統(tǒng)一身份認(rèn)證旨在將分散在各個(gè)信息系統(tǒng)中的用戶和權(quán)限資源進(jìn)行統(tǒng)一集中管理,提升系統(tǒng)安全性,簡化資源訪問操作。各家金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)由于開發(fā)時(shí)期不同,支撐技術(shù)各不相同,系統(tǒng)環(huán)境彼此獨(dú)立,統(tǒng)一身份認(rèn)證體系需要面對(duì)跨平臺(tái)、跨系統(tǒng)的巨大挑戰(zhàn)。近年來,面向服務(wù)架構(gòu)SOA(Service Oriented Architecture)技術(shù)為松散集成業(yè)務(wù)系統(tǒng)的統(tǒng)一身份認(rèn)證體系構(gòu)建創(chuàng)造了非常有利的條件。SOA通過業(yè)務(wù)需求將粗粒度的服務(wù)(應(yīng)用組件)進(jìn)行松散耦合,服務(wù)直接通過獨(dú)立于硬件平臺(tái),操作系統(tǒng)和程序語言的接口或契約相互聯(lián)系。構(gòu)建基于SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系為數(shù)據(jù)集中后業(yè)務(wù)系統(tǒng)身份認(rèn)證難題提供了可行的解決方案。
1、目標(biāo)與原則
系統(tǒng)建設(shè)目標(biāo)為:以現(xiàn)有的不同時(shí)期的業(yè)務(wù)系統(tǒng)為服務(wù)對(duì)象,構(gòu)建基于SOA架構(gòu),具有較強(qiáng)跨平臺(tái)、跨系統(tǒng)的異構(gòu)集成能力,能夠提供集中統(tǒng)一、安全可靠身份認(rèn)證服務(wù)的統(tǒng)一身份認(rèn)證體系。
系統(tǒng)設(shè)計(jì)原則有以下三點(diǎn):
1.安全原則。統(tǒng)一身份認(rèn)證系統(tǒng)的安全措施必須從全局角度考慮,用戶和權(quán)限信息并不只屬于單個(gè)業(yè)務(wù)系統(tǒng),而是涉及所有參與集中的業(yè)務(wù)系統(tǒng),所以統(tǒng)一身份認(rèn)證系統(tǒng)的安全等級(jí)應(yīng)等同于所有參與集中的安全級(jí)別最高的業(yè)務(wù)系統(tǒng)。
2.穩(wěn)定原則。統(tǒng)一身份認(rèn)證系統(tǒng)能否穩(wěn)定運(yùn)行直接影響所有參與集中的業(yè)務(wù)系統(tǒng)是否能夠正常使用。因此,統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)當(dāng)具有高可用性,能夠提供持續(xù)穩(wěn)定的服務(wù)。通常,具有高可用性的系統(tǒng)至少應(yīng)具備數(shù)據(jù)熱備,雙機(jī)熱備等基本功能。
3.開放原則。統(tǒng)一身份認(rèn)證系統(tǒng)需要跨越不同時(shí)期開發(fā)的業(yè)務(wù)系統(tǒng),適應(yīng)不同操作系統(tǒng)、程序語言,提供統(tǒng)一的身扮認(rèn)證服務(wù)。這就要求統(tǒng)一身份認(rèn)證系統(tǒng)具有非常強(qiáng)的開放性,能夠提供適應(yīng)不同業(yè)務(wù)系統(tǒng)的接入環(huán)境。
2、用戶和權(quán)限統(tǒng)一管理
統(tǒng)一身份認(rèn)證系統(tǒng)的主要特點(diǎn)就是用戶和權(quán)限的統(tǒng)一標(biāo)識(shí)、統(tǒng)一管理和統(tǒng)一認(rèn)證。目錄服務(wù)器是統(tǒng)一身份認(rèn)證系統(tǒng)的核心,其通過部署輕量級(jí)的目錄服務(wù)協(xié)議(Light weight Directory Access Protocol,LDAP)的基礎(chǔ)軟件,如在金融界廣泛使用的IBM Tivoli Directory Server,對(duì)外提供基于LDAP的目錄服務(wù)。LDAP之所以適用于金融機(jī)構(gòu)用戶和權(quán)限的管理,是因?yàn)樗軐I(yè)務(wù)系統(tǒng)用戶和權(quán)限信息以層次結(jié)構(gòu)、面向?qū)ο蟮姆绞竭M(jìn)行存儲(chǔ),非常適合查詢而非讀或更新。LDAP的這一性能非常契合金融機(jī)構(gòu)業(yè)務(wù)系統(tǒng)用戶相對(duì)穩(wěn)定而登陸頻繁的特點(diǎn)。
所有業(yè)務(wù)系統(tǒng)的用戶和權(quán)限信息都由目錄服務(wù)器來提供統(tǒng)一維護(hù)服務(wù),相比功能單一的緊耦合用戶認(rèn)證方式,其為業(yè)務(wù)系統(tǒng)提供三種接入方式:Web Service接口、LDAP接口和數(shù)據(jù)庫接口。通過綁定Web Service和LDAP接口,業(yè)務(wù)系統(tǒng)可以直接獲得目錄服務(wù)器對(duì)用戶和權(quán)限信息的反饋,同時(shí)統(tǒng)一身份認(rèn)證系統(tǒng)使用以上接口通過綁定關(guān)聯(lián)帳戶的方式實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)間的互信,即金融機(jī)構(gòu)內(nèi)或金融機(jī)構(gòu)間不同業(yè)務(wù)系統(tǒng)的互信和互通。
3、分布式SOA架構(gòu)應(yīng)用系統(tǒng)集中
數(shù)據(jù)集中需要業(yè)務(wù)系統(tǒng)集中作為支持,業(yè)務(wù)系統(tǒng)的集中不僅是物理服務(wù)器的集中,更是系統(tǒng)數(shù)據(jù)流的集中。如何將功能不同的業(yè)務(wù)系統(tǒng)進(jìn)行有效整合,做到統(tǒng)一認(rèn)證,統(tǒng)一管理,是統(tǒng)一身份認(rèn)證系統(tǒng)核心關(guān)鍵技術(shù)之一。
基于SOA架構(gòu)松耦合的理念,銀行業(yè)務(wù)系統(tǒng)的集中并不需要對(duì)已有系統(tǒng)的大規(guī)模改造整合,而是由SOA網(wǎng)絡(luò)規(guī)范統(tǒng)一網(wǎng)絡(luò)接口,如圖1所示。銀行業(yè)務(wù)系統(tǒng)只需實(shí)現(xiàn)對(duì)規(guī)范接口的有效支持,從SOA網(wǎng)絡(luò)的角度,業(yè)務(wù)系統(tǒng)即抽象為服務(wù)。目錄服務(wù)器提供的基于LDAP的服務(wù)本身也在分布式SOA網(wǎng)絡(luò)中抽象為身份認(rèn)證服務(wù),任何業(yè)務(wù)系統(tǒng)需要使用身份認(rèn)證時(shí),就如同調(diào)用內(nèi)部服務(wù)一樣調(diào)用SOA網(wǎng)絡(luò)提供的服務(wù)接口,獲得身份認(rèn)證服務(wù)。
與傳統(tǒng)身份認(rèn)證服務(wù)相比,基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證克服了用戶數(shù)據(jù)冗余,它將分散在業(yè)務(wù)系統(tǒng)中的用戶數(shù)據(jù)進(jìn)行了集中管理,不但提高了數(shù)據(jù)安全性,同時(shí)也解決了大量分散用戶數(shù)據(jù)維護(hù)難的問題。同時(shí),作為一項(xiàng)SOA網(wǎng)絡(luò)服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng),其擺脫了具體業(yè)務(wù)系統(tǒng)的硬件平臺(tái)、軟件環(huán)境的束縛,能夠非常友善的所有符合接口標(biāo)準(zhǔn)的新進(jìn)業(yè)務(wù)系統(tǒng),減輕后續(xù)業(yè)務(wù)系統(tǒng)身份認(rèn)證模塊的設(shè)計(jì)和開發(fā)工作。
4、基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的實(shí)現(xiàn)
基于分布式s0A架構(gòu)的統(tǒng)一身份認(rèn)證體系包括統(tǒng)一身份認(rèn)證系統(tǒng),相關(guān)集群環(huán)境、網(wǎng)絡(luò)環(huán)境與硬件設(shè)備。統(tǒng)一身份認(rèn)證系統(tǒng)功能圖如圖2所示,其至少需包含認(rèn)證模塊、授權(quán)模塊、查詢模塊和系統(tǒng)服務(wù)模塊。這四個(gè)模塊是完整統(tǒng)一身份認(rèn)證系統(tǒng)的最小組成,其他模塊如保密通訊模塊等可根據(jù)實(shí)際需求選擇性添加。認(rèn)證模塊基于包含用戶身份和權(quán)限的數(shù)據(jù)庫和LDAP服務(wù)器,業(yè)務(wù)系統(tǒng)通過LDAP或Web Service接口實(shí)現(xiàn)待核查用戶信息的提交,認(rèn)證模塊經(jīng)目錄模型檢索,并通過數(shù)據(jù)庫接口將用戶信息進(jìn)入數(shù)據(jù)庫查詢,將返回用戶身份進(jìn)行權(quán)限解釋,最終反饋給請(qǐng)求提起的業(yè)務(wù)系統(tǒng)。
授權(quán)模塊的主要功能在于分配用戶權(quán)限,包括通過初始化權(quán)限產(chǎn)生新用戶,基于分級(jí)授權(quán)的權(quán)限分配,及多業(yè)務(wù)系統(tǒng)間同用戶不同ID的權(quán)限映射。授權(quán)模塊作為所有業(yè)務(wù)系統(tǒng)權(quán)利分配的中心,其通過多級(jí)管理加強(qiáng)系統(tǒng)安全。與業(yè)務(wù)系統(tǒng)角色分類方式不同,分為超級(jí)管理員,應(yīng)用系統(tǒng)權(quán)限管理員,監(jiān)督管理員。超級(jí)管理員分配應(yīng)用系統(tǒng)權(quán)限管理員,應(yīng)用系統(tǒng)權(quán)限管理員為普通用戶。
查詢模塊主要功能為查找特定用戶,相同權(quán)限用戶的匯總和所有用戶權(quán)限變更查詢。
系統(tǒng)服務(wù)模塊只對(duì)超級(jí)管理員開放,提供統(tǒng)一身份認(rèn)證系統(tǒng)與數(shù)據(jù)庫和其他業(yè)務(wù)系統(tǒng)的連接配置,系統(tǒng)日志管理和維護(hù),系統(tǒng)備份信息管理等服務(wù)。
一般業(yè)務(wù)系統(tǒng)根據(jù)角色分類,應(yīng)包含以下幾類用戶:系統(tǒng)管理員,業(yè)務(wù)操作員,運(yùn)維人員,審查監(jiān)督員和普通用戶。大部分業(yè)務(wù)系統(tǒng)的用戶都應(yīng)使用與外部因特網(wǎng)物理隔絕的內(nèi)聯(lián)網(wǎng)訪問業(yè)務(wù)系統(tǒng)服務(wù)器,對(duì)于少數(shù)需要外聯(lián)的業(yè)務(wù)系統(tǒng),則需要在另設(shè)防火墻和代理服務(wù)器。
基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系建議部署架構(gòu)如圖3所示。用戶通過受到嚴(yán)格監(jiān)管的終端設(shè)備接入內(nèi)聯(lián)網(wǎng),路由器和交換機(jī)通過鏈路冗余保證線路可靠性,防火墻提供必要的安全防護(hù)。
Browser/Server架構(gòu)(BIS架構(gòu))逐漸取代Client/Server架構(gòu)(C/S架構(gòu)),業(yè)務(wù)系統(tǒng)的訪問均需通過Web服務(wù)器提供Web訪問支持。在防火墻后端,基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系需要建立一組Web服務(wù)器集群,為業(yè)務(wù)系統(tǒng)和身份統(tǒng)一認(rèn)證系統(tǒng)提供負(fù)載均衡,減少因單點(diǎn)故障引起的訪問中斷。可以選擇的Web服務(wù)器商業(yè)軟件非常多,如IIS,Weblogic,Tomcat,IHS等。在選擇合適的Web服務(wù)器軟件時(shí)應(yīng)注意兩點(diǎn):一是盡量選遷移容易,跨平臺(tái)能力強(qiáng)的Web服務(wù)器軟件。因?yàn)榉⻊?wù)器的更新?lián)Q代必然帶來Web服務(wù)器的遷移,而從實(shí)踐中看,Web服務(wù)器跨平臺(tái)換代的可能性較應(yīng)用服務(wù)器大很多,所以易跨平臺(tái)遷移的Web服務(wù)器軟件能為系統(tǒng)更新升級(jí)帶來極大的便利。二是與應(yīng)用服務(wù)器的兼容性。如果應(yīng)用服務(wù)器使用了IBM的小型機(jī),那么選擇IHS作為Web服務(wù)器軟件就比選擇IIS明智的多。選擇同一廠商的軟硬環(huán)境不但在兼容性上有明顯優(yōu)勢,而且若發(fā)生運(yùn)行故障也能獲得較為完整的技術(shù)支持。
應(yīng)用服務(wù)器是基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的核心,也是業(yè)務(wù)系統(tǒng)的關(guān)鍵部件。應(yīng)用服務(wù)器上不但部署了統(tǒng)一身份認(rèn)證系統(tǒng),也部署了業(yè)務(wù)系統(tǒng)。事實(shí)上,前者可視為一項(xiàng)提供對(duì)內(nèi)服務(wù)的“業(yè)務(wù)系統(tǒng)”。應(yīng)用服務(wù)器位于防火墻后端,使用集群的方式進(jìn)行聯(lián)結(jié),且與Web服務(wù)器集群通過以太網(wǎng)互聯(lián)。應(yīng)用服務(wù)器集群是SOA架構(gòu)承載平臺(tái),所有松耦合的業(yè)務(wù)系統(tǒng)均部署在集群中,使用主從方式、雙機(jī)雙工方式或多服務(wù)器互備方式運(yùn)行,獲得系統(tǒng)的高可用性。同時(shí),應(yīng)用服務(wù)器集群與Web服務(wù)器集群、防火墻的連接也使用了鏈路冗余,保證銀行業(yè)務(wù)系統(tǒng)和統(tǒng)一身份認(rèn)證系統(tǒng)的連通性。
數(shù)據(jù)庫服務(wù)器集群為應(yīng)用服務(wù)器集群提供數(shù)據(jù)存儲(chǔ)服務(wù),其位于應(yīng)用服務(wù)器集群的后端,使用Network File System方式訪問。基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系的存儲(chǔ)網(wǎng)絡(luò)架構(gòu)采用Storage Area Network(SAN),將不經(jīng)常訪問的數(shù)據(jù)存放在離線存儲(chǔ)設(shè)備上,如磁帶庫;將需要快速傳輸或經(jīng)常訪問的數(shù)據(jù)存放在在線存儲(chǔ)設(shè)備上,如磁盤陣列。值得注意的是,統(tǒng)一身份認(rèn)證系統(tǒng)與其他業(yè)務(wù)系統(tǒng)公用SAN存儲(chǔ)網(wǎng)絡(luò),它將存儲(chǔ)設(shè)備和數(shù)據(jù)庫服務(wù)器用光纖連接起來,通過多個(gè)光纖交換機(jī)提供的鏈路冗余,組件成一個(gè)可靠的光纖通道網(wǎng)絡(luò)。它的支持技術(shù)是Fibre Charmer協(xié)議(FC)。采用SAN可以使得數(shù)據(jù)的實(shí)際備份和存儲(chǔ)獨(dú)立與數(shù)據(jù)庫邏輯請(qǐng)求之外,即很大程度上消除了因存儲(chǔ)設(shè)備I/O速率與系統(tǒng)運(yùn)行速度不匹配帶來的瓶頸效應(yīng)。
5、小結(jié)
構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系于金融業(yè)業(yè)務(wù)系統(tǒng)大集中的背景下提出,在身份認(rèn)證集中化、信息化等方面作了一定的探索和研究,在實(shí)際使用也展現(xiàn)了良好的應(yīng)用前景。統(tǒng)一身份認(rèn)證將是大勢所趨,各金融機(jī)構(gòu)不應(yīng)只拘泥于機(jī)構(gòu)內(nèi)部的身份統(tǒng)一,在機(jī)構(gòu)間建立基于安全可靠的信任關(guān)系,能夠?yàn)榧訌?qiáng)經(jīng)濟(jì)信息互通互聯(lián),促進(jìn)金融發(fā)展帶來前所未有的機(jī)遇。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系
本文網(wǎng)址:http://m.hanmeixuan.com/html/consultation/10839310856.html
相關(guān)文章
