（计算机应用技术专业论文）办公自动化系统中统一身份认证的设计和实现.pdf

办公自动化系统中统一身份认证的设计和实现 摘要 随着网络的发展和信息化工作的逐步展开，硬件设备、业务种类和服务类 型等日趋复杂化，各种基于网络的应用、各种教学资源、各种信息管理办公子 系统等都有了很大的发展。人们迫切需要一种功能强大、安全可靠、使用灵活 方便的网络系统管理工具，来将各种分布的资源和服务集中到一个一致、无缝 的系统中，加强网络的管理能力，提高网络系统的使用效率。目录服务以其灵 活、扩展性好、适应分布式环境等特点成为现代网络管理的重要工具和方法。 轻量级目录访问协议l d a p 是一个开放的、可扩展的网络协议，它定义了目录信 息存储的模式，客户机与服务器之间交换信息传输的格式、内容、发送与接收 信息的机制等。 学校办公网络系统的特点是：服务器多、软硬件平台多、应用系统多、网 络服务多、用户帐号多等等。统一高效的管理和维护这些信息是一个巨大的挑 战，本文研究了以目录服务为核心的统身份认证系统解决方案，并在l i n u x 操作系统下搭建了一个模拟环境，包括目录服务器、代理服务器、邮件服务器 和w 曲服务器等。该系统统一了多种应用系统的身份认证，实现了目录服务器 与其它应用服务器之间的安全传输。 本文首先介绍了目录服务的概念和特性，通过与一般关系数据库进行比 较，分析了其优缺点。然后简要阐述了轻量级目录访问协议的概念和发展过程， 分析了协议的结构及各种模型，并介绍了相关的一些产品和应用。接下来重点 介绍了本文的主要工作；基于l d a p 目录服务的统一身份认证系统的设计及 l i n u x 平台下的原型系统；阐述了课题的研究背景、系统设计目标、关键问题 和可行性分析；从一般的网络管理角度，提出了目录信息库的设计原则；详细 描述了系统的几个主要功能模块的设计和实现。 关键词：目录服务轻量级目录访问协议统一身份认证安全传输 d e s i g na n di m p l e m e n t a t i o no fu n i f o r mi d e n t i t ya u t h e n t i c a t i o n s y s t e mi nt h eo 位c ea u t o m a t i o ns y s t e mb a s e do nl d a p a b s t r a c t w i t ht h cd e v e l o p m e n to fi n t e m e ta n di n f o m l a t i v ej o b si n 芦a d u a ls w i n g h a r d w a r ei n s t a u a t i o n s ，v a r i e t yo fb u s 洒e s sa n dt y p eo fs e r v i c ea r ec o i r 巾l i c a t e dw i t h e a c hp a s s i n gd a y ，a 1 1 da 1 1k i n d so fu s e sb a s e do i n t e m e ta n do f t e a c h i n gr e s o u r c 。s a i l do ft h eo 箭c es y s t e mo fi n f b 锄a t i o nm a n a g e m e n th a v eb e e ng r e a t l yd e v e l o p e d an e x i b l ec o n v e n i e n ts e c u r et o o lo fm a j l a g i n gn e t w o r ks y s t e mw i t hs t m n g 凡n c t i o n 、 r h i c hc a l lc o n c e n t i a t ee v e r yd i s t r i b u t i v er e s o u r c e sa n ds e r v i c eu p d nai d e n t i c a la n d s e a m l e s ss y s t e mt os t r e n g t h e nt h em a n a g e r i c a la b i l i t ) ro fn e t w o r ka n dr a i s ei 【s e 瓶c i e n c y o fu s e ，i sw g e n t l yn e e d e d d i r e c t o r ys e n r i c ei sn o wb e c o m i n ga 1 1 i m p o r t a n t t o o la n dm e t h o dt om a n a g en e t w o r kb yi t sn e x i b l e ， e x t e n s i b l e d i s t r i b u t e dc h a r a c t e r i s t i c s u 曲t w e i 曲td i r e c t o r ya c c e s sp r o t o c o ii sa no p e na n d e x t e n s i b l en e t w o r kp r o t o c o l ，w h i c hd e n n e ss t o r i n gm o d e lo fd i r e c t o r yi n f o m l a t i o n ， f b r n l a ta n dc o n t e n t so fm e s s a g ee x c h a i l g e db e t w e e nac l i e n ta n dad j r e c t o r ys e r v c l t h e r ea r em a n yd i f f e r e n tk i n d so fs e r v e r s ，p l a t f o r m so fs o r w a r ea 1 1 dh a r d w a r e ， n e t w o r ks e r v i c e s ，u s e ra c c o u n te t ci no f n c ea u t o m a t i o nn e t w o r ks y s t c m i ti sag r e a t c h 8 1 1 e n g et ou n i f i e dm a i l a g ea l lo ft h ec o m p l i c a t e di i l f o n n a t i o n t h i sp a p e rs t u d i e s m er e s o l u t i o no fu n i f o m li d e m i t ya m h e n t i c a t i o ns y s t e mb yt h eh e a no fd i r e c t o r y s e r v i c ea n das i m u l a t i v ee h “r o n i n e n tu n d e rl i n u xh a sb e e nb u i l t ，i n c l u d i n g d i r e c t o r ys e “e lp m x ys e r v e r ， m a i ls e r v e r ，a i l dw e bs e r v e r ，e t c i tu n m e s a u 也e n t i c a t i o nf o rd i 腩r e ma p p l i c a t i o ns e r v e r s ，a n di m p i e m e n t ss e c u r et r a n s m i s s i o n b e t w e e nd i r e c t o r ys e n ，e ra n do t h e ra p p n c a t i o ns e r v e r s a tf i r s t ，t h ep a p e ri n t r o d u c e st h ec o n c e p t sa n dc h a r a c t e r i s t i c so fd i r e c t o r y s e r v i c e ，a n a l y z e si t sm e r i t sa n dd e m e r i t sb yc o m p “n gt h ed i r e c t o r yw i t h l h e r e l a t i o n a ld a t a b a s e ，t h e nb r i e f l y 魄啦e st h ec o n c e p t s ，m o d e l s ，s t r u c t u r ea n d d e v e l o p m e n to fl d a p ，a n db r i e f ss o m ep r o d u c t sa n d 印p l i c a t i o na b o u ti t ，t o o t h e f o l l o w i n gd i s c u s s i o nc e n t e r so no u rm a i nj o b sb a s e do nm ed e s i g no fu n i 6 e d a u t h e n t i c a t i o no fl d a pa n di m p l e m e n t a t i o no fp r o t a t y p eu n d e rl i n u x ， a n d d e s c r i b e st h er e s e a r c hb a c k g r o u n 也d e s i g no b j e c t i v e ，k e yp r o b l e m s ，f e a s m i l i t y f r o mt h ev i e w p o i n to fo fn e t w o r km a n a g e m e n t ，i tp u t sf 0 九v a r dt h ep r i n c i p l eo f d e s j g n o n d i r e c t o r y i n f b r m a t i o nd a t a b a s ea n d e x p l a i n s t h ed e s i g na n d i m o l e m e n t a t i o na b o u ts e v e r a lm a i nf u n c t i o nm o d e l s k e yw o r d s ：d i r e c t o r ys e r v i c e ，l d a p ，u n i f o r mi d e n t i t ya u t h e n t i c a t i o n s i m p l ea m h e n t i c a t i o na l l ds e c u r i t yl a y c r 合肥工业大学 本论文经答辩委员会全体委员审查，确认符合合肥工业大学 硕士学位论文质量要求。 答辩委员会签名 主席修戈历 j 委员： ； 弋 j i ， 印以 jz 够己 导师： 夕归z 矽天薯妖段 刮儆殇 、- 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写 过的研究成果，也不包含为获得盒蟹王些态堂或其他教育机构的学f ! ：7 = 或证f 5 而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了叫确的说口日 并表示谢意。 靴论文作：痢铡签字脚加州月如日 学位论文版权使用授权书 本学位论文作者完全了解盒目b 王些盔堂有荧保留、使用学位论文的规定，玎权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权盒 蟹王些盍堂可以将学位论文的全部或部分内容编入有关数据库进行检索，可以朵圳影印、 缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名 签字日期：刀f 年多月日 学位论文作者毕业后去向 工作单位： 通讯地址： 签字日期：庐p 诉j 月勿日 电话： 邮编： 致谢 值此论文完成之际，我首先要感谢我的论文指导老师周健副教授。在论文 的写作过程中，他给予了我各方面的指导和帮助，不厌其烦的解答我所碰到的 问题，不断帮我指出并改正论文中的错误。仔细的审阅了全文，并提出了很多 宝贵意见。 我要特别感谢科大网络中心的杨寿保主任、徐为民主任、徐兵老师。他们 在我论文的很多方向给了我很大的指导性帮助。并在关键技术方面提供了很多 的咨询帮助。 我还要感谢和我在一起做毕业论文的几位同学们。我要感谢他们忍受我在 作论文期间无休无止的抱怨和唠叨，更要感谢他们在我的论文遇到困难的时 候，认真的和我讨论并且帮我分析所要解决的问题。 最后，我要感谢我的父母和家人。感谢这么多年来他们对我孜孜不倦的教 导和无微不至的关怀。 i 第一章绪论 1 1 课题研究的背景 随着网络的发展和信息化工作的逐步展开，硬件设备、业务种类和服务类 型等日趋复杂化，各种基于网络的应用( 如电子邮件、电子公告牌、文件共享、 视频点播、音乐服务等) 、各种教学资源( 如数字图书馆、网上课程、远程教 育等) 、各种信息管理办公子系统以及具有电子消费、身份认证、信息查询功 能的一卡通系统都有了很大的发展。传统的集中式计算机共享资源环境已被分 布式网络环境所取代。为了充分利用网络上各种分布的软硬件资源，更加有效 地建立各种业务，人们迫切需要一种功能强大、安全可靠、使用灵活方便的网 络系统管理工具，将各种分布的资源和服务集中到一个一致、无缝的系统中， 加强网络的管理能力，提高网络系统的使用效率。 目录服务正是为了满足这样一些需求而产生的。网络中的用户、服务器、 应用系统、外设及网络设备都可以由目录服务集中管理，形成一个巨大的资源 库。但是，由于网络的种类及各种应用的数量不断增加，存储这些信息的专门 的目录也越来越多，从而产生了信息岛，各种信息不能共享，更难于维护。轻 量级目录访问协议l d a p 是一个开放的工业标准，它定义了访问和修改目录信 息的标准方法，统一了各种不同的目录，是解决跨平台、跨环境的复杂网络环 境资源管理的重要手段。目前l d a p 已经得到了广泛的支持和应用，越来越多 的生产厂商在自己的产品中增加了支持l d a p 这一项功能。同时，基于l d a p 目 录服务的应用也越来越广泛，如黄页服务、邮件管理、用户认证、公钥管理、 网络管理等等。将l d a p 目录服务引入到学校办公网络系统中是一个必然趋势。 办公网络的特点是：服务器多、软硬件平台多、攘八方式多、应用系统多、网 络服务多、用户帐号多等等。统一高效的管理和维护这些信息是一件困难的事 情，l d a p 独特的优势为办公信息网络提供了一个完整的信息模型和灵活的管 理工具。目前已经有很多的高校将目录服务应用到学校的各种管理中，国外如 s t a n f o r du n i v e r s i t y ，u n i v e r s i t yo fb r i t i s hc o l u m b i a ，国内有北京大学， 华南理工大学等等。采用目录服务进行网络的管理成为网络发展的一种必然趋 势。 1 2 独立认证的弊端 在信息网络系统建设中，我们首先面对的一个问题就是用户的管理问题， 随着网络的逐步发展，各种基于网络的应用程序不断的被开发出来并被部署用 于学校的教学和管理中。并且新的应用系统还在不断增加，与此对应的是用户 数量不断增加，这样就带来了信息安全方面的隐患。一是上网的信息资源越多 系统被破坏、攻击的可能性越大( 尤其是一些带敏感数据的系统) ，二是众多 用户面对多个应用系统，而各个应用系统都有自己的一套安全策略和用户授权 的认证方法。因此，用户不得不记忆不同应用系统的账号和口令，用户登陆到 每一个应用系统，都要输入一遍账号和口令信息，每个用户同时记忆多个帐号 和密码，这是很危险的事。而要求每个用户一直都不出现差错遮也是不可能的 事情。 1 3 建立统一身份认证系统的必要性 对于各种网络应用系统，我们可以看做是现实的校园在数字空间的一个映 射即数字校园。在现实校园中，每一个成员都有一个固定的身份，用户的身 份决定了用户在校园空间所享有的权限。数字校园是现实校园在数字空间的反 映，因此对于数字校园中的每一个成员，在数字空闯也相应地需要有一个固定 的身份，即电子身份。对于数字校园来说，就是要建立一套统一的身份管理系 统，学校的每个成员都有一个与其身份相应的电子身份，用户可以使用自己 的电子身份访问数字校园中有权访问的任何系统。 电子身份的确认需要身份认证技术。身份认证一般与授权控制是相互联系 的，授权控制是指一旦用户的身份通过认证以后，确定哪些资源该用户可以访 问、可以进行何种方式的访问操作等问题。因此，在数字校园中，应该有个 统一的身份认证系统供各应用系统使用，并且有单一的注册中心统一为各部门 服务。 建立了统一的用户身份认证系统，可以方便的实现对用户的统一管理。用 户要登录网络，必须先到身份认证系统认证身份，然后才可以访问网络资源， 这样，就可以实现基于用户的网络管理。有了用户的认证信息，网络管理人员 可以清楚的了解用户使用了那些网络资源，有安全问题发生的时候，可以很快 的找到造成问题的用户，从源头上消除安全隐患。 基于l d a p 的统一身份认证( u n j f o 珊i d e m 匆a u t h e n t i c a t i d n ) 系统，利用 分布式的目录信息树结构，对用户身份信息和系统控制信息进行有效组织和管 理，可以提供高效安全的目录访问。在应用系统中都需要进行身份的认证识别 并且对不同身份者所拥有的操作权限进行授权。统一身份认证系统的优越性： 对身份认证数据规定统一的格式，便于扩充和修改。 采用统一的身份信息数据库，避免了各个应用系统的身份信息数据库的 数据同步更新问题，同时增加了数据安全性。 采用统一的身份认证机制和接口，避免了各种应用系统的重复开发。 便于在不同的应用系统之间建立联系，符合应用的实际情况。 2 1 4 统一认证系统需要注意的几个问题。 单点登录的问题 “单点登录”简单说，就是通过用户的一次性鉴别登录，即可获得需访 问系统和应用软件的授权，在此条件下，管理员无需修改或干涉用户登录就能 方便的实施希望得到的安全控制。 与现有应用系统的整合 采用统一身份认证方式，各个应用系统不需要再使用自己的安全认证系 统，那么统一身份认证系统作为网络安全防护的第一道屏障，网络中的其他应 用系统都需要从它那里得到用户的认证信息或授权信息，以便决定对用户登录 所应采取的安全策略和使用哪些资源。因此，如何实现统一身份认证系统和其 他网络应用的整合，使双方能够方便的交换信息是一个重要的问题。在系统整 合的过程中，还应该注意对其他应用系统的改动应该尽量的少，统一身份认证 系统应该封装为一个服务，其他应用系统只需按照一定的规范调用这个服务而 不需要对本身的系统结构做出大的改动。 对新的应用系统的集成能力 统一身份认证系统应提供一个应用系统集成的接口，新的应用系统只要按 照此接口来完成，就可以完成新的应用与统一身份认证系统的信息交换，尽可 能地利用现有的资源，尽可能地简化程序的开发。应用系统只要提供特定用户 群的信息和用户授权的策略，认证系统就对目录数据库做出相应的改动以实现 对新的应用系统的支持。个简单的例子是，现在有个新的应用系统设计来 对所有的研究生提供特定的服务，应用系统只要通知认证系统所有的研究生都 可以得到访问的权限，那么，所有研究生只要通过认证系统认证后就可以访问 这一新的应用系统。这个过程应该全部由程序自动完成而不需要管理人员的干 预。 系统间的耦合度问题 由于目录服务采用客户机服务器模式，现有的应用模式主要是客户端通 过和服务端相应的a p i 函数和统一身份认证系统进行信息的交互。这种模式的 一个主要问题是，一旦服务端的系统结构发生了变化，例如服务端采用了另外 的一种数据库结构，那么原来的a p i 函数可能不可用，则所有的客户端必须改 变自己的系统以适应这种变化。如果调用该服务的应用系统数量比较多的话， 那么服务器的改变所带来的代价将是巨大和不可承受的。 因此，应实现统一身份认证服务系统和其他应用系统之间的松散藕合，服 务端的改动应该不影响其他应用系统对服务的调用。 1 5 本章小结 本章主要讲了现实中独立认证存在弊端，以及其改进措施建立统一身 份认证系统。统一身份认证的的目标是实现对用户的统一管理、统一认证和统 一授权。建立统一身份认证系统，使统一身份认证系统不仅支持现有的应用系 统，避免对现有系统进行大规模的修改，而且统一身份认证系统还能支持新开 发的应用系统，实现各个系统之间的有效整合。现在，目录技术也被广泛的应 用到统一身份认证系统中，其基本思想是利用目录服务实现用户信息的统一存 储和管理。 4 第二章目录服务 2 1 目录 目录是一些开放系统的集合，这些系统相互合作容纳有关现实世界对象的 信息，形成一个逻辑信息数据库。目录的用户( 人和机器) 在许可的条件下， 访问和操作目录中的信息。目录提供用户友好的命名及名字到地址的映射，使 得对象位置的改变不影响网络的操作。用户在目录的某个访问点上与目录绑定 在一起，在此期间，他们可以互相验证对方的身份。 简单的说，目录是用于保存资源( 包括用户和各类软硬件设旌) 信息的， 这种资源信息当然也包括用户的账户和口令信息。在计算机术语中，目录是指 一种特殊的数据库，它以对象的形式存放着描述性的、基于属性的信息。在一 个目录中可以存放各种各样的对象，包括打印机、应用程序、网络设备以及用 户信息等等。不同的对象可以定义各种属性来对该对象进行描述。用户或应用 程序可以根据已有的信息在特定的目录中查找相关的其他信息。 2 1 1x 5 0 0 ：目录服务标准 1 9 7 7 年，国际标准化组织i s o 下设了一个专门委员会s c l 6 ，着手制订开 放系统互联的有关标准。所谓开放系统，是指任何信息系统只要遵循这一国际 标准进行构造，就可以与世界上所有遵循这同一标准的其他系统互联和互通。 该委员会于1 9 7 9 年完成了基于功能分层概念而开发的结构模型，称为o s i ( 开 放系统互连) 参考模型。同年年底，国际电话电报咨询委员会( c c i t t ) 认可 并采纳了这一国际标准的建议文本。o s i 参考模型为开放式互联信息系统提供 了一种功能结构的框架。 o s i 协议簇在互联网上的一个重要的领域就是目录服务。c c l t t 在1 9 8 8 年创建了x 5 0 0 标准，该标准在1 9 9 0 年正式命名为i s o9 5 9 4 ，d a t a c o m m u n i c a t i o n sn e t w o r kd i r e c t o mr e c o n u n e n d a t i o n sx 5 0 0 x 5 21 。通常也 叫x 5 0 0 ，x 5 0 0 把目录项组织成分层的命名空间以支持大容量的数据信息。 它定义了强大的搜索功能使获取信息变得简单。正是因为功能强大和良好的兼 容性，x 5 0 0 经常作为第三方模块连接两个不兼容目录服务。x 5 0 0 定义了目 录服务客户端和服务端使用的目录访问协议( d i r e c t o r y a c c e s sp r o t o c o ld a p ) 。 作为一个应用层协议，d a p 必须需要整个0 s i 协议栈的支持。由于o s i 协议 栈开销巨大使得较小的应用环境无法承受，所以有必要开发使用开销较小的 t c p i p 协议栈的目录服务。 2 1 2l d a p ：轻量级的x 5 0 0 7 0 年代中期，美国国防部高级研究工程局d a r p a ( d e f e n s ea d v a l l c e d r e s e a r c l l p r o j e c t a g e n c y 美国国防高级研究计划局) 资助网间技术的研究开发， i a b ( i n t e m e 俄代1 1 i t e c t u r eb o a r d 互联网架构委员会) 和它的辅助机构i e t f ( i i l t e r n e te n g i n e 舐n g t a s kf o r c e 互联网工程任务组) 于1 9 7 7 年到1 9 7 9 年推出 t c p ，i p 体系结构和协议规范。接着，在1 9 8 0 年开始将最早出现的计算机网络 之一，a r 鼢n e t 上的所有计算机转换为t c p i p 协议，并以它为主干建立互 联网，即h e m e t 。随后又采取了许多措施推广使用t c p i p 协议，通过一系列 的研究开发和应用推广，t c p ，i p 协议得以不断改进和完善。 l d a p ( l i g h 腑i 曲td i r c c t o r ) ra c c e s sp r o t o c 0 1 ) 被设计为d a p ( d 融t o r y a c c e s sp r o t o c 0 1 ) 的简化版本，使用的是开销较小的而且较为流行的t c p ，i p 协议栈。l d a p 简化了x 5 0 0 的一些操作，并且去掉了一些不为人们熟悉的功 能。l d a p 的第一个版本在r f c l 4 8 7 ( x 5 0 0 轻量级访问协议) 中定义，后来 被r f c l 7 7 7 ( 轻型目录访问协议) 代替。r f c l 7 7 7 和r f c l 7 7 8 ( 标准属性语 法的字符表示法) 、r f c1 7 7 9 ( 别名的字符表示法) 、r f c1 9 5 9 ( l d a pu r l 格式) 、r f c l 9 6 0 ( l d a p 奄询条件的字符表示法) 一起定义了l d a p 版本2 。 l d a p v 2 在i e t f 的标准进程中达到草案级标准，许多厂商就在开发的产品中 支持了l d a p v 2 。 现在，新的r f c 开始定义l d a p v 3 标准r f c 2 2 5 l ( l d a p v 3 ) ，包括： r f c 2 2 5 2 ( l d a p v 3 属性语法定义) ；r f c 2 2 5 3 ( l d a p v 3 别名的u t f 8 字符表 示法) ；r f c 2 2 5 4 ( l d a _ p 查询条件的字符表示法) ；r f c 2 2 5 5 ( l d a pu u 格 式) ；r f c 2 2 5 6 ( 使用l d a p v 3 的x s o o 用户方寨小结) 。r 莹c 2 2 5 l 现在还是一 个提议标准，它对l d a p v 2 有如下改进： 引用：因为目录支持分布式存放，有可能用户要求的数据不在查询的服务 器上，l d a p v 3 服务器能返回存放数据的服务器的名字。 安全：l d a p v 3 支持强制认证机制s a s l ( s i m p l ea u l l l e n t i c a t i o na 1 1 ds e c u r i t y l a y e r 简单认证安全层) 。 国际化：u ) a p v 3 使用i s 0 1 0 6 4 6 字符集来支持多国语言。 可扩展：能以标准方式动态定义新的对象和操作。 l d a p 定义了目录服务客户端和服务器端的通讯协议，但是没有定义客户 端的编程接口。r f c1 8 2 3 ( l d a p 应用编程接口) 定义了c 语言的a p i 访问 l d a p v 2 目录服务器。它不是一个标准，仅仅是一个参考，但是己经成为事实 上的标准。 2 1 3l d a p 与x 5 0 0 的关系 l d a p 定义的是通讯协议，它定义了客户访问x 5 0 0 一类的目录的信息的 传输标准和格式，l d a p 没有定义目录本身。一个应用程序通过l d a pa p i 初 6 始化一条l d a p 消息发送到服务器，但是，x 5 0 0 目录服务器根本不能解释 l d a p 消息。实际上，l d a p 客户和x 5 0 0 服务器使用的是不同的协议( t c p 1 pv s o s i ) 。l d a p 客户实际上是和一个网关进程( 也叫代理或前端) 通讯， 由网关发送消息到x 5 0 0 服务器，如图2 1 。这个网关就是所谓的l d a p 服务 器。它一方面是l i ) a p 的服务器，另一方面是x 5 0 0 的客户端，而且要能同时 用t c p i p 和o s i 的协议通讯。 图2 一ll d a p 服务器作为网关连接x 5 0 0 服务器 这种模型的最大弊端非常明显，必须要一个x 5 0 0 的服务器。这样的花销 很大，于是就演变出了直接用l d a p 服务器连接目录，如图2 2 所示。这样的模 型中的目录服务器也称为独立的服务器。 图2 2 独立l d a p 服务器 从l d a p 客户角度看，l d a p 服务器实现了目录访问协议，至于是通过 x 5 0 0 服务器还是独立服务器，客户不必知道。存储数据的目录也不管是x 5 0 0 服务器访问还是独立服务器访问，它只提供目录。 2 1 4 目录和关系教据库的比较 目录经常被描述为一种特殊的数据库，它与普通的关系数据库有许多显著 不同的特点。关系数据库应用和发展已经非常完善，从小型的桌面数据库到大 型的0 r a c l e 和s y b a s e 等，人们已经习惯于将各种信息存放到关系数据库中，但 是随着网络技术日新月异的发展，人们的需求也越来越高，一般关系数据库已 经不能满足要求，因此就有了目录的要求。但是两种技术有其相同点和各自不 可替代的优越性。下面从各个方面对目录和关系数据库进行一个简单的比较： 关系数据库目录 支持s q l 语句不支持s q l 语句 支持事务处理不支持事务处理 基于复杂关系的查询简单查询 本质是集中的，虽然也有分布式数据库， 本质是分布的，可以实现于结构相 但他们的“分布式”涵义上并不完全等同对松散的分布式环境 模式( s c h 咖a ) 没有规则限制，完全由用 户自己定义，非常灵活 具有通用的核心模式( s c h e m a ) 不同厂家的产品对于数据的复制存储没有具有统一的标准支持不同厂家的产 通用的标准，兼容性不好品 用户定义索引 有基本的索引规则 不支持整个数据库的查询 一个操作可以查询整个数据库 没有标准的客户协议l d a p 已经得到很普通的应用 每个属性对应唯一的值 每个属性可以有多个值 数据对象都是基本独立的，相互之 对象之间联系复杂多样 间不具有复杂的联系 表2 1日录与关系数据库比较 通过各个方面的比较，我们可以总结出各自的优缺点： 关系数据库的优越之处：适合对信息间联系或相关性较为复杂的信息进行 处理和分析，如数据分析、统计、报表生成等。数据修改速度快。支持s o l 语句，s q l ( s 觚c t u r e dq u e r yl a l l g u a g e ) 结构化查询语言是一个非常强大的数 据库访问方式，它允许非常复杂的添加、查询、修改、删除操作。支持事务处 理等。事务处理简单地讲就是要么全做，要么全不傲，这在复杂的应用环境下 是必须的，如银行的转帐功能，必须保证转出的金额要存到转入的数据库里， 这里的两个操作就要求要么都做，要么都不做。另外类似“查找所有导师都在 4 0 岁以上的学生名单”这样的操作。对关系数据库来说，这是很普通的关系 查询，但目录服务并不擅长这种相关关系查询操作。 目录的优越之处：能保存各种对象的信息，经常进行读操作而较少进行修 改操作。对大量的复杂的用户查询请求能作出迅速的应答。目录的修改速度与 关系数据库的修改速度相比慢很多，目录适合存放静态的信息而普通数据库适 合存放动态的信息。l d a p 对查询有较高要求，不使用s q l ，而专门有一套优 化过的数据查询方法。目录可以以高度分布式的方式实现，具有良好的可扩展 性，普遍使用的访问协议使得不同厂家的产品之间相互兼容。 目录和关系数据库在功能和特性方面各有千秋。虽然目录的功能在有些方 面不如关系数据库。但是，提出目录服务器的初衷并不是提供和一般意义的数 据库相同的功能，它们的目的是在分布式的环境中，以最优化经济的结构，保 存网络中的各种信息资源，让应用程序能快速的访问目录中的数据。所以，在 越来越多的领域，目录已经取代关系数据库成为信息存储的主流。 2 1 5目录与关系数据库的共存方式 基于两种技术相同点和各自特色，在通常的应用中需要将两种技术融合起 来，以求得有效的管理和服务质量。融合的有效方式： 某些应用可以采用任何一种技术来实现。最典型的就是黄页、白页服务。 关系数据库和目录都可以很好的实现； 关系数据库实现数据对象间相关性比较复杂的操作，如财务系统、氽业 资源计划系统等等； 以目录实现需要分布式环境和开放性的资源信息库； 关系数据库和目录都具备信息库的功能，但前者既可以用于直接的数据 查询，也可以用于相关数据查询。而目录适合于直接的静态数据查询。频繁的 数据更新业务应由关系数据库来完成。 当需要在关系数据库和目录共享同一内容的信息资源库时，则可以利用 外部程序对两端数据库定时做数据同步，保持数据的高度一致性。 值的注意的是目前已经有一些数据库厂家，如o r a c l e 已经推出了自己的目 录服务器产品一o r a c l ei f l t e m e td i r e c t o r y ，它可以将o r a c l e 8 i 作为它的后端数 据库，使得关系数据库一目录之间的关系更为紧密。但是非常明显，关系数据 库和目录在企业的应用中各负其责，起码在很长一段时间内不可能相互取代。 2 2 目录服务 2 2 1 目录服务的定义 目录服务可以使用户得到和使用目录中的信息。目录服务可以分为两种 本地服务( l o c a i ) 本地的目录服务在有限的范围内提供服务，例如一台单机上的目录服务； 全局服务( g l o b a i ) 全局目录服务在较广泛的范围内提供服务，例如整个i n t e m e t 或i m r a n c t 。 典型的广域目录服务类似d n s ( 域名服务系统) ，它分布在多个协作的计算机 上，具有统一的名字空间，不论用户在何处访问数据，看到的都是同一逻辑视 图。 2 2 2 目录服务的结构 目录服务是通常采用客户机，服务器模式工作的。一个应用程序想要从目 录中读写数据都不是直接和目录服务器打交道，而是调用系列a p i ( a p p i i c a t i o np r 0 醪瓶m 协gi n t e r 磊虻e ) 应用程序接口，这些a p i 把操作命令消 9 息传递到另外一个进程。接到消息的进程负责进行实际的处理，把处理的结果 返回发起调用的进程。过程如图2 3 所示。 图2 3 目录客户朋匣务器交互 应用程序发起请求，通过t c p ，i p 发送到目录服务器，目录服务器再作为 客户访问数据库得到结果，通过t c p i p 发送回客户端。中间消息的传递格式 必须有一定的要求，这些是由l d a _ p 协议定义，对用户透明，用户看到的只是 a p i 。 多台目录服务器可以协同工作，支持分布式概念。目录服务可以用来为一 个局域网服务，也可用来为广域网服务，即访问的人可以在局域网内部也可以 在局域网外。目录服务中存放的信息可以是个人信息，也可以是公司信息。如 此多的信息有可能使一台服务器不能完成任务，这时就有了分布式的概念。即 所有的信息不放在同一台服务器上，而是分成若干台存放。存放在目录中的信 息可以只在一台服务器上，也可以在多台服务器上。这要在规划时确定，目的 就是保证用户能尽快得到数据。 2 2 3 目录服务的发展与应用 目录服务并不是一个全新的i n t e m e t 概念，早在1 9 8 6 年已经有公司提供目 录服务，而在i n t c m e t 上，也有许多公司提供全球范围内的目录服务，如：陆o o 、 b i gf o o t 、w h ow h e r e 等。 多年来，目录服务与i n t e n l e t 同步发展，从本地目录，到网络目录，到跨 平台目录，到可扩展的开放目录，经历了十几年的时间，是一个逐步完善演变 的过程。随着i n t e i 1 1 e t 社会、i n t e m e t 经济的到来，人们利用工具进行集中、高 效管理网络的需求不断增长。目录服务则是提高网络安全、降低网管费用、减 轻工作强度的有效工具。 早期的目录服务主要用于i n t e r = b e t 上的用户查找或电子邮件地址的搜索。 随着i n t e m e t 的迅速发展，目录服务技术使得网络管理从早期人们关注主机之 间的连接上升到管理用户在i n t 锄c t 上的活动这样的层次。目录服务的应用主 要包括以下一些领域： 作为网络范围的数据库，组织和索引信息资源，w i l i t ep a g e 个人信息服 务。大多数的m u a ，如m sm a i le x p r e s s 、n e t s c a p em a i l 等，都可以利用目录 服务来构造通讯，地址簿； 为移动用户提供信息服务。用户可以保存自己的各种私人信息在目录 中，如经常访问的网址，常用的文件等等，这样当用户离开原来工作的环境， 仍然可以获得各种各样的常用的资料； 提供认证服务。可以为各种应用和服务提供认证服务服务。在这一类型 的应用中目录服务器作为认证数据库发挥作用，在身份认证通过后，更进一步 起到资源访问的控制的作用。如r a d i u s 可以将认证交由目录服务去完成； 为企业提供n i s ，y e i i o wp a g e 服务。目录中可以保存网络中各种设备如 打印机、服务器及其他各种共享资源的详细信息，为用户提供一个统一的、全 局的访问界面，增加了灵活性和系统的功能； 网络管理。随着分布式系统的不断发展，网络的日趋复杂化，建立种 智能型的网络是发展的必然趋势，各个不同厂家的产品在这种网络中可以存储 和检索网络的拓扑结构及相关配置信息。目录服务以其独有的特性正成为下一 代智能网的核心。 应用目录服务管理用户信息的优点在于，相对于关系型数据库，目录数据 库以树状的层次结构描述数据信息，其数据模型与现实生活中众多行业和应用 的业务组织完全一致，在资源信息管理方面有着天然独到的优势，很好地解决 了信息的分布管理和集中使用的问题。 概括而言，目录数据库有如下特点： 分布性：目录信息能够自然地分布在各地的服务器中，并由各地组织管 理，既保证了目录信息总体结构一致，又满足了分级管理的需要。 易扩展性：规模可大可小，大到全球，小到只有一台目录服务器的单位， 目录系统都能胜任，并且很容易扩展。 查询快速灵活：目录国际标准定义的检索操作提供了非常灵活的查询条 件，并且还可根据需要扩充，可满足复杂的模糊查询需求，其面向查询优化的 算法使得其检索速度比关系数据库快一个数量级。 平台无关：作为国际标准，目录系统所使用的通信协议框架是o s i 网络 七层结构模型，完全与平台无关，保证了目录系统的开放性和各种类型计算机 在目录服务中的互操作性，从而保证了用户投资的长期有效性。 安全性：目录系统规定了一个精密的存取控制方案，充分保证条目信息 的安全，同时又便于管理者对用户的存取权限进行控制。 因此基于目录服务的统一身份认证系统可以为其他应用提供完善的身份 认证及权限控制服务。 2 2 4 现有的目录服务的产品和开发工具 目前较为流行的l d a p 服务器及相关软件产品有：m i c r o s o r 的w m d o w s 2 0 0 0 ( 及其后续相关产品) 中的a c t i v ed i r e c t o r y ；n o v e l l 公司的n d s8 ；密歇 根( m i c l l i g a l l ) 大学的l d 印- 3 _ 3 及o p e n l d a p1 2 x ( 基于l d a p 一3 3 ) ；i b m 公司 的e n e t w o r kl d a pd i r c c t o r y 、e n e t 、0 r kx 5 0 0f o ra 、e n e t w o r kl d a p c 1 i e mp a c kf o rm u l t i p l a t f o n n s ；n e t s c a p e 公司的d i r e c t o r ys e n r e r3 x 、4 x ；s u n 公司的l d a p 服务器等。 l d a p 的主要开发工具有：密歇根大学的l d a p 3 1 3 及0 p e n l d a p1 2 ，x 中的 c a p i ：融合在操作系统中的l d a p c 语言函数库：n e t s c a p e 的d i r e c t o r ys d k ( f o rc ，j a v a ) 及p e r l l d a p ( 底层调用ca p i 的p e r l 语言模块) 。 2 2 5 目录服务的标准化进程 最早的目录服务标准是c c i t t 制订的x 5 0 0 ，它定义了o s i 网络中一个 全面的目录服务模型。这个模型包括了全面的命名空间，以及对应的查找和更 改协议，这就是d a _ p ( d i r c c t o r ya c c e s sp r o t o c o l 目录访问协议) 协议。d a p 协议运行于未被广泛采用的o s i 模型上，再加上本身繁多的数据模型和操作类 型集，它成为一个“重量”级协议，难以在一般的客户机上实现。另外x 5 0 0 的实现需要o s i 协议族的支持，因此也就限制了x 5 0 0 的发展，实际做出来的 产品非常少。 9 0 年代初，为了弥补x 5 0 0 的不