LDAP在大型视频监控联网系统中的应用

　　1）客户端向目录服务器1发出查询请求。

　　2）如果在目录服务器1上找不到想要的结果，或者服务器知道客户端想要的东西在目录服务器2上，则返回一个引用给客户端。

　　3）客户端根据返回的引用，去绑定目录服务器2，进行数据检索。

　　4）目录服务器2返回检索结果给客户端。

　　2.3引用对查询速度的影响

　　一般情况下，数据分散在各地会降低查询的效率。进行一次引用需要多做一次绑定和查询，另外由于通过引用访问的服务器一般都是远程的，所以还应考虑网络质量。

　　四 大型视频监控联网系统中LDAP服务体系设计

　　1大型视频监控联网系统结构

　　图5 大型视频监控联网示意图

　　大型视频监控联网结构如图5所示。大型视频监控系统首先在地市级进行互联，然后各地市之间互联，共享数据。跨域访问时可能会遇到跨地市级访问，例如A省内部的地市1访问该省的地市2；跨省级访问，例如A省的地市1访问C省的地市2。下面将详细介绍针对视频监控联网系统的网络结构所设计的目录服务体系结构。

　　2 目录服务体系

　　LDAP在视频监控系统中用来存放和检索各种信息，是资源信息、服务地址信息、归档信息发布的载体。资源信息包括用户的各种复杂属性信息，例如用户的机构属性、行业属性、类别属性以及职级属性等；重要设备的信息，例如设备的配置信息、位置信息；视频索引信息，例如报警视频信息的索引；如果视频监控系统还采用基于PKI/CA的认证体系，那么目录也将作为用户证书、设备证书以及证书撤销列表信息的发布载体。服务地址信息包括目录服务地址、应用地址、Web Services服务地址等信息。归档信息主要指归档的证书信息。

　　LDAP目录服务体系将由三部分构成，第一部分为资源发布体系，第二部分为目录服务地址发布体系，第三部分为归档目录服务体系。

　　1）在资源发布体系中，由于各地市有各自的资源管理子系统，且存放在各自的目录服务器中，各地市之间的目录服务相对独立，通过地址发布体系，采用引用的机制建立相互之间的联系。

　　2）在目录服务地址发布体系中，建立从中央部机关到各省，再由各省到各地市的三级结构，通过复制的方式建立自上而下的全国各资源管理子系统的地址目录服务，为各资源管理子系统之间的互访提供支撑。

　　3）在归档目录服务体系中，建设一套证书资源归档体系，并通过归档目录服务有效管理过期的证书信息和被吊销的证书信息，使证书发布体系中减少冗余数据，更高效的对外提供目录的查询服务。

　　通过目录的引用、复制机制，实现同层或不同层次的目录服务之间数据互访。所有的目录互访，对于应用来说是透明的，各地应用只需要访问本地目录服务器，即可获得其它地方的目录数据。

　　2.1目录服务逻辑结构

　　目录服务整体结构设计为三级（根据实际情况可以扩展为四级结构），逻辑结构如图6所示。

　　图6 目录服务逻辑结构图

　　2.2目录服务部署结构

　　目录服务部署结构如图7所示。图中的服务器是逻辑上的，实际应用中可以视情况放在一台服务器上。在中央和各省级设置地址目录服务器，并通过复制的方式将地址数据由中央统一向下发布，形成树状的部署结构。各地市视频监控系统分别部署资源发布目录服务器（一主一从两套）、地址目录服务器和归档目录服务器。资源发布目录服务负责将系统中的用户资源信息、设备资源信息、视频资源信息、证书资源信息进行发布，为应用服务器提供各种资源信息的检索服务；地址目录服务器储存由省级地址目录服务器发送过来的地址信息，信息与省级地址目录服务器及中央地址目录服务器保持同步；归档目录服务器负责将证书资源发布目录服务系统中的主目录服务器的数据进行归档，保障证书发布系统的稳定运行。

　　图7 目录服务部署结构图

　　1) 中央地址目录服务器

　　中央地址目录服务器负责告诉应用，去访问某个特定的目录服务器，获得所要查询的信息，其作用类似于网络中的DNS。为了减少应用访问中央从目录服务器来获得引用的次数，提高效率，在本方案中将这些目录数据复制到各地市地址目录服务器。

　　2）省级管理地址目录服务器

　　省级管理地址目录服务器维护并管理各地市资源发布目录服务器的IP地址和应用服务器地址，并将地址数据复制到中央地址目录服务器中，将地址数据通过中央地址目录服务器进行发布。地址目录服务器上的数据关系到整个目录服务系统的互访，并且很少变化，所以由各省统一进行维护，并通过中央进行数据发布，并同时复制到各省。

　　3）省级发布地址目录服务器

　　省级发布地址目录服务器与中央地址目录服务器的作用相同，负责告诉应用去访问某个特定的目录服务器，获得所要查询的信息，其在系统中作为中间目录服务器角色出现，负责将中央的地址数据通过复制的方式向各地市地址目录服务器进行转发。省级发布地址目录服务器存储的数据与中央地址目录服务器相同，suffix为c=cn。

　　4）地市地址目录服务器

　　地市地址目录服务器的作用与省级地址目录服务器的作用相同。

　　5）地市主从资源发布目录服务器

　　地市资源发布目录服务器是与各视频监控联网系统的资源管理子系统以及CA联系在一起的。在资源发布主目录服务器中配置到资源发布从目录服务器的配置复制协议。资源管理子系统及证书签发服务器向资源发布主目录服务器发布的数据通过复制通道，复制到各资源发布从目录服务器中。同时地市资源发布主目录服务器定期向证书归档服务器进行数据归档操作，保证系统的稳定运行。

　　地市资源发布从目录服务器对外提供本区域内数据查询服务，同时还需要配置到本地地址目录服务器的引用，在视频监控应用系统做跨域查询时，资源发布从目录服务器将视频监控应用系统的查询请求转发给本地地址目录服务器，根据从地址目录服务器上获得的地址重新绑定，进行查询并获得查询结果。

　　6）地市证书资源归档目录服务器

　　证书资源归档目录服务器的作用是定期对CA的证书数据进行归档处理，提高证书资源发布目录服务器的运行效率。证书资源归档目录服务器与资源发布目录服务器的结构稍有不同，通过归档时间对数据进行划分，并对这些历史数据进行有效的管理。