統(tǒng)一身份認證旨在將分散在各個信息系統(tǒng)中的用戶和權(quán)限資源進行統(tǒng)一集中管理，提升系統(tǒng)安全性，簡化資源訪問操作。各家金融機構(gòu)的業(yè)務系統(tǒng)由于開發(fā)時期不同，支撐技術各不相同，系統(tǒng)環(huán)境彼此獨立，統(tǒng)一身份認證體系需要面對跨平臺、跨系統(tǒng)的巨大挑戰(zhàn)。近年來，面向服務架構(gòu)SOA(Service Oriented Architecture)技術為松散集成業(yè)務系統(tǒng)的統(tǒng)一身份認證體系構(gòu)建創(chuàng)造了非常有利的條件。SOA通過業(yè)務需求將粗粒度的服務(應用組件)進行松散耦合，服務直接通過獨立于硬件平臺，操作系統(tǒng)和程序語言的接口或契約相互聯(lián)系。構(gòu)建基于SOA架構(gòu)的統(tǒng)一身份認證體系為數(shù)據(jù)集中后業(yè)務系統(tǒng)身份認證難題提供了可行的解決方案。

　　1、目標與原則

　　系統(tǒng)建設目標為：以現(xiàn)有的不同時期的業(yè)務系統(tǒng)為服務對象，構(gòu)建基于SOA架構(gòu)，具有較強跨平臺、跨系統(tǒng)的異構(gòu)集成能力，能夠提供集中統(tǒng)一、安全可靠身份認證服務的統(tǒng)一身份認證體系。

　　系統(tǒng)設計原則有以下三點：

　　1．安全原則。統(tǒng)一身份認證系統(tǒng)的安全措施必須從全局角度考慮，用戶和權(quán)限信息并不只屬于單個業(yè)務系統(tǒng)，而是涉及所有參與集中的業(yè)務系統(tǒng)，所以統(tǒng)一身份認證系統(tǒng)的安全等級應等同于所有參與集中的安全級別最高的業(yè)務系統(tǒng)。

　　2．穩(wěn)定原則。統(tǒng)一身份認證系統(tǒng)能否穩(wěn)定運行直接影響所有參與集中的業(yè)務系統(tǒng)是否能夠正常使用。因此，統(tǒng)一身份認證系統(tǒng)應當具有高可用性，能夠提供持續(xù)穩(wěn)定的服務。通常，具有高可用性的系統(tǒng)至少應具備數(shù)據(jù)熱備，雙機熱備等基本功能。

　　3．開放原則。統(tǒng)一身份認證系統(tǒng)需要跨越不同時期開發(fā)的業(yè)務系統(tǒng)，適應不同操作系統(tǒng)、程序語言，提供統(tǒng)一的身扮認證服務。這就要求統(tǒng)一身份認證系統(tǒng)具有非常強的開放性，能夠提供適應不同業(yè)務系統(tǒng)的接入環(huán)境。

　　2、用戶和權(quán)限統(tǒng)一管理

　　統(tǒng)一身份認證系統(tǒng)的主要特點就是用戶和權(quán)限的統(tǒng)一標識、統(tǒng)一管理和統(tǒng)一認證。目錄服務器是統(tǒng)一身份認證系統(tǒng)的核心，其通過部署輕量級的目錄服務協(xié)議(Light weight Directory Access Protocol，LDAP)的基礎軟件，如在金融界廣泛使用的IBM Tivoli Directory Server，對外提供基于LDAP的目錄服務。LDAP之所以適用于金融機構(gòu)用戶和權(quán)限的管理，是因為它能將業(yè)務系統(tǒng)用戶和權(quán)限信息以層次結(jié)構(gòu)、面向?qū)ο蟮姆绞竭M行存儲，非常適合查詢而非讀或更新。LDAP的這一性能非常契合金融機構(gòu)業(yè)務系統(tǒng)用戶相對穩(wěn)定而登陸頻繁的特點。
 

　　所有業(yè)務系統(tǒng)的用戶和權(quán)限信息都由目錄服務器來提供統(tǒng)一維護服務，相比功能單一的緊耦合用戶認證方式，其為業(yè)務系統(tǒng)提供三種接入方式：Web Service接口、LDAP接口和數(shù)據(jù)庫接口。通過綁定Web Service和LDAP接口，業(yè)務系統(tǒng)可以直接獲得目錄服務器對用戶和權(quán)限信息的反饋，同時統(tǒng)一身份認證系統(tǒng)使用以上接口通過綁定關聯(lián)帳戶的方式實現(xiàn)業(yè)務系統(tǒng)間的互信，即金融機構(gòu)內(nèi)或金融機構(gòu)間不同業(yè)務系統(tǒng)的互信和互通。

　　3、分布式SOA架構(gòu)應用系統(tǒng)集中

　　數(shù)據(jù)集中需要業(yè)務系統(tǒng)集中作為支持，業(yè)務系統(tǒng)的集中不僅是物理服務器的集中，更是系統(tǒng)數(shù)據(jù)流的集中。如何將功能不同的業(yè)務系統(tǒng)進行有效整合，做到統(tǒng)一認證，統(tǒng)一管理，是統(tǒng)一身份認證系統(tǒng)核心關鍵技術之一。

　　基于SOA架構(gòu)松耦合的理念，銀行業(yè)務系統(tǒng)的集中并不需要對已有系統(tǒng)的大規(guī)模改造整合，而是由SOA網(wǎng)絡規(guī)范統(tǒng)一網(wǎng)絡接口，如圖1所示。銀行業(yè)務系統(tǒng)只需實現(xiàn)對規(guī)范接口的有效支持，從SOA網(wǎng)絡的角度，業(yè)務系統(tǒng)即抽象為服務。目錄服務器提供的基于LDAP的服務本身也在分布式SOA網(wǎng)絡中抽象為身份認證服務，任何業(yè)務系統(tǒng)需要使用身份認證時，就如同調(diào)用內(nèi)部服務一樣調(diào)用SOA網(wǎng)絡提供的服務接口，獲得身份認證服務。

　　與傳統(tǒng)身份認證服務相比，基于分布式SOA架構(gòu)的統(tǒng)一身份認證克服了用戶數(shù)據(jù)冗余，它將分散在業(yè)務系統(tǒng)中的用戶數(shù)據(jù)進行了集中管理，不但提高了數(shù)據(jù)安全性，同時也解決了大量分散用戶數(shù)據(jù)維護難的問題。同時，作為一項SOA網(wǎng)絡服務的統(tǒng)一身份認證系統(tǒng)，其擺脫了具體業(yè)務系統(tǒng)的硬件平臺、軟件環(huán)境的束縛，能夠非常友善的所有符合接口標準的新進業(yè)務系統(tǒng)，減輕后續(xù)業(yè)務系統(tǒng)身份認證模塊的設計和開發(fā)工作。

　　4、基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的實現(xiàn)

　　基于分布式s0A架構(gòu)的統(tǒng)一身份認證體系包括統(tǒng)一身份認證系統(tǒng)，相關集群環(huán)境、網(wǎng)絡環(huán)境與硬件設備。統(tǒng)一身份認證系統(tǒng)功能圖如圖2所示，其至少需包含認證模塊、授權(quán)模塊、查詢模塊和系統(tǒng)服務模塊。這四個模塊是完整統(tǒng)一身份認證系統(tǒng)的最小組成，其他模塊如保密通訊模塊等可根據(jù)實際需求選擇性添加。認證模塊基于包含用戶身份和權(quán)限的數(shù)據(jù)庫和LDAP服務器，業(yè)務系統(tǒng)通過LDAP或Web Service接口實現(xiàn)待核查用戶信息的提交，認證模塊經(jīng)目錄模型檢索，并通過數(shù)據(jù)庫接口將用戶信息進入數(shù)據(jù)庫查詢，將返回用戶身份進行權(quán)限解釋，最終反饋給請求提起的業(yè)務系統(tǒng)。
 

　　授權(quán)模塊的主要功能在于分配用戶權(quán)限，包括通過初始化權(quán)限產(chǎn)生新用戶，基于分級授權(quán)的權(quán)限分配，及多業(yè)務系統(tǒng)間同用戶不同ID的權(quán)限映射。授權(quán)模塊作為所有業(yè)務系統(tǒng)權(quán)利分配的中心，其通過多級管理加強系統(tǒng)安全。與業(yè)務系統(tǒng)角色分類方式不同，分為超級管理員，應用系統(tǒng)權(quán)限管理員，監(jiān)督管理員。超級管理員分配應用系統(tǒng)權(quán)限管理員，應用系統(tǒng)權(quán)限管理員為普通用戶。

　　查詢模塊主要功能為查找特定用戶，相同權(quán)限用戶的匯總和所有用戶權(quán)限變更查詢。

　　系統(tǒng)服務模塊只對超級管理員開放，提供統(tǒng)一身份認證系統(tǒng)與數(shù)據(jù)庫和其他業(yè)務系統(tǒng)的連接配置，系統(tǒng)日志管理和維護，系統(tǒng)備份信息管理等服務。

　　一般業(yè)務系統(tǒng)根據(jù)角色分類，應包含以下幾類用戶：系統(tǒng)管理員，業(yè)務操作員，運維人員，審查監(jiān)督員和普通用戶。大部分業(yè)務系統(tǒng)的用戶都應使用與外部因特網(wǎng)物理隔絕的內(nèi)聯(lián)網(wǎng)訪問業(yè)務系統(tǒng)服務器，對于少數(shù)需要外聯(lián)的業(yè)務系統(tǒng)，則需要在另設防火墻和代理服務器。

　　基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系建議部署架構(gòu)如圖3所示。用戶通過受到嚴格監(jiān)管的終端設備接入內(nèi)聯(lián)網(wǎng)，路由器和交換機通過鏈路冗余保證線路可靠性，防火墻提供必要的安全防護。
 

　　Browser/Server架構(gòu)(BIS架構(gòu))逐漸取代Client/Server架構(gòu)(C/S架構(gòu))，業(yè)務系統(tǒng)的訪問均需通過Web服務器提供Web訪問支持。在防火墻后端，基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系需要建立一組Web服務器集群，為業(yè)務系統(tǒng)和身份統(tǒng)一認證系統(tǒng)提供負載均衡，減少因單點故障引起的訪問中斷。可以選擇的Web服務器商業(yè)軟件非常多，如IIS，Weblogic，Tomcat，IHS等。在選擇合適的Web服務器軟件時應注意兩點：一是盡量選遷移容易，跨平臺能力強的Web服務器軟件。因為服務器的更新?lián)Q代必然帶來Web服務器的遷移，而從實踐中看，Web服務器跨平臺換代的可能性較應用服務器大很多，所以易跨平臺遷移的Web服務器軟件能為系統(tǒng)更新升級帶來極大的便利。二是與應用服務器的兼容性。如果應用服務器使用了IBM的小型機，那么選擇IHS作為Web服務器軟件就比選擇IIS明智的多。選擇同一廠商的軟硬環(huán)境不但在兼容性上有明顯優(yōu)勢，而且若發(fā)生運行故障也能獲得較為完整的技術支持。

　　應用服務器是基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的核心，也是業(yè)務系統(tǒng)的關鍵部件。應用服務器上不但部署了統(tǒng)一身份認證系統(tǒng)，也部署了業(yè)務系統(tǒng)。事實上，前者可視為一項提供對內(nèi)服務的“業(yè)務系統(tǒng)”。應用服務器位于防火墻后端，使用集群的方式進行聯(lián)結(jié)，且與Web服務器集群通過以太網(wǎng)互聯(lián)。應用服務器集群是SOA架構(gòu)承載平臺，所有松耦合的業(yè)務系統(tǒng)均部署在集群中，使用主從方式、雙機雙工方式或多服務器互備方式運行，獲得系統(tǒng)的高可用性。同時，應用服務器集群與Web服務器集群、防火墻的連接也使用了鏈路冗余，保證銀行業(yè)務系統(tǒng)和統(tǒng)一身份認證系統(tǒng)的連通性。

　　數(shù)據(jù)庫服務器集群為應用服務器集群提供數(shù)據(jù)存儲服務，其位于應用服務器集群的后端，使用Network File System方式訪問。基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系的存儲網(wǎng)絡架構(gòu)采用Storage Area Network(SAN)，將不經(jīng)常訪問的數(shù)據(jù)存放在離線存儲設備上，如磁帶庫；將需要快速傳輸或經(jīng)常訪問的數(shù)據(jù)存放在在線存儲設備上，如磁盤陣列。值得注意的是，統(tǒng)一身份認證系統(tǒng)與其他業(yè)務系統(tǒng)公用SAN存儲網(wǎng)絡，它將存儲設備和數(shù)據(jù)庫服務器用光纖連接起來，通過多個光纖交換機提供的鏈路冗余，組件成一個可靠的光纖通道網(wǎng)絡。它的支持技術是Fibre Charmer協(xié)議(FC)。采用SAN可以使得數(shù)據(jù)的實際備份和存儲獨立與數(shù)據(jù)庫邏輯請求之外，即很大程度上消除了因存儲設備I/O速率與系統(tǒng)運行速度不匹配帶來的瓶頸效應。

　　5、小結(jié)

　　構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系于金融業(yè)業(yè)務系統(tǒng)大集中的背景下提出，在身份認證集中化、信息化等方面作了一定的探索和研究，在實際使用也展現(xiàn)了良好的應用前景。統(tǒng)一身份認證將是大勢所趨，各金融機構(gòu)不應只拘泥于機構(gòu)內(nèi)部的身份統(tǒng)一，在機構(gòu)間建立基于安全可靠的信任關系，能夠為加強經(jīng)濟信息互通互聯(lián)，促進金融發(fā)展帶來前所未有的機遇。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：構(gòu)建基于分布式SOA架構(gòu)的統(tǒng)一身份認證體系

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839310856.html