融云 | 云辦公時代,企業(yè)通訊錄的技術選型

  • 人閱讀
  • 2022-08-12 16:02:33

  • 來源:西盟科技資訊

  • 相關關鍵詞

隨著 5G 技術的興起,以及各種智能終端的普及,云辦公市場迎來加速發(fā)展期。

更加靈活、高效的跨平臺移動協(xié)同辦公已成主流,企業(yè)通訊錄作為企業(yè)協(xié)同辦公的核心基礎和觸發(fā)統(tǒng)一通信及其它相關業(yè)務的入口,重要性不言而喻。

時至今日,企業(yè)通訊錄,已不只是通訊錄。


圖 1 - 企業(yè)級通訊錄入口概念

企業(yè)通訊錄核心技術 LDAP 

由于歷史原因,各企業(yè)會采用私有或其它不同標準實現(xiàn)通訊錄功能,這樣就造成了網(wǎng)絡中存在不同的地址薄系統(tǒng)服務,導致用戶的通訊錄數(shù)據(jù)不一致。

為此,開放式移動聯(lián)盟(OMA,Open Mobile Alliance)提出了融合地址簿(CAB,Converged Address Book)研究項目,目的是形成一個統(tǒng)一的地址薄系統(tǒng)標準,使得所有用戶及業(yè)務可以共享該地址薄,從而提高服務質(zhì)量,改善用戶體驗。

通訊錄的標準除了 CAB 外,還有富通信技術標準 RCS(Rich Communication Suite)。RCS 也是一個標準化組織,由歐洲運營商發(fā)起成立,目前己被納入了 GSM Assiciation(全球移動通信系統(tǒng)協(xié)會)。RCS 主要是由 EAB(增強地址?。┖?nbsp;NAB(網(wǎng)絡地址薄)組成,不過 RCS 中制定的通訊錄標準,是個人通訊錄標準。

EAB 是本地個人通訊錄系統(tǒng)的擴展,NAB 是給本地通訊錄 EAB 增加了網(wǎng)絡功能,用戶可以將本地創(chuàng)建的通訊錄 EAB 上傳到網(wǎng)絡中,而本地通訊錄的同步與管理不用負責。

雖然 CAB 和 RCS 都對通訊錄業(yè)務作了實現(xiàn)上的標準定義,如通訊錄的數(shù)據(jù)模型定義,需要具備哪些業(yè)務功能等,但這些標準是為個人通訊錄定制的,并沒有考慮到企業(yè)通訊錄的業(yè)務場景和安全性。

而協(xié)同辦公的通訊錄業(yè)務與上述標準存在較大差異,因此在研究企業(yè)通訊錄時,必須結合實際應用場景,而不能全盤模仿以上兩種標準。

當前,很多企業(yè)通訊錄主要采用 LDAP 實現(xiàn)“安全通訊”的功能,以下將就 LDAP 原理和特點展開介紹。

LDAP 協(xié)議研究

LDAP(Lightweight Directory Access Protocol)即輕量級目錄訪問協(xié)議,誕生于美國密歇根大學。

LDAP 優(yōu)化了查詢速度,采用樹狀信息存儲模式,可分布式部署,訪問控制靈活,憑借著開放性、擴展性以及易于開發(fā)等優(yōu)勢成為一款標準的目錄訪問協(xié)議,已被廣泛應用于基礎性的信息管理系統(tǒng)中。

LDAP 原理

LDAP 協(xié)議由四大模型構成:

信息模型:用于描述 LDAP 的信息表示方式

【屬性】

LDAP 目錄服務的存儲基于條目(Entry),每個條目包含一組屬性,用來表示現(xiàn)實世界中真實的實體信息,條目與屬性的關系如下圖:

圖 2 - 條目、屬性、值之間關系

【對象類】

現(xiàn)實世界中實體之間往往具有一些相同或相似的特性,被劃分為不同的類在 IDAP 目錄服務中。目錄條目中還包含了一個重要屬性即對象類(objectclass)屬性,該屬性決定了目錄條目中必須包含以及可能包含哪些屬性,其中必須包含的屬性稱為強制性的(mandatory),可能包含的屬性稱為可選的(optional)。

對象類可以自定義,自定義的對象類遵循繼承機制,子類繼承父類所有的強制屬性和可選屬性。對象類 top 是所有類的父類也就是根,一切對象類都由 top 類派生而來。

在 top 類中定義了強制屬性 “object class”可以保證每個條目至少包含一個對象類,同時也滿足了目錄條目至少要有一個對象類才能添加到目錄中的要求。

【模式】

目錄的模式(Schema)是由目錄中所有的屬性、對象類、語法以及匹配規(guī)則的定義的集合組成,Schema 決定了數(shù)據(jù)在目錄中的存儲形式,LDAP 本身也定義了。

標準 Schema,包括系統(tǒng)對象類、屬性類型、語法和匹配規(guī)則。這些系統(tǒng) Schema 都在 LDAP 標準中進行了規(guī)范,可以查看 LDAP 的 RFC 文件。當然,各個行業(yè)也可以自定義 Schema 來達到自己的應用需求。這跟 XML 類似,XML 既有標準的定義,各行業(yè)也可根據(jù)自己的需要定制 DTD 或 DOM。

不過,為了以后系統(tǒng)的兼容性,建議在使用 LDAP 時盡量使用標準的 Schema。

命名模型:描述 LDAP 中的數(shù)據(jù)如何組織

LDAP 中的所有條目按照層次模型進行存儲,邏輯上是一個分級或樹狀結構,可稱為目錄信息樹(Directory InformationTree, DIT),這與 DNS 類似,DNS 也是按照分級結構組織的,這都是為了更好的存儲或搜索目錄樹中的對象。

為了能夠正確查找到對應對象,每個對象在 DIT 中必須有唯一的標識符,如區(qū)別名 (Distinguished Name, DN),DN 可以表示在 DIT 范圍內(nèi)一個對象的完整路徑,它由從根目錄名到該對象所在目錄路徑組成。

除此之外,我們也可以使用相對有區(qū)別名(Relative Distinguished Names, RDN,RDN 是 DN 的子集。在 DIT 中最頂層的節(jié)點代表國家如 US 或 CN,它們的子節(jié)點可以是公司或者省份。

子節(jié)點可以代表具體的人或者某些具體資源,如以下 DN 可以用來標識圖中的用戶 YANG: D: Cn=YANG,ou=CS,o=sict,c=CN。

其中 Cn 代表普通名詞(common name),ou 代表組織單元(orginzation unit),o 代表組織(orginzation),C 代表國家(country)。

圖 3 - 目錄信息樹

功能模型:描述 LDAP 中的數(shù)據(jù)操作訪問

功能模型描述了 LDAP 服務所支持的對目錄的所有操作,LDAP 客戶端與服務端的交互如圖 4 所示,主要支持三種操作:

圖 4 - 客戶端與服務端交互圖

【查詢操作】

客戶端利用 LDAP 提供的查詢接口,并附帶 baseDN(查詢起點)、scope(查詢范圍)、filter(過濾)等相關參數(shù)可進行查詢操作。

【更改操作】

更改操作主要包括 add、delete、modify,也就是增、刪、改操作。add 和 delete 可以實現(xiàn)目錄條目的添加和刪除,modify 可以實現(xiàn)條目的修改。

雖然 LDAP 目錄服務不支持事物(transaction),但是對目錄條目的修改操作應該是原子的 (atomic),并支持 all-or-noting 原則。

【認證操作】

LDAP 中有三個關于認證的操作,一個是 bind 操作,主要用于初始化一個客戶端與服務端之間的會話,ubind 用于終止這個會話,abandon 操作允許客戶端向服務端請求終止一個操作。

安全模型:描述 LDAP 中的安全機制

LDAP 主要通過身份認證、安全通道和訪問控制實現(xiàn)安全機制,具體描述如下:

身份認證

當客戶端程序想和服務端程序建立初始會話時,首先服務端需要對客戶端進行身份認證,身份認證方式根據(jù)不同的級別有不同的認證方式,有安全無保障的基于匿名的訪問方式,有基于明文密碼的認證方式以及更加安全的 SASL(Simple Authentication and Secure Layer)機制的加密會話??蛻舳顺绦蚩梢愿鶕?jù)自己的需求選擇合適的認證方式。

【安全通道】

客戶端程序與服務端程序之間交互的數(shù)據(jù),LDAP 采用 SSL/TLS 安全協(xié)議提供安全保障,目前 Internet 中采用的 https 傳輸協(xié)議就是通過 SSL/TLS 提供安全傳輸?shù)?。SSL/TLS 采用了 IKI 信息安全技術,通過它可以為傳輸中的數(shù)據(jù)提供完整性和保密性服務,還可以實現(xiàn)客戶端和服務端身份的雙向認證。

【訪問控制

LDAP 目錄服務為了保護一些敏感信息資源,其定義了一系列的訪問控制規(guī)則,這些規(guī)則可以控制不同實體對不同目錄節(jié)點的訪問權限。

LDAP 特點

支持跨平臺

LDAP 數(shù)據(jù)庫以及它的相關資源可以部署到不同的平臺,如 Linux 或 Windows,也可以進行跨平臺移植。

開源性協(xié)議

用戶開發(fā)時可以從它的開源實現(xiàn)中定制需要的模塊,實現(xiàn)程序的通用性,也方便二次開發(fā)和后期維護。

LDAP 服務器復制數(shù)據(jù)方法多樣,可采用“推”或“拉”,比如 LDAP 服務器可以把用戶數(shù)據(jù)推到遠程備份服務器,實現(xiàn)用戶數(shù)據(jù)的備份。

優(yōu)化讀取操作

LDAP 對讀取操作進行了優(yōu)化,加快了讀取速度。如果用戶的數(shù)據(jù)不需要經(jīng)常更新,但需要頻繁讀取,用 LDAP 存儲是很好的選擇。

這也是利用 LDAP 進行用戶信息存儲的一個原因,用戶一般只會讀取自己的信息,而很少去修改自己的信息。

按照樹狀結構存儲信息

LDAP 按照樹狀結構存儲信息,可以體現(xiàn)成員的層級歸屬和簡單屬性。便于企業(yè)對全體員工的管理、組織和訪問權限的控制,也提高了員工的訪問速度。因此 LDAP 十分適合作通訊錄的存儲。

在溝通逐漸無界化的今天,LDAP 正在念好安全“緊箍咒”。企業(yè)通訊錄作為企業(yè)內(nèi)外統(tǒng)一通信的“主干路”,安全性至關重要。而基于 LDAP 設計的目錄服務,可為企業(yè)通訊錄提供細粒度權限控制,確保溝通順暢、安全無虞。

關注【融云 RongCloud】,了解更多干貨。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )