一 引言
随着构建社会主义和谐社会工作的不断推进,各种视频监控系统应运而生,为了实现信息资源共享,更好的发挥视频监控系统的作用,联网成为必然的趋势。大型视频监控联网系统分布式部署,资源数量庞大,跨域访问中资源难定位、用户身份难确定。如何合理有效的管理和共享这些数据,快速查询需要的信息,完成跨域访问成为一个新的挑战。
目录服务可以很好的解决以上问题。轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)是在目录访问协议标准简化的基础上形成的。它同时定义了数据信息组织的方式,是基于TCP/IP协议的事实上的目录服务标准, 具有分布式的信息访问和数据操作的功能。LDAP利用分布式目录信息树结构,可以对视频监控联网系统的资源信息、地址信息、资源归档信息进行有效组织和管理,可以提供高效安全的目录访问。
本文利用LDAP中的复制和引用技术设计了大型视频监控联网系统LDAP服务体系,完成了大型视频监控联网系统中证书数据、资源数据、地址数据的发布和查询,解决了跨域访问中信息难以快速定位和查找的难题。
二 采用LDAP的原因
常用数据存储和查询系统有数据库、文件系统、WEB服务器、FTP以及DNS(Domain Name Server)。为什么要采用LDAP解决大型视频监控联网系统跨域访问遇到的问题呢?通过以下比较,可以得出采用LDAP是正确的选择。
与数据库比较。LDAP适合用于读操作多于写操作的应用,数据库则以支持大量的写操作着称;LDAP支持相对简单的事务处理,而数据库被设计成处理大量的各种各样的事务处理。跨域数据查询的时候主要是读数据,数据修改频率很低;跨域访问不要求大负荷事务处理,因此与数据库相比,LDAP是理想的选择。它更有效,更简单。
与文件系统比较。LDAP被优化成存取很小的信息,文件系统则可以存取很大的文件;LDAP不能提供随机的存取访问,而文件系统支持。跨域访问需要查询的信息大都是一些小的属性信息、地址信息等,可见LDAP比文件系统更适用。
与web服务器比较。不像web服务器一样,目录不适合推送JPEG图像或Java程序给客户端。跨域访问时客户端真正要访问的数据资源有其他的服务器来提供,但要快速找到这些数据资源所在的位置,LDAP比WEB服务更专业。
与FTP比较。FTP主要提供大数据量的信息下载,例如文件、视频等。LDAP不提供这样的功能,但是可以提供快速查询的功能。但跨域访问的难点在于找不到想要下载的文件和视频的位置,LDAP就是用来解决这个问题的,只有获得了资源所在的位置,才能获得真正的资源。
与DNS比较。DNS的主要目的是把主机名转换成IP地址,但LDAP的应用不限于此;DNS有一套专门的、固定的计划,而LDAP允许被扩展;DNS不允许更新它的信息,而LDAP可以。DNS可通过UDP的无连接的方式访问,而目录通常是连接访问的。跨域资源定位不仅仅是将主机名转换成IP地址,还包括证书信息定位、用户信息定位、服务地址定位等。可见LDAP比DNS更适用于大型视频监控联网系统的应用。
三LDAP协议介绍
LDAP采用客户端驱动的协议模型。客户端向服务器发送协议请求,服务器根据请求对应的目录进行操作,操作完成后向发出协议请求的客户端返回结果。LDAP的协议数据单元由运输层的传输控制协议承载,跳过会话层和表示层,直接提供对应用层的支持。LDAP支持绑定、查找、修改、添加、删除、比较等基本操作。LDAP的核心操作是X.500目录服务的一个子集,并且对X.500操作进行了简化,减少了目录访问的开销并且降低了操作的复杂度。目录复制和目录引用是LDAP协议中最重要的技术,下面分别对两种技术进行介绍。
1目录复制技术
目录中的复制是基于“推”的技术,将一台目录服务器中一部分或者所有的数据推送到其他目录服务器上的机制。目录复制如图1所示,复制中的主体,即数据提供方,称为主目录服务器;复制中的客体,即数据接收方,称为从目录服务器。
图1目录复制示意图
通过配置主、从目录服务器之间的复制协议,建立目录服务器之间的复制通道。根据安全需要,可以有选择地进行对复制通道的加密。
一个主目录服务器可以同时向多台从目录服务器复制数据,即一主多从的复制方式;同时,这些从目录服务器还可以进一步向从目录服务器进行复制,即级联复制。级联复制如图2所示。
图2 级联复制示意图
可以采用实时复制或定时复制策略。实时复制将主目录服务器上的数据更新通过复制通道实时地体现到从目录服务器中;定时复制是将主目录服务器上的数据更新通过复制通道定时地体现到从目录服务器中,用户可以自定义复制时间。
2目录引用技术
目录引用(referral)是支持分布式目录的一种机制。它可以利用多服务器分割 LDAP 名称空间,并能以层次结构的形式安排 LDAP 服务器。具体地说,不同的目录服务器存储目录的不同部分,目录间通过referral相连。
2.1 引用的概念
可以将引用简单地看作是一个指针,它分为向上引用和向下引用。当所查询的条目含有referral属性时,会返回相应的属性值(指向其他目录服务器的指针),客户端可以利用这个值,访问相应的目录服务器。如果目录树中没有检索到条目,并且配置了向上引用,服务器会返回该引用的值,客户端可以利用这个值,访问相应的目录服务器。目录引用如图3所示。
图3 目录引用示意图
referral过程可以由LDAP服务器的SDK(Software Development Kit)自动完成,对客户端调用是透明的,即客户端可以同平时一样,向本地目录服务器发送请求,目录服务器根据referral部署,自动进行跨服务器访问。
2.2引用的实现方式
图4 目录引用的实现方式
目录引用的实现方式如图4所示,分为以下4个步骤:
1)客户端向目录服务器1发出查询请求。
2)如果在目录服务器1上找不到想要的结果,或者服务器知道客户端想要的东西在目录服务器2上,则返回一个引用给客户端。
3)客户端根据返回的引用,去绑定目录服务器2,进行数据检索。
4)目录服务器2返回检索结果给客户端。
2.3引用对查询速度的影响
一般情况下,数据分散在各地会降低查询的效率。进行一次引用需要多做一次绑定和查询,另外由于通过引用访问的服务器一般都是远程的,所以还应考虑网络质量。
四 大型视频监控联网系统中LDAP服务体系设计
1大型视频监控联网系统结构
图5 大型视频监控联网示意图
大型视频监控联网结构如图5所示。大型视频监控系统首先在地市级进行互联,然后各地市之间互联,共享数据。跨域访问时可能会遇到跨地市级访问,例如A省内部的地市1访问该省的地市2;跨省级访问,例如A省的地市1访问C省的地市2。下面将详细介绍针对视频监控联网系统的网络结构所设计的目录服务体系结构。
2 目录服务体系
LDAP在视频监控系统中用来存放和检索各种信息,是资源信息、服务地址信息、归档信息发布的载体。资源信息包括用户的各种复杂属性信息,例如用户的机构属性、行业属性、类别属性以及职级属性等;重要设备的信息,例如设备的配置信息、位置信息;视频索引信息,例如报警视频信息的索引;如果视频监控系统还采用基于PKI/CA的认证体系,那么目录也将作为用户证书、设备证书以及证书撤销列表信息的发布载体。服务地址信息包括目录服务地址、应用地址、Web Services服务地址等信息。归档信息主要指归档的证书信息。
LDAP目录服务体系将由三部分构成,第一部分为资源发布体系,第二部分为目录服务地址发布体系,第三部分为归档目录服务体系。
1)在资源发布体系中,由于各地市有各自的资源管理子系统,且存放在各自的目录服务器中,各地市之间的目录服务相对独立,通过地址发布体系,采用引用的机制建立相互之间的联系。
2)在目录服务地址发布体系中,建立从中央部机关到各省,再由各省到各地市的三级结构,通过复制的方式建立自上而下的全国各资源管理子系统的地址目录服务,为各资源管理子系统之间的互访提供支撑。
3)在归档目录服务体系中,建设一套证书资源归档体系,并通过归档目录服务有效管理过期的证书信息和被吊销的证书信息,使证书发布体系中减少冗余数据,更高效的对外提供目录的查询服务。
通过目录的引用、复制机制,实现同层或不同层次的目录服务之间数据互访。所有的目录互访,对于应用来说是透明的,各地应用只需要访问本地目录服务器,即可获得其它地方的目录数据。
2.1目录服务逻辑结构
目录服务整体结构设计为三级(根据实际情况可以扩展为四级结构),逻辑结构如图6所示。
图6 目录服务逻辑结构图
2.2目录服务部署结构
目录服务部署结构如图7所示。图中的服务器是逻辑上的,实际应用中可以视情况放在一台服务器上。在中央和各省级设置地址目录服务器,并通过复制的方式将地址数据由中央统一向下发布,形成树状的部署结构。各地市视频监控系统分别部署资源发布目录服务器(一主一从两套)、地址目录服务器和归档目录服务器。资源发布目录服务负责将系统中的用户资源信息、设备资源信息、视频资源信息、证书资源信息进行发布,为应用服务器提供各种资源信息的检索服务;地址目录服务器储存由省级地址目录服务器发送过来的地址信息,信息与省级地址目录服务器及中央地址目录服务器保持同步;归档目录服务器负责将证书资源发布目录服务系统中的主目录服务器的数据进行归档,保障证书发布系统的稳定运行。
图7 目录服务部署结构图
1) 中央地址目录服务器
中央地址目录服务器负责告诉应用,去访问某个特定的目录服务器,获得所要查询的信息,其作用类似于网络中的DNS。为了减少应用访问中央从目录服务器来获得引用的次数,提高效率,在本方案中将这些目录数据复制到各地市地址目录服务器。
2)省级管理地址目录服务器
省级管理地址目录服务器维护并管理各地市资源发布目录服务器的IP地址和应用服务器地址,并将地址数据复制到中央地址目录服务器中,将地址数据通过中央地址目录服务器进行发布。地址目录服务器上的数据关系到整个目录服务系统的互访,并且很少变化,所以由各省统一进行维护,并通过中央进行数据发布,并同时复制到各省。
3)省级发布地址目录服务器
省级发布地址目录服务器与中央地址目录服务器的作用相同,负责告诉应用去访问某个特定的目录服务器,获得所要查询的信息,其在系统中作为中间目录服务器角色出现,负责将中央的地址数据通过复制的方式向各地市地址目录服务器进行转发。省级发布地址目录服务器存储的数据与中央地址目录服务器相同,suffix为c=cn。
4)地市地址目录服务器
地市地址目录服务器的作用与省级地址目录服务器的作用相同。
5)地市主从资源发布目录服务器
地市资源发布目录服务器是与各视频监控联网系统的资源管理子系统以及CA联系在一起的。在资源发布主目录服务器中配置到资源发布从目录服务器的配置复制协议。资源管理子系统及证书签发服务器向资源发布主目录服务器发布的数据通过复制通道,复制到各资源发布从目录服务器中。同时地市资源发布主目录服务器定期向证书归档服务器进行数据归档操作,保证系统的稳定运行。
地市资源发布从目录服务器对外提供本区域内数据查询服务,同时还需要配置到本地地址目录服务器的引用,在视频监控应用系统做跨域查询时,资源发布从目录服务器将视频监控应用系统的查询请求转发给本地地址目录服务器,根据从地址目录服务器上获得的地址重新绑定,进行查询并获得查询结果。
6)地市证书资源归档目录服务器
证书资源归档目录服务器的作用是定期对CA的证书数据进行归档处理,提高证书资源发布目录服务器的运行效率。证书资源归档目录服务器与资源发布目录服务器的结构稍有不同,通过归档时间对数据进行划分,并对这些历史数据进行有效的管理。
3目录数据发布
整个目录服务系统发布分为三类:一类是证书数据发布,包括设备证书信息、人员证书信息及证书撤销列表信息;一类是除证书外的资源数据发布,包括用户基本信息、用户属性信息、设备配置信息、设备位置信息、视频索引信息等;一类是目录引用信息即地址数据的发布。
3.1证书数据发布
大型视频监控联网系统中证书数据来源于各地市CA中心,并通过目录的复制机制,实现了数据的复制、镜像与备份。证书数据发布流程如图8所示。
图8 证书数据发布流程图
3.2资源数据发布
大型视频监控联网系统中资源数据来源于视频监控系统的资源管理子系统,并通过目录的复制机制,实现了数据的复制、镜像与备份。资源数据发布流程如图9所示。
图9 资源数据发布流程图
3.3地址数据发布
引用数据由中央统一管理规划,并在中央地址目录服务器中存储,并通过目录复制,将数据复制到各省的地址目录服务器中。地址数据的发布如图10所示。
图10 地址数据发布
数据更新流实质上是目录的级联复制方式,数据更新流如图11所示:
图11 数据流更新方式
4 目录查询
由于本地数据获取比较简单,只需要直接访问本地目录服务器进行查询即可。下面将重点讨论跨域(跨地市)信息的查询机制。所谓的跨域信息查询,是指绑定本地目录服务器,查询其他地市目录中的数据。
4.1查询机理
以证书跨域查询为例来说明查询的机理,资源信息的查询与之大同小异。用户和设备证书信息只在各地市级CA本地进行管理。对于证书的查询,需要根据目录引用配置来实现跨域数据互访。
视频监控联网系统的应用绑定本地(A地市)的数据从目录服务器,查询其他地市(B地市)的目录中的设备证书信息;由于所查询的数据不在本地命名空间内,所以本地的数据从目录服务器会把事先配置好的向上引用返回给应用,该向上引用指向本地的地市级地址目录服务器;应用根据返回的向上引用,绑定本地地址目录服务器,并进行查询;本地地址目录服务器发现应用所要查询的数据不在本地,但在目录数据中有一个条目(B地市节点)存储的是指向数据真正所在的目录服务器(B地市从目录服务器)的向下引用,本地地址目录服务器将此向下引用返回给应用;应用根据本地地址目录服务器返回的向下引用,绑定B地市的从目录服务器进行查询。
整个查询数据访问流为: A地市数据从目录服务器à A地市地址目录服务器àB地市数据从目录服务器。
4.2查询示例
下面以南京和无锡两个地市的跨域查询为例,来说明数据访问流程。具体步骤如图12所示。
图12 跨域访问流程图
1) 南京的应用系统绑定到本地数据从目录服务器,并构造查询表达式,发出查询请求。
2) 南京数据从目录服务器根据查询表达式中的BaseDN,发现本地没有这样的数据。根据目录部署返回指向南京本地地址目录服务器的引用。
3) 视频监控联网应用系统根据返回的引用绑定南京本地地址目录服务器进行查询。
4)南京本地地址目录服务器根据查询表达式中的BaseDN,发现在目录中有这样的向下引用条目,其上存储的是指向无锡数据从目录服务器的引用。南京本地地址目录服务器返回指向无锡数据从目录服务器的引用。
5) 应用系统根据返回的引用绑定无锡数据从目录服务器进行查询。
6) 无锡数据从目录服务器进行检索,将检索结果返回给应用系统
五 目录服务体系分析
该目录服务体系很好的解决了以下两个方面的问题:
1) 本域内各种数据查询问题,保证查询快速高效;
2) 跨域访问时对方视频监控系统应用地址的查询问题;对方系统Web Services地址查询问题;跨域用户、设备、视频索引等信息的查询问题;跨域用户设备证书信息查询问题,为跨域的身份认证、访问控制提供了最基础的服务。
该体系具有以下特点:
1)该体系使整个大型视频监控联网系统有很好的健壮性。由于数据在本地主目录服务器存储的同时,也会备份到本地从目录中,所以当省级从目录服务器出现异常时,数据可以很快得到恢复。由于中央目录服务器的存在,使得多了一份数据备份,并且当引用失效时,可以将其作为备用的目录服务器使用,从而使系统有很好的健壮性。
2)该体系充分利用了LDAP协议自身的复制和引用技术,减少了视频监控系统的开发代价,而且获得了较高的性能。
3)该体系充分利用了网络结构的特点,根据目录服务体系结构,一个地市跨域访问外省的一个地市时,数据访问流在正常的情况下为“地市数据从目录服务器à地市地址目录服务器à其他地市数据从目录服务器”。比起常规已有的数据访问流“地市数据从目录服务器à地市地址目录服务器à省级地址目录服务器à外省地址目录服务器à外省地市地址目录服务器à外省地市数据从目录服务器”而言,至少减少了2到3次引用过程,大大缩短了查询时间,对于视频监控这样一个对实时性要求比较高的应用而言,明显提高了系统的性能。
| 
