方宇芳

摘 ? 要：構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的目的是將各信息系統(tǒng)用戶、權(quán)限資源進(jìn)行統(tǒng)一管理。但實(shí)現(xiàn)這一目標(biāo)的前提是要充分了解SOA架構(gòu)的特點(diǎn)。文章就此展開了論述，首先，明確了體系的構(gòu)建目標(biāo)與原則;其次，分析了用戶和權(quán)限資源的統(tǒng)一管理方式以及基于分布式SOA架構(gòu)應(yīng)用系統(tǒng)集中方法;最后，詳細(xì)闡述了如何實(shí)現(xiàn)基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的構(gòu)建。

關(guān)鍵詞：分布式;SOA架構(gòu);統(tǒng)一身份;認(rèn)證體系

1 ? ?體系的構(gòu)建目標(biāo)與原則

在系統(tǒng)建設(shè)前，一定要先明確建設(shè)目標(biāo)，為后續(xù)的系統(tǒng)建設(shè)工作指明方向。構(gòu)建基于分布式面向服務(wù)的架構(gòu)（Service-oriented Architectur，SOA）的統(tǒng)一身份認(rèn)證體系的目標(biāo)是：以SOA架構(gòu)為基礎(chǔ)，構(gòu)建能夠跨平臺、跨系統(tǒng)異構(gòu)集成，且可進(jìn)行統(tǒng)一集中管理的，安全可靠的身份認(rèn)證體系，從而更好地為不同時(shí)期的業(yè)務(wù)系統(tǒng)提供服務(wù)[1]。

在系統(tǒng)設(shè)計(jì)中，應(yīng)遵循以下原則：（1）安全。用戶、權(quán)限資源不只是來自于一個(gè)業(yè)務(wù)系統(tǒng)，而是來自于不同的業(yè)務(wù)系統(tǒng)。所以，一定要保證統(tǒng)一身份認(rèn)證體系處于最高安全等級。（2）穩(wěn)定。只有統(tǒng)一身份認(rèn)證體系足夠穩(wěn)定，才能保證所有參與集中的業(yè)務(wù)系統(tǒng)能夠穩(wěn)定地運(yùn)行。所以，要盡可能地提高統(tǒng)一身份認(rèn)證體系的穩(wěn)定性、高可用性。一般情況，高可用的系統(tǒng)都具備數(shù)據(jù)熱備、雙機(jī)熱備等功能。（3）開放。統(tǒng)一身份認(rèn)證體系的用戶、權(quán)限資源來自于參與集中的不同時(shí)期的業(yè)務(wù)系統(tǒng)。那么，統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)當(dāng)能為所有參與集中的不同時(shí)期的業(yè)務(wù)系統(tǒng)提供服務(wù)，也就是說它要適應(yīng)不同的操作系統(tǒng)、程序語言。所以，一定要確保統(tǒng)一身份認(rèn)證系統(tǒng)具有很強(qiáng)的開放性，能適應(yīng)不同的接入環(huán)境。

2 ? ?用戶和權(quán)限資源的統(tǒng)一管理方式

在統(tǒng)一身份認(rèn)證系統(tǒng)中，實(shí)現(xiàn)用戶、權(quán)限的統(tǒng)一標(biāo)識、管理、認(rèn)證，需要搭建目錄服務(wù)器。同時(shí)，還應(yīng)結(jié)合可部署輕量級的目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）基礎(chǔ)軟件。這種基礎(chǔ)軟件可以實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)中用戶、權(quán)限儲存的層次結(jié)構(gòu)化、面向?qū)ο蠡?/p>

通常所有業(yè)務(wù)系統(tǒng)的用戶、權(quán)限信息都是由目錄服務(wù)器提供的統(tǒng)一維護(hù)服務(wù)。這樣可為業(yè)務(wù)系統(tǒng)提供Web Service接口、LDAP接口、數(shù)據(jù)庫接口3種接入方式。最重要的是Web Service接口、LDAP接口能使業(yè)務(wù)系統(tǒng)直接獲得目錄服務(wù)器的反饋信息，并實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)之間的相互通信[2]。

3 ? ?基于分布式SOA架構(gòu)應(yīng)用系統(tǒng)集中方法

若要實(shí)現(xiàn)數(shù)據(jù)的集中，則必須實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)接種。業(yè)務(wù)系統(tǒng)的集中不單是指物理服務(wù)器集中，而且還包括系統(tǒng)數(shù)據(jù)流的集中。所以，在構(gòu)建統(tǒng)一身份認(rèn)證系統(tǒng)時(shí)，一定要深入研究如何進(jìn)行數(shù)據(jù)流的集中，真正實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一管理。

SOA架構(gòu)的松耦合是指具有中立的接口定義。其優(yōu)點(diǎn)在于靈活性高、可靠性高?；谶@種理念，在實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的集中時(shí)可不對已有的業(yè)務(wù)系統(tǒng)進(jìn)行改造、整合，而采用SOA網(wǎng)絡(luò)規(guī)范統(tǒng)一的網(wǎng)絡(luò)接口。這樣只要業(yè)務(wù)系統(tǒng)能夠支持規(guī)范接口即可。此時(shí)，目錄服務(wù)器所提供的以LDAP為基礎(chǔ)的服務(wù)在SOA網(wǎng)絡(luò)中，就會被抽象為身份認(rèn)證服務(wù)。當(dāng)業(yè)務(wù)系統(tǒng)使用這項(xiàng)服務(wù)時(shí)，就可通過調(diào)用SOA網(wǎng)絡(luò)服務(wù)接口來完成。顯然，這種調(diào)用方式比較簡單、直接[3]。

4 ? ?基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系實(shí)現(xiàn)

4.1 ?基礎(chǔ)模塊

完整的基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系應(yīng)當(dāng)包括統(tǒng)一身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)環(huán)境、硬件設(shè)備、集群環(huán)境等。統(tǒng)一身份系統(tǒng)起碼要有認(rèn)證模塊、授權(quán)模塊、查詢模塊、系統(tǒng)服務(wù)模塊。其他模塊可以結(jié)合實(shí)際情況，靈活添加。

認(rèn)證模塊的核心部分是LDAP服務(wù)器、用戶身份和權(quán)限的數(shù)據(jù)庫。在實(shí)際應(yīng)用中，業(yè)務(wù)系統(tǒng)提交核查用戶信息時(shí)，首先，會調(diào)動(dòng)LDAP接口、Web Service接口。其次，認(rèn)證模塊就會進(jìn)行檢索，并再次通過數(shù)據(jù)接口使用戶信息進(jìn)入到數(shù)據(jù)庫中，進(jìn)行查詢。最后，返回的用戶權(quán)限信息會被再反饋給業(yè)務(wù)系統(tǒng)，從中能夠發(fā)現(xiàn)認(rèn)證模塊的主要作用就是結(jié)合用戶信息，進(jìn)行目錄模型檢索，并實(shí)現(xiàn)數(shù)據(jù)庫信息的查詢。

授權(quán)模塊的主要作用就是進(jìn)行用戶權(quán)限的分配，如初始化權(quán)限產(chǎn)生新用戶。可以說，授權(quán)模塊是分配業(yè)務(wù)系統(tǒng)權(quán)力的核心。所以，一定要加強(qiáng)授權(quán)模塊的管理，避免出現(xiàn)授權(quán)被篡改的問題，影響到整個(gè)系統(tǒng)的安全。另外，在授權(quán)模塊中，業(yè)務(wù)系統(tǒng)角色可分為超級管理員、監(jiān)督管理員、應(yīng)用系統(tǒng)權(quán)限管理員。不同業(yè)務(wù)系統(tǒng)角色的權(quán)限、作用都不相同。

查詢模塊的主要作用就是進(jìn)行特定用戶的查找、用戶權(quán)限的變更及所有同權(quán)限用戶的匯總。系統(tǒng)服務(wù)模塊主要是為超級管理員服務(wù)的，如提供統(tǒng)一身份認(rèn)證服務(wù)、業(yè)務(wù)系統(tǒng)相互連接配置服務(wù)、系統(tǒng)日志管理和維護(hù)服務(wù)、系統(tǒng)備份服務(wù)等。

另外，考慮到業(yè)務(wù)系統(tǒng)不同角色的使用權(quán)限不同，且大部分用戶基本都是使用內(nèi)部網(wǎng)絡(luò)。所以，在遇到需要外聯(lián)本網(wǎng)絡(luò)外的服務(wù)器時(shí)，還要設(shè)置防火墻和代理服務(wù)器。這樣做能提高該系統(tǒng)的安全，避免系統(tǒng)受到非法攻擊。

4.2 ?部署架構(gòu)

基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系部署架構(gòu)應(yīng)當(dāng)包括3大部分：Web服務(wù)器集群、應(yīng)用服務(wù)器集群和數(shù)據(jù)庫服務(wù)器集群。數(shù)據(jù)庫服務(wù)器集群與應(yīng)用服務(wù)器集群之間選擇NFS訪問方式。同時(shí)數(shù)據(jù)庫服務(wù)集群與磁盤庫、磁盤陣列之間的信息交換應(yīng)當(dāng)通過SAN交換機(jī)，用戶的終端設(shè)備在接入內(nèi)網(wǎng)前，需要先受到嚴(yán)格的監(jiān)管。而應(yīng)用服務(wù)器集群與用戶之間應(yīng)設(shè)置防火墻、路由器和交換機(jī)通過鏈路冗余保證線路的可靠性。

在體系架構(gòu)中可用瀏覽器/服務(wù)器模式結(jié)構(gòu)（Browser/Server，B/S），即將系統(tǒng)功能集中到服務(wù)器之上。用戶只需通過瀏覽器就可進(jìn)行訪問服務(wù)器。同樣，該業(yè)務(wù)系統(tǒng)的訪問也都是通過網(wǎng)絡(luò)服務(wù)器提供的網(wǎng)絡(luò)訪問服務(wù)實(shí)現(xiàn)的。另外，在該體系中，在防火墻后端建立了一組Web服務(wù)器集群的主要目的就是為業(yè)務(wù)系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)提供負(fù)載均衡，從而減少因單點(diǎn)故障而導(dǎo)致的訪問中斷問題。就目前來說，Web服務(wù)器商業(yè)軟件逐漸增多，設(shè)計(jì)者可結(jié)合該體系的實(shí)際情況靈活選擇。但一定要遵循以下原則：（1）盡量選擇遷移容易，且具有較強(qiáng)跨平臺能力的Web服務(wù)器商業(yè)軟件。畢竟，隨著服務(wù)器的不斷更新，未來Web服務(wù)器可能需要遷移，甚至還可能需要進(jìn)行跨平臺遷移。（2）重點(diǎn)考慮Web服務(wù)器商業(yè)軟件與應(yīng)用服務(wù)器之間的兼容性。因?yàn)楫?dāng)發(fā)生故障時(shí)，其較強(qiáng)的兼容性能保證Web服務(wù)器獲得足夠的技術(shù)支持。所以，可嘗試選擇統(tǒng)一廠商的軟硬件。比如若是選擇IHS作為Web服務(wù)器軟件，那么可選擇以IBM為核心的應(yīng)用服務(wù)器。這樣更具有兼容優(yōu)勢，從而盡可能地提高系統(tǒng)的安全性。

應(yīng)用服務(wù)器與Web服務(wù)器軟件都是基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的重要組成部分。從實(shí)際來看，應(yīng)用服務(wù)器不僅可進(jìn)行業(yè)務(wù)系統(tǒng)的部署，而且還可進(jìn)行統(tǒng)一身份認(rèn)證系統(tǒng)的部署。對于后者，可將其歸屬為一種為內(nèi)網(wǎng)提供服務(wù)的業(yè)務(wù)系統(tǒng)。另外，在該體系的部署中，服務(wù)器之間是通過以太網(wǎng)連接的，且形成了集群。結(jié)合SOA架構(gòu)來說，應(yīng)用服務(wù)器集群集中了所有松耦合的業(yè)務(wù)系統(tǒng)，而且為了保證系統(tǒng)的高可用性，還采用了主從、雙機(jī)雙工等方式。除此之外，應(yīng)用服務(wù)器集群與防火墻、Web服務(wù)器集群之間也采用了鏈路冗余。這樣做能有效加強(qiáng)業(yè)務(wù)系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)的聯(lián)系[4]。

數(shù)據(jù)庫服務(wù)器集群主要就是提供數(shù)據(jù)存儲服務(wù)。在體系架構(gòu)中，應(yīng)用服務(wù)器集群在數(shù)據(jù)庫服務(wù)器集群的前端，且采用了NFS方式進(jìn)行訪問。另外，整個(gè)體系采用SAN，即存儲區(qū)域網(wǎng)絡(luò)。這種存儲方式主要是利用專用高速網(wǎng)將網(wǎng)絡(luò)存儲設(shè)備與服務(wù)器連接起來。其主要優(yōu)點(diǎn)是能解決存儲設(shè)備輸入、輸出速率與系統(tǒng)運(yùn)行速度不匹配的問題。在該體系中，不經(jīng)常訪問的數(shù)據(jù)被存儲在了磁帶庫中，將需要經(jīng)常訪問，且需快速訪問的數(shù)據(jù)存儲在磁盤陣列中。且數(shù)據(jù)存儲設(shè)備與服務(wù)器之間的連接是靠光纖實(shí)現(xiàn)的。同時(shí)，還借助了光纖交換機(jī)提供的鏈路冗余，建立了一個(gè)安全、可靠的光纖通道。這樣能有效提高數(shù)據(jù)的安全性。需要注意的是，在該體系中，統(tǒng)一身份認(rèn)證系統(tǒng)內(nèi)部不僅采用了這種數(shù)據(jù)存儲方式，而且還與其他業(yè)務(wù)系統(tǒng)公用這種數(shù)據(jù)存儲方式。

5 ? ?結(jié)語

構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系既需要充分了解SOA架構(gòu)特點(diǎn)，也需要明確其體系架構(gòu)目標(biāo)、原則。同時(shí)，還需明確相關(guān)資源的管理方式及應(yīng)用系統(tǒng)集中的方法。這樣才能進(jìn)行系統(tǒng)模塊的部署。從當(dāng)前發(fā)展形勢來看，該體系具有非常廣闊的應(yīng)用前景。所以，進(jìn)一步加大基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的研究力度是具有現(xiàn)實(shí)意義的。

[參考文獻(xiàn)]

[1]李艷，莊海燕，張哲寧.面向SOA架構(gòu)分布式系統(tǒng)的會話交互建模及其安全驗(yàn)證[J].山東理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2017（3）：20-24.

[2]郭正敏.基于SOA架構(gòu)的分布式服務(wù)化治理方案的研究[D].南京：南京郵電大學(xué)，2016.

[3]潛昕，羅沙白，盧康權(quán).構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].軟件，2013（1）：17-19.

[4]盧宇，吳進(jìn)營，樂仁昌，等.基于SOA架構(gòu)的分布式異構(gòu)數(shù)據(jù)同步通信控制策略分析[J].計(jì)算機(jī)應(yīng)用，2012（5）：1421-1424.