胡春龍

摘 要：隨著信息技術(shù)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，建立統(tǒng)一身份認(rèn)證體系，可以實(shí)現(xiàn)對(duì)不同系統(tǒng)、不同用戶以及權(quán)限資源的集中化管理，簡化各項(xiàng)業(yè)務(wù)訪問與操作，提高系統(tǒng)安全性、可靠性、穩(wěn)定性。本文通過對(duì)分布式SOA架構(gòu)系統(tǒng)的分析，提出統(tǒng)一身份認(rèn)證體系的構(gòu)建方法，供有關(guān)中職院校參考。

關(guān)鍵詞：中職院校;分布式SOA架構(gòu);統(tǒng)一身份認(rèn)證

中圖分類號(hào)：G717?????????? 文獻(xiàn)標(biāo)識(shí)碼：A???? 文章編號(hào)：1992-7711（2020）19-008-1

在中職院校各類網(wǎng)絡(luò)系統(tǒng)管理及應(yīng)用中，SOA（ServiceOriented Architecture）架構(gòu)體系，因其松耦合特色，便于對(duì)各類系統(tǒng)業(yè)務(wù)的有效集成。圍繞分布式SOA系統(tǒng)架構(gòu)，從提升用戶管理安全性，優(yōu)化信息資源管理效能方面，建立統(tǒng)一身份認(rèn)證體系，以實(shí)現(xiàn)對(duì)不同用戶、權(quán)限的層次化、對(duì)象化部署。對(duì)信息數(shù)據(jù)的集中化管理，不但要梳理各項(xiàng)業(yè)務(wù)系統(tǒng)，更要從硬件服務(wù)器集中、數(shù)據(jù)庫集中來進(jìn)行科學(xué)、高效部署，實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)信息的互通、互聯(lián)。

一、統(tǒng)一身份認(rèn)證體系的構(gòu)建特點(diǎn)

在構(gòu)建統(tǒng)一身份認(rèn)證體系中，需要搭建目錄服務(wù)器，并借助于目錄訪問協(xié)議LDAP（Light weight Directory Access Protocol）實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)系統(tǒng)用戶、權(quán)限的統(tǒng)一標(biāo)識(shí)、管理和認(rèn)證?；诜植际絊OA架構(gòu)，其基礎(chǔ)為分布式面向服務(wù)的架構(gòu)，可以實(shí)現(xiàn)跨平臺(tái)、跨系統(tǒng)間的異構(gòu)與集成，且能夠提供安全、穩(wěn)定、可靠的身份認(rèn)證服務(wù)。其特點(diǎn)有三方面，一是安全性。在統(tǒng)一身份認(rèn)證中，對(duì)于來自不同業(yè)務(wù)系統(tǒng)的用戶，都要具備最高安全等級(jí)。也就是說，可以是同一業(yè)務(wù)系統(tǒng)用戶，也可以是其他業(yè)務(wù)系統(tǒng)用戶。二是穩(wěn)定性。在統(tǒng)一身份認(rèn)證中，要滿足用戶高可用性。也就是說，在系統(tǒng)中，應(yīng)該部署數(shù)據(jù)熱備、雙機(jī)熱備等功能，可以確保各項(xiàng)業(yè)務(wù)系統(tǒng)穩(wěn)定。三是開放性?；诋?dāng)下網(wǎng)絡(luò)系統(tǒng)管理的多元性，在統(tǒng)一身份認(rèn)證中，要滿足不同業(yè)務(wù)系統(tǒng)的參與集中式管理，可以向不同操作系統(tǒng)、不同程序設(shè)計(jì)軟件滿足接入要求，統(tǒng)一管理。

二、分布式SOA架構(gòu)統(tǒng)一身份認(rèn)證體系的構(gòu)建

1.對(duì)基礎(chǔ)模塊進(jìn)行架構(gòu)與部署

在實(shí)現(xiàn)統(tǒng)一身份認(rèn)證之前，需要對(duì)系統(tǒng)架構(gòu)進(jìn)行整體部署，如網(wǎng)絡(luò)環(huán)境、硬件設(shè)備、軟件系統(tǒng)集群等。其中，基礎(chǔ)模塊主要包括認(rèn)證、授權(quán)、查詢、系統(tǒng)服務(wù)等內(nèi)容。對(duì)于認(rèn)證模塊，其核心為LDAP服務(wù)器，主要是對(duì)用戶身份及權(quán)限進(jìn)行統(tǒng)一標(biāo)識(shí)、管理和認(rèn)證。針對(duì)不同業(yè)務(wù)系統(tǒng)間的訪問，在進(jìn)行用戶信息核查時(shí)，需要調(diào)用LDAP接口，Web Service接口。同時(shí)，在進(jìn)行用戶檢索時(shí)，還要通過數(shù)據(jù)接口，來查詢用戶數(shù)據(jù)庫，將反饋信息傳送給業(yè)務(wù)系統(tǒng)。授權(quán)模塊主要是對(duì)用戶進(jìn)行權(quán)限配置，包括新建用戶權(quán)限初始化。分配權(quán)限是構(gòu)成授權(quán)模塊的核心，對(duì)授權(quán)模塊進(jìn)行管理，為整個(gè)統(tǒng)一身份認(rèn)證提供安全保障。另外，在授權(quán)模塊，根據(jù)不同業(yè)務(wù)系統(tǒng)，可以分配不同的權(quán)限等級(jí)，如超級(jí)管理員、監(jiān)督管理員、應(yīng)用系統(tǒng)權(quán)限管理員等。查詢模塊主要滿足用戶對(duì)特定信息的查詢，了解用戶權(quán)限，變更權(quán)限結(jié)構(gòu)等，如超級(jí)管理員可以對(duì)統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行配置，維護(hù)日志管理，系統(tǒng)備份等服務(wù)。

2.對(duì)服務(wù)器集群進(jìn)行部署

統(tǒng)一身份認(rèn)證體系，在部署架構(gòu)上，需要對(duì)Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫等進(jìn)行統(tǒng)一部署。其中，數(shù)據(jù)庫服務(wù)器采用NFS訪問方式，與應(yīng)用服務(wù)器展開對(duì)接，并利用SAN交換機(jī)實(shí)現(xiàn)對(duì)磁盤陣列等信息交換。對(duì)于用戶終端，需要在接入網(wǎng)絡(luò)前，進(jìn)行嚴(yán)格監(jiān)管，并利用防火墻、路由器、交換機(jī)等實(shí)現(xiàn)鏈路冗余，確保系統(tǒng)可靠性。對(duì)于整個(gè)統(tǒng)一認(rèn)證系統(tǒng)，各用戶采用B/S訪問模式，將系統(tǒng)功能集成到服務(wù)器，以瀏覽器方式，訪問服務(wù)器。在防火墻后端，通過建立Web服務(wù)器集群來實(shí)現(xiàn)負(fù)載均衡管理，減少因單點(diǎn)故障引發(fā)系統(tǒng)不穩(wěn)定問題。當(dāng)前，各類Web服務(wù)器軟件多，對(duì)不同系統(tǒng)軟件的接入，要做到兩點(diǎn)：一是要盡量選擇具有跨平臺(tái)能力的Web服務(wù)器軟件，使其具有良好的移植性。二是盡量選擇能夠與其他服務(wù)器兼容的軟件，以便于獲得更大的服務(wù)支持。如選擇IHS作為Web服務(wù)器軟件，引入IBM應(yīng)用服務(wù)器，來提升整個(gè)系統(tǒng)的兼容性，確保高安全性。在分布式SOA架構(gòu)中，對(duì)應(yīng)用服務(wù)器的部署，還可以通過業(yè)務(wù)系統(tǒng)的部署，來對(duì)接統(tǒng)一身份認(rèn)證體系。如利用以太網(wǎng)連接，構(gòu)成服務(wù)器集群，將應(yīng)用服務(wù)器采用主從結(jié)構(gòu)或雙機(jī)雙工模式，來提升系統(tǒng)高可用性。

3.統(tǒng)一身份認(rèn)證的管理過程

在校園數(shù)字化建設(shè)中，引入統(tǒng)一身份認(rèn)證體系，可以實(shí)現(xiàn)對(duì)多站點(diǎn)、多用戶群的統(tǒng)一化管理。借助于CA、數(shù)字簽名技術(shù)，為校園網(wǎng)每個(gè)用戶提供身份認(rèn)證與安全服務(wù)。對(duì)于每個(gè)用戶，建立統(tǒng)一的基本信息庫，確保每個(gè)用戶唯一。構(gòu)建并維護(hù)應(yīng)用服務(wù)注冊信息庫，實(shí)現(xiàn)細(xì)粒度權(quán)限管理。利用PKI理論、數(shù)字證書認(rèn)證機(jī)制，對(duì)訪問校園網(wǎng)的用戶身份進(jìn)行合法性、安全性驗(yàn)證，支持輕量級(jí)LDAP目錄訪問協(xié)議，來實(shí)現(xiàn)對(duì)不同用戶、不同網(wǎng)絡(luò)資源、服務(wù)權(quán)限的分配與管理。如在統(tǒng)一身份認(rèn)證中，引入動(dòng)態(tài)密鑰來確保數(shù)據(jù)傳輸?shù)陌踩?，引入用戶管理、認(rèn)證服務(wù)負(fù)載均衡機(jī)制，可以實(shí)現(xiàn)對(duì)用戶、屬性、服務(wù)、硬件等擴(kuò)展需要。另外，在統(tǒng)一身份認(rèn)證中，可以對(duì)多種應(yīng)用系統(tǒng)進(jìn)行兼容和整合，極大簡化各項(xiàng)業(yè)務(wù)系統(tǒng)的部署，提高系統(tǒng)開放性、靈活性。

加強(qiáng)對(duì)異構(gòu)系統(tǒng)的集成化管理，利用統(tǒng)一認(rèn)證體系，來實(shí)現(xiàn)校園各信息資源系統(tǒng)的集中管理。其作用是最大限度的減少用戶的帳號(hào)數(shù)，簡化登錄過程，實(shí)現(xiàn)一次登錄多點(diǎn)使用，實(shí)行統(tǒng)一管理。當(dāng)然，在建設(shè)與部署中，各院校要結(jié)合自身實(shí)際，優(yōu)化各模塊，提高校園網(wǎng)絡(luò)數(shù)字化管理水平。

[參考文獻(xiàn)]

[1]陳君.構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].電子技術(shù)與軟件工程，2019（10）.

[2]方宇芳.構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認(rèn)證體系[J].無線互聯(lián)科技，2019，16（08）.

（作者單位：江陰市商業(yè)中等專業(yè)學(xué)校，江蘇 江陰214400）