方宇芳

摘 ? 要：構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的目的是將各信息系統(tǒng)用戶、權(quán)限資源進行統(tǒng)一管理。但實現(xiàn)這一目標的前提是要充分了解SOA架構(gòu)的特點。文章就此展開了論述，首先，明確了體系的構(gòu)建目標與原則;其次，分析了用戶和權(quán)限資源的統(tǒng)一管理方式以及基于分布式SOA架構(gòu)應(yīng)用系統(tǒng)集中方法;最后，詳細闡述了如何實現(xiàn)基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的構(gòu)建。

關(guān)鍵詞：分布式;SOA架構(gòu);統(tǒng)一身份;認證體系

1 ? ?體系的構(gòu)建目標與原則

在系統(tǒng)建設(shè)前，一定要先明確建設(shè)目標，為后續(xù)的系統(tǒng)建設(shè)工作指明方向。構(gòu)建基于分布式面向服務(wù)的架構(gòu)（Service-oriented Architectur，SOA）的統(tǒng)一身份認證體系的目標是：以SOA架構(gòu)為基礎(chǔ)，構(gòu)建能夠跨平臺、跨系統(tǒng)異構(gòu)集成，且可進行統(tǒng)一集中管理的，安全可靠的身份認證體系，從而更好地為不同時期的業(yè)務(wù)系統(tǒng)提供服務(wù)[1]。

在系統(tǒng)設(shè)計中，應(yīng)遵循以下原則：（1）安全。用戶、權(quán)限資源不只是來自于一個業(yè)務(wù)系統(tǒng)，而是來自于不同的業(yè)務(wù)系統(tǒng)。所以，一定要保證統(tǒng)一身份認證體系處于最高安全等級。（2）穩(wěn)定。只有統(tǒng)一身份認證體系足夠穩(wěn)定，才能保證所有參與集中的業(yè)務(wù)系統(tǒng)能夠穩(wěn)定地運行。所以，要盡可能地提高統(tǒng)一身份認證體系的穩(wěn)定性、高可用性。一般情況，高可用的系統(tǒng)都具備數(shù)據(jù)熱備、雙機熱備等功能。（3）開放。統(tǒng)一身份認證體系的用戶、權(quán)限資源來自于參與集中的不同時期的業(yè)務(wù)系統(tǒng)。那么，統(tǒng)一身份認證系統(tǒng)應(yīng)當(dāng)能為所有參與集中的不同時期的業(yè)務(wù)系統(tǒng)提供服務(wù)，也就是說它要適應(yīng)不同的操作系統(tǒng)、程序語言。所以，一定要確保統(tǒng)一身份認證系統(tǒng)具有很強的開放性，能適應(yīng)不同的接入環(huán)境。

2 ? ?用戶和權(quán)限資源的統(tǒng)一管理方式

在統(tǒng)一身份認證系統(tǒng)中，實現(xiàn)用戶、權(quán)限的統(tǒng)一標識、管理、認證，需要搭建目錄服務(wù)器。同時，還應(yīng)結(jié)合可部署輕量級的目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）基礎(chǔ)軟件。這種基礎(chǔ)軟件可以實現(xiàn)業(yè)務(wù)系統(tǒng)中用戶、權(quán)限儲存的層次結(jié)構(gòu)化、面向?qū)ο蠡?/p>

通常所有業(yè)務(wù)系統(tǒng)的用戶、權(quán)限信息都是由目錄服務(wù)器提供的統(tǒng)一維護服務(wù)。這樣可為業(yè)務(wù)系統(tǒng)提供Web Service接口、LDAP接口、數(shù)據(jù)庫接口3種接入方式。最重要的是Web Service接口、LDAP接口能使業(yè)務(wù)系統(tǒng)直接獲得目錄服務(wù)器的反饋信息，并實現(xiàn)業(yè)務(wù)系統(tǒng)之間的相互通信[2]。

3 ? ?基于分布式SOA架構(gòu)應(yīng)用系統(tǒng)集中方法

若要實現(xiàn)數(shù)據(jù)的集中，則必須實現(xiàn)業(yè)務(wù)系統(tǒng)接種。業(yè)務(wù)系統(tǒng)的集中不單是指物理服務(wù)器集中，而且還包括系統(tǒng)數(shù)據(jù)流的集中。所以，在構(gòu)建統(tǒng)一身份認證系統(tǒng)時，一定要深入研究如何進行數(shù)據(jù)流的集中，真正實現(xiàn)統(tǒng)一認證、統(tǒng)一管理。

SOA架構(gòu)的松耦合是指具有中立的接口定義。其優(yōu)點在于靈活性高、可靠性高。基于這種理念，在實現(xiàn)業(yè)務(wù)系統(tǒng)的集中時可不對已有的業(yè)務(wù)系統(tǒng)進行改造、整合，而采用SOA網(wǎng)絡(luò)規(guī)范統(tǒng)一的網(wǎng)絡(luò)接口。這樣只要業(yè)務(wù)系統(tǒng)能夠支持規(guī)范接口即可。此時，目錄服務(wù)器所提供的以LDAP為基礎(chǔ)的服務(wù)在SOA網(wǎng)絡(luò)中，就會被抽象為身份認證服務(wù)。當(dāng)業(yè)務(wù)系統(tǒng)使用這項服務(wù)時，就可通過調(diào)用SOA網(wǎng)絡(luò)服務(wù)接口來完成。顯然，這種調(diào)用方式比較簡單、直接[3]。

4 ? ?基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系實現(xiàn)

4.1 ?基礎(chǔ)模塊

完整的基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系應(yīng)當(dāng)包括統(tǒng)一身份認證系統(tǒng)、網(wǎng)絡(luò)環(huán)境、硬件設(shè)備、集群環(huán)境等。統(tǒng)一身份系統(tǒng)起碼要有認證模塊、授權(quán)模塊、查詢模塊、系統(tǒng)服務(wù)模塊。其他模塊可以結(jié)合實際情況，靈活添加。

認證模塊的核心部分是LDAP服務(wù)器、用戶身份和權(quán)限的數(shù)據(jù)庫。在實際應(yīng)用中，業(yè)務(wù)系統(tǒng)提交核查用戶信息時，首先，會調(diào)動LDAP接口、Web Service接口。其次，認證模塊就會進行檢索，并再次通過數(shù)據(jù)接口使用戶信息進入到數(shù)據(jù)庫中，進行查詢。最后，返回的用戶權(quán)限信息會被再反饋給業(yè)務(wù)系統(tǒng)，從中能夠發(fā)現(xiàn)認證模塊的主要作用就是結(jié)合用戶信息，進行目錄模型檢索，并實現(xiàn)數(shù)據(jù)庫信息的查詢。

授權(quán)模塊的主要作用就是進行用戶權(quán)限的分配，如初始化權(quán)限產(chǎn)生新用戶?？梢哉f，授權(quán)模塊是分配業(yè)務(wù)系統(tǒng)權(quán)力的核心。所以，一定要加強授權(quán)模塊的管理，避免出現(xiàn)授權(quán)被篡改的問題，影響到整個系統(tǒng)的安全。另外，在授權(quán)模塊中，業(yè)務(wù)系統(tǒng)角色可分為超級管理員、監(jiān)督管理員、應(yīng)用系統(tǒng)權(quán)限管理員。不同業(yè)務(wù)系統(tǒng)角色的權(quán)限、作用都不相同。

查詢模塊的主要作用就是進行特定用戶的查找、用戶權(quán)限的變更及所有同權(quán)限用戶的匯總。系統(tǒng)服務(wù)模塊主要是為超級管理員服務(wù)的，如提供統(tǒng)一身份認證服務(wù)、業(yè)務(wù)系統(tǒng)相互連接配置服務(wù)、系統(tǒng)日志管理和維護服務(wù)、系統(tǒng)備份服務(wù)等。

另外，考慮到業(yè)務(wù)系統(tǒng)不同角色的使用權(quán)限不同，且大部分用戶基本都是使用內(nèi)部網(wǎng)絡(luò)。所以，在遇到需要外聯(lián)本網(wǎng)絡(luò)外的服務(wù)器時，還要設(shè)置防火墻和代理服務(wù)器。這樣做能提高該系統(tǒng)的安全，避免系統(tǒng)受到非法攻擊。

4.2 ?部署架構(gòu)

基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系部署架構(gòu)應(yīng)當(dāng)包括3大部分：Web服務(wù)器集群、應(yīng)用服務(wù)器集群和數(shù)據(jù)庫服務(wù)器集群。數(shù)據(jù)庫服務(wù)器集群與應(yīng)用服務(wù)器集群之間選擇NFS訪問方式。同時數(shù)據(jù)庫服務(wù)集群與磁盤庫、磁盤陣列之間的信息交換應(yīng)當(dāng)通過SAN交換機，用戶的終端設(shè)備在接入內(nèi)網(wǎng)前，需要先受到嚴格的監(jiān)管。而應(yīng)用服務(wù)器集群與用戶之間應(yīng)設(shè)置防火墻、路由器和交換機通過鏈路冗余保證線路的可靠性。

在體系架構(gòu)中可用瀏覽器/服務(wù)器模式結(jié)構(gòu)（Browser/Server，B/S），即將系統(tǒng)功能集中到服務(wù)器之上。用戶只需通過瀏覽器就可進行訪問服務(wù)器。同樣，該業(yè)務(wù)系統(tǒng)的訪問也都是通過網(wǎng)絡(luò)服務(wù)器提供的網(wǎng)絡(luò)訪問服務(wù)實現(xiàn)的。另外，在該體系中，在防火墻后端建立了一組Web服務(wù)器集群的主要目的就是為業(yè)務(wù)系統(tǒng)、統(tǒng)一身份認證系統(tǒng)提供負載均衡，從而減少因單點故障而導(dǎo)致的訪問中斷問題。就目前來說，Web服務(wù)器商業(yè)軟件逐漸增多，設(shè)計者可結(jié)合該體系的實際情況靈活選擇。但一定要遵循以下原則：（1）盡量選擇遷移容易，且具有較強跨平臺能力的Web服務(wù)器商業(yè)軟件。畢竟，隨著服務(wù)器的不斷更新，未來Web服務(wù)器可能需要遷移，甚至還可能需要進行跨平臺遷移。（2）重點考慮Web服務(wù)器商業(yè)軟件與應(yīng)用服務(wù)器之間的兼容性。因為當(dāng)發(fā)生故障時，其較強的兼容性能保證Web服務(wù)器獲得足夠的技術(shù)支持。所以，可嘗試選擇統(tǒng)一廠商的軟硬件。比如若是選擇IHS作為Web服務(wù)器軟件，那么可選擇以IBM為核心的應(yīng)用服務(wù)器。這樣更具有兼容優(yōu)勢，從而盡可能地提高系統(tǒng)的安全性。

應(yīng)用服務(wù)器與Web服務(wù)器軟件都是基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的重要組成部分。從實際來看，應(yīng)用服務(wù)器不僅可進行業(yè)務(wù)系統(tǒng)的部署，而且還可進行統(tǒng)一身份認證系統(tǒng)的部署。對于后者，可將其歸屬為一種為內(nèi)網(wǎng)提供服務(wù)的業(yè)務(wù)系統(tǒng)。另外，在該體系的部署中，服務(wù)器之間是通過以太網(wǎng)連接的，且形成了集群。結(jié)合SOA架構(gòu)來說，應(yīng)用服務(wù)器集群集中了所有松耦合的業(yè)務(wù)系統(tǒng)，而且為了保證系統(tǒng)的高可用性，還采用了主從、雙機雙工等方式。除此之外，應(yīng)用服務(wù)器集群與防火墻、Web服務(wù)器集群之間也采用了鏈路冗余。這樣做能有效加強業(yè)務(wù)系統(tǒng)、統(tǒng)一身份認證系統(tǒng)的聯(lián)系[4]。

數(shù)據(jù)庫服務(wù)器集群主要就是提供數(shù)據(jù)存儲服務(wù)。在體系架構(gòu)中，應(yīng)用服務(wù)器集群在數(shù)據(jù)庫服務(wù)器集群的前端，且采用了NFS方式進行訪問。另外，整個體系采用SAN，即存儲區(qū)域網(wǎng)絡(luò)。這種存儲方式主要是利用專用高速網(wǎng)將網(wǎng)絡(luò)存儲設(shè)備與服務(wù)器連接起來。其主要優(yōu)點是能解決存儲設(shè)備輸入、輸出速率與系統(tǒng)運行速度不匹配的問題。在該體系中，不經(jīng)常訪問的數(shù)據(jù)被存儲在了磁帶庫中，將需要經(jīng)常訪問，且需快速訪問的數(shù)據(jù)存儲在磁盤陣列中。且數(shù)據(jù)存儲設(shè)備與服務(wù)器之間的連接是靠光纖實現(xiàn)的。同時，還借助了光纖交換機提供的鏈路冗余，建立了一個安全、可靠的光纖通道。這樣能有效提高數(shù)據(jù)的安全性。需要注意的是，在該體系中，統(tǒng)一身份認證系統(tǒng)內(nèi)部不僅采用了這種數(shù)據(jù)存儲方式，而且還與其他業(yè)務(wù)系統(tǒng)公用這種數(shù)據(jù)存儲方式。

5 ? ?結(jié)語

構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系既需要充分了解SOA架構(gòu)特點，也需要明確其體系架構(gòu)目標、原則。同時，還需明確相關(guān)資源的管理方式及應(yīng)用系統(tǒng)集中的方法。這樣才能進行系統(tǒng)模塊的部署。從當(dāng)前發(fā)展形勢來看，該體系具有非常廣闊的應(yīng)用前景。所以，進一步加大基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的研究力度是具有現(xiàn)實意義的。

[參考文獻]

[1]李艷，莊海燕，張哲寧.面向SOA架構(gòu)分布式系統(tǒng)的會話交互建模及其安全驗證[J].山東理工大學(xué)學(xué)報（自然科學(xué)版），2017（3）：20-24.

[2]郭正敏.基于SOA架構(gòu)的分布式服務(wù)化治理方案的研究[D].南京：南京郵電大學(xué)，2016.

[3]潛昕，羅沙白，盧康權(quán).構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系[J].軟件，2013（1）：17-19.

[4]盧宇，吳進營，樂仁昌，等.基于SOA架構(gòu)的分布式異構(gòu)數(shù)據(jù)同步通信控制策略分析[J].計算機應(yīng)用，2012（5）：1421-1424.