构建基于分布式OA架构的统一身份认证体系.docxVIP

构建基于分布式SOA架构的统一身份认证体系 摘要：?本文充分利用SOA架构松耦合的特点，通过规范统一网络接口实现业务系统整合，既提升系统安全性，又简化资源访问操作，具有重要的理论和现实意义。? ??? 统一身份认证旨在将分散在各个信息系统中的用户和权限资源进行统一集中管理，提升系统安全性，简化资源访问操作。各家金融机构的业务系统由于开发时期不同，支撑技术各不相同，系统环境彼此独立，统一身份认证体系需要面对跨平台、跨系统的巨大挑战。近年来，面向服务架构SOA（Service Oriented Architecture）技术为松散集成业务系统的统一身份认证体系构建创造了非常有利的条件。SOA通过业务需求将粗粒度的服务（应用组件）进行松散耦合，服务直接通过独立于硬件平台，操作系统和程序语言的接口或契约相互联系。构建基于SOA架构的统一身份认证体系为数据集中后业务系统身份认证难题提供了可行的解决方案。 ????1、目标与原则 ??? 系统建设目标为：以现有的不同时期的业务系统为服务对象，构建基于SOA架构，具有较强跨平台、跨系统的异构集成能力，能够提供集中统一、安全可靠身份认证服务的统一身份认证体系。 ??? 系统设计原则有以下三点： ??? 1.安全原则。统一身份认证系统的安全措施必须从全局角度考虑，用户和权限信息并不只属于单个业务系统，而是涉及所有参与集中的业务系统，所以统一身份认证系统的安全等级应等同于所有参与集中的安全级别最高的业务系统。 ??? 2.稳定原则。统一身份认证系统能否稳定运行直接影响所有参与集中的业务系统是否能够正常使用。因此，统一身份认证系统应当具有高可用性，能够提供持续稳定的服务。通常，具有高可用性的系统至少应具备数据热备，双机热备等基本功能。 ??? 3.开放原则。统一身份认证系统需要跨越不同时期开发的业务系统，适应不同操作系统、程序语言，提供统一的身扮认证服务。这就要求统一身份认证系统具有非常强的开放性，能够提供适应不同业务系统的接入环境。 ????2、用户和权限统一管理 ??? 统一身份认证系统的主要特点就是用户和权限的统一标识、统一管理和统一认证。目录服务器是统一身份认证系统的核心，其通过部署轻量级的目录服务协议（Light weight Directory Access Protocol，LDAP）的基础软件，如在金融界广泛使用的IBM Tivoli Directory Server，对外提供基于LDAP的目录服务。LDAP之所以适用于金融机构用户和权限的管理，是因为它能将业务系统用户和权限信息以层次结构、面向对象的方式进行存储，非常适合查询而非读或更新。LDAP的这一性能非常契合金融机构业务系统用户相对稳定而登陆频繁的特点。 ??? 所有业务系统的用户和权限信息都由目录服务器来提供统一维护服务，相比功能单一的紧耦合用户认证方式，其为业务系统提供三种接入方式：Web Service接口、LDAP接口和数据库接口。通过绑定Web Service和LDAP接口，业务系统可以直接获得目录服务器对用户和权限信息的反馈，同时统一身份认证系统使用以上接口通过绑定关联帐户的方式实现业务系统间的互信，即金融机构内或金融机构间不同业务系统的互信和互通。 ????3、分布式SOA架构应用系统集中 ??? 数据集中需要业务系统集中作为支持，业务系统的集中不仅是物理服务器的集中，更是系统数据流的集中。如何将功能不同的业务系统进行有效整合，做到统一认证，统一管理，是统一身份认证系统核心关键技术之一。 ??? 基于SOA架构松耦合的理念，银行业务系统的集中并不需要对已有系统的大规模改造整合，而是由SOA网络规范统一网络接口，如图1所示。银行业务系统只需实现对规范接口的有效支持，从SOA网络的角度，业务系统即抽象为服务。目录服务器提供的基于LDAP的服务本身也在分布式SOA网络中抽象为身份认证服务，任何业务系统需要使用身份认证时，就如同调用内部服务一样调用SOA网络提供的服务接口，获得身份认证服务。 ??? 与传统身份认证服务相比，基于分布式SOA架构的统一身份认证克服了用户数据冗余，它将分散在业务系统中的用户数据进行了集中管理，不但提高了数据安全性，同时也解决了大量分散用户数据维护难的问题。同时，作为一项SOA网络服务的统一身份认证系统，其摆脱了具体业务系统的硬件平台、软件环境的束缚，能够非常友善的所有符合接口标准的新进业务系统，减轻后续业务系统身份认证模块的设计和开发工作。 4、基于分布式SOA架构的统一身份认证体系的实现 ??? 基于分布式s0A架构的统一身份认证体系包括统一身份认证系统，相关集群环境、网络环境与硬件设备。统一身份认证系统功能图如图2所示，其至少需包含认证模块、授权模块、查询模块