（计算机应用技术专业论文）统一身份认证的研究及在校园的应用.pdf

摘要 摘要 伴随着信息技术的普及，网络在我们的日常工作和生活中扮演着越来越重要 的作用。但是伴随纷繁复杂的网络应用的涌现，各应用间缺乏一个统一的身份验 证系统所带来的负效应，也越来越明显。建立一个行之有效的统一身份认证系统 是非常有必要的。 本文从研究轻量级目录服务协议、理解安全通道以及单点登陆的工作原理、 熟悉w e b s p h e r e 服务器群集工具出发，对基于w e b 、跨平台的统一身份认证系 统进行研究，并结合j a v a 和x m l 技术设计与实现一个统一身份认证系统。 文章首先介绍了目录服务及目录服务相关的技术，并对目录服务领域技术的 现状做了较深入的分析，对当前主流的目录服务技术做了总体介绍。 其次，介绍了当前流行的保密传输方式s s l 的一些基本理论，并深入的分 析了s s l 的工作原理，并在此基础上结合w e b s p h e r e 的拓扑结构，给出了实现 s s l 的可行方法。 接着，文章介绍了当前主流的统一身份认证方式一单点登陆( s s o ) 的基本概 念和基础理论，并介绍了在w e b s p h e r e 环境中如何实现s s o 。 最后，基于j a v a 技术，给出了统一身份认证系统的设计方案，以及在搭建 的实验环境中的实现步骤。 文章的最后部分分析了所提方案中的一些不足之处，并对未来的统一身份认 证技术的发展趋势作出了展望。 关键词：单点登陆、安全插座层、轻量级目录服务协议、统一身份认证。 a b s t r a c t a b s t r a c t i sf o l l o w i n gt h ei n f o r m a t i o nt e c h n o l o g yp o p u l a r i z a t i o n ，t h en e t w o r ki sa c t i n gt h e m o r ea n dm o r ev i t a lr o l ei no u r sr o u t i n ew o r ka n dt h el i f e b u tf o l l o w st h ec o m p l e x c o m p l e xn e t w o r ka p p l i c a t i o ne m e r g i n g ，d u r i n ge a c ha p p l i c a t i o nl a c k st h en e g a t i v e e f f e c tw h i c hau n i f i e di d e n t i f i c a t i o na u t h e n t i c a t i o ns y s t e mb r i n g s ，a l s oi sm o r ea n d m o r eo b v i o u s e s t a b l i s h e sa ne f f e c t i v eu n i f i e ds t a t u sa u t h e n t i c a t i o ns y s t e mh a st h e n e c e s s i t ye x t r e m e l y t h i sa r t i c l et h ep r i n c i p l eo fw o r k ，t h ef a m i l i a rw e b s p h e r es e r v e rw h i c hf r o mt h e r e s e a r c hl i g h t w e i g h tt a b l eo fc o n t e n t ss e r v i c ea g r e e m e n t ，t h eu n d e r s t a n d i n gs e c r e t c h a n n e la sw e l la st h es i m p l ep o i n tl a n d sg a t h e r si ng r e a tn u m b e rt h et o o lt oe m b a r k ， t ob a s e do nw e b ，t h ec r o s sp l a t f o r mu n i f i e ds t a t u sa u t h e n t i c a t i o ns y s t e mc o n d u c t st h e r e s e a r c h ，a n du n i f i e sj a v aa n dt h ex m lt e c h n i c a ld e s i g na n dr e a l i z e sau n i f i e ds t a t u s a u t h e n t i c a t i o ns y s t e m t h ea r t i c l ef i r s ti n t r o d u c e dt h et a b l eo fc o n t e n t ss e r v i c ea n dt h et a b l eo fc o n t e n t s s e r v i c er e l a t e dt e c h n o l o g y , a n dh a sm a d et h et h o r o u g ha n a l y s i st ot h et a b l eo fc o n t e n t s s e r v i c ed o m a i nt e c h n o l o g yp r e s e n ts i t u a t i o n ，h a sm a d et h eo v e r a l li n t r o d u c t i o nt ot h e c u r r e n tm a i n s t r e a mt a b l eo fc o n t e n t ss e r v i c et e c h n o l o g y n e x t ，i n t r o d u c e dc u r r e n tp o p u l a rs e c u r i t yt r a n s m i s s i o nm o d e s s ls o m e e l e m e n t a r yt h e o r i e s ，a n dt h o r o u g ha n a l y s i ss s lp r i n c i p l eo fw o r k ，a n du n i f i e s w e b s p h e r ei n t h i sf o u n d a t i o nt h et o p o l o g y , p r o d u c e dh a sr e a l i z e dt h es s lf e a s i b l e m e t h o d t h e n ，t h ea r t i c l ei n t r o d u c e dt h ec u r r e n tm a i n s t r e a mu n i f i e ds t a t u sa u t h e n t i c a t i o n w a y 。- 。s i m p l ep o i n tl a n d s ( s s o ) t h eb a s i cc o n c e p ta n dt h eb a s i ct h e o r y , a n di n t r o d u c e d h o wr e a l i z e ss s oi nt h ew e b s p h e r ee n v i r o n m e n t f i n a l l y , b a s e do nt h ej a v at e c h n o l o g y , h a sp r o d u c e dt h eu n i f i c a t i o ns t a t u s a u t h e n t i c a t i o ns y s t e md e s i g np r o p o s a l ，a sw e l la si nt h ee x p e r i m e n t a le n v i r o n m e n t r e a l i z a t i o ns t e pw h i c hb u i l d s t h ea r t i c l ef i n a l l yp a r t i a l l ya n a l y z e dh a sp u tf o r w a r di nt h ep l a ns o m e d e f i c i e n c y , a n dh a sm a d et h ef o r e c a s tt ot h ef u t u r eu n i f i e ds t a t u sa u t h e n t i c a t i o n t e c h n o l o g y d e v e l o p m e n tt e n d e n c y k e y w o r d s ：s s o 、s s l 、l d a p 。 i l 独创性声明 y 9 2 8 7 7 9 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得南昌土学或其他教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示谢意。 学位论文作者签名：磁胡； 签字日期：力彩车月，妇 学位论文版权使用授权书 本学位论文作者完全了解南昌史学有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权南昌土学可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名 影彤 导师签名：逸- ；为查 签字日期：少彳年钿凶 签字日期：舻f 年f 月，2 日 学位论文作者毕业后去向 工作单位： 通讯地址 电话： 邮编： 统一身份认证的研究及在校园的应用 1 绪论 1 1 统一身份认证系统的构想 2 1 世纪是信息化的时代，信息技术必将对学校产生全面而深刻的影响。近 几年来，各高校兴起建设数字化校园、实施高校的信息化建设的热潮，同时把建 设基于校园网的网上应用作为建设数字化校园的核一t = - , s e 作。对于校园内部的各个 应用系统，用户使用时必须在每个系统中都注册、登录。这是比较麻烦的，同时 也容易造成混乱，更会带来数据资源的重复存储1 3 4 1 。因此，对于数字化校园来说， 首要的任务就是要建立一套统一的身份认证系统，学校的每一个成员都有一个与 其真实身份相对应的帐号，用户可以使用自己的帐号访问数字化校园中有权访问 的任何系统。 1 1 1 l d a p ( 轻量级目录服务访问协议) 近几年，随着l d a p ( l i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录访问协议) 技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存 储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息 的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面， 都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统【3 2 】。 目前目录服务有x 5 0 0 1 0 】和l d a p 两个国际标准。其中x 5 0 0 由i t u t 和 i s o 定义。它实际上是一个协议族包括了从x 5 0 1 到x 5 2 5 等一系列非常完整的 目录服务。x 5 0 0 功能强大，但实现非常复杂，而且效率不高。在许多小系统中无 法实现。为了简化x 5 0 0 的复杂性和降低开发成本。i e t f 制定了轻量级目录访 问协议l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) ，l d a p 基于x 5 0 0 标准。但 简化了x 5 0 0 的实现方法。同时l d a p 还支持t c p i p 协议。可以不依赖任何 特定的软硬件平台实现。同时由于l d a p 具有实现容易、效率高和更容易扩展等 优点所以得到厂商们的广泛支持。它正被越来越多的系统作为标准的功能所集 成。l d a p 经过三个发展阶段：v 1 、v 2 和v 3 。目前被广泛使用的版本是l d a p v 3 1 5 1 。 统一身份认证的研究及在校园的应用 图1 - 1 采用l d a p 技术的网络拓扑 1 1 2 l t p a ( 轻量级第三方认证机制) 轻量级第三方认证( l t p a ) 用于分布式、多应用程序服务器和机器环境。 它支持可转发的凭证和单次注册( s s o ) 1 7 】。l t p a 通过密码术可支持分布式环 境中的安全性。此支持允许l t p a 进行加密、数字签署和安全地发送认证相关 的数据，并在以后解密和验证该签名。 轻量级第三方认证( l t p a ) 协议允许w e b s p h c r ea p p l i c a t i o ns e r v e r 提供使 用密码术的分布式环境中的安全性【l 】。多个节点和单元中分布的应用程序服务器 可以使用此协议安全地通信。它也提供单次注册( s s o ) 功能部件，在那里仅需 要在域名系统( d n s ) 域中认证用户一次，并且用户可以访问其它w e b s p h e r e 单 元中的资源而不必获取提示【1 3 】。此协议使用加密密钥( l t p a 密钥) 加密和解密 在服务器间传递的用户数据。 1 1 3 s s l 1 l s 首先要澄清一下名字的混淆： l ：s s l ( s e c u r es o c k e tl a y e r ) 1 1 6 1 是n c t s c a p e 公司设计的主要用于w e b 的安全传 输协议。这种协议在w e b 上获得了广泛的应用。 2 ：i e t f ( h t t p ：w w w i e t f o r g ) 将s s l 作了标准化，即r f c 2 2 4 6 ，并将其称为t l s ( t r a n s p o r tl a y e rs e c u r i t y ) ，从技术上讲，t l s l 0 与s s l 3 0 的差别非常微小。 由于本文中没有涉及两者间的细小差别，本文中这两个名字等价。 s s l ( s e c u r es o c k e t sl a y e r ，安全套接层) 是由n e t s c a p e 公司开发的网络安 全传输协议，是目前i n t e r n e t 上点到点之间尤其是w e b 浏览器与服务器之间 进行安全数据通讯所采用的最主要的协议【3 6 】。由于s s l 具有应用面广、实施成 统一身份认证的研究及在校园的应用 本低、安全高效、操作简单等优点，它己成为电子商务系统中应用得最广泛的协 议，例如目前美国的大多数电子商务应用系统都是基于s s l 协议的 】。 1 1 4 统一身份认证系统的构想 考虑到校园网现有的各个应用系统的重要性以及它们各自都有一套安全策 略的现状，结合我们建立高效、安全的全校范围整合网络的需要。建立个完备 的统一身份认证系统是十分必要的。在这个系统中我们采用单点登陆机制，使用 单一账号，系统维护将自动接驳到后台各应用系统的账号管理。另外系统将提供 灵活可扩展的认证接口，支持l d a p 、n i s 、a d 、p k i 等标准认证技术。采用应 用数字证书，对用户身份和敏感数据进行加密，确保数据的安全性和隐私性。系 统示意图如图1 2 ： 图1 - 2 目录服务系统不意图 1 2 国内外研究现状及存在的问题分析 1 2 1 国内外研究现状综述 随着电子政务与电子商务等互联网信息技术的迅猛发展，对网络应用系统的 快速、简易、安全提出了更高的要求。传统认证模式将受到冲击，原因就是它已 经无法满足业务增长过程中遇到的适应性和扩展性需求【3 4 】。矛盾突出表现在以下 方面： 1 ) 网络资源越多，网络秩序越难加以控制，从而导致出现各种不安全可能【1 9 】； 2 ) 移动性和远程访问等功能增强，传统的网络管理系统急需转形； 3 ) 用户访问与授权信息交替变化快，数据中心访问控制出现不安全因素4 1 】； 4 ) 系统分散管理，缺乏统一的安全策略，安全强度也参差不齐，甚至有些系统 基本没有任何安全措施【4 3 】： 统一身份认证的研究及在校园的应用 国内外已经搭建了若干统一身份认证系统： j a c c o u n t 认证体系 j a c c o u n t 认证体系是上海交通大学网络信息中心开发的用户认证体系。网络 信息中心为每个注册的交大校园网用户提供了一个统一的网络账户，称为 j a c c o u n t ，目标是使用户通过同一个账户名密码，可以访问所有校园网上的网络 应用，包括e m a i l ，代理服务，拨号服务，网络存储，i p 地址申请和使用等等， 以及为校内第三方应用提供统一身份认证和单点登陆服务。 s e c u r e u n i s i g n o n 统一身份认证管理系统 s e c u r e u n i s i g n o n 系统是安万公司s e c u r e l o g o n 网络安全系列产品的其中一 套。该产品是基于u k e y 硬件对用户进行身份认证、基于策略对资源权限进行统 一管理的安全管理系统。s e c u r e u n i s i g n o n 系统基于p k i 及p m i 技术，在原有 s e c u r e l o g o n 身份认证的基础上，将统一身份认证和访问权限控制有机结合，并 考虑企业部署实施过程可能遇到的实际问题，充分满足了企业在身份认证和访问 控制方面的需求。s e c u r e u n i s i g n o n 为企业系统提供统一的安全身份认证功能， 再加上s e c u r e l o g o n 本身所具有的计算机登录和网络登录功能，一把登录钥匙 u k e y 能够确定用户对各种资源的使用权限，这一方面简化了用户操作过程，降 低了操作难度，增强了易用性，另一方面也极大地方便了网络对用户的管理。 在统一身份认证证系统的的发展过程中，用户管理和认证模式经历多个阶段 【3 4 】 0 1 ) 刚开始时，系统采用的是固定的帐号，同时在系统中帐号可直接连接数 据源。这种模式虽然实现简单，但也造成系统管理的不灵活，而且降低了系统运 行中的安全性，因为这种管理模式可能会造成多个用户共用一个帐号，同时帐号 还可能绕过应用直接连接数据源的情况，给系统的安全性带来隐患。 2 ) 最新的统一用户身份认证模式作了比较有效的改进。它采用数据库表记 录每个系统用户的帐号信息、功能权限和数据权限信息，增加了用户管理和权限 设置的灵活性，避免多个用户共用一个帐号的情况出现，同时采用使用一个公共 帐号建立数据源连接的方法，此帐号加密存储在客户端的配置文件中，避免帐号 直接连接数据源带来的安全隐患问题，这时代码或配置文件需要随用户和密码的 变化经常进行维护。 3 ) 现阶段比较流行的统一身份认证系统都各有自己的的特点，如北京大学 4 统一身份认证的研究及在校园的应用 开发的用于北京大学的统一身份认证系统，基本实现了用户在校园网内一次登 录、全网通行的设计的基本目标。 1 2 2 现有研究的不足 现阶段已开发运行的统一用户管理和身份认证系统都还或多或少地存在着 使用不方便、系统管理任务繁重、日常管理不灵活、不同用户权限的一致性难以 保证、代码重复开发、维护工作量大、不利于跨系统的集成整合等问题。 1 2 3 论文的研究重点 本文的研究重点就是如何在由i b m 技术提供的强大的服务器群集环境下， 提供一个使用方便、系统负担合理、日常管理灵活、不同应用系统能良好整合、 维护工作可行的统一身份认证系统。 1 3 研究内容及思路 1 3 1 课题背景 本课题来源于南昌大学数字校园建设工程的需求，属于理论和实践相结合的 项目。在课题的研发过程中，将根据南昌大学数字校园建设的实际，利用s s l 来构建信息通讯的安全通道；利用l d a p 协议来实现用户信息的统一管理。 1 3 2 研究内容 本文研究的内容按照用户身份认证的流程可以大致的分为三大部分： 1 ) 利用l t p a 实现用户的单点登陆； 2 ) 利用s s l 来构建用户和服务器间信息交流的安全通道： 3 ) 利用l d a p 来设计统一身份认证的核心一目录服务器； 1 3 3 研究思路 1 ) l t p a 是实现单点登陆( s s o ) 的核心和关键，所以理解好l t p a 对于实现用户 的单点登陆将起到关键作用。 2 ) 研究s s l 技术，将对充分理解和掌握安全信息通道的工作和构建起重要作 用。 3 ) l d a p 无疑是整个统一身份认证系统的核心中的核心，所以对它，我们会重 点研究。 1 4 研究意义 统一身份认证的研究及在校园的应用 统一身份认证系统的研究在企业应用以及校园网建设中都有很多现实的意 义。通过科学的集中认证技术，将实现各应用系统用户的集中管理和统一认证。 这样做可以改变各自为政、管理松散的用户管理模式；充分发挥高校内部网络管 理维护部门的管理职责；规范用户操作行为。 1 5 逻辑结构及章节安排 本文将按照简介、理论基础、代码实现、全文总结这样的一个逻辑结构来组 成。 第一部分由摘要和第一章组成，在这个部分将涉及本文会用到的核心技术、 国内外相似研究的研究现状、现有研究的不足、本文的研究内容、研究意义、研 究思路、课题背景等。通过这个部分，希望让大家对全文有个初步的认识。 第二部分由第二章和第三章组成，这个部分会详细介绍本文用到的关键技 术。在第二章主要介绍目录服务技术；第三章主要介绍单点登陆技术；通过这两 章的概念介绍，让大家对本文后面用到的技术有一个深刻的认识。 第三部分由第四章组成，这个部分主要介绍系统的设计与初步实现。 第四部分由第五章和致谢以及参考文献组成，这个部分主要是把全文的内容 总结概括下，对本研究的未来给出一个展望。 6 统一身份认证的研究及在校园的应用 2 目录服务技术 2 1 目录服务基本概念 2 1 1 目录 所谓目录就是一个用于储存用户感兴趣对象信息的信息源。它将各种对象的 信息以一定的顺序形成一个信息列表，用户可以从该信息列表中了解各对象的具 体信息【3 2 】。例如，一个电话号码目录储存了有关电话用户的信息。在一个文件系 统中，目录就储存了有关文件的具体信息。 在计算机术语中，目录是指一种特殊的数据库，它以对象的形式存放着描述 性的、基于属性的信息。在一个目录中可以存放各种各样的对象，包括打印机、 应用程序、网络设备以及用户信息等等。不同的对象可以定义各种属性来对该对 象进行描述。如打印机的信息可以包括打印机所在地点、每分钟打印的页数、支 持的文件类型等等。 用户或应用程序可以根据已有的信息在特定的目录中查找相关的其他信息。 如可以在用户信息目录中查找某个用户的，e m a i l 地址或电话号码。在设备管理 目录中查找最近的一台打印机，在应用服务器目录中查找某个可以查询客户帐单 信息的服务器等等。我们所熟悉的黄页服务和白页服务就能很好的说明目录的用 途【2 7 1 。 目录既然被称为一种特殊的数据库，那么让我们来看看它有哪些区别于普通 的关系数据库的特征。主要有以下四个方面特征【2 5 】： 1 ) 存储内容 目录主要用来提供快速的信息查询。在人们对目录信息的访问中，读操作和 查找操作的使用频率远远高于更新操作。而且目录必须能支持成千上万的用户的 大量的查询请求，为了提高访问效率，它们通常被优化为仅提供读操作，少量的 更新操作仅限于管理员。所以，目录中存储的数据多是更新频率很低的静态数据， 如用户的电话号码，家庭住址，设备的配置信息等等。象用户的银行帐户中的金 额等经常变更的数据就不适合存放在目录中。同时，由于目录是以对象的形式保 存数据，所以数据的范围非常广泛，如用户、打印机、路由器，应用程序等各种 性质的数据均可作为存储的内容。 统一身份认证的研究及在校园的应用 2 ) 存储模式 在目录中，信息存储的基本单位是条目，条目类似于我们熟悉的对象，用 户可以自己定义不同的属性来插述该条目。这种模式使得信息的存储非常的灵 活。同时，这些条目是以一种树状结构目录信息树组织起来，这种树状结构 具有良好的扩展性。管理员可以在不修改任何己有的结构和其他的对象信息的情 况下，根据需要添加新的对象到相应的层次中。 3 ) 存储方式 目录支持数据的分块和冗余存储，不同的服务器之间以指针相连，这一点 使得目录服务能很好的适应分布式环境。根据各地的实际情况和用户需要，将信 息分块和备份存储可以大大的提高访问的速度和效率。当客户机所访问的一个目 录服务器上找不到所需的信息时，服务器会返回一个指向另外一个可能包含该信 息的目录服务器( 可以是本地或异地) 的参考指针( r e f e r r a l ) ，客户端根据返回的信 息继续查询。这里的冗余存储可能会在数据的更新时带来短暂的不一致性，但前 面我们说过，目录中的信息大多的是变更频率很低的数据，对实时性要求不是太 高，所以短暂的不一致性是可以容忍的。 4 ) 访问方式 目录服务不支持复杂的s q l 查询和更新，有专门的协议轻量级目录访 问协议l d a p ( l i g h t w e i g h td k e c t o r ya c c e s sp r o t o c 0 1 ) 提供客户对目录服务器的访 问。在l d a p 的支持下，用户可以采用u r l ：l d a p ：d n s o = o u = c n = 访 问某一目录中的信息。但这并不是一种很方便的访问方式。在l d a p 中还提供了 很多访问目录服务的a p i 函数，可以利用它们开发各种基于l d a p 的客户端应 用程序来对其进行快速访问。 2 1 2 目录服务 目录服务可以使用户得到和使用目录中的信息。目录服务可以分为两种： 本地服务( l o c f l ) 本地的目录服务在有限的范围内提供服务，例如一台单机上的目录服务； 全局服务( g l o b a l ) 全局目录服务在较广泛的范围内提供服务，例如整个i n t e m e t 或i n t r a n e t 。典 型的广域目录服务类似d n s ( 域名服务系统) ，它分布在多个协作的计算机上，具 有统一的名字空间，不论用户在何处访问数据，看到的都是同一逻辑视图。 统一身份认证的研究及在校园的应用 目录服务通常采用客户机j r 务器模式。一个应用程序如果要访问目录服务 器中的信息，它不需要直接访问目录，而是通过调用a p i 函数，将消息传送到另 一个处理过程中，后者按照用户的请求访问目录中的信息，结果返回到提出请求 的应用程序。其过程如图2 1 所示： a p p l i c a t i o nc l i e n td i r e c t o r ys e r v e r 卜一r e p l ym e s s a g e 图2 - 1 目录服务结构图 2 1 3 轻量级目录服务 轻量级目录访问协议l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) 是一个标 准的、可扩展的目录访问协议，它是l d a p 客户端和服务器端相互通信的一种通 用语言。l d a p 定义了目录信息存储的模式，客户机与服务器之间交换消息传 输的格式、内容、发送与接收消息的机制等等【5 1 。 l d a p 是x 5 0 0 目录访问协议的轻量级版本，它建立在t c p i p 协议基础上， 并对x 5 0 0 作了很多的简化和改进。l d a p 用相当于x 5 0 0 标准的1 0 的代价完 成了其9 0 的功能，最终成为了i n t e m e t 目录服务的标准。l d a p 能取代x 5 0 0 而成为最终标准，归功于以下一些特征： 1 ) l d a p 基于t c p i p 上，可直接运行于现在的大多数的用户桌面和服务器上， 无须安装额外的协议栈； 2 ) 简化了功能模型。l d a p 去除了x 5 0 0d a p 中的很多深奥少用的服务控制和 安全性能，简化了其功能性，使l d a p 的客户端更小、更快、更易实现； 3 ) l d a p 使用基本的字符串格式来表示大多数的数据元素。这使得l d a p 的数 据元素比x 5 0 0 的复杂的结构化表示方法( a s n 1 ) 更易处理。 l d a p 己经逐渐独立于x 5 0 0 ，而且目前市场上支持l d a p 的产品己经非常 9 统一身份认证的研究及在校园的应用 普遍，基于l d a p 的应用也越来越广泛。 上面我们提到，l d a p 是建立在t c p i p 基础上，是面向连接的协议，其协 议模型基于客户机服务器结构。为了更好的理解l d a p 协议，本文按照l d a p 协议中定义的四个基本模型来介绍l d a p 协议，这四个模型如下吲： a ) 信息模型：定义了l d a p 目录中存储信息的结构。 b ) 命名模型：描述了l d a p 目录中信息的组织和标识方式。 c ) 功能模型：描述了对存储在l d a p 目录中的信息所进行的操作。 d ) 安全模型：描述了如何保护l d a p 目录中的信息不受未授权访问的破坏。 这些模型能让我们清楚的了解目录的结构以及应该如何来使用目录。下面我 们将详细的介绍这四个模型。 2 2 信息模型 信息模型定义了存储在l d a p 目录中的信息的结构。在l d a p 中信息以树 状方式组织，在树状信息中的基本数据单元是条目，而每个条目由属性构成，属 性中存储有属性值；l d a p 中的信息模式，类似于面向对象的概念，在l d a p 中 每个条目必须属于某个或多个对象类( o b j e c tc l a s s ) ，每个o b j e c tc l a s s 由多个 属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的 定义均可以使用继承的概念。每个条目创建时，必须定义所属的对象类，必须提 供对象类中的必选属性类型的属性值，在l d a p 中一个属性类型可以对应多个 值。 在l d a p 中把对象类、属性类型、语法和匹配规则统称为s c h e m a 6 1 ，在l d a p 中有许多系统对象类、属性类型、语法和匹配规则，这些系统s c h e m a 在l d a p 标准中进行了规定，同时不同的应用领域也定义了自己的s c h e m a ，同时用户在 应用时，也可以根据需要自定义s c h e m a 。这有些类似于x m l ，除了x m l 标准 中的x m l 定义外，每个行业都有自己标准的d t d 或d o m 定义，用户也可以自 扩展；也如同x m l ，在l d a p 中也鼓励用户尽量使用标准的s c h e m a ，以增强 信息的互联互通。 在s c h e m a 中最难理解的是匹配规则，这是l d a p 中为了加快查询的速度， 针对不同的数据类型，可以提供不同的匹配方法，如针对字符串类型的相等、模 糊、大于小于均提供自己的匹配规则。 1 0 统一身份认证的研究及在校园的应用 2 3 命名模型 命名模型描述了l d a p 目录中信息组织和唯一标识的方式也即l d a p 中 的条目定位方式。在l d a p 中每个条目均有自己的d n 和r d n 。d n 是该条目在 整个树中的唯一名称标识，r d n 是条目在父节点下的唯一名称标识，如同文件 系统中，带路径的文件名就是d n ，文件名就是r d n 。一个目录信息树如图2 2 所示： 图2 - 2 目录信息树示例 图中w a n g y 的标识名d n 可以表示为：u i d = w a n g y ，o u = n i c ，o = s j t u ， d c = e d u c n 由逗号隔开的每一部分为其相关标识名，分别代表d i t 中的一些分支。 在命名模型中除了d i t , d n ，r d n 外，还有几个基本概念：后缀s u f f i x 、参考 指针r e f e r r a l 和根描述符r o o td s e 。 1 ) 后缀( s u f f i x ) 表示在一个目录服务器上存储的目录信息树的根节点。一个服务器能支持多 个后级，因为服务器上可能存储多个目录信息树。 2 ) 参考指针( r e f e r a l ) 当信息量很大或者根据需要信息要分布存储时，通常将目录信息树分成多个 部分存储在多个目录服务器上。这时需要一种方法将他们链接起来形成一个包含 整个目录信息树的分布式目录。参考指针完成了这个功能。参考指针在目录信息 树中也是一个条目，它的对象类o b j e c t c l a s s 为r e f e r a l ，并且还有一个属性r e f ， 其值为它所要指向的目录服务器的l d a pu r l 。参考指针只是一个逻辑的连接， 并没有实际的物理实现。具体可通过编程或其它机制来实现。下面是一个例子来 统一身份认证的研究及在校园的应用 说明后缀和参考指针。 s e r v e r ls e r v e r 2 厂、 r、 7 s u f f i x s u f f i x 、 s u f f i x o = s j t u ，d c = e d u c no u = n i c ，o = s j t u ，d c = e d u c no u = e e ，0 = s j t y , d c = e d u c n ，一一“i k o u = c s 卜”“一r e c t a l c n = w a n gy a h 。 c n = l ip i n g i c n = j i az h i 图2 - 3 后缀与参考指针示例 3 ) 根描述符( t h er o o td s e ) 一个特殊的条目，该条目的唯一标识名d n 的长度为零，它所包含的属性信 息描述了整个目录服务器的特征。如服务器中的所有的后缀、l d a p 的版本号、 该服务器支持的安全机制等等。 2 4 功能模型 功能模型描述了对存储在l d a p 目录中的信息所进行的操作。l d a p 定义了 访问和修改目录条目的一些操作，主要包括以下四类1 0 种： 1 ) 查询类：包括查找和比较操作，用于在目录信息中检索所需的信息；对于查询 操作，首先要确定一个查找的起始节点基点( b a s ed n ) ：然后确定查找的范 围。在目录树中，查找的范围有- - - * 中：b a s e o b j e c t ，s i n g l e l e v e l ，和w h o l e s u b t r e e 。 如果是b a s e o b j e c t 则只将查询条件与基点进行比较；如果是s i n g l e l e v e l 则比 较的范围包括基点和基点的下一层子节点；如果是w h o l e s u b t r e e ，就要比较以 基点为根节点的整棵子树中的所有节点。 2 ) 更新类：包括添加条目、删除条目、修改条目、修改条目名等操作，用于修改 存储在目录中的信息； 3 ) 认证类：包括绑定、解绑定，用于建立和取消与服务器之间的连接，确定访问 权限，保护目录中的信息不受破坏； 4 ) 控制和扩展操作类：控制和扩展操作允许用户无须改变协议本身就可扩展 统一身份认证的研究及在校园的应用 l d a p 协议。控制操作可以修改一个操作的行为：扩展操作向l d a p 协议中 添加一个新的操作。 除了扩展操作，另外9 种是l d a p 的标准操作；扩展操作是l d a p 中为了 增加新的功能，提供的一种标准的扩展框架，当前已经成为l d a p 标准的扩展操 作，有修改密码和s t a r t t l s 扩展，在新的r f c 标准和草案中正在增加一些新的 扩展操作，不同的l d a p 厂商也均定义了自己的扩展操作。 2 5 安全模型 安全模型描述了如何保护l d a p 目录中的信息不受未授权访问的破坏。 l d a p 中的安全模型主要通过身份认证、安全通道和访问控制来实现。 1 ) 身份认证在l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l ea u t h e n t i c a t i o na n ds e c u r el a y e r ) 认证i 墙1 。 幻匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用： b ) 基本认证是一种最简单的认证方法。l d a p 客户端在申请与服务器建立 连接时，只要将自己的唯一标识名d n 和密码传送给服务器，服务器通过检验， 确定名字与密码匹配就通过该用户的验证，建立连接之后的客户端与服务器之间 的数据传送就不再需要任何认证。使用这种方法，客户端和服务器之间所有的传 输的i s i 令和消息都是明文传送( 有一些使用b a s e 6 4 t 2 9 】进行编码，具有简单的加 密) ，所以这种认证方法只使用对安全性要求不高的情况。 c ) s a s l ( s i m p l ea u t h e n t i c a t i o na n ds e c u r i t yl a y e r ) 认证【1 8 】即l d a p 提供的在 s s l 和t l s 安全通道基础上进行的身份认证，包括数字证书的认证。s a s l 是用 来给面向连接协议增加认证机制的一个框架。这是l d a pv 3 t 5 】中新增的机制，弥 补了l d a pv 2 在安全认证方面的不足。在s a s l 中，所有的面向连接的协议都 是以p r o f i l e 表示的，每一个p r o f i l e 被认为是一种协议的扩展，通过扩展使得该协 议和s a s l 一起工作。每一个要采用s a s l 的协议要进行扩展，通过使用命令来 识别一种认证机制并执行认证交互，在认证后可以选用不同的安全层来进行加 密，保证数据传输的安全性。例如l d a pv 3 中的这个命令是：l d a p 。saslbind() 该函数中在调用中可以设置参数，确定其所选用的安全机制，如k e r b e r o s ，m d 5 等等。在l d a p 中通常使用( s e c u r es o c k e tl a y e r ) s s l 或其后继产品t r a n s p o r t l a y e rs e c u r i t y ( t l s ) 。安全层与其它协议的关系如图2 4 所示： 统一身份认证的研究及在校园的应用 ih f t p s m t i pj 圜铆一 n e t , t a t d tp m t 0 0 0 l , ls o m m t y l | y 订 豁吣)i it c p i p l a y e rl 盈2 - 4 安金屡与其它协议关蓉田 ( f i t 2 - 4 s s l t r l $ r t l a t t m m h i p w i t h o t h s f p r o t o c 0 1 ) 安全层位于应用层协议和t c p i p 之间，对于用户来说这一层是透明的。图 2 5 为s a s l 机制： 豳2 5s s l 砖- 2 ) 通讯安全在l d a p 中提供了基于s s l t l s 的通讯安全保障。s s l t l s 是 基于p k i 信息安全技术，是目前i n t e r a c t 上广泛采用的安全服务。l d a p 通过 s t a r t t l s 方式启动t l s 服务，可以提供通讯中的数据保密性、完整性保护：通 过强制客户端证书认证的t l s 服务，同时可以实现对客户端身份和服务器端身 份的双向验证。 3 ) 访问控制虽然l d a p 目前并无访问控制的标准，但从一些草案中或是事 实上l d a p 产品的访问控制情况，我们不难看出：l d a p 访问控制异常的灵活和 丰富，在l d a p 中是基于访问控制策略语句来实现访问控制的，这不同于现有 的关系型数据库系统和应用系统，它是通过基于访问控制列表来实现的，无论是 基于组模式或角色模式，都摆脱不了这种限制。 在使用关系型数据库系统开发应用时，往往是通过几个固定的数据库用户名 1 4 统一身份认证的研究及在校园的应用 访问数据库。对于应用系统本身的访问控制，通常是需要建立专门的用户表，在 应用系统内开发针对不同用户的访问控制授权代码，这样一旦访问控制策略变更 时，往往需要代码进行变更。总之一句话，关系型数据库的应用中用户数据管理 和数据库访问标识是分离的，复杂的数据访问控制需要通过应用来实现。 而对于l d a p ，用户数据管理和访问标识是一体的，应用不需要关心访问控 制的实现。这是由于在l d a p 中的访问控制语句是基于策略语句来实现的，无论 是访问控制的数据对象，还是访问控制的主体对象，均是与这些对象在树中的位 置和对象本身的数据特征相关。 在l d a p 中，可以把整个目录、目录的子树、制定条目、特定条目属性集或 符合某过滤条件的条目作为控制对象进行授权；可以把特定用户、属于特定组或 所有目录用户作为授权主体进行授权：最后，还可以定义对特定位置( 例如i p 地址或d n s 名称) 的访问权。 2 6 s s l t l s 首先要再次澄清一下名字的混淆： 1 ) s s l ：s s l ( s e c u r es o