融云 | 云辦公時(shí)代，企業(yè)通訊錄的技術(shù)選型

隨著 5G 技術(shù)的興起，以及各種智能終端的普及，云辦公市場迎來加速發(fā)展期。

更加靈活、高效的跨平臺(tái)移動(dòng)協(xié)同辦公已成主流，企業(yè)通訊錄作為企業(yè)協(xié)同辦公的核心基礎(chǔ)和觸發(fā)統(tǒng)一通信及其它相關(guān)業(yè)務(wù)的入口，重要性不言而喻。

時(shí)至今日，企業(yè)通訊錄，已不只是通訊錄。

圖 1 - 企業(yè)級(jí)通訊錄入口概念

企業(yè)通訊錄核心技術(shù) LDAP 

由于歷史原因，各企業(yè)會(huì)采用私有或其它不同標(biāo)準(zhǔn)實(shí)現(xiàn)通訊錄功能，這樣就造成了網(wǎng)絡(luò)中存在不同的地址薄系統(tǒng)服務(wù)，導(dǎo)致用戶的通訊錄數(shù)據(jù)不一致。

為此，開放式移動(dòng)聯(lián)盟（OMA，Open Mobile Alliance）提出了融合地址簿（CAB，Converged Address Book）研究項(xiàng)目，目的是形成一個(gè)統(tǒng)一的地址薄系統(tǒng)標(biāo)準(zhǔn)，使得所有用戶及業(yè)務(wù)可以共享該地址薄，從而提高服務(wù)質(zhì)量，改善用戶體驗(yàn)。

通訊錄的標(biāo)準(zhǔn)除了 CAB 外，還有富通信技術(shù)標(biāo)準(zhǔn) RCS（Rich Communication Suite）。RCS 也是一個(gè)標(biāo)準(zhǔn)化組織，由歐洲運(yùn)營商發(fā)起成立，目前己被納入了 GSM Assiciation（全球移動(dòng)通信系統(tǒng)協(xié)會(huì)）。RCS 主要是由 EAB（增強(qiáng)地址?。┖?nbsp;NAB（網(wǎng)絡(luò)地址?。┙M成，不過 RCS 中制定的通訊錄標(biāo)準(zhǔn)，是個(gè)人通訊錄標(biāo)準(zhǔn)。

EAB 是本地個(gè)人通訊錄系統(tǒng)的擴(kuò)展，NAB 是給本地通訊錄 EAB 增加了網(wǎng)絡(luò)功能，用戶可以將本地創(chuàng)建的通訊錄 EAB 上傳到網(wǎng)絡(luò)中，而本地通訊錄的同步與管理不用負(fù)責(zé)。

雖然 CAB 和 RCS 都對(duì)通訊錄業(yè)務(wù)作了實(shí)現(xiàn)上的標(biāo)準(zhǔn)定義，如通訊錄的數(shù)據(jù)模型定義，需要具備哪些業(yè)務(wù)功能等，但這些標(biāo)準(zhǔn)是為個(gè)人通訊錄定制的，并沒有考慮到企業(yè)通訊錄的業(yè)務(wù)場景和安全性。

而協(xié)同辦公的通訊錄業(yè)務(wù)與上述標(biāo)準(zhǔn)存在較大差異，因此在研究企業(yè)通訊錄時(shí)，必須結(jié)合實(shí)際應(yīng)用場景，而不能全盤模仿以上兩種標(biāo)準(zhǔn)。

當(dāng)前，很多企業(yè)通訊錄主要采用 LDAP 實(shí)現(xiàn)“安全通訊”的功能，以下將就 LDAP 原理和特點(diǎn)展開介紹。

LDAP 協(xié)議研究

LDAP（Lightweight Directory Access Protocol）即輕量級(jí)目錄訪問協(xié)議，誕生于美國密歇根大學(xué)。

LDAP 優(yōu)化了查詢速度，采用樹狀信息存儲(chǔ)模式，可分布式部署，訪問控制靈活，憑借著開放性、擴(kuò)展性以及易于開發(fā)等優(yōu)勢成為一款標(biāo)準(zhǔn)的目錄訪問協(xié)議，已被廣泛應(yīng)用于基礎(chǔ)性的信息管理系統(tǒng)中。

LDAP 原理

LDAP 協(xié)議由四大模型構(gòu)成：

信息模型：用于描述 LDAP 的信息表示方式

【屬性】

LDAP 目錄服務(wù)的存儲(chǔ)基于條目（Entry），每個(gè)條目包含一組屬性，用來表示現(xiàn)實(shí)世界中真實(shí)的實(shí)體信息，條目與屬性的關(guān)系如下圖：

圖 2 - 條目、屬性、值之間關(guān)系

【對(duì)象類】

現(xiàn)實(shí)世界中實(shí)體之間往往具有一些相同或相似的特性，被劃分為不同的類在 IDAP 目錄服務(wù)中。目錄條目中還包含了一個(gè)重要屬性即對(duì)象類（objectclass）屬性，該屬性決定了目錄條目中必須包含以及可能包含哪些屬性，其中必須包含的屬性稱為強(qiáng)制性的（mandatory），可能包含的屬性稱為可選的（optional）。

對(duì)象類可以自定義，自定義的對(duì)象類遵循繼承機(jī)制，子類繼承父類所有的強(qiáng)制屬性和可選屬性。對(duì)象類 top 是所有類的父類也就是根，一切對(duì)象類都由 top 類派生而來。

在 top 類中定義了強(qiáng)制屬性 “object class”可以保證每個(gè)條目至少包含一個(gè)對(duì)象類，同時(shí)也滿足了目錄條目至少要有一個(gè)對(duì)象類才能添加到目錄中的要求。

【模式】

目錄的模式（Schema）是由目錄中所有的屬性、對(duì)象類、語法以及匹配規(guī)則的定義的集合組成，Schema 決定了數(shù)據(jù)在目錄中的存儲(chǔ)形式，LDAP 本身也定義了。

標(biāo)準(zhǔn) Schema，包括系統(tǒng)對(duì)象類、屬性類型、語法和匹配規(guī)則。這些系統(tǒng) Schema 都在 LDAP 標(biāo)準(zhǔn)中進(jìn)行了規(guī)范，可以查看 LDAP 的 RFC 文件。當(dāng)然，各個(gè)行業(yè)也可以自定義 Schema 來達(dá)到自己的應(yīng)用需求。這跟 XML 類似，XML 既有標(biāo)準(zhǔn)的定義，各行業(yè)也可根據(jù)自己的需要定制 DTD 或 DOM。

不過，為了以后系統(tǒng)的兼容性，建議在使用 LDAP 時(shí)盡量使用標(biāo)準(zhǔn)的 Schema。

命名模型：描述 LDAP 中的數(shù)據(jù)如何組織

LDAP 中的所有條目按照層次模型進(jìn)行存儲(chǔ)，邏輯上是一個(gè)分級(jí)或樹狀結(jié)構(gòu)，可稱為目錄信息樹（Directory InformationTree, DIT），這與 DNS 類似，DNS 也是按照分級(jí)結(jié)構(gòu)組織的，這都是為了更好的存儲(chǔ)或搜索目錄樹中的對(duì)象。

為了能夠正確查找到對(duì)應(yīng)對(duì)象，每個(gè)對(duì)象在 DIT 中必須有唯一的標(biāo)識(shí)符，如區(qū)別名 （Distinguished Name, DN），DN 可以表示在 DIT 范圍內(nèi)一個(gè)對(duì)象的完整路徑，它由從根目錄名到該對(duì)象所在目錄路徑組成。

除此之外，我們也可以使用相對(duì)有區(qū)別名（Relative Distinguished Names, RDN，RDN 是 DN 的子集。在 DIT 中最頂層的節(jié)點(diǎn)代表國家如 US 或 CN，它們的子節(jié)點(diǎn)可以是公司或者省份。

子節(jié)點(diǎn)可以代表具體的人或者某些具體資源，如以下 DN 可以用來標(biāo)識(shí)圖中的用戶 YANG: D: Cn=YANG,ou=CS,o=sict,c=CN。

其中 Cn 代表普通名詞（common name），ou 代表組織單元（orginzation unit），o 代表組織（orginzation），C 代表國家（country）。

圖 3 - 目錄信息樹

功能模型：描述 LDAP 中的數(shù)據(jù)操作訪問

功能模型描述了 LDAP 服務(wù)所支持的對(duì)目錄的所有操作，LDAP 客戶端與服務(wù)端的交互如圖 4 所示，主要支持三種操作：

圖 4 - 客戶端與服務(wù)端交互圖

【查詢操作】

客戶端利用 LDAP 提供的查詢接口，并附帶 baseDN（查詢起點(diǎn)）、scope（查詢范圍）、filter（過濾）等相關(guān)參數(shù)可進(jìn)行查詢操作。

【更改操作】

更改操作主要包括 add、delete、modify，也就是增、刪、改操作。add 和 delete 可以實(shí)現(xiàn)目錄條目的添加和刪除，modify 可以實(shí)現(xiàn)條目的修改。

雖然 LDAP 目錄服務(wù)不支持事物（transaction），但是對(duì)目錄條目的修改操作應(yīng)該是原子的 （atomic），并支持 all-or-noting 原則。

【認(rèn)證操作】

LDAP 中有三個(gè)關(guān)于認(rèn)證的操作，一個(gè)是 bind 操作，主要用于初始化一個(gè)客戶端與服務(wù)端之間的會(huì)話，ubind 用于終止這個(gè)會(huì)話，abandon 操作允許客戶端向服務(wù)端請求終止一個(gè)操作。

安全模型：描述 LDAP 中的安全機(jī)制

LDAP 主要通過身份認(rèn)證、安全通道和訪問控制實(shí)現(xiàn)安全機(jī)制，具體描述如下：

【身份認(rèn)證】

當(dāng)客戶端程序想和服務(wù)端程序建立初始會(huì)話時(shí)，首先服務(wù)端需要對(duì)客戶端進(jìn)行身份認(rèn)證，身份認(rèn)證方式根據(jù)不同的級(jí)別有不同的認(rèn)證方式，有安全無保障的基于匿名的訪問方式，有基于明文密碼的認(rèn)證方式以及更加安全的 SASL（Simple Authentication and Secure Layer）機(jī)制的加密會(huì)話。客戶端程序可以根據(jù)自己的需求選擇合適的認(rèn)證方式。

【安全通道】

客戶端程序與服務(wù)端程序之間交互的數(shù)據(jù)，LDAP 采用 SSL/TLS 安全協(xié)議提供安全保障，目前 Internet 中采用的 https 傳輸協(xié)議就是通過 SSL/TLS 提供安全傳輸?shù)?。SSL/TLS 采用了 IKI 信息安全技術(shù)，通過它可以為傳輸中的數(shù)據(jù)提供完整性和保密性服務(wù)，還可以實(shí)現(xiàn)客戶端和服務(wù)端身份的雙向認(rèn)證。

【訪問控制】

LDAP 目錄服務(wù)為了保護(hù)一些敏感信息資源，其定義了一系列的訪問控制規(guī)則，這些規(guī)則可以控制不同實(shí)體對(duì)不同目錄節(jié)點(diǎn)的訪問權(quán)限。

LDAP 特點(diǎn)

支持跨平臺(tái)

LDAP 數(shù)據(jù)庫以及它的相關(guān)資源可以部署到不同的平臺(tái)，如 Linux 或 Windows，也可以進(jìn)行跨平臺(tái)移植。

開源性協(xié)議

用戶開發(fā)時(shí)可以從它的開源實(shí)現(xiàn)中定制需要的模塊，實(shí)現(xiàn)程序的通用性，也方便二次開發(fā)和后期維護(hù)。

LDAP 服務(wù)器復(fù)制數(shù)據(jù)方法多樣，可采用“推”或“拉”，比如 LDAP 服務(wù)器可以把用戶數(shù)據(jù)推到遠(yuǎn)程備份服務(wù)器，實(shí)現(xiàn)用戶數(shù)據(jù)的備份。

優(yōu)化讀取操作

LDAP 對(duì)讀取操作進(jìn)行了優(yōu)化，加快了讀取速度。如果用戶的數(shù)據(jù)不需要經(jīng)常更新，但需要頻繁讀取，用 LDAP 存儲(chǔ)是很好的選擇。

這也是利用 LDAP 進(jìn)行用戶信息存儲(chǔ)的一個(gè)原因，用戶一般只會(huì)讀取自己的信息，而很少去修改自己的信息。

按照樹狀結(jié)構(gòu)存儲(chǔ)信息

LDAP 按照樹狀結(jié)構(gòu)存儲(chǔ)信息，可以體現(xiàn)成員的層級(jí)歸屬和簡單屬性。便于企業(yè)對(duì)全體員工的管理、組織和訪問權(quán)限的控制，也提高了員工的訪問速度。因此 LDAP 十分適合作通訊錄的存儲(chǔ)。

在溝通逐漸無界化的今天，LDAP 正在念好安全“緊箍咒”。企業(yè)通訊錄作為企業(yè)內(nèi)外統(tǒng)一通信的“主干路”，安全性至關(guān)重要。而基于 LDAP 設(shè)計(jì)的目錄服務(wù)，可為企業(yè)通訊錄提供細(xì)粒度權(quán)限控制，確保溝通順暢、安全無虞。

關(guān)注【融云 RongCloud】，了解更多干貨。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）