融云 | 云辦公時代，企業通訊錄的技術選型-魔扣目錄

隨著 5G 技術的興起，以及各種智能終端的普及，云辦公市場迎來加速發展期。

更加靈活、高效的跨平臺移動協同辦公已成主流，企業通訊錄作為企業協同辦公的核心基礎和觸發統一通信及其它相關業務的入口，重要性不言而喻。

時至今日，企業通訊錄，已不只是通訊錄。

圖 1 - 企業級通訊錄入口概念

企業通訊錄核心技術 LDAP

由于歷史原因，各企業會采用私有或其它不同標準實現通訊錄功能，這樣就造成了網絡中存在不同的地址薄系統服務，導致用戶的通訊錄數據不一致。

為此，開放式移動聯盟（OMA，Open Mobile Alliance）提出了融合地址簿（CAB，Converged Address Book）研究項目，目的是形成一個統一的地址薄系統標準，使得所有用戶及業務可以共享該地址薄，從而提高服務質量，改善用戶體驗。

通訊錄的標準除了 CAB 外，還有富通信技術標準 RCS（Rich Communication Suite）。RCS 也是一個標準化組織，由歐洲運營商發起成立，目前己被納入了 GSM Assiciation（全球移動通信系統協會）。RCS 主要是由 EAB（增強地址薄）和 NAB（網絡地址薄）組成，不過 RCS 中制定的通訊錄標準，是個人通訊錄標準。

EAB 是本地個人通訊錄系統的擴展，NAB 是給本地通訊錄 EAB 增加了網絡功能，用戶可以將本地創建的通訊錄 EAB 上傳到網絡中，而本地通訊錄的同步與管理不用負責。

雖然 CAB 和 RCS 都對通訊錄業務作了實現上的標準定義，如通訊錄的數據模型定義，需要具備哪些業務功能等，但這些標準是為個人通訊錄定制的，并沒有考慮到企業通訊錄的業務場景和安全性。

而協同辦公的通訊錄業務與上述標準存在較大差異，因此在研究企業通訊錄時，必須結合實際應用場景，而不能全盤模仿以上兩種標準。

當前，很多企業通訊錄主要采用 LDAP 實現“安全通訊”的功能，以下將就 LDAP 原理和特點展開介紹。

LDAP 協議研究

LDAP（Lightweight Directory Access Protocol）即輕量級目錄訪問協議，誕生于美國密歇根大學。

LDAP 優化了查詢速度，采用樹狀信息存儲模式，可分布式部署，訪問控制靈活，憑借著開放性、擴展性以及易于開發等優勢成為一款標準的目錄訪問協議，已被廣泛應用于基礎性的信息管理系統中。

LDAP 原理

LDAP 協議由四大模型構成：

信息模型：用于描述 LDAP 的信息表示方式

【屬性】

LDAP 目錄服務的存儲基于條目（Entry），每個條目包含一組屬性，用來表示現實世界中真實的實體信息，條目與屬性的關系如下圖：

圖 2 - 條目、屬性、值之間關系

【對象類】

現實世界中實體之間往往具有一些相同或相似的特性，被劃分為不同的類在 IDAP 目錄服務中。目錄條目中還包含了一個重要屬性即對象類（objectclass）屬性，該屬性決定了目錄條目中必須包含以及可能包含哪些屬性，其中必須包含的屬性稱為強制性的（mandatory），可能包含的屬性稱為可選的（optional）。

對象類可以自定義，自定義的對象類遵循繼承機制，子類繼承父類所有的強制屬性和可選屬性。對象類 top 是所有類的父類也就是根，一切對象類都由 top 類派生而來。

在 top 類中定義了強制屬性 “object class”可以保證每個條目至少包含一個對象類，同時也滿足了目錄條目至少要有一個對象類才能添加到目錄中的要求。

【模式】

目錄的模式（Schema）是由目錄中所有的屬性、對象類、語法以及匹配規則的定義的集合組成，Schema 決定了數據在目錄中的存儲形式，LDAP 本身也定義了。

標準 Schema，包括系統對象類、屬性類型、語法和匹配規則。這些系統 Schema 都在 LDAP 標準中進行了規范，可以查看 LDAP 的 RFC 文件。當然，各個行業也可以自定義 Schema 來達到自己的應用需求。這跟 XML 類似，XML 既有標準的定義，各行業也可根據自己的需要定制 DTD 或 DOM。

不過，為了以后系統的兼容性，建議在使用 LDAP 時盡量使用標準的 Schema。

命名模型：描述 LDAP 中的數據如何組織

LDAP 中的所有條目按照層次模型進行存儲，邏輯上是一個分級或樹狀結構，可稱為目錄信息樹（Directory InformationTree, DIT），這與 DNS 類似，DNS 也是按照分級結構組織的，這都是為了更好的存儲或搜索目錄樹中的對象。

為了能夠正確查找到對應對象，每個對象在 DIT 中必須有唯一的標識符，如區別名（Distinguished Name, DN），DN 可以表示在 DIT 范圍內一個對象的完整路徑，它由從根目錄名到該對象所在目錄路徑組成。

除此之外，我們也可以使用相對有區別名（Relative Distinguished Names, RDN，RDN 是 DN 的子集。在 DIT 中最頂層的節點代表國家如 US 或 CN，它們的子節點可以是公司或者省份。

子節點可以代表具體的人或者某些具體資源，如以下 DN 可以用來標識圖中的用戶 YANG: D: Cn=YANG,ou=CS,o=sict,c=CN。

其中 Cn 代表普通名詞（common name），ou 代表組織單元（orginzation unit），o 代表組織（orginzation），C 代表國家（country）。

圖 3 - 目錄信息樹

功能模型：描述 LDAP 中的數據操作訪問

功能模型描述了 LDAP 服務所支持的對目錄的所有操作，LDAP 客戶端與服務端的交互如圖 4 所示，主要支持三種操作：

圖 4 - 客戶端與服務端交互圖

【查詢操作】

客戶端利用 LDAP 提供的查詢接口，并附帶 baseDN（查詢起點）、scope（查詢范圍）、filter（過濾）等相關參數可進行查詢操作。

【更改操作】

更改操作主要包括 add、delete、modify，也就是增、刪、改操作。add 和 delete 可以實現目錄條目的添加和刪除，modify 可以實現條目的修改。

雖然 LDAP 目錄服務不支持事物（transaction），但是對目錄條目的修改操作應該是原子的（atomic），并支持 all-or-noting 原則。

【認證操作】

LDAP 中有三個關于認證的操作，一個是 bind 操作，主要用于初始化一個客戶端與服務端之間的會話，ubind 用于終止這個會話，abandon 操作允許客戶端向服務端請求終止一個操作。

安全模型：描述 LDAP 中的安全機制

LDAP 主要通過身份認證、安全通道和訪問控制實現安全機制，具體描述如下：

【身份認證】

當客戶端程序想和服務端程序建立初始會話時，首先服務端需要對客戶端進行身份認證，身份認證方式根據不同的級別有不同的認證方式，有安全無保障的基于匿名的訪問方式，有基于明文密碼的認證方式以及更加安全的 SASL（Simple Authentication and Secure Layer）機制的加密會話。客戶端程序可以根據自己的需求選擇合適的認證方式。

【安全通道】

客戶端程序與服務端程序之間交互的數據，LDAP 采用 SSL/TLS 安全協議提供安全保障，目前 Internet 中采用的 https 傳輸協議就是通過 SSL/TLS 提供安全傳輸的。SSL/TLS 采用了 IKI 信息安全技術，通過它可以為傳輸中的數據提供完整性和保密性服務，還可以實現客戶端和服務端身份的雙向認證。

【訪問控制】

LDAP 目錄服務為了保護一些敏感信息資源，其定義了一系列的訪問控制規則，這些規則可以控制不同實體對不同目錄節點的訪問權限。

LDAP 特點

支持跨平臺

LDAP 數據庫以及它的相關資源可以部署到不同的平臺，如 Linux 或 Windows，也可以進行跨平臺移植。

開源性協議

用戶開發時可以從它的開源實現中定制需要的模塊，實現程序的通用性，也方便二次開發和后期維護。

LDAP 服務器復制數據方法多樣，可采用“推”或“拉”，比如 LDAP 服務器可以把用戶數據推到遠程備份服務器，實現用戶數據的備份。

優化讀取操作

LDAP 對讀取操作進行了優化，加快了讀取速度。如果用戶的數據不需要經常更新，但需要頻繁讀取，用 LDAP 存儲是很好的選擇。

這也是利用 LDAP 進行用戶信息存儲的一個原因，用戶一般只會讀取自己的信息，而很少去修改自己的信息。

按照樹狀結構存儲信息