广域网建筑协同设计平台安全性与适用性研究

周 成 邓雪原

(上海交通大学土木工程系,上海 200240)

1 引言

1.1 协同设计概述

协同工作是指在计算机技术支持的网络环境中,一个群体通过一定的信息共享、转换和相互协同机制,有序地完成一项任务。而协同设计是协同工作的分支,建筑设计领域迫切希望实现协同设计[1],这是建筑设计工作本身和建筑行业的发展共同决定的。一方面,建筑物的建造是基于项目的,在同一时间、同一地点,由多个企业共同来协作完成。它有着多部门、多专业、多变更的特点。而这些特点决定了建筑设计需要密切的配合和协作。只有保证信息在各个专业领域能够顺利、及时地共享,才能提高整个行业的生产效率。另一方面,建筑设计单位正处于转型期,综合性的设计院将分为若干专业设计事务所,各所无力承担规模大的设计任务,各所之间的合作交流必不可少[1]。因此,进入新时期,建筑行业正在进行着一次由 CAD技术向协同技术转变的革命,由传统的单人应用 CAD技术向群体应用 CAD技术转变[2]。

1.2 局域网建筑协同设计的发展

随着对协同设计认识的不断深入与重视程度的增加,各个行业都在不断摸索适应于各专业领域的协同设计平台与模式。在石油化工工业领域,中国石化工程建设公司以 INTERGRAPH的 PDS系统和 AVEVA的 VANTAGE PDMS系统为生产线建立了多专业的三维协同设计模式[3],实现了设计模式的变革,大大提高了生产效率。

与工业制造成熟的数字协同设计相比,建筑行业在此方面还较为落后,存在专业的信息交流壁垒和孤岛现象[4]。在建筑设计领域,目前讨论更多的还是二维的协同设计,但针对二维建筑协同设计,国内一些科研机构进行了卓有成效的研究,并将其推广到具体的建设工程项目当中。例如,纬衡与北京建筑设计研究院合作开发了纬衡协同设计平台,涵盖了二维的 CAD设计工具及协同管理平台;北京理正软件设计研究院提出了基于协同设计平台、图纸管理和协同设计工具三个层次的协同设计整体解决方案;上海天华建筑设计也投入研发了基于项目管理系统的协同设计平台。而由上海现代建筑设计有限公司与上海交通大学合作进行的“大型建筑设计企业协同设计”及“建筑协同设计关键技术研究”项目目前已经实现了在集团内部局域网下的协同工作平台的开发与应用,并且在其分子公司上海院、都市院的众多大型建筑工程项目进行了试点与推广,并取得了很好的效果。据了解上海现代建筑设计集团采用的 CAD协同设计平台现在已经进入了全面推广阶段,是我国应用建筑 CAD协同设计的最大建筑设计企业。

1.3 广域网建筑协同设计问题的提出

但是,局域网内协同设计的实现并不能够完全满足未来协同工作的需要。目前一种全新的 Homework的工作模式逐渐被提出。在这种模式下,员工无论何时何地,只要能够有一台接入 Internet的电脑就能够实现远程办公。尤其在加班、出差等特殊工作条件下,一方面能保证项目的顺利进展,另一方面为设计人员提供极大的便利,在家中或出差过程中都能够及时参与并完成设计任务。另外,在今后的设计过程中,同一单位的不同部门或子公司之间以及跨公司跨地域的交流与合作会更加频繁,包括图纸的传输、设计信息的交换等一系列工作都将在广域网的环境中进行。这样,简单的局域网内的协同设计就显然无法满足工作的需求了。而要解决这些问题,就必须实现广域网的协同设计,实现更加交互式与便捷化的工作。

广域网协同设计的实现,需要面对两个关键的问题:一是安全性,用户需要对共享环境中的数据进行访问,在广域网中,让用户以怎样的方式安全登录服务器,如何建立远程的信任关系便是首要的问题,一旦出现项目的设计信息被窃取的现象,那将造成巨大的损失;二是适用性,即在当前的网络及计算机硬件的条件下,采取怎样的协同方式保证远程工作流畅地进行。只有这样两方面问题得到有效解决,广域网的协同设计的实现才存在可能。

2 广域网协同设计关键技术讨论

针对上面提到的两个关键问题,笔者通过研究目前计算机技术及互联网的发展情况,对各种实现方式进行了比较和分析。图1给出了整个研究的基本框架与思路。

图1 广域网协同设计关键技术的研究框架与思路

2.1 广域网协同设计用户身份识别技术

用户身份识别就是通过一定的信息技术识别对应应用权限的用户的身份。每一个用户的权限都是事先明确定义的,文献[5]中给出了有关权限管理机制的相关研究,本文着重讨论的是认证方式的问题。用户安全身份识别是保障信息安全的重要一环。目前用户身份管理领域的登录方式包括域账户登录与单点登录等,而安全性更加突出的认证方式有 USBKEY及指纹识别等一系列的生物识别技术。它们都在用户身份识别领域占据了重要的位置。

(1)域账户登录

域账户登录是在局域网协同设计中使用最为广泛的一种安全登录技术手段。通过域控制器给予不同身份、不同专业及任务的用户不同的登录权限,指定不同类别和不同安全性的资源的读取、访问、修改的权限,来实现严格有效的管理。用户通过“Domain/User+password”的模式登录进行工作,方便地使用各种资源。局域网中,客户机加入域,通过组策略设置计算机及用户策略能够增强客户端安全性、减少客户端故障,降低维护成本。但在广域网中,如果要使用域账户登录,其中的一种实现方式是通过远程登录到局域网中的某一台计算机中,然后在该计算机上通过域账户进行工作。但这样耗费的计算机资源较大。另外一方面,如果需要在不同公司,不同的局域网之间实现协同设计,域账户登录就显得更加不适用了。

(2)网络单点登录

单点登录(single sign on),即在多个应用系统中,用户只需登录一次就能够访问所有相互信任的应用系统。单点登录的出现,极大地方便了用户的访问,同时也给管理员的管理带来了便利。无论多么复杂的网络结构,用户都只需要通过自己已经获得授权的账号和密码登录一次,就能够利用连贯且安全的身份识别信息交换机制,在自身运行的环境或者企业运行环境中,便捷地在各个应用程序中切换,而无需重新登录。而对于管理者,一旦需要修改某个账户的权限或者增加删除账户,就只需要进行一次操作,省去了大量重复性的工作。从这两层意义来说,单点登录确实能够很大程度地提高企业的生产效率,也正是基于这样的原因,不少人都认为,单点登录将成为登录方式的必然发展趋势。

从广域网协同设计平台的角度考虑,单点登录给我们提供了一个很好的思路。比如不同的设计单位合作完成同一个项目,可以在这个项目组建立身份信任的关系,让设计人员能够通过使用一次自己的账户密码同时访问所在单位与合作单位的设计平台系统,查看项目信息,及时进行信息的更新与反馈。由此,使用单点登录的方式就很好地解决沟通信息渠道的问题。

(3)指纹识别技术

生物特征识别技术是建立在用户提交真实的、特殊的生理或行为特征基础上的识别技术。与传统的“用户 ID+口令”的认证模式相比,生物特征识别无疑能够更加满足目前身份认证领域对于安全性的高要求。而指纹识别系统就是现在发展比较成熟的一套生物识别技术。它以人的指纹作为识别身份的媒介,利用现有的指纹采集技术方便地采集较好质量的指纹图像,然后根据计算机视觉和图像处理技术,提取指纹的特征点,获取数字指纹信息,采用各种匹配和识别算法和软件达到用户识别的目的。一方面,指纹的独一无二,保证了被认定对象与要检验的身份数据严格地一一对应;另一方面,指纹的相对固定,保证了用户安全信息的长期有效性。

不过,指纹识别技术在推广应用过程中也存在着一些不足。其中一个便是识别率问题,指纹识别中往往会出现一些误判或拒判的现象而导致用户需要多次反复地认证。另外,如果将指纹网络身份识别作为广域网协同设计平台的认证模式,则需要在每一个客户端设置传感器用以采集活体指纹图像,固体传感器的成本及其使用的复杂程度也都是值得考虑的。当然,这些问题也正在随着技术的不断发展而逐步地解决。

(4)USBKEY

USBKEY是一种智能的存储设备,它里面存放了数字证书,同时内置了 CPU,用于进行数字签名和签名验证。USBKEY的认证模式是基于严格的一对密钥相互匹配的 PKI(Public Key In frastructure)体系,而且使用 USBKEY保障了数字证书无法被复制,所有密钥运算在 USBKEY中实现,认证过程用户的密钥不会在计算机内存中出现,也不在网络中传播,由此保障了信息的安全。另外,USBKEY轻便,易于携带的特点也使得它能够更加广泛地投入到应用当中。

目前 USBKEY主要应用于金融、政务、电子商务等一些领域。而随着互联网环境的更加复杂以及企业对于信息系统安全性的不断重视,越来越多的行业在尝试将 USBKEY应用于企业内部的办公系统。据相关报道,中石油已经与握奇数据系统公司联合,希望打造基于 USBKEY的信息系统用户身份管理与认证平台。可见广域网协同设计平台的开发,使用 USBKEY进行身份验证绝对是值得考虑的一种用户身份识别技术。

2.2 广域网协同设计平台架构技术

(1)B/S架构与 C/S架构对比分析

B/S(Browser/Server)架构和 C/S(Client/Server)架构是构建协同设计系统平台的两种模式。在基于 B/S架构的协同设计平台中,用户端界面只需要在 Web浏览器中实现,Internet所特有的信息共享和交互性,使得交流的范围和频率得到极大扩展[6],另一方面,由于软件维护等都只需要针对服务器进行,而大大地提高了维护效率、方便了管理。不过这样的模式无疑对服务器提出了高要求,一旦出现服务器崩溃现象,后果不堪设想。目前对于 B/S架构下的协同设计平台的具体实现方法也还在不断探索之中。而 C/S架构,因为能够充分发挥客户端 PC机的性能,而有效地减小服务器的负荷,不过对客户端软件的维护与系统的升级就显得极为繁琐了。同时 C/S架构需要在小范围网络环境中,这使得要想在广域网中登录 C/S架构的协同设计平台工作,必须通过远程的接入或控制,进入局域网环境后才能运行。

在 B/S与 C/S两种架构下,应用软件的处理也存在着两种方式。以 B/S架构的协同设计平台为例,一种是基于客户端软件的,即相关的设计软件在客户端,用户登录 Web平台,通过上传下载相关的数据,更新项目信息,在这种模式下传输的数据量相对较大,更多地依赖于网络环境;另一种则是基于服务器端软件的,将应用程序嵌入 Web中,用户直接调用数据库在页面上进行设计操作,整个过程传输的只是动态的网页信息,使数据的流量大大减少。另外,基于服务器端软件平台能够更大程度地保护企业的知识产权,所有的数据存放在服务器上,但是必须保证有一台足够强大的服务器或服务器群与备份系统,应对大量许可证同时使用对服务器端 CPU、内存的压力。

(2)远程控制技术的可行性

在当前的技术条件下,企业内部局域网中主要采用的是 C/S架构下基于客户端软件的协同工作模式。要想在这种模式的基础上实现广域网的协同,目前可用的技术手段就是采用远程控制。其中一种方法是基于 Windows的远程桌面协议或第三方的远程控制软件,通过远程登录办公室的一台计算机进行协同工作;另外一种方法则是采用 VPN(Virtual Private Network)[7]技术实现与企业内网的远程连接,进而在 VPN中访问内网应用系统。VPN技术中,数据在公网传输通过加密的通道,因此具有更高的安全性,也逐渐被众多国内的企业所关注。但VPN技术也存在一些不足,通常对带宽要求较高。带宽不足就意味着漫长的等待。要解决这一问题,最好的方法是采用 VPN与远程桌面技术的结合。而在当前的带宽的条件下,能够实现远程流畅地工作是远程控制技术可行性的关键。为此,笔者从数据传输量的角度进行了相关的测试。

测试中使用了第三方的远程控制软件 Ultra-VNC,桌面背景选择纯色(黑),分辨率 1280×800,32位色,分别记录了一分钟内打开关闭一个空的新建文件夹窗口 0次、1次、3次、5次、7次、10次接收的数据流量,结果见表1,而经过拟合后的曲线如图2。

从拟合的结果看,打开关闭一个空的新建文件夹窗口 1次的数据流量大致为 600KB。同时,经测试也发现,打开窗口数据流量大概为 250KB～300KB,而关闭过程的流量 300KB～350KB。

不过,这个数据流量应该是一个接近上限的值。如果只是在一个窗口的某一部分进行操作,而不涉及窗口的切换,数据量会明显地减小。另外,通过修改屏幕的分辨率和位数也能够有效地降低数据流量。而与当前的各种网络接入方式带宽情况(如表2所示)进行比较,如果以 2Mbps的带宽来分析,传递一个窗口的时间大约在 1秒钟左右,而这能够基本达到流畅的要求。而随着光纤宽带入网的普及以及 3G、4G技术的不断地发展与完善,实现每个用户独享百兆带宽应该只是时间的问题,而这也将是实现远程流畅办公的基本保证。

表1 远程传输数据量试验结果的记录表(单位:MB)

图2 远程传输数据量试验线性拟合结果

表2 各种网络接入方式带宽一览表

3 解决方案

就目前的技术而言,笔者认为实现广域网建筑协同设计可通过在局域网 C/S架构下的协同设计平台中引入 VPN与远程桌面协议。图3为方案的框架图,广域网中的用户通过 VPN接入公司内部局域网中,然后通过远程桌面协议控制局域网中的某一客户端,保证了尽可能小的数据流量。而由于进入了局域网环境,所以可以选择域账户登录的方式进行有效而安全的账户管理。这样,无论安全性还是适用性上都能够得以满足。

而对于未来的建筑协同设计平台,笔者认为它将很有可能建立在 B/S架构的广域网上,如图4所示。参考文献[8]中详细描述了基于 Web的协同设计平台的各层的体系结构及对关键问题的思考。在这种架构中,用户只需要能够接入互联网,打开浏览器,通过指纹单点登录或者 USBKEY单点登录的方式进入平台后,就能够轻松实现协同设计。而针对应用软件的部署,可以选择在客户端(图4a),未来网络带宽能够保证上传下载数据的速度,而使得项目信息能够及时更新;也可以选择在服务器端(图4b),通过 Web服务器调用部署在服务器上的后台设计软件。客户端越来越简化,而服务器端越来越强是将来信息化发展的主流方向。

图3 当前广域网建筑协同设计的解决方案

图4 未来基于B/S架构的建筑协同设计平台

4 结语

现阶段对于广域网建筑协同设计平台及关键技术的讨论还比较少,本文笔者主要针对其中的两个关键问题,即广域网建筑协同设计平台的安全性——用户身份识别技术,广域网建筑协同设计平台适用性——平台架构技术,进行了讨论。然后结合用户身份识别技术与平台架构技术,提出了整体的解决框架,认为当前成熟的广域网建筑协同设计解决方案可以将基于域账户登录的局域网 C/S架构下的建筑协同设计平台与 VPN+远程桌面控制技术结合;而未来的广域网建筑协同设计解决方案更可能是网络单点登录 +USBKEY/指纹识别技术与 B/S架构的建筑协同设计平台的结合。至于具体实施过程中涉及的技术问题还有待于进一步地研究。从目前的研究可以看到,快速发展的信息技术是实现广域网建筑协同设计的技术保障,因此必须敏锐地跟踪挖掘其中能够用于构建广域网建筑协同设计平台的信息技术。

[1]屈青山,张艳新.基于协同工作的建筑设计系统研究与实践[J].建筑与结构设计,2007(6):6-9.

[2]邓雪原,土木工程CAD向 BIM技术转换工程中的理论与实践探索,第二届工程建设计算机应用创新论坛大会报告

[3]盛铭.浅析我国数字化建筑协同设计的发展状况[J].山西建筑,2006,32(24):15-16.

[4]朱春田.石油化工多专业三维协同设计与设计模式变革[J].石油化工设计,2006,23(2):3-6.

[5]顾景文,张文静.基于建筑 CAD协同设计的权限管理系统[J].福建电脑,2009(10):106-107.

[6]黄涛.建筑协同设计与 Internet的潜力[J].NEW ARCH ITECTURE,2004(2):66-68.

[7]沈健,马思群,佟维,董华洋.基于 VPN的网络化协同设计的研究和应用[J].应用技术,2005,32(9):56-58.

[8]胡文斌,郭荷清.基于 Web的建筑协同设计平台[J].计算机系统应用,2004(11):13,17-19.