（计算机应用技术专业论文）基于ldap的统一授权管理系统的设计和实现.pdf

摘要 授权管理基础设施( p r i 、，i l e g em a i l a g e m e n th l 臃t n l c t u r e ，p m i ) 的目标是向 用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供 与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控 制机制。目前，国内的p m i 研究刚起步，通过对该技术进行研究，开发自己的 p m i 产品已经刻不容缓。 论文首先介绍了p m i 、l d a p ( l i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录 访问协议) 在国内外研究现状，分析了p m i 的系统结构和u ) a p 基本原理。 其次，针对如何设计统一授权管理系统进行阐述。该系统主要包括属性证书 管理、权限分配和访问控制。系统把用户信息、资源信息、角色信息等用于访问 控制的信息统一管理起来，使用属性证书管理用户的访问权限。 属性证书管理主要用于实现对属性证书整个生命周期包括生成、发布、更新、 撤销、查询等操作的管理。通过管理属性证书的生命周期实现对权限生命周期的 管理，从而实现对资源访问权限的分配和管理。 在权限分配中注册用户、资源信息和创建角色，并设定角色的权限。用户与 访问权限之间借助角色联系起来，根据用户的责任和资格分配角色，使用属性证 书表示和容纳权限信息，通过它定义用户拥有的角色信息，管理用户的访问权限， 以属性证书作为权限授权与审核对象，实现了用户授权的灵活性，并为系统制定 访问策略，发布到) a p 目录服务器中。 用户访问目标资源时，通过用户的属性证书获取该用户拥有的角色，根据角 色所拥有的权限确定用户是否有权访问目标资源，从而达到对用户的访问控制。 任何用户要对资源进行访问，都不能为之建立一条绕过统一授权管理系统的 通道，保证了敏感资源的安全。为了确保在复杂的网络应用环境下实现易于扩展 的属性证书及用户、资源、角色管理机制，系统使用了目录服务技术来减轻在用 户访问控制信息的查找及管理等方面的负担。 最后，总结了统一授权管理系统的特点，并给出了今后的研究方向和需要进 一步完善的工作。 关键词p m i ；属性证书；u ) a p a b s 仃a c t t h et a r g e to fp r i v i l e g em a n a g 即1 th 1 丘a s 协l c t l l r ei s t o 删【p p l yu s e r s 锄d 印p l i c a t i o n sw i 血p r i v i l e g em 趾a g e m e ms c r v i c e ，t os u p p l ym a p p i l l gf i l n c t i o nf b m i d e n t 时o fu s e r st o 研v i l e g e ，t os u p p l ya u t l l o r i z a t i o na i l da c c e s sc o n 的1m e c h a i l i 锄 、：h i c hi s c o r r e s p o n d i n gw i 山印p l i c a t i o n sm a n a g em o d e 趾dh a sn o l i i l gt od o 谢t l l 印p l i c a t i o n sd e v e l 叩i n ga n dm a n a g m g t h e s ed a y s ，也er e s e a r c ho f p m ii so n l ya tt h e b e 百皿i n gi 1 1 o l l rc o 曲打y t od e v e l o po u ro w np m ip m d u c ti s p r e s s i i l gm m u 曲 r e s e a r c h i n gt h i st e c 王1 工l o l o g y f i r s t ，t l l i sa n i c l ei i n r o d u c e st 1 1 ed e v e l o p m e ms i t u a t i o no fp m ia i l dl d a pi n 廿l i s f i e l d ，a i l di ta l s oa l l a l y z e sp m is y s t e ms 拄u c t u r ea t l dm e b a s i cp 血l c i p l co f u ) 肌 s e c o n d l y ，i te x p o l l i l d sh o wt od e s i 鄹u 1 1 i f o ma u 也o r i z a t i o nm a n a g 锄e n ts y s t e m ( u a m s ) u a m sc o n s i s t so fa t 蛐u t ec e n i f i c a t e ( a c ) m 锄g e m e n t ，p r i v i l e g e a s s i 孕皿e n ta n da c c e s sc o m r 0 1 nm a n a g e si i l f b n a t i o na b o u tu s e r s ，r e s o u r c e ，m l e t l a ta r eu s c da sa c c e s sc o n 缸d l ，a n du s e sa ct om a l l a g ea c c e s sp r i v i l e g eo f u s e f s t h ef u n c t i o no fa 嘶b u t ec e n 洒c a t em a n a g e m e n ti st om a l l a g eo p e 洲o n sa b o u t a cs u c ha si i l i t i a t i o n ，i s s u e ，u p d a t i n g ，惭t h 血聊i n ga i l dq u c r yi ni t sl i f e c y c l e r 1 1 l i s p a ni m p l 锄e n 亡sp r i v i l e g ea s 西印m e l l ta n dm a l l a g e m e n tt l l l u g hm 觚a g 血gl i 南c y c l eo f a c w ec a i lr e g i s t e ri n f o n n a t i o no f u s e r s ，r e s o u r c ea n dc r e a t er o l e ，m e ns e tp r i v i l e g e a b o u tm l ei np r i v i l e g ea s s i 印m e l l t u s e r sm a k ec o n t a c tw i 也a c c e s sp r i v i l e g ev i ar o l e w 1 1 i c hi sa l l o c a t e dt ou s e r sb a s e do nt h e i rr e 印o n s i b i l i t ya n dc o m p e t e n c ya ci n c l u d e s r o l e sw h i c hd e f i n ep r i v i l e g ei n f o m a t i o n ，i m p l e m e n t i n ge 矗& t i v ea u t l l o r i z a t i o nw a y h lt 1 1 i sp a n ，w ec u s t o i n i z ea c c e s sp o l i c yf o r s y s t e m ，a i l di s s u ei tt ol d a p s e r v e r w h e nu s e r sa c c e s s 伽苫e tr e s o u r c e ，m l e sc a nb eg o t t e nt h r o u 曲t h e i ra c ，8 1 1 di t c a nc o n 矗n nw h e t l l e rt l l eu s e rh a s g h tt oa c c e s s 也et a 略e tr e s o l l r c eb a s e do nr o l e p r i v i l e g e a c c e s sc a nb ec o n t r o l l e d w h e ne v e r yu s c ra c c e s sr e s o u r c e s ，i t 删l s tb u i l dc 量l a 芏1 n e lw i t l li7 a m s ，e n s u 血培 m es a f b t yo fs e i l s i t i v i t yr c s o u r c e s h lo r d e rt 0 洒p l c m 锄to fa c ，u s r e s o l l r c ea 1 1 d r o l e m a l l a g e m e n tm e c h a i l i s mu n d e rt 1 1 ec o m p l e xn e t w o r k ，s y s t e mu s e sd i r e c t o r y f s e r v i c et e c h n 0 1 0 9 yt or e l i e f 也eb u r d e no fs e a r c h i n ga i l dm a n a 西n ga b o u ta c c e s s c o r l 仃o li n 矗) n na _ b o no f u s e r s f i n a l l y ，w es u m m 撕z ec h a r a c t e r i s t i c a b o u ti7 a m s ，a 1 1 dp o i n to u tr e s e a r c h d i r e c t i o na n dw o r kw l l i c hn e e dt ob ei m p m v e df o rm ef i l t 眦e k e y w o r d sp m i ；a c ；l d a p 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名导师签名： 第1 章绪论 1 1 课题背景和研究意义 计算机网络给世界经济以及人们的生活带来了巨大的变革，人们可以通过网 络有效地实现信息资源共享。在人们共享敏感信息的同时，信息安全问题也日益 突出，而身份认证、授权管理是网络应用安全的两个重要内容，因此它们成为当 前信息安全领域中的研究热点。 目前p ( p u b h c k e v m 曲s 枷c t u r e ，公开密钥基础设施) “1 在国内外已经 得到广泛的应用。p 通过将用户的身份信息保存在公钥证书中这种方式，很好 的解决了网络环境中的身份认证问题，证明了用户是谁。 近几年，授权管理得到快速发展，人们已经认识到需要超越当前p 提供的 身份验证和机密性，步入授权验证的领域。在p 融的基础上，p m i ( p f i v i l e g o m a n a g e m e n lh 1 丘a s 咖c t u r e ，授权管理基础设施) 。1 采用基于属性证书的授权模式， 由资源的管理者来控制分配对资源的访问权限。p m i 以向用户和应用程序提供权 限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务 管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、 与具体应用系统开发和管理无关的访问控制机制，极大地简化了应用中访问控制 和权限管理系统的开发和维护，并减少管理成本和复杂度。p m i 通过结合授权管 理系统和身份认证系统补充了p k i 的弱点，提供了将p n 集成到应用计算环境 的模型，解决了用户有什么权限，能干什么的问题，并将用户的权限信息保存在 授权证书中。一个完整的p m i 系统需要完善的、可扩充的资料库来提供信息存 储服务，以便能找到所需要的属性证书”等权限信息。由于u ) a p ( l i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ，轻量级目录访问协议) 的种种便利和强大的功能支持， 采用) a p 为p m i 系统提供信息存储服务。 随着电子商务和电子政务的迅猛发展，对服务分工要求越来越细的同时，身 份认证和授权管理已成为电子商务、电子政务及众多网络服务的关键性问题。从 发展趋势看，随着h l t e m e t 应用的不断普及和深入，政府部门、大型企事业单位 发展趋势看，随着i i i c c m e t 应用的不断普及和深入，政府部门、大型企事业单位 都需要p m l 支持授权管理；商业企业内部、企业与企业之间、区域性服务网络、 电子商务网站需要p m i 的技术和解决方案；小企业需要社会提供商业性p m i 服 务，因此p m i 具有非常广阔的市场应用前景。中国作为一个网络发展大国，开 发自己的p m i 产品是很有必要而且是非常迫切的。 1 2 国内外的研究现状 在国外，随着p 的广泛部署和应用，在授权管理方面的需求日益突出。人 们开始考虑将“基于公钥的身份认证技术”加以扩展，使其能够实现对授权的支 持。属性证书a c ( a t 缸b u t ec e r t i f i c a t e ) 及p m i 框架逐渐被提出。属性证书最早是 在1 9 9 7 年版的i s o i e c9 5 9 4 8 i s 0 9 7 中提出的。2 0 0 0 年颁布了国际标准i s o 疆c 9 5 9 4 8 ，即i t ux 5 0 9 ( 2 0 0 0 ) ，是广为熟知的i t ur e c o m m e l l d a c i o nx 5 0 9 ，也被 人们称作x 5 0 9 v 4 。1 ，其中完整地定义了属性证书和p m i 模型。x 5 0 9 、，4 中建议 以基于属性证书实现其授权管理，描述p m i 为一种基于p 并承担权限管理功 能的框架，为网络应用等领域提供一种新的更加有效的访问控制基础设施。 p m i 是一个正在发展的技术，研究基本包括两个方面：框架完善和实现，p m i 应用及与现有环境的融合。几年来对p m i 的框架有了更加完备的研究，包括角 色机制和策略机制的规范，实现时引入更加强大的工具，并制订了很多相应的规 范。作为一个应用性很强的平台，p m i 的产品化显得尤为重要。目前，安全领域 的一些公司、研究所和大学，如b a h i m o r c 、t h et r l l s t 、e n 仇l s t 、v 舐s i 髓、s a l f b r d 大学、m 和s s e 等，都纷纷提出自己的实现p m i 功能的产品。在这些产品中， 一类是独立的p m i ，如t h e1 h s t 公司提出的p e r m i sp m i ，另一类是结合了其 他功能模块的安全产品解决方案的一部分，如e r l t n j s tg e 认c c e s s 、b a m o m o r c s e l c c 认c c e s s 和m mt i v 0 1 i 采用在现有产品基础上升级和添加模块的方式实现 p m i 功能。由于p m i 与p 的紧密联系，很多公司己经在成熟p k i 产品基础上 推出了各自的p m i 产品，例如：p e r m i sp m i 是比较典型的支持x 5 0 9 标准的 p m i 产品；n e t e 鲥t y 公司和b i o n e 仃i x 公司合作，分别实现信任和授权模块。其 他的产品则根据情况有不同的调整，并未完全按照x 5 0 9 标准实现。m m 仍v o l i 结合a z r 演p i 的结构，将信任和授权分离，但具体结构偏重于基于规则的访问控 帚l 苹绪论 制。由于一些网络安全公司之前的安全产品已经集成了授权服务，推出新的分离 的授权服务产品对其现有产品会带来一定程度的冲击，因此他们会采取结合现有 产品逐步改进升级的策略。此外，p m i 机制的授权服务只是访问控制的一种方式， 因此必然会有采用其他策略的产品。 u ) a p 是互联网中一门新技术，是由正t f 和密歇根大学联合开发的，是在 x 5 0 0 标准基础上产生的一个简化版本，其提出的目的是为了优化数据的查询。 l d a p 目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资 源数据、公用密匙、联系人列表，等等。 在国内，为了加强我国p 偿m i 相关标准规范的研制工作，全国信息安全 标准化技术委员会于2 0 0 2 年7 月正式成立了p k i ，p m i 工作组( 即信安标委第四 工作组，简称w g 4 工作组) 。该工作组采取一种开放式的方式组建，国内信息 安全领域的产、学、研、用单位均可成为工作组的成员。该工作组主要负责我国 p k 卯m i 标准体系的研究和p i ( 】口m i 相关标准的研制，还负责组织参与p k 卯m i 国际标准化活动等。工作组就成立以来，重点就国外p 佃m i 标准现状、国内 p k i p m i 标准体系等课题进行了研究，完成了相关的研究报告。2 0 0 2 年7 月2 6 日，在p k 坤m i 工作组的第一次会议上，确定要制定以下一些标准“1 ：( 1 ) 国家标 准( x 5 0 9 v 4 n 3 版) 的转化工作和信息安全有关专用术语：( 2 ) 国内外p 砌卯m i 标准 现状的分析；( 3 ) p l 卯m i 标准体系；( 4 ) 基于x 5 0 9 的国内证书x 5 0 9 c 证书格式 规范；( 5 ) p 组件最小互操作规范 ( 6 ) x 5 0 9 在线证书状态查询协议：( 7 ) x 5 0 9 c p 证书管理协议。另外，在标准制定过程中工作组注意吸收相关工程成果和工 程实践经验，确保了标准规范的可操作性。随着u ) a p 技术的成熟，采用u ) a p 目录服务器提供信息存储的应用越来越多，例如香港中文大学启用了“中大目 录”( c u 】d h c t o r ys e n ，i c e ) 1 o 版，它用于管理该校的学生和教职工资料( 包括姓 名、系或部门、e m a i l 地址和邮件地址等) ，支持浏览器操作目录。在p m i 实施 中，为了确保统一授权管理系统在复杂的网络应用环境下实现易于扩展的属性证 书及用户、资源管理机制，需要使用u ) a _ p 技术来减轻系统在用户访问控制与认 证信息的查找及管理等方面的负担。但如何用u ) a p 目录服务为p m i 提供访问 控制与认证信息的存储服务，没有一个标准，需要在系统开发中，根据实际情况 合理的设计u ) a p 目录服务，才能够为p m i 提供方便的服务，所以在p m i 与 l d a p 服务集成上还需要深入研究。 相信在不久的将来，由u ) a p 提供访问控制与认证信息存储服务的p m i 系 统会在我国电子商务和电子政务中得以广泛部署。 1 3 课题来源及论文主要内容 课题来源于s r q 2 6 系统的研发，该系统是一套集认证、授权和访问控制技 术的安全产品，经过国家密码管理委员会办公室发文批准，纳入国家商用密码管 理，并通过了国密办的安全性审查。该产品同时也通过了国家信息安全产品测评 认证中心的产品认证，获得国家信息安全产品认证证书( c n r r s e c 2 0 0 4 t 1 汀3 3 2 ) ， 并获得国家版权局计算机软件著作权登记证书( 软著登字0 1 6 9 4 0 ) 。 本论文的主要内容包括： 1 整理与授权相关的最新文献资料，深入研究p m i 、l d a p 的相关理论知 识： 2 设计统一授权管理系统，包括属性证书管理、权限分配和访问控制，集 中管理权限信息，为合法用户签发属性证书，实现了对用户访问权限的控制。该 系统采用三层软件体系结构，实现了系统的可维护性和可扩展性，数据存储服务 由u ) a p 目录服务器提供； 3 针对统一授权管理系统的属性证书管理、权限分配和访问控制三个部分 进行详细的设计和实现。 1 4 论文结构 本文共分七章： 第一章介绍论文研究的背景和意义，并讨论了p m i 、u ) a p 在国内外的研究 状况和进展。 第二章介绍了u ) a p 技术的发展历史，分析了l d a p 目录服务的特点、协 议模型以及四种基本模型，最后介绍了u ) a p 目前的应用情况。 第三章对p m i 系统整体构架进行介绍和分析，为之后阐述统一授权管理系 第l 苹绪论 统的设计奠定了理论基础。 第四章针对如何设计统一授权管理系统进行阐述。该系统可以对用户信息、 资源信息、角色信息等访问权限信息集中管理，为合法用户签发属性证书，保证 了只有通过访问控制判断的用户才能访问目标资源，并设计了统一授权管理系统 的软件结构，而且对系统做了优化。 第五章首先介绍了属性证书的a s n 1 ( 抽象语法符号1 ，a b s 乜虬ts y n t a ) n o t 撕o no n e ) 语法定义，并采用j a v a 语言实现了属性证书的结构，然后设计、 实现了属性证书的管理功能。 第六章提出采用u ) a p 目录服务器为统一授权管理系统提供数据存储服务， 设计了用于存储权限信息的目录服务器，然后设计、实现了权限分配管理，用于 对用户、角色、资源、操作以及策略的集中管理，实现了用户到具体访问权限的 映射。 第七章在介绍了访问控制抽象模型的基础上，设计统一授权管理系统的访问 控制由用户访问集中管理和用户权限判断两个部分组成，并阐述了这两个部分的 具体设计和实现。 第2 章l d a p 目录服务 近几年，随着u ) a p ( l i g h td i r e c t o r ya c c e s sp m t o c o l ，轻量级目录访问协议) 技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存 储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息 的查询、新型网络服务、网络安全和安全服务等方面，都需要应用目录服务技术 来实现一个通用、完善、应用简单和可以扩展的系统。 2 1l d a p 简介 目前，目录服务技术的国际标准有两个，即较早的x 5 0 0 “7 1 标准和近年迅 速发展的u ) a p 标准。x 5 0 0 目录服务是一个特殊的有复制、修改和认证能力的 分布式数据库，包括目录信息模型、命名模型、功能模型和安全模型。x 5 0 0 将 本地信息保存在个目录服务代理( d s a ) 中。所有的d s a 按一定的规则组织进 来就形成了一个全球的分布式目录服务系统，各d s a 通过目录服务协议 d s p ( d i r c c t o r y a c c e s s p r o t o c 0 1 ) 的协调，向用户提供目录服务。 因为x 5 0 0 是在o s i 协议栈上实现的，且功能十分复杂，所以比那些在 t c p p 上实现的协议需要更多的资源，这样就使得x 5 0 0 很难在p c 机等资源配 置较低的计算机上运行，因此在1 9 9 3 年产生了轻量级目录访问协议 l d a p v l 伽( l i 曲觚e i g h t d i r e c t o r y a c e s s p r o t o c 0 1 ) 版本。u ) a p 是x 5 0 0 协议的一个 子集，简化了完整的x 5 0 0 实现功能。随后又于1 9 9 7 年发布了第三个版本 u ) a p v 3 。“，它的出现是u ) a p 协议发展的一个里程碑性标志，它使u ) a _ p 协 议不仅仅作为x 5 0 0 的简化版，同时提供了许多自有的特性，使它的功能更为完 备，具有了更大的生命力。 从本质上说，l d a p 协议关键在于它定义了一套标准规范来访问目录资源， 同时它对目录资源结构进行了良好的定义。l d a _ p 目录中可以存储各种类型的数 据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等 等。通过把l d a p 目录作为系统集成中的重要环节，可以大大简化查询信息的操 作。u ) a p 协议定义了：信息模型，确定u ) a p 目录中信息的格式和字符集，如 何表示目录信息( 定义对象类、属性、匹配规则和语法等模式) ：命名空间，确 定对信息进行的组织方式目录信息树d i t ，以区分名d n ( d i s t i n g l l i s h e d m e ) 和相对区分名i d n ( r e l a t i v ed i s t i g u i s h e d n 锄e ) 为基础的命名方式，以及u ) a p 信息的i n t e m c t 表示方式；功能模型，确定可以在信息上执行操作的通讯协议以 及在客户端进行这些操作的a p i 接口；安全框架，保证目录中信息的安全，匿 名、用户名密码、s a s l 等多种认证方式，以及与t l s 结合的通讯保护框架； 分布式操作模型，基于r e f b n m 方式的分布式操作框架；l d a p 扩展框架，基于 控制和扩展操作的u ) a p 扩展框架。 2 2 协议模型 l i ) a p 协议采用的通用协议模型是一个由客户端发起操作的客户机服务器 响应模型。在此协议模型中，u ) a p 客户机通过t c p 口的系统平台和l d a p 服 务器保持连接，这样任何支持t c p 】口的系统平台都能够安装l d a p 客户机。应 用程序通过a p i ( 应用程序接口) 调用把操作要求和参数发送给u ) a p 服务器； u ) a p 服务器访问目录库，负责代替客户机在目录上执行操作，收到返回要求的 信息或错误代码后发送到客户机，应用程序取回结果。当客户机不再需要与服务 器通信时，由客户机断开连接，其关系可以用图2 1 表示： 叩 t c m p 2 3 基本模型 ( 结果或锫误) 图2 1l d a p 协议模型 f i g u r e2 1l d a pp r o t o c o lm o d c l 1 信息模型 信息模型。蚓描述了l d a p 的信息表示方式。在u ) a p 中信息以树状方式组 织，在树状信息中的基本数据单元是条目( e n 乜y ) ，而每个条目由属性( a t 乜j b u t e ) 构成，属性由属性类型和与该类型相关的若干属性值构成。u ) a p 中的信息模型， 类似于面向对象的概念，在l d a p 中每个条目必须属于某个或多个对象类( o b j e c t c l 越s ) ，每个o b j e c tc l a s s 由多个属性类型组成，每个属性类型有所对应的语法和 第2 草l d a p 目录服务 匹配规则。例如，描述人的属性时可能包括姓名，电话和邮件地址等。 对象类和属性类型的定义均可以使用继承的概念。父对象的属性全部包含在 子对象中，同时，子对象属性还可以扩充以表示更为复杂的事物。如p e r s o n 对 象，它含有属性s 啪锄e 等，它的子对象o r g 觚i z 撕0 1 1 p e r s o n 就继承s 啪柚e 属性， 并且可以加上另外的属性t i t l e 和o m c e n 啪b e r 。 每个条目被创建时，必须定义所属的对象类，必须提供对象类中的必选属性 类型的属性值，在u ) a p 中一个属性类型可以对应多个值。条目的结构如图2 2 所示： 图2 - 2 目录中条目的结构 f i g u r e2 - 2 血es 虮l c t l l r eo f e n 仃y 访d i r c c t o f y 在l d a p 中把对象类、属性类型、语法和匹配规则等的规定统称为模式 ( s c h 锄a ) 。服务器使用模式中的信息来决定如何操作一个条目。在l i ) a p 中有许 多系统对象类、属性类型、语法和匹配规则，这些系统s c h e m a 在u ) a p 标准中 进行了规定，同时不同的应用领域也定义了自己的s c h e m a ，用户在应用时，也 可以根据需要自定义s c h e m a 。在l d a p 中鼓励用户尽量使用标准的s c h e m a ，以 增强信息的互联互通。 2 命名模型 命名模型“4 “”1 描述了l d a p 中数据是如何组织的。条目在目录中的组织方 式好像一棵树，因此称之为d i t ( d i r e c t o r y h l f o n l l a t i o nt r e e ，目录信息树) 。 在u ) a p 中每个条目均有自己的d n ( d i s t i n g i l i s h e d n 锄e ，区分名) 和r 工) n ( r e l a t i v ed i s t i n g i l i s h c dn 锄e ，相对区分名) 。d n 是该条目在整个树中的唯一 名称标识，r d n 是条目在父节点下的唯一名称标识，如同文件系统中，带路径 的文件名就是d n ，文件名就是r 工) n 。实际上，区分名d n 是由相对区分名i u ) n 组合而成。图2 3 展示了一棵简化的目录信息树： 图2 - 3 目录信息树 f i g i l 陀2 3d i r e c t o r yh 血册撕0 nt h e 这棵目录信息树是以m t e r n e t 命名方式组织的。目录信息树中目录项的位置 常常由该目录项所代表的意义决定，如代表国家的目录项会出现在目录信息树的 顶端，然后是公司、单位、团体等等。再往下可以是代表人的目录项或代表子公 司、下属单位等的目录项。在目录项的最底端的目录项代表实际的个体，如公司 里的人等。 d i t 中的目录项根据它在树中的位置来命名，依据是：从它的位置到根的路 径上经过的结点顺序依次叠加。在这棵目录信息树中，右下角条目的d n 就是： u i d = z h a n 对l a i ，o u = c h i i l a ，o u = c l l s t o m e r s ，d c = a c ，d c = c o m 。而该条目的r d n 就是u i d = 吐a 1 1 曲a i 。 3 功能模型 功能模型描述了u ) a p 中的数据操作访问。在l i ) a p 中，操作可以被分为 四大类型： 查询类操作，例如：搜索、比较。s e a r c h 操作用来在目录里查询信息，该操 作的运行由下列参数控制：b a s e d n 给出在目录信息树中的查询起点；s c o p e 定 义查询范围，可以是b a s e ”、o n e 1 e v e l ”或“s u b t r e e ”中的任何一种：f i l t e r ：定义要 找的内容，其形式可以简单如“百v 锄锄e = s a m ”，或者更复杂。 第2 苹l d a p 目录服务 修改类操作，例如：添加条目、删除条目、修改条目。目录中的信息在被查 询之前，必须先将信息存入目录。a d d 和d e l e t e 两个操作实现添加和删除目录中 的目录项，m o d i 6 ，d n 实现重命名、添加和删除目录树中的目录项。对于目录信 息的修改，除了目录项级外，还有相对应的属性级的修改。通过m o d i 黟操作进 行，新的属性可以被添加到目录项中，实现特定属性的删除，或者所有的属性值 替换为新值。 认证类操作，例如：绑定、解绑定。认证操作被用来在客户端和目录服务器 之间建立会话。这个会话根据认证方式的不同也具有不同的安全级别，u ) a p 定 义了三个用于认证的操作：b i n d 在客户端和服务器端之间初始化一个会话； u n b i n d 终止这个会话；a b a l l d o n 允许客户请求服务器终止一个操作( 例如耗时 的操作) 。 其它操作，例如：放弃和扩展操作。扩展操作是u ) a p 中为增加新的功能提 供的一种标准的扩展框架，当前已经成为l d a p 标准的扩展操作有修改密码和 s t 础t l s 扩展，在新的i 江c 标准和草案中正在增加一些新的扩展操作，不同的 u ) a p 厂商也均定义了自己的扩展操作。 4 安全模型 安全模型n ”描述了u ) a p 中的安全机制。u ) a p 中的安全模型主要通过身 份认证、安全通道和访问控制来实现目录服务的安全机制。 身份认证：在l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i n l p l e a u t l l e i l t i c a t i o n 锄ds e c u r el a y e r ) 认证。匿名认证即不对用户进行认证，该方法仅 对完全公开的方式适用：基本认证均是通过用户名和密码进行身份识别；s a s l 认证即u ) a p 提供的在s s l 和t l s 安全通道基础上进行的身份认证，包括数字 证书的认证。 通讯安全：在l i ) a p 中提供了基于s s l ，r l s 的通讯安全保障。s s l ，r l s 是 基于p 信息安全技术，是目前矾e m e t 上广泛采用的安全服务。l d a p 通过 s t a n t l s 方式启动t l s 服务，可以提供通讯中的数据保密性、完整性保护。 访问控制：虽然l i ) a p 目前并无访问控制的标准，但从一些草案中或是事实 上u ) a p 产品的访问控制情况，我们不难看出：l d a p 访问控制异常的灵活和丰 富，在u ) a p 中是基于访问控制策略语句来实现访问控制的。 j 5 虿苫些銮主苫主翟苫主垡鲨耋 2 4 应用 由于u ) a p 具有查询效率高、树状的信息管理模式、分布式的部署框架以及 灵活而细腻的访问控制，使得u ) a p 广泛地应用于基础性、关键性信息的管理中， 如用户信息、网络资源信息的管理等。u ) a p 的应用主要涉及如下几种类型： 1 信息安全类：数字证书管理、授权管理、单点登录； 2 科学计算类：d c e ( d i s t r i b u t e dc o i n p u t i n ge n v i r i o 胁e n t ，分布式计算环 境) 、u 】) d i ( u h i v e r s a ld e s c 邱t i o n ， d i s c o v e r ya i l dh l t e 鲫d o n ，统一描述、发现 和集成协议) ； 3 网络资源管理类：m a j l 系统、d n s 系统、网络用户管理、电话号码簿； 4 电子政务资源管理类：内网组织信息服务、电子政务目录体系、人口基 础库、法人基础库。 目前，) a p 已应用在北京大学校园网络用户管理系统、卜v e n 的e p r o v i s i o n 应用解决方案、上海公务网统一用户管理、中国数字图书馆系统的用户管理部分， 以及北京、上海、天津、福建等省级c a 中。 2 5 本章小结 本章介绍了u ) a p 技术的发展历史，分析了u ) a p 目录服务的特点、协议 模型以及四种基本模型，最后，介绍了u ) a p 目前的实际应用情况。 第3 章授权管理基础设施p m i 3 1p m i 简介 在介绍p m i 之前首先对p 。”简单阐述一下。p 即“公开密钥基础设旌”， 是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签 名等密码服务及所必需的密钥和证书管理。简单来说，p 就是利用公钥理论和 技术建立的提供安全服务的基础设施。p 技术是电子商务的关键和基础技术， 也是信息安全技术的核心，它采用非对称的加密算法，即把明文加密成密文的密 钥不同于把密文解密为明文的密钥，可以避免第三方获取密钥后将密文解密。 p m i 是建立在p 基础之上的授权管理基础设施。p m i 授权技术的核心思 想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即 由资源的所有者来进行访问控制管理。与p 信任技术相比，p 与p m i 之间 的差异就是认证( a u m e n t i c a t i o n ) 与授权( a l l 也o r i z a l i o n ) 这两个概念之间的区别。“， p 证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而p m i 证 明这个用户有什么权限、什么属性、能干什么，并将用户的属性信息保存在属性 证书中。 3 2p m i 系统整体构架 p m i 授权服务体系以高度集中的方式管理用户和为用户授权，并且采用适 当的用户身份信息来实现用户认证，主要是p 日体系下的数字证书，也包括动 态口令或者指纹认证技术。安全平台将授权管理功能从应用系统中分离出来，以 独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务。 授权管理基础设施p m i 在体系上可以分为三级，分别是信任源点 s o a ( s o u r c eo fa u t l l 嘶t y ) 、属性权威机构a a ( a t 缸b u t ea u t h o r i t y ) 和a a 代理 ( a 心b u t e a u t h o r i t y a g e n t ) 。在实际应用中，这种分级体系可以根据需要进行灵活 配置，可以是三级、二级或一级。授权管理系统的整体架构如图3 。1 所示： 信任源点s o a ii 萋耄管 l 举詈黧il 举警黧l i 莘慧黔i 证书服 l 务层资源管理中心r m lf 业务受理点业务受理点 * 书廊ll 用层 安全策略服务l d a p 服务操作授权服务 图3 一l 授权管理基础设施的整体架构 f i g i 】3 - 1t l l ew h o l e f r a i n e w o r ko f p m i 1 信任源点s q a 信任源点s o a 汹1 是整个授权管理体系的中心业务节点，也是整个授权管理 基础设施p m i 的最终信任源和最高管理机构。 s o a 中心的职责主要包括：授权管理策略的管理、应用授权受理、a a 中心 的设立审核及管理和授权管理体系业务的规范化等。 2 授权服务中心a a 属性权威机构a a 是授权管理基础设施p m i 的核心服务节点，是对应于具 体应用系统的授权管理分系统，由具有设立a a 中心业务需求的各应用单位负责 建设，并与s o a 中心通过业务协议达成相互的信任关系。 a a 中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及 a a 代理点的设立审核和管理等。a a 中心需要为其所发放的所有属性证书维持 一个历史记录和更新记录。 3 授权服务代理点 a a 代理点是授权管理基础设施p m i 的用户代理节点，也称为资源管理中心， 是与具体应用相关的特权声称者的用户接口，是对应a a 中心的附属机构，接受 a a 中心的直接管理，由各a a 中心负责建设，报经主管的s q a 中心同意，并 第3 章授权管理基础设施p m i 签发相应的证书。a a 代理点的设立和数目由各a a 中心根据自身的业务发展需 求而定。 a a 代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责 对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务 中心进行处理。 4 访问控制执行者 访问控制执行者是指应用系统中具体对授权验证服务的调用模块，因此，是 授权管理体系的重要组成部分。访问控制执行者的主要职责是：将用户所提交的 公钥证书连同对应的属性证书一起提交到访问控制决策单元，并根据访问控制决 策单元返回的结果，进行具体的访问控制处理。 3 3 应用 1 在国家电子政务中的应用 p m i 是国家信息安全基础设施n i s i ( n 撕o n a lh l f o m a t i o ns e c 耐t y h 觚仃u c t i l r e ) 的一个重要组成部分，目标是向用户和应用提供授权管理服务，提 供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体 应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发和维 护。基于p 的p m i 系统为电子政务系统构建了一个严密的安全体系，充分保 证敏感资源访问的可控性。由于电子政务应用自身的特点，p m i 技术将在整个电 子政务系统中发挥重要作用。 2 基于p k 班，m i 的口宽带城域网安全应用 基于p 磁，p m i 的口宽带城域网安全应用采用p y p m i 体系构建信任与授权 服务支撑平台，为婵宽带城域网提供信任服务和授权服务。平台通过对实体的 公钥证书p k c ( 包括用户个人信息，如序列号、p 地址、m a c 地址等信息) 、 属性证书a c ( 包括用户的属性信息，如角色、访问控制权限等) 的认证、授权、 管理来建立一个统一的智能化信任与授权基础环境。将p i ( i p m i 技术应用到电 信口宽带网中，解决了宽带母网在安全性方面的缺陷，达到了“可控制、可管 理、可经营”的安全要求。 3 4 本章小结 本章对p m i 系统整体构架进行介绍和分析，为之后阐述统一授权管理系统 的设计奠定了理论基础。 第4 章统一授权管理系统的设计 计算机网络给世界经济以及人们的生活带来了巨大的变革，人们可以通过网 络有效地实现信息资源共享。在人们