软件2013年第34卷第1期 SOFTWARE 国际IT传媒品牌 构建基于分布式SOA架构的统一身份认证体系 潜昕,罗沙白,卢康权 (中国人民银行杭州中心支行,杭州310000) 摘 要:基于分布式SOA架构的统一身份认证体系旨在将分散在各个信息系统中的用户和权限资源进行统一集中管理。本文 充分利用SOA架构松耦合的特点,通过规范统一网络接口实现业务系统整合,既提升系统安全性,又简化资源访问操作,具有重 要的理论和现实意义。 关键词:SOA架构;身份认证;集群;LDAP 中图分类号:TP393 文献标识码:A DOI:10.3969/j.issn.1003—6970.2013.01.007 ’ Build unified authentication system based on a distributed S0A architecture QIAN Xin,LUO Sha—bai,LU Kang—quan (HangzhouCentralBranchofthePeople'sBankofChina,Hangzhou 310000,China) [Abstract]Uniform identity authentication system based on a distirbuted SOA architecture designed to be dispersed in various information systems users and permissions to resources for centralized management.This article take full advantage of the characteristics of SOA architecture loosely coupled business systems integration through standardized and unified network interface,improve system security, simplify resource access operation has important theoretical and practical significance. [Keywords]SOA rachitecture;authentication;clusters;LDAP 0引言 2.稳定原则。统一身份认证系统能否稳定运行直接影响所 有参与集中的业务系统是否能够正常使用。因此,统一身份认证 统一身份认证旨在将分散在各个信息系统中的用户和权限 系统应当具有高可用性,能够提供持续稳定的服务。通常,具 资源进行统一集中管理,提升系统安全性,简化资源访问操作。 有高可用性的系统至少应具备数据热备,双机热备等基本功能。 各家金融机构的业务系统由于开发时期不同,支撑技术各不相 3.开放原则。统一身份认证系统需要跨越不同时期开发的 同,系统环境彼此独立,统一身份认证体系需要面对跨平台、跨 业务系统,适应不同操作系统、程序语言,提供统一的身份认 系统的巨大挑战。近年来,面向服务架构SOA(Service-Oriented 证服务。这就要求统一身份认证系统具有非常强的开放性,能 Architecture)技术为松散集成业务系统的统一身份认证体系构 够提供适应不同业务系统的接入环境。 建创造了非常有利的条件…。S0A通过业务需求将粗粒度的服 务(应用组件)进行松散耦合,服务直接通过独立于硬件平台, 2用户和权限统一管理 操作系统和程序语言的接口或契约相互联系。构建基于SOA架 统一身份认证系统的主要特点就是用户和权限的统一标识、 构的统一身份认证体系为数据集中后业务系统身份认证难题提 统一管理和统一认证。目录服务器是统一身份认证系统的核心, 供了可行的解决方案。 其通过部署轻量级的目录服务协议(L ht weight Directory Access Protocol,LDAP)的基础软件,如在金融界广泛使用的 1目标与原则 IBM Tivoli Directory Server,对外提供基于LDAP的目录服 系统建设目标为:以现有的不同时期的业务系统为服务对 务 。LDAP之所以适用于金融机构用户和权限的管理,是因为 象,构建基于SOA架构,具有较强跨平台、跨系统的异构集成 它能将业务系统用户和权限信息以层次结构、面向对象的方式 能力,能够提供集中统一、安全可靠身份认证服务的统一身份 进行存储,非常适合查询而非读或更新。LDAP的这一性能非常 认证体系。 契合金融机构业务系统用户相对稳定而登陆频繁的特点。 系统设计原则有以下三点: 所有业务系统的用户和权限信息都由目录服务器来提供统 1.安全原则。统一身份认证系统的安全措施必须从全局角 一维护服务,相比功能单一的紧耦合用户认证方式,其为业务 度考虑,用户和权限信息并不只属于单个业务系统,而是涉及 系统提供三种接入方式:Web Service接口、LDAP接口和数据 所有参与集中的业务系统,所以统一身份认证系统的安全等级 库接口 。通过绑定Web Service和LDAP接口,业务系统可 应等同于所有参与集中的安全级别最高的业务系统。 以直接获得目录服务器对用户和权限信息的反馈,同时统一身 软件杂志欢迎推荐投稿:http://www.ccomsof1.cow_/
