、权限控制、测试、提交等，规则的状态和有效性可以跟踪。

③业务规则引擎

规则引擎是执行业务规则的软件组件，它嵌入在程序中，是业务规则管理系统的核心元素。规则引擎的类型有:简单型、数据中心型和面向事务型。业务规则运行时，必须要有业务规则引擎对业务规则进行解释。可以将业务规则引擎理解为一种高性能的专用解释程序。根据规则库中预先定义的规则对输入的值和对象进行分析，然后返回修改后的值和对象，或直接执行操作。

④业务规则管理

业务规则管理为定制面向业务的规则语言提供支持，将业务人员的业务语言描述尽可能规范化，并将业务人员输入的业务规则翻译为IT系统可以理解的业务规则。

业务规则技术的核心思想是将系统处理的业务逻辑从程序代码中抽取出来，按照一定的逻辑方法将其转变为业务规则，并以结构化的业务规则数据来表示业务行为，集中存储在规则库中。业务规则管理技术的基本原理是用一个或多个规则引擎替换“固化”在程序不同位置的业务规则(逻辑)的程序代码。被替换的业务规则(逻辑)存储在程序之外的规则库中，规则库中的规则可以通过图形化规则管理工具实现定制、修改和部署。