構建基于分布式SOA架構的統一身份認證體系

陳君

摘要：本文構建基于分布式SOA架構的統一身份認證體系的目的是將各信息系統用戶、權限資源進行統一管理。但實現這一目標的前提是要充分了解SOA架構的特點。文章就此展開了論述，先是明確了體系的構建目標與原則，進而分析了用戶和權限資源的統一管理方式以及基于分布式SOA架構應用系統集中方法，最后詳細闡述了如何實現基于分布式SOA架構的統一身份認證體系的構建。

[關鍵詞]分布式 SOA 架構 統一身份 認證體系

統一身份認證強調實現不同信息系統中的用戶、權限資源的集中管理。這樣做不僅僅能簡化資源訪問操作，而且還能有效提高系統的安全。近年來，隨著我國計算機技術的發展，SOA架構逐漸得到了人們的認可，且被應用在統一身份認證體系的創建中。這主要是因為SOA架構具有松耦合特點，非常有利于松散集成業務系統的構建。

1 體系的構建目標與原則

在系統建設前，一定要先明確建設目標，，為后續的系統建設工作指明方向。構建基于分布式SOA架構的統一身份認證體系的目標是：以SOA架構為基礎，構建能夠跨平臺、跨系統異構集成，且可進行統一集中管理的，安全可靠的身份認證體系，從而更好地為不同時期的業務系統提供服務。

在系統設計中，應遵循以下原則：

（1）安全。用戶、權限資源不只是來自于一個業務系統，而是來自于不同的業務系統。所以，一定要保證統一身份認證體系處于最高安全等級。

（2）穩定。只有統一身份認證體系足夠穩定，才能保證所有參與集中的業務系統能夠穩定地運行。所以，要盡可能地提高統一身份認證體系的穩定性、高可用性。一般情況，高可用的系統都具備數據熱備、雙機熱備等功能。

（3）開放。統一身份認證體系的用戶、權限資源來自于參與集中的不同時期的業務系統。那么，統一身份認證系統應當能為所有參與集中的不同時期的業務系統提供服務，也就是說它要適應不同的操作系統、程序語言。所以，一定要確保統一身份認證系統具有很強的開放性，能適應不同的接入環境。

2 用戶和權限資源的統一管理方式

在統一身份認證系統中，實現用戶、權限的統一標識、管理、認證，需要搭建目錄服務器。同時，還應結合可部署輕量級的目錄服務協議基礎軟件，即LDAP基礎軟件。這種基礎軟件可以實現業務系統中用戶、權限儲存的層次結構化、面向對象化。

通常所有業務系統的用戶、權限信息都是由目錄服務器提供的統一維護服務。這樣可為業務系統提供WebService接口、LDAP接口、數據庫接口三種接入方式。最重要的是WebService接口、LDAP接口能使業務系統直接獲得目錄服務器的反饋信息，并實現業務系統之間的相互通信。

3 基于分布式S0A架構應用系統集中方法

若要實現數據的集中，則必須實現業務系統接種。業務系統的集中不單是指物理服務器集中，而且還包括系統數據流的集中。所以，在構建統一身份認證系統時，一定要深入研究如何進行數據流的集中，真正實現統一認證、統一管理。

SOA架構的松耦合是指具有中立的接口定義。其優點在于靈活性高、可靠性高。基于這種理念，在實現業務系統的集中時可不對已有的業務系統進行改造、整合，而采用SOA網絡規范統一的網絡接口。這樣只要業務系統能夠支持規范接口即可。此時，目錄服務器所提供的以LDAP為基礎的服務在SOA網絡中，就會被抽象為身份認證服務。當業務系統使用這項服務時，就可通過調用SOA網絡服務接口來完成。顯然，這種調用方式比較簡單、直接。

4 基于分布式SOA架構的統一身份認證體系實現

4.1 基礎模塊

完整的基于分布式SOA架構的統一身份認證體系應當包括統一身份認證系統、網絡環境、硬件設備、集群環境等。統一身份系統起碼要有認證模塊、授權模塊、查詢模塊、系統服務模塊。其它模塊可以結合實際情況，靈活添加。

其中認證模塊的核心部分是LDAP服務器、用戶身份和權限的數據庫。在實際應用中，業務系統提交核查用戶信息時，會調動LDAP接口、WebService接口。然后認證模塊就會進行檢索，并再次通過數據接口使用戶信息進入到數據庫中，進行查詢。接下來，返回的用戶權限信息會被再反饋給業務系統。從中能夠發現認證模塊的主要作用就是結合用戶信息，進行目錄模型檢索，并實現數據庫信息的查詢。

另外，考慮到業務系統不同角色的使用權限不同，且大部分用戶基本都是使用內部網絡。所以，在遇到需要外聯本網絡外的服務器時，還要設置防火墻和代理服務器。這樣做能提高該系統的安全，避免系統受到非法攻擊。4.2部署架構

基于分布式SOA架構的統一身份認證體系部署架構應當包括三大部分：Web服務器集群、應用服務器集群、數據庫服務器集群。數據庫服務器集群與應用服務器集群之間選擇NFS訪問方式。同時數據庫服務集群與磁盤庫、磁盤陣列之間的信息交換應當通過SAN交換機，用戶的終端設備在接入內網前，需要先受到嚴格的監管。而應用服務器集群與用戶之間應設置防火墻、路由器和交換機通過鏈路冗余保證線路的可靠性。

在體系架構中可用B/S架構，即將系統功能集中到服務器之上。用戶只需通過瀏覽器就可進行訪問服務器。同樣，該業務系統的訪問也都是通過網絡服務器提供的網絡訪問服務實現的。另外，在該體系中，在防火墻后端建立了一組Web服務器集群的主要目的就是為業務系統、統一身份認證系統提供負載均衡，從而減少因單點故障而導致的訪問中斷問題。就目前來說，Web服務器商業軟件逐漸增多，設計者可結合該體系的實際情況靈活選擇。但一定要遵循以下原則：

（1）盡量選擇遷移容易，且具有較強跨平臺能力的Web服務器商業軟件。畢竟，隨著服務器的不斷更新，在未來Web服務器可能需要遷移。尤其是還可能需要進行跨平臺遷移。

（2）重點考慮Web服務器商業軟件與應用服務器之間的兼容性。因為當發生故障時，其較強的兼容性能保證Web服務器獲得足夠的技術支持。所以，可嘗試選擇統一廠商的軟硬件。比如若是選擇IHS作為Web服務器軟件，那么可選擇以IBM為核心的應用服務器。這樣更具有兼容優勢，從而盡可能地提高系統的安全性。

應用服務器與Web服務器軟件都是基于分布式SOA架構的統一身份認證體系的重要組成部分。從實際來看，應用服務器不僅可進行業務系統的部署，而且還可進行統一身份認證系統的部署。對于后者，可將其歸屬為一種為內網提供服務的業務系統。另外，在該體系的部署中，服務器之間是通過以太網連接的，且形成了集群。結合SOA架構來說，應用服務器集群集中了所有松耦合的業務系統，而且為了保證系統的高可用性，還采用了主從、雙機雙工等方式。除此之外，應用服務器集群與防火墻、Web服務器集群之間也采用了鏈路冗余。這樣做能有效加強業務系統、統一身份認證系統的聯系。

數據庫服務器集群主要就是提供數據存儲服務。在體系架構中，應用服務器集群在數據庫服務器集群的前端，且采用了NFS方式進行訪問。另外，整個體系采用SAN，即存儲區域網絡。這種存儲方式主要是利用專用高速網將網絡存儲設備與服務器連接起來。其主要優點是能解決存儲設備輸入、輸出速率與系統運行速度不匹配的問題。在該體系中，不經常訪問的數據被存儲在了磁帶庫中，將需要經常訪問，且需快速訪問的數據存儲在磁盤陣列中。且數據存儲設備與服務器之間的連接是靠光纖實現的。同時，還借助了光纖交換機提供的鏈路冗余，建立了一個安全、可靠的光纖通道。這樣能有效提高數據的安全性。需要注意的是，在該體系中，不僅僅是統一"身份認證系統內部采用了這種數據存儲方式，而且統一身份認證系統與其它業務系統還公用了這種數據存儲方式。

綜上所述，構建基于分布式SOA架構的統一身份認證體系既需要充分了解SOA架構特點，也需要明確其體系架構目標、原則。同時，還需明確相關資源的管理方式及應用系統集中的方法。這樣才能進行系統模塊的部署。從當前發展形勢來看，該體系具有非常廣闊的應用前景。所以，進一步加大基于分布式SOA架構的統一身份認證體系的研究力度是具有現實意義的。

參考文獻

[1]李艷，莊海燕，張哲寧，面向SOA架構分布式系統的會話交互建模及其安全驗證[J].山東理工大學學報（自然科學版），2017，31（03）：20-24.

[2]郭正敏.基于SOA架構的分布式服務化治理方案的研究[D].南京郵電大學，2016.[3]潛昕，羅沙白，盧康權。構建基于分布式SOA架構的統一身份認證體系[J].軟件，2013，34（01）：17-19.

[4]盧宇，吳進營，樂仁昌，吳允平，蔡聲鎮，鄭俊，朱麗，基于SOA架構的分布式異構數據同步通信控制策略分析[J].計算機應用，2012，32（05）：1421-1424.