統一身份認證旨在將分散在各個信息系統中的用戶和權限資源進行統一集中管理,提升系統安全性,簡化資源訪問操作。各家金融機構的業務系統由于開發時期不同,支撐技術各不相同,系統環境彼此獨立,統一身份認證體系需要面對跨平臺、跨系統的巨大挑戰。近年來,面向服務架構SOA(Service Oriented Architecture)技術為松散集成業務系統的統一身份認證體系構建創造了非常有利的條件。SOA通過業務需求將粗粒度的服務(應用組件)進行松散耦合,服務直接通過獨立于硬件平臺,操作系統和程序語言的接口或契約相互聯系。構建基于SOA架構的統一身份認證體系為數據集中后業務系統身份認證難題提供了可行的解決方案。
1、目標與原則
系統建設目標為:以現有的不同時期的業務系統為服務對象,構建基于SOA架構,具有較強跨平臺、跨系統的異構集成能力,能夠提供集中統一、安全可靠身份認證服務的統一身份認證體系。
系統設計原則有以下三點:
1.安全原則。統一身份認證系統的安全措施必須從全局角度考慮,用戶和權限信息并不只屬于單個業務系統,而是涉及所有參與集中的業務系統,所以統一身份認證系統的安全等級應等同于所有參與集中的安全級別最高的業務系統。
2.穩定原則。統一身份認證系統能否穩定運行直接影響所有參與集中的業務系統是否能夠正常使用。因此,統一身份認證系統應當具有高可用性,能夠提供持續穩定的服務。通常,具有高可用性的系統至少應具備數據熱備,雙機熱備等基本功能。
3.開放原則。統一身份認證系統需要跨越不同時期開發的業務系統,適應不同操作系統、程序語言,提供統一的身扮認證服務。這就要求統一身份認證系統具有非常強的開放性,能夠提供適應不同業務系統的接入環境。
2、用戶和權限統一管理
統一身份認證系統的主要特點就是用戶和權限的統一標識、統一管理和統一認證。目錄服務器是統一身份認證系統的核心,其通過部署輕量級的目錄服務協議(Light weight Directory Access Protocol,LDAP)的基礎軟件,如在金融界廣泛使用的IBM Tivoli Directory Server,對外提供基于LDAP的目錄服務。LDAP之所以適用于金融機構用戶和權限的管理,是因為它能將業務系統用戶和權限信息以層次結構、面向對象的方式進行存儲,非常適合查詢而非讀或更新。LDAP的這一性能非常契合金融機構業務系統用戶相對穩定而登陸頻繁的特點。
所有業務系統的用戶和權限信息都由目錄服務器來提供統一維護服務,相比功能單一的緊耦合用戶認證方式,其為業務系統提供三種接入方式:Web Service接口、LDAP接口和數據庫接口。通過綁定Web Service和LDAP接口,業務系統可以直接獲得目錄服務器對用戶和權限信息的反饋,同時統一身份認證系統使用以上接口通過綁定關聯帳戶的方式實現業務系統間的互信,即金融機構內或金融機構間不同業務系統的互信和互通。
3、分布式SOA架構應用系統集中
數據集中需要業務系統集中作為支持,業務系統的集中不僅是物理服務器的集中,更是系統數據流的集中。如何將功能不同的業務系統進行有效整合,做到統一認證,統一管理,是統一身份認證系統核心關鍵技術之一。
基于SOA架構松耦合的理念,銀行業務系統的集中并不需要對已有系統的大規模改造整合,而是由SOA網絡規范統一網絡接口,如圖1所示。銀行業務系統只需實現對規范接口的有效支持,從SOA網絡的角度,業務系統即抽象為服務。目錄服務器提供的基于LDAP的服務本身也在分布式SOA網絡中抽象為身份認證服務,任何業務系統需要使用身份認證時,就如同調用內部服務一樣調用SOA網絡提供的服務接口,獲得身份認證服務。
與傳統身份認證服務相比,基于分布式SOA架構的統一身份認證克服了用戶數據冗余,它將分散在業務系統中的用戶數據進行了集中管理,不但提高了數據安全性,同時也解決了大量分散用戶數據維護難的問題。同時,作為一項SOA網絡服務的統一身份認證系統,其擺脫了具體業務系統的硬件平臺、軟件環境的束縛,能夠非常友善的所有符合接口標準的新進業務系統,減輕后續業務系統身份認證模塊的設計和開發工作。
4、基于分布式SOA架構的統一身份認證體系的實現
基于分布式s0A架構的統一身份認證體系包括統一身份認證系統,相關集群環境、網絡環境與硬件設備。統一身份認證系統功能圖如圖2所示,其至少需包含認證模塊、授權模塊、查詢模塊和系統服務模塊。這四個模塊是完整統一身份認證系統的最小組成,其他模塊如保密通訊模塊等可根據實際需求選擇性添加。認證模塊基于包含用戶身份和權限的數據庫和LDAP服務器,業務系統通過LDAP或Web Service接口實現待核查用戶信息的提交,認證模塊經目錄模型檢索,并通過數據庫接口將用戶信息進入數據庫查詢,將返回用戶身份進行權限解釋,最終反饋給請求提起的業務系統。
授權模塊的主要功能在于分配用戶權限,包括通過初始化權限產生新用戶,基于分級授權的權限分配,及多業務系統間同用戶不同ID的權限映射。授權模塊作為所有業務系統權利分配的中心,其通過多級管理加強系統安全。與業務系統角色分類方式不同,分為超級管理員,應用系統權限管理員,監督管理員。超級管理員分配應用系統權限管理員,應用系統權限管理員為普通用戶。
查詢模塊主要功能為查找特定用戶,相同權限用戶的匯總和所有用戶權限變更查詢。
系統服務模塊只對超級管理員開放,提供統一身份認證系統與數據庫和其他業務系統的連接配置,系統日志管理和維護,系統備份信息管理等服務。
一般業務系統根據角色分類,應包含以下幾類用戶:系統管理員,業務操作員,運維人員,審查監督員和普通用戶。大部分業務系統的用戶都應使用與外部因特網物理隔絕的內聯網訪問業務系統服務器,對于少數需要外聯的業務系統,則需要在另設防火墻和代理服務器。
基于分布式SOA架構的統一身份認證體系建議部署架構如圖3所示。用戶通過受到嚴格監管的終端設備接入內聯網,路由器和交換機通過鏈路冗余保證線路可靠性,防火墻提供必要的安全防護。
Browser/Server架構(BIS架構)逐漸取代Client/Server架構(C/S架構),業務系統的訪問均需通過Web服務器提供Web訪問支持。在防火墻后端,基于分布式SOA架構的統一身份認證體系需要建立一組Web服務器集群,為業務系統和身份統一認證系統提供負載均衡,減少因單點故障引起的訪問中斷。可以選擇的Web服務器商業軟件非常多,如IIS,Weblogic,Tomcat,IHS等。在選擇合適的Web服務器軟件時應注意兩點:一是盡量選遷移容易,跨平臺能力強的Web服務器軟件。因為服務器的更新換代必然帶來Web服務器的遷移,而從實踐中看,Web服務器跨平臺換代的可能性較應用服務器大很多,所以易跨平臺遷移的Web服務器軟件能為系統更新升級帶來極大的便利。二是與應用服務器的兼容性。如果應用服務器使用了IBM的小型機,那么選擇IHS作為Web服務器軟件就比選擇IIS明智的多。選擇同一廠商的軟硬環境不但在兼容性上有明顯優勢,而且若發生運行故障也能獲得較為完整的技術支持。
應用服務器是基于分布式SOA架構的統一身份認證體系的核心,也是業務系統的關鍵部件。應用服務器上不但部署了統一身份認證系統,也部署了業務系統。事實上,前者可視為一項提供對內服務的“業務系統”。應用服務器位于防火墻后端,使用集群的方式進行聯結,且與Web服務器集群通過以太網互聯。應用服務器集群是SOA架構承載平臺,所有松耦合的業務系統均部署在集群中,使用主從方式、雙機雙工方式或多服務器互備方式運行,獲得系統的高可用性。同時,應用服務器集群與Web服務器集群、防火墻的連接也使用了鏈路冗余,保證銀行業務系統和統一身份認證系統的連通性。
數據庫服務器集群為應用服務器集群提供數據存儲服務,其位于應用服務器集群的后端,使用Network File System方式訪問。基于分布式SOA架構的統一身份認證體系的存儲網絡架構采用Storage Area Network(SAN),將不經常訪問的數據存放在離線存儲設備上,如磁帶庫;將需要快速傳輸或經常訪問的數據存放在在線存儲設備上,如磁盤陣列。值得注意的是,統一身份認證系統與其他業務系統公用SAN存儲網絡,它將存儲設備和數據庫服務器用光纖連接起來,通過多個光纖交換機提供的鏈路冗余,組件成一個可靠的光纖通道網絡。它的支持技術是Fibre Charmer協議(FC)。采用SAN可以使得數據的實際備份和存儲獨立與數據庫邏輯請求之外,即很大程度上消除了因存儲設備I/O速率與系統運行速度不匹配帶來的瓶頸效應。
5、小結
構建基于分布式SOA架構的統一身份認證體系于金融業業務系統大集中的背景下提出,在身份認證集中化、信息化等方面作了一定的探索和研究,在實際使用也展現了良好的應用前景。統一身份認證將是大勢所趨,各金融機構不應只拘泥于機構內部的身份統一,在機構間建立基于安全可靠的信任關系,能夠為加強經濟信息互通互聯,促進金融發展帶來前所未有的機遇。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文網址:http://m.hanmeixuan.com/html/consultation/10839310856.html
相關文章
