（计算机软件与理论专业论文）soa集成平台中统一认证方法研究.pdf

i 匕 。，! ， 11 j11 11 一 “ 独创性声明 本人郑：电声旨明：所提交的学位论文是本人在导师指导卜独五：进i j ：研究 r i 作所取得的成果。据我所知，除了特别加以标注和敛谢的地办外，沦文 中f i 包含， e 他人已绛发表或撰写过的研究成果。刈本人的研究做出。r r 要负 献的个人干u 集体，均已在文中作了明确的说明。本，旨叫的法律结果l l i 小人 承担。 学f 讧论文作者签名：荔延建显 h 期：型翌! & 卫 学位论文使用授权书 小。化论文作者完伞_ r 解尔北师范人学彳天保留、使川。能论文的姚定，即： , l lo i l j 范人学仃权保留并向国家订天部fj 或机构送交学位论文的复印什和i u 。f 版， 允n ：沦叟被 阅刷借阅。奉人授权尔北师范人学可以将学化论文的个部或部分内容 编入订天数据库进ij ：检索，u 】以采川影印、缩印或其它复制f - 段保存、计：编本。学f 论文。 ( 保密的学f 讧论文在解密厅适川本授权i5 ) 学位论文竹；者签名：避 l 期：竺止上哆 学位论文作者毕业后上向： i ：作单位： 通玳地士| f ： 艚黼虢蛐 口 期：丝2 11 占：2 i u 衍： l i | ；编： 廖 t ，j 1 0 1，j ，f 摘要 随着网络技术和数据存储技术的不断发展，针对不同业务的需要，用户订制 着很多异构服务，由于开发环境和数据存储技术的不同，给数据信息的共享和交 换带来很大的困难。目前的s o a 统一认证平台普遍集成着来自不同厂商的服务， 并且由于这些异构服务的“用户一权限 存储及逻辑结构差异性导致了服务集成 困难的问题，同时主流的统一认证安全保障机制也存在着很大的不足。 本文以东师理想信息化应用系统基础支撑平台为背景，基于轻量级目录访问 协议形成一套完整的统一认证方法及用户数据安全保障机制。 首先在对l d a p 轻型目录访问协议、l d a p 数据结构原理和数据安全相关技术 等理论及技术基础进行分析的基础上，以信息化应用系统基础支撑平台为背景， 设计了统一认证的总体结构，并对统一认证安全机制结构和目录信息树结构进行 简要的阐述。 其次，由于信息化应用系统基础支撑平台订制了多个不同服务提供方提供的 服务，针对异构服务中“用户一权限 存储方式及逻辑的不同，本文对系统目录 信息树进行了详细的设计，提出了异构系统“用户一权限”的集成标准，实现异 构服务向l d a p 服务器的注册。 最后，本文对统一认证的安全保障进行了仔细的探讨，提出了目录服务证书 认证系统来保证用户数据的安全，并对其中的协议数据流程进行了形式化描述。 最大程度上保证了整个统一认证的基本实现。 关键词：轻量级访问协议；面向服务；目录信息树；统一认证；目录服务证 书认证 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to fn e t w o r ka n dd a t as t o r a g et e c h n o l o g y i n n o v a t i n gc e a s e l e s s l y , t h ed i f f e r e n to p e r a t i n gs y s t e m sa n da p p l i c a t i o n sr e q u i r et h e i r o w ns u i t a b l ed a t a b a s e s ，w h i c hh a v eb r o u g h tm u c hd i f f i c u l t yt os h a r i n ga n de x c h a n g e o fi n f o r m a t i o n c u r r e n t l y , b e c a u s eo ft h ed i v e r s i t yo fs t o r a g ep a t t e r n sa n dl o g i c a l s t r u c t u r ef o r ”u s e r - p e r m i s s i o n i nt m i f i e da u t h e n t i c a t i o np l a t f o r m sb a s i n go ns o a 舶md i f f e r e n tm a n u f a c t u r e r s ，t h e r ea r es o m ep r o b l e m sf o rd i f f i c u l t i e si ns e r v i c e i n t e g r a t i o na n dd e f e c t so nt h es e c u r i t ym e c h a n i s m t h i sp a p e rd e r i v e sas e to fu n i f i e da u t h e n t i c a t i o nm e t h o da n dd a t as e c u r i t y m e c h a n i s md r a w i n gs u p p o r to fl i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o lb a s i n go nt h e e d u c a t i o n a li n f o r m a t i o ns u p p o r t i n gp l a t f o r m f i r s t l y , b a s i n go i lt h ea n a l y s i sf o rl i g h t w e i g h td i r e c t o r y a c c e s sp r o t o c o l ，l d a p d a t as t r u c t u r ea n dd a t as e c u r i t y - r e l a t e dt e c h n o l o g i e s ，d e s i g nt h es t r u c t u r ea n ds e c u r i t y m e c h a 血s mf o ru n i f i e da u t h e n t i c a t i o na n dd e s c r i b eb r i e f l yd i r e c t o r yi n f o r m a t i o nt r e e s t r u c t u r e s e c o n d l y , b e c a u s eo ft h eo r d e r i n gm u t i p l ed i f f e r e n ts e r v i c e sf o rt h ei n e g r a t i o n p l a t f o r ma n de x s i t i n ga d v e r s i t yo fe v e r ys e r v i c e ，t h ep a p e rd e s i g n sd e t a i l e d l yd i r e c t o r y i n f o r m a t i o nt r e ef o re d u c a t i o n a li n f o r m a t i o np l a t f o r m ，a n dp r o j e c t st h ei n t e g r a t i o n s t a n d a r d sf o rt h eh e t e r o g e n e o u ss y s t e mt oa c h i e v et h es e r v i c er e g i s t r a t i o nf o rl d a p s e n ，e r f i n a l l y , a n a l y s i sc a r e f u l l yt h es e c u r i t ym e c h a n i s mo fu n i f i e da u t h e n t i c a t i o n ，a n d b r i n go u tt h es y s t e m i cm e t h o db a s i n go nd i r e c t o 巧s e r v i c ec e r t i f i c a t ea u t h e n t i c a t i o nt o e n s b r et h es e c u r i t yo fu s e rd a t a t h ep a p e re l a b o r a t ef o r m a l i z e d l y d a t af l o wo f a u t h e n t i c a t i o np r o t o c o lt oe n s u r et h ei m p l e m e n tf o rs e c u r i t yi nm a x i m u m k e yw o r d s ：l d a p ；s o a ；d i r e c t o r yi n f o r m a t i o nt r e e ；u n i f i e di n t e g r a t i o n ；d i r e c t o r y s e r v i c ec ：a i i 目录 中文摘要i 英文摘要i i 目 录i i i 第一章 引 言。1 1 1 国内外研究现状与问题1 1 1 1 国内外研究现状l 1 1 2 主要存在的问题2 1 2 本文研究的主要工作3 1 2 1 研究内容3 1 2 2 研究意义3 第二章理论与技术基础5 2 1l d a p 轻型目录访问协议5 2 2l d a p 数据结构原理5 2 2 1 组织结构5 2 2 2 条目认证6 2 2 3 数据样式6 2 2 4 类型6 2 2 5 过滤器和语法7 2 2 6 移植性7 2 2 7l d i f 交换文件一7 2 3 数据安全相关技术8 譬 2 3 1 公钥加密8 2 3 2 公钥证书8 2 3 3 安全套接层9 2 3 4 证书认证9 2 3 5 属性证书9 第三章统一认证系统总体结构11 3 1 信息化教育平台的总体结构1 1 3 2 统一认证系统总体结构。1 3 3 3 统一认证安全机制结构1 4 3 4 目录信息树15 第四章统一认证安全机制研究。17 4 1 目录服务证书认证17 4 1 1l d a p 作为认证机构的优点1 7 4 1 2 目录服务证书认证的基本结构1 7 4 1 3 目录服务证书认证协议1 9 4 1 4 访问协议2 0 4 1 5 注册协议数据流程2 1 4 1 6 访问协议数据流程2 3 1 1 1 4 2 性能分析2 4 4 2 1 安全性2 4 4 2 2 便利性2 4 4 2 3 效率2 4 4 2 4 兼容性2 5 第五章用户数据接口设计及目录树设计2 6 5 1 系统总体框架2 6 5 1 1 系统设计思想2 6 5 1 2 系统设计目标2 6 5 1 4 系统架构2 7 5 2 目录树设计2 9 第六章系统实现3 3 6 1w i n d o w s 下的o p e n l d a p 安装配置3 3 6 2 信息录入3 5 6 3 目录服务的添加、删除与修改3 6 6 5 系统测试4 0 第七章总结与展望4 3 参考文献4 4 致谢4 6 i v 东北师范大学硕士学位论文 第一章引言 1 1 国内外研究现状与问题 1 1 1 国内外研究现状 早在2 0 世纪的中期，随着信息技术的不断发展，各个行业部门的业务层次 也变得越来越巨大和复杂，呈现出多样化、复杂化的特点。传统的一站式系统已 经不能满足日益扩大的企业规模，这就需要能够进行异构网络通信的分布式系统 的出现，于是在这种背景下，相关领域也产生了很多重要的研究课题。 直到上个世纪末，对于分布式集成系统的要求达到了迫在眉睫的地步，原有 的系统已经根本适应不了庞大的企业业务，分布式集成平台在这种环境在取得了 飞速的发展。随着计算机在各个行业和企业当中应用的加深，数据库系统之间的 相互不兼容问题也变的越来越明显，在企业内部存在着各个部门各自使用异构的 硬件和软件平台，不同数据存储和数据访问技术的问题，企业与企业间这种问题 显得会更加明显。这种情况就会给部门之间、企业之间的合作带来巨大的障碍。 因此也形成了“信息孤岛”的现象。并且这种现象有日益加重的趋势n 3 。 在这种大环境下，随着计算机网络技术与应用的不断加深，各行业间，企业 间，企业内部的业务合作在不断的紧密发展，这就给互联网数据传输技术带来了 很大的挑战，一方面要保证数据传输的稳定快捷，另一方面也要保证数据传输的 安全性。x m l 作为新兴的标准被广泛的接受，而w e b 服务作为互联网上标准的互 操作性接口也受到普遍支持，进而产生了大量通过w e b 服务或其它接口发布的以 x m l 编码的业务数据，给企业的数据建模、访问和操纵问题增加了新的维度瞳3 。 轻量级目录访问协议( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) ，简称为 l d a p ( 在x 5 0 0 的基础之上发展起来的) ，比起x 5 0 0 很多晦涩的协议和语法来 说使用起来更简单( x 5 0 0 主要应用在u n i x 系统上，许多其它系统无法应用) 。 与x 5 0 0 不同的是，l d a p 运行在t c p i p 协议基础之上，这对于基于互联网访问 是必须的。r f c 中定义了所有的l d a p 规范。l d a p 基本上能帮助企业和相关单位 定义并且存储所有相关的数据和信息，因为l d a p 的标准通用，它能够实现自适 应，并且能够自由的迁移和组合。不论存储的是用户信息，权限等级，权限信息， 数字编码，l d a p 目录对于各种基本的数据类型都是适用的。如果将l d a p 运用到 集成平台的统一认证当中去，就会大大的改善数据的查询速度，并且能够清晰的 将用户的基本数据和其他复杂的业务逻辑分离开来，做到对于用户的统一认证。 东北师范大学硕士学位论文 1 1 2 主要存在的问题 计算机网络技术的飞速发展，给信息技术的应用带了的巨大的发展空间，各 行各业在这都在这种大潮之下寻求更大的增值空间。与此同时，对信息技术的需 求显得日益的突出，尤其是对w e b 服务的要求。由于市场上的产品众多，并且每 种产品的开发技术，数据存储都各不相同，这就给行业间，企业间的合作带来的 巨大的困难，同时也阻碍了各行业的发展，信息孤岛就是在这种环境下形成的， 教育行业就是一个典型的例子。各级教育局和学校每年都要花费大量的资金引进 教学资源，由于这些系统采用不同的编程语言，甚至被部署在不同的软硬件环境 中，造成系统与系统，数据与数据之间的不兼容，给各级部门的使用者带来了很 大的不便，有时甚至使巨大的投入付之东流。随着各行各业用户群体的不断增加， 原有的系统基本上跟不上整个形势的发展，同时系统的弊端也不断的暴露出来 了，给整个行业应用都带来了许多的难题口。： ( 1 ) 信息非共享 由于各个系统都是在不同的平台上开发出来的，数据关系不同，各个软件系 统没有通用的接口，各自独立，数据传输相当困难，不能实现部门间以及部门内 部的整体升级，而且在互联网技术飞速发展的今天，这种矛盾显得日益的突出。 严重的阻碍了很多行业更好的发展。这就是难题之一。 ( 2 ) 数据冗余 正是由于信息共享方面存在着诸多的不便，这就导致了在原来的系统之上进 行改造，甚至是将原来系统废弃。这就意味着浪费了很多的财力、人力、物力。 这种情况导致了很多数据的闲置。 ( 3 ) 接口庞大 业务部门的多种多样直接的导致了业务系统的多种多样，但是能不能跨越这 种天然的屏障呢，就是不管业务是如何多样，只需要一个公共的接口就可以将不 同的业务集成到同一个体系中去。如果我们按以前的思路去考虑，通过接口将原 有的系统连接起来，保持他们之间的通讯，建立合适通用的接口是必不可少的， 原来存在的应用系统有k 个，那么所需的接口连接就是k ( k 1 ) 个。每多出一个 连接就要花费很大精力设计开发。因此，通用接口作为一个重要的发展方向亟需 去探索。在这种大背景下，分布式信息共享技术开始了飞速的发展，面向服务的 系统架构技术就是其中最为前沿的一个发展领域，他已经被作为软件发展的重要 方向被逐步的重视起来了。 ( 4 ) 当今主流的数据交换中间件技术都存在不足 以组件为基本单元的c o m 技术是微软公司为了解决数据交换而开发的组件 2 东北师范大学硕士学位论文 和使用组件的客户程序之间通信规范。c o m 本身的标准是基于二进制基础上的， 跟其的编程语言没有任何关系h 3 。d c o m ( d i s t r i b u t ec o m ，分布式构件对象模型) 是基于分布式的环境下的编程语言。远程计算机上的通讯就是基于d c o m 技术实 现的，例如我们的远程左面。这些都是由微软公司开发的，所以他们之间的互操 作行在同一个平台显得很合适。 公共对象请求代理体系结构( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ，) 又被简称为c o r b a r 技术，它由对象管理组织( o m g ) 提出的，是以软件体系结构为 基础的技术规范，他的主要作用是提出了一套标准的接口，用来支持异构程序间 的互操作和与平台无关的编程语言的对象重用瞄3 。 以上分布式中间件能够大体上解决不少的异构系统平台的互操作问题，但是 他们对于这些互操作的定义还是不够完整，每种都只停留在自己的体系之内，无 法做到他们之间的互操作。总的来说，这些技术对于理论上完全的消除异构还做 不到完美，特别是在网络上没有对用户做到透明阳1 。 1 2 本文研究的主要工作 1 2 1 研究内容 本文主要基于l d a p 创建服务与集成平台间数据传输的统一标准 ( 1 ) 统一认证总体设计。 ( 2 ) 异构系统“用户一权限”集成标准。 ( 3 ) 目录信息树设计( d i t ) ：设计出符合教育信息集成平台的目录信息树， 实现数据灵活迁移，及随时查询存储。 ( 4 ) 统一认证安全性研究。 1 2 2 研究意义 通过本课题的研究，目的是合理而有效地利用企业现有资源，在花费较低成 本、对系统不进行大的改动并保持系统持续可用的情况下，将多种服务的数据用 统一的标准集成到s o a 平台中来，再不用更改业务的前提下，实现数据的互通， 给企业和用户带来很大的便利和收益。 从理论上讲，该课题的研究是对当前流行的l d a p 技术在s o a 中的有效的应 用。从实践上讲，l d a p 在s o a 当中的应用为企业内部和企业间数据的集成提供 了有效的依据，该接口的提出以及实现，能够迅速帮助服务请求者获得服务的使 用权限，同时能够帮助企业进行大规模快速的数据查询及修改，增强相互之间及 企业内部的信息交互，缩短开发时间，获得更大的投资回报率( r o i ) 。因此，该 士学位论文 东北师范大学硕士学位论文 第二章理论与技术基础 2 1l d a p 轻型目录访问协议 轻量级目录访问协议( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) ，简称为 l d a p ( 在x 5 0 0 的基础之上发展起来的) ，比起x 5 0 0 很多晦涩的协议和语法来 说使用起来更简单( x 5 0 0 主要应用在u n i x 系统上，许多其它系统无法应用) 。 与x 5 0 0 不同的是，l d a p 运行在t c p i p 协议基础之上，对于访问在互联网上传 输时必须的。r f c 中定义了所有的l d a p 规范。l d a p 基本上能帮助企业和相关单 位定义并且存储所有相关的数据和信息，因为l d a p 的标准通用，它能够实现自 适应，并且能够自由的迁移和组合 1 。目录的访问操作主要是通过l d a p 实现， 目录服务本身的定制有它自己的规则，理论上，l d a p 支持后台的任何存储形式， 包括x 5 0 0 ，关系数据库，文本数据库或文件目录等。 2 2l d a p 数据结构原理 许多人认为l d a p 是一种和关系数据库类似的数据库，只不过是存储方式上 发生了改变，在查询的速度上进行了优化提高。但是这种说法实际上是错误的。 从根本上讲，关系型的数据库和l d a p 是两种不同的概念，只不过有相似性，不 能拿到一起进行比较，关系型数据库是一种存储方式( 面向对象数据库) ，而l d a p 是访问协议，是一种在存储方面定义的规范。l d a p 比起关系型数据库显得更加 的抽象，而不是象关系数据表一样直观容易理解。其实，它与s q l 语言属于同一 个级别。l d a p 是实现了指定的数据结构的存储，它包括以下可以用关系数据库 实现的结构要求：树状组织、条目认证、类型定义、许可树形记录拷贝曲儿卵制。 2 2 1 组织结构 在l d a p 中基本的数据组织形式是树状的结构，条目作为最基本的存储单元 存在，条目是由属性值所组成的，每条都包含一条或者更多的属性值。每个条目 都可以反映现实世界中的对象，它可以是现实世界中的很多信息，例如员工的属 性，权限，角色，也可以代表打印机扫描仪等等。l d a p 模式类似于面向对象， 每个条目都是属于某个或多个对象类- o b j e c t c l a s s ，每个对象类又是由多个属性 类型所组成的，各个属性类型都有各自的语法规则；继承可以用在l d a p 对象类 和属性类的定义当中。在创建每个条目是必须要为条目的属性节点赋值，不可以 存在分配了节点没有赋值的情况。在l d a p 中一个属性和值可以是一对多的关系， ， s 东北师范大学硕士学位论文 不像关系型数据库是一对一的关系。条目的逻辑结构如图2 1 所示。 图2 1 条目的逻辑结构 2 2 2 条目认证 l d a p 的认证是以条目作为基础的。根节点本身的认证基本上跟条目是没有 关系的，每个条目都有自身的认证方式。可以选择密码认证的方式。通过继承的 方式也可以对上下层节点进行权限认证。 条目自身等同于简单的文本记录，都是由一些简单的文本对数据进行描述， 并根据条目本身的访问认证方式来对认证进行控制。l d a p 自身的存储结构就是 基本的平面树状结构存储的，认证方式也有它自己的特点n 川。 所有的记录都是成对出现的，名字和值必须同时出现，s c h e m a 会首先定义 名和值的关系。因此，l d a p 可以被视为一种集合，在这种集合中元素的值就是 名和值对，关系就是以树状的结构组织的。 2 2 3 数据样式 由于应用的多样性，数据样式s c h e m a 都是被固有的类和属性所定义的，条 目中的类和属性的已有定义需要在l d a p 服务器( 多样的) 启动的时候进行载入。 活动目录a d 就是一个很好的例子，它有它自己相应的s c h e m a 。如果已有的s c h e m a 不能够满足用户的应用需求，用户可以自行定义新的s c h e m a n 引 2 2 4 类型 条目中的记录都是参照o b j e c t c l a s s 进行分类的，类在定义的时候必须指明 属性的定义。同样继承在目录中也是同样适用的。通过o b j e c t c l a s s 分类，一个 一目了然的索引结构就将原来没有顺序的条目记录整合起来了，同时也就实现了 6 东北师范大学硕士学位论文 高效的读查询。过滤器在查询的过程中也是主要参照o b j e c t c l a s s 。 2 2 5 过滤器和语法 l d a p 主要工作方式实际上是查询，过滤器是查询主要的手段，过滤器通过 用户的输入对每个节点进行筛选，最后达到了所要查询的目的。过滤器相当于 s q l 中的w h e r e 子句。 例如，可以使用= ， = ， = ，= ( 约等于) 进行比较。当需要合并条目时， 操作符不是像标准的s q l 语句一样必须放在两个条目的中间，而是必须放在两个 题目的前面，单一的对象必须使用括号。如 x 与y ，( ( x ) ( y ) ) 。 或使用”f ”表示； 。 非使用”! ”表示。 对于”& ”和”i ”后面可以连接多个表达式，但非后则只能跟一个表达式。 2 2 6 移植性 按r f c 规范的要求，l d a p 目录和不同的目录树进行连接，复制，数据导入 导出，以及自动同步。这样用户就可以任意自由的访问目录中的信息，而不用去 关心该目录到底在哪，或者它的具体结构就是怎么表示的。l d a p 有两个非常重 要的特性，一个是上面所说的查询的特性，另一个就是扩展的特性，这也正是 l d a p 适合做统一认证接口的原因。它的实现主要是通过复制和迁移实现的。这 就是l d a p 比起关系型数据库的表结构更适合统一认证的原因。 2 2 7l d i f 交换文件 l d i f 中以文本的形式记录着目录树的基本结构。l d i f ( l d a pd a t a i n t e r c h a n g ef o r m a t ) 是l d a p 约定的记录交换格式是大部分l d a p 内容交换的基 础，如拷贝、添加、修改等操作，都是基于l d i f 文件进行操作。 轻量级目录访问协议( l d a p ) 是一种应用在互联网上的新型技术。l d a p 技术具有很多的优势，例如提供快速、高效的查找，较快的响应速度和一目了然 的数据结构。它能够在许多的不同的系统中被应用。 7 东北师范大学硕士学位论文 全相关技术 证书认证( c a ) 是一个成型的并且被信任的认证方式，并且在为各客户端的 通讯提供一个安全的网络环境。如果某人想要和另一个人进行通讯或者交易，他 们就需要c a 为其颁发证书去帮助他们获得彼此的信任。属性证书的提出也使整 个证书的使用和颁发变得更加的简单，由于属性证书只涉及到用户的基本信息， 这就使证书的服务器的负载减小，同时也不涉及到c r l 的维护和管理问题通过让 l d a p 服务器向用户颁发属性证书，来使整个系统的安全将会变得更加的可靠。 由于互联网的普及，提供更加可靠的措施去保证数据免受黑客和不法行为的 攻击显得非常的重要并且迫切。公钥证书体制是一种非常有效的安全保障机制。 为了支持p k i ，许多技术已经被使用。其中最重要的一个就是x 5 0 9 证书。此证 书的目的就是使用公共密钥去和客户端进行绑定。使用受信任c a 颁发的x 5 0 9 证书，通讯的双方将会证书的生效够进行通讯。一些新的技术，例如安全套接层 ( s s l ) 也是使用证书技术去保障服务器和浏览器之间的安全。 涉及到这篇文章的技术有很多n 3 儿1 4 3 ，以下将对它们进行简短的介绍。 2 3 1 公钥加密 公钥加密的基本思想就是找到一个加密系统，在这里如果一个公钥e k 被给 出，那么想要去确定一个私钥d k 就变得十分困难引。并且我们能够在目录上对 公钥进行发布。d i f f i e 和h e l l m a n 在1 9 7 6 年提出了这个概念。事实上，r i v e s t ， s h a m i r 和a d l e m a n 在1 9 7 7 年第一次实现了公钥加密系统。他们设计了广为人知 的r s a 加密系统。会话密钥( 包括一些随机关键字) 被本文提出并且代替了公共密 钥。现在，广泛采用1 0 2 4 位，因为原来的5 1 2 已经被认为不是很安全了。 2 3 2 公钥证书 公钥证书是通过c a 进行发布的。由于证书是被一个可信的c a 颁发的，所以 证书基本上被用在确认客户端的身份上。 任何时候，我们想要和其他人进行通讯，那么接收者必须要提供他们的公钥 和数字签名。然后，我们才能去确认他们的身份。这就好比一个公证员去帮助我 们确认其他人的身份。 x 5 0 9 标准在1 9 8 8 年被发表出来，并且互联网工程任务组( i e t f ) n 刚在很 短的时间内就将该标准进行了采纳。现在，它已经成为最广泛的公钥加密证书标 准。在x 5 0 9 第三版中，由于标准的公开，我们可以根据自己的一些特殊目的对 证书进行相应的扩展，己达到适应自身要求的目的。 东北师范大学硕士学位论文 2 3 3 安全套接层 安全套接层( s s l ) ，该协议的提出对于网络安全的改进起到了很大的作用。 在1 9 9 4 年，网景公司最先提出了s s l 并且在认证和服务器客户端安全通信方面 已经获得了互联网的广泛采纳。s s l 协议运行在传输层。任何在t c p 下运行的程 序都能够很好的工作在s s l 之上。 由于使用的x 5 0 9 证书，s s l 技术能够提供安全的提供服务。尽管s s l 协议 能够在客户端和服务器之间建立一个良好的安全信道，如果终端系统没有足够的 安全保护措施的话，它还是不能完全保证终端系统免受安全威胁的攻击。例如， 如果终端系统使用s s l 去接收服务器发送的属性信息，由于该服务不知道终端系 统的身份，如果某人试图伪造一些属性去模仿该客户端，从而就不能保证整个通 信过程的安全。但是在某种程度上说他还是的一个很好的保证网络安全的工具。 2 3 4 证书认证 证书和我们所熟知的认证方式没什么根本上的区别，同样也是像公证员一样 去确认双方的身份。c a 帮助客户端系统和服务器去确认双方的身份，并且颁发 证书。但是存在一个问题就是每个c a 都有自己的标准，不同c a 颁发的证书标准 可能存在不同。 一 最重要的就是，证书包含着给它颁发c a 的数字签名。c a 的数字签名就相 当于一封介绍信。就是在这种环境下通讯双方在第三方不知道的情况下交换证书 认证双方的身份。 2 3 5 属性证书 属性证书是基于x 5 0 9 构建的。它是由美国财政工业a n s ix 9 协会开发的n 8 1 。 现在涉及到属性证书标准有很多，最前沿的一个已经被应用到安全传输协议 t l s 。 属性证书使用对象标识名作为绑定的属性信息。任何想要使用证书的人都可 以根据自己的目的来定义和注册属性。属性证书是由属性c a 进行颁发，同时也 遵循x 5 0 9 的规则。然而，属性证书并不包含公共密钥。属性证书标识了很多用 户的角色和权限等属性信息： ( 1 ) 角色：定义客户端在整个系统中所扮演的角色。通常，不同种类的客 户端扮演着不同的角色。这决定着系统对于各客户端角色的分配。最终各客户端 能获得从系统中分配而来的不同权限。 ( 2 ) 分组：组的概念可以定义这些客户端是如何分类的，各属于哪些分组。 9 东北师范大学硕士学位论文 各个分组遵循着一定的规则和权限，例如基本角色访问控制( r b a c ) ，组织规则 或者一些其他的技术。这能够很好的帮助系统去管理事务。 ( 3 ) 权限：提供机制去限制各属性的行为权限。当各客户端获得证书以后， 其中规定各客户端的权限，客户端不可以超越这些权限去进行操作。如果用户超 越了自己的权限去进行操作，那么就可能被剥夺证书 ( 4 ) 访问认证：对于特殊的服务器，具有属性证书的的各客户端可以在访 问认证之后访问服务器。服务器会要求客户端出示其属性证书来允许客户端对服 务器进行访问。如果认证成功，我们就能够访问系统，这无疑会增加整个系通的 安全性。 ” 1 0 东北师范大学硕士学位论文 第三章统一认证系统总体结构 3 1 信息化应用系统基础支撑平台的总体结构 在教育领域里，各高校，中小学，教育部门由于各自职能和分工的不同，高 校和高校间，教育部门和中小学间都购买并使用各自的管理软件，给a 教育局开 发的软件拿到b 教育局就不再适用，甚至高校内部的各个部门都是用着不同的管 理系统。结果就给教育部门之间，高校之间的，中小学之间的甚至内部的信息流 通带了很大的不便。归根结底这些都是由于各自业务的不同导致的，能不能设计 出一个具有通用接口的集成平台来帮助跨越这些难题。信息化应用系统基础支撑 平台就是在这种背景下实施研究开发的。 系统设计采用国际上先进的技术标准和规范，如w e bs e r v i c e 、s o a ( s e r v i c e o r i e n t e da r c h i t e c t u r e ，面向服务架构) 、w s r p 、l i b e r t ys s o 、x m l 、 p k i 等，提供开放的、平台级的应用编程接口和管理工具，具有高度的开放性、 互联性和可扩充性，实施方便快捷9 j 。统一信息门户平台架构如图3 1 所示： 东北师范大学硕士学位论文 信息化教育集成平台统一认证结构框架 一用户 显示层 个性化工作平台 l 一 用户 操 臣塑丑臣篁口匦亟雪 作 系 统 管理层 叵夏e 数 据 库 系 续系 塞篓 构件层构件库- 1 3 户构件平台 素燮 统上 应 用 系 统 服 务 器 等 接入层统一认证一l d a p 等 应用层 | 萎i；站l ! 爨ll l 藿! 【一l 一l _ j i 一 图3 1 信息化应用系统基础支撑平台结构框架 信息化应用系统基础支撑平台自上而下被分成：显示层、管理层、构件层、 接入层和应用层。 ( 1 ) 显示层：该层主要是可视化的个性化工作窗1 3 ，为用户提供直观人性 化的操作界面。 ( 2 ) 管理层：该层主要分为风格管理、内容管理、资源管理等等。用户 登录显示层，在提交用户名和密码后系统根据其权限自动为用户分配该用户所具 有的使用权限。 ( 3 ) 构件层：包括标准构件库和门户构件平台。 ( 4 ) 接入层：该层也是本文的主要研究内容，统一对用户身份的认证就是 在该层完成的，在该层同样定义了数据安全机制。 ( 5 ) 应用层：主要的应用系统和数据库都在该层被表示出来了。 东北师范大学硕士学位论文 3 2 统一认证系统总体结构 很多面向服务集成平台在实施统一认证的过程当中，都是将用户的信息和系 统的数据表一同放在关心型数据库当中，有些数据是需要经常查询使用的，例如 用户信息，并且用户的基本信息和权限信息在关系型数据库中的存储是很复杂繁 琐的，这就为开发人员的设计带来了很大的麻烦。这些关系着统一认证的用户信 息，在频繁的访问中也给服务器带来沉重的压力，这就需要我们找到一种既能够 独立存储用户信息，又能够方便查询的数据模式。l d a p ( 轻量级数据访问协议) 就为统一认证提供了很好的解决办法儿2 盯 统一认证的基本方案是基于l d a p ( 轻量级目录访问协议) 的通用格式基础 上，为信息化教育支撑平台用户提供安全的一站式登录认证服务。为平台用户提 供以下主要功能： 为平台用户提供“一次认证，全网通行”和“一次退出，整体退出的安全 一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次 性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自 动跨域、跨系统访问、整体退出等。 系统优点在于让集成平台的使用者不用淘汰现有的系统，无须进行用户信息 数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络， 并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方 便、稳定、安全与灵活的网络环境。 本文研究的主要内同是信息化应用系统基础支撑平台的接入层基于 l d a p 的统一认证，设计的总结结构如如下： 图3 2 统一认证系统构架图 1 3 东北师范大学硕士学位论文 统一认证过程： ( 1 )用户登录w e b 服务器，向应用系统发出请求 ( 2 )应用系统收到用户的请求后将用户的基本信息发送给l d a p 服务器 ( 3 ) l d a p 服务器和统一认证系统进行对话，对用户的信息进行比较，并 将用户的具体角色和使用权限发送回w e b 服务器 ( 4 )w e b 服务器使用刚刚收到的信息再次请求应用系统 ( 5 )应用系统根据用户的角色信息和使用权限将具体的系统提交给用户 使用 统一认证的应用，减轻了用户记住各种账号和密码的负担。通过一次登录， 全局认证，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的 服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性， 提高了系统的整体安全性。 3 。3 统一认证安全机制结构 为了保证用户信息的安全，统一认证平台保证用户在登录或退出时，用户在 网上传输的所有信息都受到全程的安全保护。所有信息都可以全程加密，而且通 过安全通道传输1 2 3 1 2 钔。 ( 1 ) l d a p 服务器w e b 服务器之间的通讯 统一认证提供了强大的证书管理功能，以保证设置h t t p s 或s s l 的工作是一 件简单的工作，就算对证书管理和使用不太熟悉的管理员，也可以安全的配置服 务器。 ( 2 ) 单点登录平台服务器与应用程序之间通信 嵌入在w e b 应用服务器上的a g e n t 与单点登录平台服务器通信时，所有信息 都封装在一个安全的信封结构里，叫做i d t o k e n 。i d t o k e n 用非对称加密算法 加密，采用6 4 位长度的密钥加密。加密密钥只有w e b 应用服务器与其相对应的 单点登录平台服务器共享，所以就算i d t o k e n 在网上被拦截了之后也无法被解 密。如图3 3 所示： 。 1 4 东北师范大学硕士学位论文 统认证 s 6 s 1 力n 密算法 l d a p , 日臣务器 应用程序 ，蓄 w 。b 服务器b 夕夕7 加密算法 ； ： 葛 w e b 铷j 览器 图3 3 统一认证安全机制结构图 3 4 目录信息树 目录树就是规定如何存储各种不同类型信息的数据存储结构的组织方法。你 可以把它看作是你的数据的归档系统。想要成功的对用户的信息和权限进行控制 就必须设计出合理的并且易于迁移的目录信息树。目录信息树的设计直接关系到 系统的迁移、扩展及自适应。目录信息树的结构是根据组织的结构来确定的。 目录树的设计原则有很多，既可以按物理空间的不同来进行目录树的设计， 也可以按逻辑结构的不同来进行设计。但是设计一条非常重要的原则就是尽可能 的保证目录树结构层次的简单，越多的层次只会导致查询速度的减慢，而且对于 用户数据的分析也会显得更加的复杂并且难以理解。目录树的分支之间尽可能的 做到松耦合，当对一条分支进行改变的时候不需要修改另一条分支的信息。目录 信息树的层次越简单，对应的每层的节点就会更少，这就需要对于目录信息树设 计清晰的逻辑，把不同的业务分开设计。目录信息树的设计对于本系统的实现具 有非常重要的意义，而且能够为以后的开发奠定很好的基础，并为之后的面向服 务系统的开发提供标准的接口。组织结构如图3 4 所示：