LDAP在大型视频监控联网系统中的应用

　　一 引言

　　随着构建社会主义和谐社会工作的不断推进，各种视频监控系统应运而生，为了实现信息资源共享，更好的发挥视频监控系统的作用，联网成为必然的趋势。大型视频监控联网系统分布式部署，资源数量庞大，跨域访问中资源难定位、用户身份难确定。如何合理有效的管理和共享这些数据，快速查询需要的信息，完成跨域访问成为一个新的挑战。

　　目录服务可以很好的解决以上问题。轻量级目录访问协议LDAP（Lightweight Directory Access Protocol）是在目录访问协议标准简化的基础上形成的。它同时定义了数据信息组织的方式，是基于TCP/IP协议的事实上的目录服务标准， 具有分布式的信息访问和数据操作的功能。LDAP利用分布式目录信息树结构，可以对视频监控联网系统的资源信息、地址信息、资源归档信息进行有效组织和管理，可以提供高效安全的目录访问。

　　本文利用LDAP中的复制和引用技术设计了大型视频监控联网系统LDAP服务体系，完成了大型视频监控联网系统中证书数据、资源数据、地址数据的发布和查询，解决了跨域访问中信息难以快速定位和查找的难题。

　　二 采用LDAP的原因

　　常用数据存储和查询系统有数据库、文件系统、WEB服务器、FTP以及DNS(Domain Name Server)。为什么要采用LDAP解决大型视频监控联网系统跨域访问遇到的问题呢？通过以下比较，可以得出采用LDAP是正确的选择。

　　与数据库比较。LDAP适合用于读操作多于写操作的应用，数据库则以支持大量的写操作着称；LDAP支持相对简单的事务处理，而数据库被设计成处理大量的各种各样的事务处理。跨域数据查询的时候主要是读数据，数据修改频率很低；跨域访问不要求大负荷事务处理，因此与数据库相比，LDAP是理想的选择。它更有效，更简单。

　　与文件系统比较。LDAP被优化成存取很小的信息，文件系统则可以存取很大的文件；LDAP不能提供随机的存取访问，而文件系统支持。跨域访问需要查询的信息大都是一些小的属性信息、地址信息等，可见LDAP比文件系统更适用。

　　与web服务器比较。不像web服务器一样，目录不适合推送JPEG图像或Java程序给客户端。跨域访问时客户端真正要访问的数据资源有其他的服务器来提供，但要快速找到这些数据资源所在的位置，LDAP比WEB服务更专业。

　　与FTP比较。FTP主要提供大数据量的信息下载，例如文件、视频等。LDAP不提供这样的功能，但是可以提供快速查询的功能。但跨域访问的难点在于找不到想要下载的文件和视频的位置，LDAP就是用来解决这个问题的，只有获得了资源所在的位置，才能获得真正的资源。

　　与DNS比较。DNS的主要目的是把主机名转换成IP地址，但LDAP的应用不限于此；DNS有一套专门的、固定的计划，而LDAP允许被扩展；DNS不允许更新它的信息，而LDAP可以。DNS可通过UDP的无连接的方式访问，而目录通常是连接访问的。跨域资源定位不仅仅是将主机名转换成IP地址，还包括证书信息定位、用户信息定位、服务地址定位等。可见LDAP比DNS更适用于大型视频监控联网系统的应用。

　　三LDAP协议介绍

　　LDAP采用客户端驱动的协议模型。客户端向服务器发送协议请求，服务器根据请求对应的目录进行操作，操作完成后向发出协议请求的客户端返回结果。LDAP的协议数据单元由运输层的传输控制协议承载，跳过会话层和表示层，直接提供对应用层的支持。LDAP支持绑定、查找、修改、添加、删除、比较等基本操作。LDAP的核心操作是X.500目录服务的一个子集，并且对X.500操作进行了简化，减少了目录访问的开销并且降低了操作的复杂度。目录复制和目录引用是LDAP协议中最重要的技术，下面分别对两种技术进行介绍。

　　1目录复制技术

　　目录中的复制是基于“推”的技术，将一台目录服务器中一部分或者所有的数据推送到其他目录服务器上的机制。目录复制如图1所示，复制中的主体，即数据提供方，称为主目录服务器；复制中的客体，即数据接收方，称为从目录服务器。

　　图1目录复制示意图

　　通过配置主、从目录服务器之间的复制协议，建立目录服务器之间的复制通道。根据安全需要，可以有选择地进行对复制通道的加密。

　　一个主目录服务器可以同时向多台从目录服务器复制数据，即一主多从的复制方式；同时，这些从目录服务器还可以进一步向从目录服务器进行复制，即级联复制。级联复制如图2所示。

　　图2 级联复制示意图

　　可以采用实时复制或定时复制策略。实时复制将主目录服务器上的数据更新通过复制通道实时地体现到从目录服务器中；定时复制是将主目录服务器上的数据更新通过复制通道定时地体现到从目录服务器中，用户可以自定义复制时间。

　　2目录引用技术

　　目录引用（referral）是支持分布式目录的一种机制。它可以利用多服务器分割 LDAP 名称空间，并能以层次结构的形式安排 LDAP 服务器。具体地说，不同的目录服务器存储目录的不同部分，目录间通过referral相连。

　　2.1 引用的概念

　　可以将引用简单地看作是一个指针，它分为向上引用和向下引用。当所查询的条目含有referral属性时，会返回相应的属性值（指向其他目录服务器的指针），客户端可以利用这个值，访问相应的目录服务器。如果目录树中没有检索到条目，并且配置了向上引用，服务器会返回该引用的值，客户端可以利用这个值，访问相应的目录服务器。目录引用如图3所示。

　　图3 目录引用示意图

　　referral过程可以由LDAP服务器的SDK（Software Development Kit）自动完成，对客户端调用是透明的，即客户端可以同平时一样，向本地目录服务器发送请求，目录服务器根据referral部署，自动进行跨服务器访问。

　　2.2引用的实现方式

　　图4 目录引用的实现方式