（计算机应用技术专业论文）基于ldap的统一认证系统的研究与实现.pdf

摘要 摘要 随着校园网建设的飞速发展，各种基于网络的应用不断扩展延伸，服 务日益增多，应用系统独立认证的弊端逐渐显现。因此，建立一个统一认 证系统，对网络用户实行统一的管理、认证和授权是校园网建设中的一个 重要步骤。 论文首先详细阐述了统一认证系统的概念和随着统一认证系统的研 究而发展起来的三个主要模型，并重点对各模型进行了应用性分析。 其次，论文对l d a p 目录协议进行了深入的研究，对l d a p 目录的四个 模型进行了描述，在对l d a p 目录和关系型数据库进行对比的基础上，详 细分析了l d a p 目录的可用性，随后对k e r b e r o s 认证机制进行了阐述，重 点讨论了k e r b e r o s 的认证过程。 最后，通过上面的分析讨论，根据系统的可扩展性、安全性和方便管 理性的要求，给出了采用集中式认证模型，并基于l d a p 和k e r b e r o s 的统 一认证系统。本系统分为服务器端和客户端两部分：服务器端为基于b s 模式的管理系统，采用m v c 架构，设计实现了用l d a p 目录存储资源信息， 在系统授权管理和l d a p 目录的设计中结合了r b a c 访问控制策略，同时采 用k e r b e r o s 认证机制实现用户认证：在客户端分别开发了基于w i n d o w s 和w e b 的客户端控件，用以解析返回的数据，实现自动登录。论文给出了 各部分的具体实现，并通过本系统向加强中国西部基础教育能力项目 ( c i d a ) 教育辅助系统提供认证服务，展示了本系统的授权管理功能，另外， 基于w i n d o w s 和w e b 客户端控件的使用，既减小了已有系统的改动，也降 低了新系统的开发难度。 关键词：统一认证l d a pk e r b e r o sa c t i v e xr b a c a b s t r a c t a b s 仃a c t w i t ht h er a p i dd e v e l o p m e n to fc a m p u sn e t w o r k ，v a r i o u sa p p l i c a t i o n sa r eu s e d i n c a m p u sn e t w o r k a n dt h e s e r v i c e si n c r e a s eg r a d u a l l y ，t h ed r a w b a c k so ft h e i n d e p e n d e n ta u t h e n t i c a t i o nh a v ea p p e a r e d t h e r e f o r e ，i ti sa ni m p o r t a n tm e a s u r ei n t h ei n f o r m a t i o ns a f es y s t e mt os e tu pau n i f i e di d e n t i t ys y s t e m ，w i t hw h i c ht o m a n a g et h en e t w o r ku s e r si nu n i s o na n du n i f y i n ga u t h e n t i c a t i o na n da u t h o r i z e a tf i r s t t h ec o n c e p to fu n i f i e di d e n t i t ys y s t e ma n dt h et h r e em o d e l sw h i c ha r e d e v e l o p e dw i t l lt h ed e v e l o p m e n to ft h eu n i f i e di d e n t i t ys y s t e ma r ei n t r o d u c e d e s p e c i a l l yt h ep e r f o r m a n c eo f t h e m o d e l s s e c o n d l y , t h el d a pd i r e c t o r yp r o t o c o li sr e s e a r c h e da l lr o u n d ，a n da l s ot h e m o d e l so ft h el d a p b a s e do nt h ec o m p r e h e n s i v ec o m p a r i s o nb e t w e e nt h el d a p a n dt h er e l a t i o n a ld a t a b a s e ，t h ea v a i l a b i l i t yo ft h el d a pd i r e c t o r yi sa n a l y z e d a n d t h e nt h ek e r b e r o si s i n t r o d u c e d ，p a r t i c u l a r l yt h ec e r t i f i c a t i o np r o c e s s o ft h e k e r b e r o s a tl a s t , b a s e do nt h ea n a l y z ea n di n t r o d u c ea b o v e ，b a s i so ft h er e q u i r e m e n to f s y s t e me x p a n s i b i l i t y , s e c u r i t y , c o n v e n i e n c et om a n a g e , t h eu n i f i e di d e n t i t ys y s t e m b a s e do nl d a pa n dk e r b e r o si sd e s i g n e d , i tu s e sc e n t r a l i z ea u t h e n t i c a t i o nm o d e l t h i ss y s t e mm a k e su po ft w op a r t s _ 一s e r v e ra n dc l i e n t t h es e r v e ri st h em a n a g e s y s t e mb a s e do nb s ，u s i n gt h em v cf r a m e w o r k t h ed e s i g ni m p l e m e n t su s i n g l d a pc a t a l o gs t o r a g er e s o u r c ei n f o r m a t i o n , c o m b i n i n gr b a ca c c e s s i n gs t r a t e g yi n t h es y s t e ma u t h o r i z a t i o nm a n a g e m e n ta n dt h ed e s i g no fl d a pc a t a l o g a tt h es a n l e t i m e ，t h es y s t e ma d o p t sk e r b e r o sa u t h e n t i c a t i o nm e c h a n i s mt oi m p l e m e n tu s e r s a u t h e n t i c a t i o n t h ec l i e n td e v e l o p sc l i e n tc o n t r o lb a s e do nw i n d o w sa n dw e b ，u s i n g t h ec l i e n tt op a r s er e t u r nd a t aa n di m p l e m e n tl o g g i n gi na u t o m a t i c a l l y t h ec l i e n t c o n t r o l sb a s e do nw i n d o w sa n dw e ba r es e p a r a t e l ye x p l o r e d ，t h er e t u r n i 遗d a t aa r e a n a l y z e db yt h e s e c o n t r o l sa n da u t o m a t i o no fl o g i ni sr e a l i z e d t h ed e t a i l e d i m p l e m e n t a t i o no fe v e r yp a r ti sg i v e na n dt h ea u t h o r i z a t i o nm a n a g e m e n tf u n c t i o no f l t 一 一垒! ! 望型 t h es y s t e mi sp r e s e n t e dt h r o u g ho f f e r i n gt h ea u t h o r i z a t i o ns e r v i c et oac i d a p r o j e c t i na d d i t i o n ，u s i n gt h ec l i e n tc o n t r o l sb a s e do nw i n d o w sa n dw e bd e c r e a s e sb o t ht h e s y s t e m sm o d i f i c a t i o na n dt h ed e v e l o p i n gd i f f i c u l t yo f n e ws y s t e m k e y w o r d s ：u n i f yi d e n t i t ya u t h e n t i c a t i o n ；l d a p ；k e r b e r o s ；a c t i v e x r b a c 【i l 西北大学学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻读学位期 间论文工作的知识产权单位属于西北大学。学校有权保留并向国家有关部门或 机构送交论文的复印件和电子版。本人允许论文被查阅和借阅。学校可以将本 学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存和汇编本学位论文。同时，本人保证，毕业后结合学位论 文研究课题再撰写的文章一律注明作者单位为西北大学。 保密论文待解密后适用本声明。 学位论文作者签名导教师签名 、 ，翟 面r 年占月l 怕 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果。也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：酉l 、但匆 纠年6 月，中日 中辩 娃岬 第1 章引言 1 1选题背景 第1 章引言 随着信息技术和网络技术在企事业单位中的广泛应用，各种各样的应用系 统得到了大规模的普及。各种应用按其应用特征可以分为以下几个大类：1 ) 传 统的w i n d o w s 应用，例如各种可以单机运行的w i n d o w s 应用程序、c l i e n t s e r v e r 模式的数据库应用程序等，这些应用的特性是具有特定的登录界面或窗口，要求 用户输入登录参数( 用户、口令及参数) ；2 ) 基于浏览器的w e b 应用，如电子邮件 服务、企业w e b 应用，这些应用一般通过浏览器访问w e b 服务器，服务器以页面 方式( 实际是一个表单) 要求用户输入登录参数，用户输入并确认后，由w e b 服务 器上的脚本程序进行验证。而不管哪种应用系统，都需要对用户的身份进行识 别认证，同时对不同的身份所拥有的操作权限进行授权。一般的方法是在每个 应用系统中建立独立的身份认证模块，使用独立的认证机制在各自的身份认证 模块中认证。每一个系统都建有自己的用户信息数据库，用以验证用户的身份 也即用户要访问n 个系统，就要在n 个系统中建立n 个帐号，如图1 1 所示 r 一一一一一。一一一一一一一一1 i ，一 图1 1 多系统登录图 第1 章引言 另外，传统的认证机制也存在着严重的安全问题在系统验证用户身份时， 用户名和密码信息在网络上常常是以明文传送，这就很容易被攻击者截取，破 坏用户资料，攻击系统有时在一般系统中，密码一般由长度不长的字符组成， 用户为了方便记忆繁多的密码，往往会选用一些更为简便的密码形式，这就很 容易遭受密码猜测的攻击，也容易给系统带来安全威胁，使系统容易受到攻击， 降低了系统的安全性。同样对于系统管理员来说，这样的系统也会使他们的工 作量大大增加。 下面是一些著名的调查公司显示的统计数据： 用户每天平均1 6 分钟花在身份验证任务上i d s 频繁的i t 用户平均有2 1 个密码n t am o n i t o rp a s s w o r ds u r v e y 每7 9 秒出现一起身份被窃事件n a t i o n a ls m a l lb u s i n e s st r a v e la s s o c 因此，基于效率和安全的考虑，人们迫切需要一种新的管理机制，使用户 信息在应用系统间共享，让用户可以只输入一次认证信息，便可访同所有已注 册系统，同时由于用户信息的集中存储，降低了数据冗余，方便了管理员的管 理，也有助于实施统一的安全策略，增强系统的安全特性 1 2统一认证的概念 统一认证系统，也称单点登录系统，是指用户只需要在网络中主动地进行 一次身份认证过程，然后就可以访问其被授权使用的所有处在网络上的资源， 而不需要其主动参与其后的身份认证过程这些服务资源可能处在不同的计算 机环境中，用户以后的身份认证是由系统自动完成的在此系统中，管理员无 需修改或干涉用户登录。就能方便的实施希望得到的安全控制这是一个为了 能够在分布式计算机环境中安全和方便地鉴别用户而产生的课题。 在这里，网络上的资源可以是打印机或者其它硬件设备，也可以是各种应 用程序或者文档数据等等，这些资源可能处于不同的计算机环境中 统一认证系统首先从根本上不再使用简单的基于用户名和密码的身份认证 机制，而是采用结合了密码学技术的新的身份认证机制。新的身份认证机制可 以大大提高系统的安全性，同时也可以保证用户的电子身份标识能安全，高效 2 第l 章引言 地在网络中传输。 其次，统一认证系统把原来分散的用户管理集中了起来，各个系统之间依 靠相互信赖的关系来进行用户身份的自动认证用户的帐号信息是集中保存和 管理的，管理员只需要在统一的用户信息数据库中添加，删除用户帐号，不必 在多个系统中分别设置用户信息数据库。由此可见，统一认证系统的优点有： ( 1 ) 提高工作效率。 ( 2 ) 更好的网络安全性 ( 3 ) 更有效的管理 1 3统一认证的发展现状 正如上面提到的，现在国内很多网络应用程序使用的认证方法都是最常见 的口令形式，随着网络应用的不断增多，这种形式给用户带来了极大的安全隐 患和不方便统一认证概念正是为了解决这个问题才出现的统一认证系统虽 然经过了不长的发展时间，却已经有了很多成熟的技术，比如用于信息存储检 索的o p e n l d a p “日，用于身份认证的k e r b e r o s ，数字签名等技术，另外，w e b s e r v i c e 近几年来逐步流行，它使用x m l 与 盯t p 进行对象描述与信息传送，实 现了跨平台性和面向对象的分布式处理，统一认证也有在w e bs e r v i c e 中集成 的趋势 目前，国外比较成熟的统一认证产品主要是m i c r o s o f t 的p a s s p o r t 0 1 和s u n 公司的l i b e r t y 嘲 ( 1 ) n e tp a s s p o r ts 它通过n e tp a s s p o r t 服务建立集中认证机制，在合 作站点的登录认证都通过h t t p 重定向功能集中到p a s s p o r t 网站完成，其中采 用s s l t l s ，t r i p l ed e s 加密算法等安全措施保证信息安全，认证通过后，将认 证信息传送至客户端，以c o o k i e 形式保存，用户访问合作站点时。在访问信息 中附带c o o k i e 一起传送给合作站点，合作站点中有p a s s p o r tm a n a g e ro b j e c t 进程用来检查c o o k i e 信息，鉴别用户合法与否，合法用户被授权访问网站信息， 用户完成访问后，通过选择l o g o u t ，重定向到p a s s p o r t 服务器，由p a s s p o r t 通知各受访站点退出，各受访站点同时删除客户端的c o o k i e s 。 3 第1 章； 言 ( 2 ) l i b e r t y ：目的是为了简化用户登录和访问的过程，其实质也是单点登 录，其核心思想是联合认证，w e bs e r v i c e 下的认证管理等技术标准，它没有 p a s s p o r t 集中式的统一认证系统，服务站点( s e r v i c ep r o v i d e r ) 与认证站点 ( i d e n t i t yp r o v i d e r ) 之间建立一对多或多对多的合作关系，通过用户设定各网 站账号的映射关系，建立用户的单点登录服务，使用h t t p 重定向、u r l 编码和 s a m l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) 进行认证信息传递，不在客户端 存放c o o k i e s 认证信息目前，s u n 、a o l 等公司已开发出基于此规范的产品。 当用户登录服务站点时，服务站点向用户提供建立联盟的认证站点链接， 由用户选择一个认证站点进行登录验证，验证时询问用户是否建立服务站点的 账号联合，用户选择是后站点之间完成账号联合，并将用户重定向到服务站点 开始服务，以后用户无须再进行账号联合，可以通过在认证站点单点登录之后访 问服务站点，也可以在访问服务站点时选择认证站点进行登录，再通过站点之 间使用s o a p 协议传递认证信息实现服务访问的无缝链接。用户退出时，若在认 证站点时，则由认证站点通过h t t p 重定向和g e t 指令通知各服务站点退出，在 服务站点时，则通过h t t p 重定向通知认证站点等退出；另外，也可采用s o a p 进行通信完成退出过程 1 4本文内容和结构安排 本文共分六章，主要内容如下： 第一章：引言。简述了统一认证系统产生的背景，功能，现在发展的现状， 以及主要的研究内容 第二章：统一认证模型研究。介绍了三种统一认证模型，对每个模型的应 用性进行了详细的分析，并最后得出应用结论 第三章：统一认证相关技术分析本章首先分析了目录服务协议x 5 0 0 和 l d a p ，并进行了比较分析，接着阐述了l d a p 的四个模型，介绍了目前流行的几 种l d a p 平台，并与关系型数据库做了多方面对比，然后介绍了k e r b e r o s 认证 机制，详细阐述了k e r b e r o s 协议的认证过程。 第四章：统一认证系统的设计。本章主要针对校园网发展的要求，给出了 4 第1 章引言 基于l d a p 目录和k e r b e r o s 认证机制的统一认证系统，对系统的整体结构进行 了分析，并给出了认证系统和管理系统的详细设计。 第五章：统一认证系统的实现本章以上一章的设计为基础，给出了客户 端自动登录和l d a p 目录的具体实现。并结合已有应用系统展示了统一认证系统 的角色权限管理。 第六章：总结与展望。对论文工作的总结，并针对系统的不足之处提出了 展望。 5 第2 章统一认证模型研究 第2 章统一认证模型研究 在信息化程度日益加深的今天，人们面对的应用系统越来越多，让最终用 户在多个系统间频繁登录，是一个让用户很难接受的解决方案。而同一个用户 在多个系统中的注册信息，也造成了极大的数据冗余，给系统的管理增加了难 度，带来了安全威胁。 在多个应用系统间使用统一认证服务可以有效的解决这些问题，也就是利 用统一认证技术来解决应用集成中碰到的用户认证的问题。 2 1统一认证设计的目标和功能 统一认证服务需要达到以下功能和目标： ( 1 ) 支持w e bs e r v i c e s 技术框架：使得在对各个应用系统实施基于w e b s e r v i c e s 应用集成的时候，能够使用这个统一认证服务进行身份认证 ( 2 ) 使用方便：能够尽可能地利用现有系统的身份认证模块以及现有的用 户设置和权限设置，尽量保护现有的投资，减少重新的用户设置和权限设置的 费用，同时避免对现有系统进行大规模的修改 ( 3 ) 具有良好的可扩展性和可集成性：不仅能支持现有的应用系统及现有 的用户系统，当有新的应用被部署或开发的时候，这个统一认证服务可以作为它 的身份认证模块协同工作，也就是说，新的应用可以不自带用户系统，可以通 过集成该服务来实现等价的功能 ( 4 ) 应具备灵活和方便的使用模式：使用户可以通过多种方式自由地使用 该统一认证服务 该服务主要需要解决以下问题； ( 1 ) 用户注册：用户在统一认证服务中注册帐号，以后这个帐号可以在所 有使用统一认证服务的应用系统中使用 ( 2 ) 用户认证；为应用系统提供用户身份认证 应用系统使用统一认证服务作为它的用户系统，用户与应用系统进行交互， 6 第2 章统一认证模型研究 进行登录操作，应用系统将自动重定向到统一的登录界面，用户提供的登录信 息将发给统一认证服务以检验其是否为合法用户。 用户首先登录统一认证服务，并获取权限令牌，以后可以使用这个权限令 牌访问其它的应用系统，应用系统接收该权限令牌时应当与统一认证服务进行 交互，以检验访问的合法性。系统主要包括如下三个部分 ( 1 ) 用户( u s e r ) ：即统一认证服务的用户 ( 2 ) 应用系统( a p p l i c a t i o n ) ：使用统一认证服务的应用系统 ( 3 ) 会话( s e s s i o n ) ：当用户登录统一认证服务后，即创建了一个活跃的回 话，并获得会话的认证令牌，在这个会话中，用户可以使用会话的认证令牌访 问各种应用系统。 2 2统一认证模型 在统一认证系统的研究中，基于不同的实现原理，产生了不同的实现模型， 其中，基于经纪人、基于网关和基于代理的统一认证模型是比较常用的几种统 一认证模型 2 2 1基于经纪人的模型 在如图2 1 基于经纪人的模型中“，该系统由三个部分组成：支持认证服 务的客户端、认证服务器、支持认证服务的应用服务器其中认证服务器扮演 经纪人的角色。因为所有的认证都是通过它来完成的其工作流程是：所有的 客户机在访问系统资源之前，首先向认证服务器发送身份验证信息，同样为提 高系统的安全性可以采用相互认证方式。当用户通过身份验证后，认证服务器 返回给用户一个电子身份标识，用户通过该电子身份标识去访问其它的应用服 务器，从而实现统一认证如果电子身份非法或者过期，则应用服务器会拒绝 提供服务。 7 第2 章统一认证模型研究 2 2 2 基于网关的模型 图2 1 基于经纪人的模型 应用膳 如图2 2 所示，在基于网关的模型中“。网关是通往所有服务资源必须经 应用服务器 图2 2 基于网关的模型 过的一道。门。这些服务资源处在可被信赖的网络中。网关可以是一台防火墙， 也可能是一个精心设计的加解密服务器。所有的客户机都与网关相连接，网关 3 国园il每圄l国圃捕 第2 章统一认证模型研究 再与各种应用服务器进行连接。网关把外界客户机与内部的服务资源隔离开来。 其工作方式如下：首先，客户机要向网关进行身份验证，一般要使用加密 技术。为了避免有人假扮网关来欺骗客户机，在初始的认证过程中，客户机可 以要求进行互相身份认证，即客户机要向网关证明自己是合法用户，同时网关 也要向客户机证明自己是值得信赖的网关。然后客户机提出自己访问资源的请 求，网关通过用户信息数据库查找该用户，如果该用户存在且通过认证，则网 关会授权用户使用对应的服务；如果该用户不存在，则拒绝其请求。由于在网 关后的所有服务资源处在一个可被信赖的网络中，所以各种服务可以用其i p 地 址来表示，这样把用户的身份信息和其有权访问的服务资源的i p 地址结合起来， 便可以实现统一认证。因为网关只要记住该用户的身份标识，便可以自动让用 户访问其有权访闯的资源，雨不需要多余的认证过程。 2 2 3 基于代理的模型 如图2 3 所示，在基于代理的解决方案中“o ，有一个自动地为不同的应用 程序进行认证用户身份的代理程序。这个代理程序可以用不同的方式来工作 应用服务嚣 图2 3 基于代理的模型 比如，它可以使用口令或加密密钥来自动进行认证工作，从而将认证的负担从 用户移开。代理也被放在服务器上面，在服务器的认证系统和客户端认证方法 9 第2 章统一认证模型研究 之间充当一个“翻译” 2 2 ，4 模型应用性研究 对上面呈现出的三种统一身份认证模型可以从若干方面进行评价，其中最 重要的是应用性研究，包括可实施性、管理、安全和使用性。可实施性是指系 统功能的复杂性，并且测量现有应用系统如何能够方便的被修改以使用统一身 份认证解决方案。管理是使用系统的系统管理员的看法。安全是估量系统是否 容易遭受攻击。使用性是系统最终用户的观点。 ( 1 ) 基于经纪人模型的性能分析： 可实施性：基于经纪人解决方案的主要问题，是确定现有哪些应用程序 需要被修改，以来适应将采用的认证机制，而对于旧系统的改造，是项艰巨的 工作 管理：集中式的管理是基于经纪人解决方案的主要好处，一个集中的用 户信息数据库易于进行管理和用户的信息维护在使用主各认证服务器模式时， 要解决这样一个问题，即如何及时同步更新各个认证服务器上用户信息数据 库的内容 安全性：一个基于经纪人的解决方案安全的实际水平，取决于实施和采 用的认证协议的安全特性和系统的工作机制。对许多用于这种模型的认证协议 本身来说，要面对以下几种常见的安全挑战：虚假的客户端，它可以记录下合法 用户登录信息，以伪装成合法用户；客户端本身的安全性，保证存放于客户端 的敏感信息的安全性；有效地阻止常见的攻击手段，如重播攻击 使用性：在基于经纪人的模型中，容易受到批评的是如果认证服务器宕 掉，则所有的应用及用户都会受到影响所以常常采用主、备认证服务器，来 提高系统的可靠性与基于网关方式相比，由于通过身份验证的客户端持认证 服务器返回的身份标识去访问应用服务器，而不再与认证服务器打交道，大大 减轻了认证服务器的工作负担，有利于系统的扩展性，并且有利于系统应用于 大规模用户的环境。 ( 2 ) 基于网关模型的性能分析 t o 第2 章统一认证模型研究 可实施性：在确定的环境中，安装和设置一道网关是方便的用基于网 关的方式实现统一认证，较为简单、快速、客户端程序不需要做太大变动，只 要配置和网关进行相互认证的模块即可。网关处要配置访问各种应用程序服务 器的访问模块，当新增或变动应用服务器时，只需要网关进行相应的变化， 而对客户机来说这些变化都是透明的，减少了为适应系统变化的工作量。 管理性：所有客户机通过网关来访问资源，这样所有用户的资料可以集 中保存在网关处的用户信息数据库。当系统中要增加、删除用户或对用户权限 进行变更时，都可以集中在这个数据库中进行处理，大大减轻网络管理的负担。 但在采用多个网关时，要保证各个网关上的用户信息数据库及时同步更新 安全性：网关应该保证是安全的。所以要考虑到各种可能的攻击。可能 的攻击点可能是其认证方法本身，或者是其操作系统，而当网关放在防火墙上， 则可能攻击防火墙，如最常见的s y n - f l o o d i n g 方式。推荐的方案是，用独立的 防火墙来保护网关 使用性：网关作为一个中心组件，它的状态会影响到整个系统服务运行 的质量。网关做为所有用户必须经过的中心节点，其网络通信能力必须能满足 大量用户的使用需求。在网关处理能力不强时可能成为系统性能的瓶颈。如果 采用一个网关，该网关失效则会导致整个系统瘫痪，所以现实中常常采用 主、备网关，甚至多个网关来提高系统的可靠性，但这随之而来又有新的问题 产生，即如何及时同步更新各个网关上的用户信息数据库的内容。使其保持一 致 ( 3 ) 基于代理模型的性能分析 可实施性：基于代理的方式能够使移植变得容易，但代理程序的软件供 应商需要设计和实现与原有应用程序协议的交互，这个实现难度也是非常艰巨 的 管理：单纯的代理方式不能够帮助管理，甚至使管理更难控制，因为不 仅要考虑到各个用户的身份信息，同时又增加了各个代理本身的身份信息和如 何设置各个代理软件的权限。同时因为每个应用服务器有自己的认证模块， 有着各自不同的安全策略，用户信息数据库依然是分散管理的。 安全性：采用有加密技术的认证协议，代理程序的通信应该是安全的。 l l 第2 章统一认证模型研究 但安全的重点在于代理软件本身是否安全，它必须能保证其本身的安全性，所 存放敏感信息的安全性，并确保它们不会被误用 使用性：只要配置好代理软件，用户对应用服务器的访问对用户来说是 透明的，方便了用户的使用。 总之，各个模型都有其优缺点，由于以上的模型都是一些粗略的指导思想， 因此在实际应用中，往往都要根据实际需要，结合一些其它的技术，比如在基 于经纪人的模型中，认证部分一般会采用一些安全认证机制，比如k e r b e r o s 认 证机制，以加强安全性也可以结合两个模型，各取其长，比如基于代理和经 纪人模型，就结合了前者的灵活性和后者的中央集中式管理两方面优势。 2 3本章小结 本章首先介绍了统一认证系统设计的目标和原则，然后阐述了统一认证的 三个模型，最后从可实施性、管理、安全和使用性四个方面对统一认证的三个 模型进行了分析，指出其优缺点，并讨论了各模型在实际中的应用问题 第3 章统一认迁相关技术分析 第3 章统一认证相关技术分析 上一章我们对统一认证系统的几个模型做了相关介绍，并对其应用性做了 评估，本章将讨论统一认证系统的两个相关技术：l d a p 目录访问协议和k e r b e r o s 访问控制协议 3 1l d a p 目录访问协议 近几年，随着i n t e r n e t 的飞速发展，各种基于网络的应用系统不断涌现， 网络上的资源也正以指数方式增加，以传统关系型数据库为存储媒介对资源的 管理和查找问题日益突出，在这样一种情况下，l d a p 技术兴起，并成为实现信 息存储、管理和查询的首选方案，特别是在资源查找、用户访问控制与认证信 息的查询、新型网络服务等方面，都需要应用目录服务技术来实现一个通用、 完善、应用简单的系统。 3 1 1目录服务协议 3 1 1 1x 5 0 0 目录访问协议 x 5 0 0 协议系列是世界通用的分布式目录服务标准，由i t u - t 与i s o i e c 于 1 9 8 8 年合作制定，并成为i s o 标准9 4 5 4 x 5 0 0 在一个层次式命名空间中组织 目录对象，并支持大量的信息存储。x 5 0 0 定义了强大的搜索功能，使存取目录 信息变得更加容易。x 5 0 0 具有可伸缩性，可以借助于附加的模块实现与其它目 录的互操作性x 5 0 0 定义了综合目录服务，包括信息模型、名字空间、功能模 型、访问控制、目录复制以及目录协议。1 x 5 0 0 标准是建立在i s o 协议基础上的一个应用协议。它以目录树的形式存 放和管理信息，每棵目录树对应一个单位或组织，由一个目录系统代理 d s a ( d i r e c t o r ys y s t e ma g e n t ) 管理各个独立的d s a 之间通过目录系统协议 d s p ( d i r e c t o r ys y s t e mp r o t o c 0 1 ) 相互传递信息，形成分布式系统和区域自治， 实现信息的共享用户通过目录用户代理d u a ( d i r e c t o r yu s e ra g e n t ) 通过 1 3 第3 章统一认证相关技术分析 d a p ( d i r e c t o r ya c c e s sp r o t o c 0 1 ) 访问d s a ，查询和维护信息啪。x 5 0 0 系统的 基本结构如图3 1 所示。 图3 1x 5 0 0 结构图 由于x 5 0 0 是一个分布式目录服务，因此具有巨大的潜在命名空间、本地 数据的本地管理能力、高级的搜索功能、一直并且可以局部扩展的命名空间、 提供简单认证和强认证安全性、访问控制列表和复制支持。 但是，x 5 0 0 虽然是一个完整的目录服务协议，但在实际应用的过程中，却 也存在着不少障碍，主要表现在： ( 1 ) 严格遵照i s o 七层协议模型，对相关层协议环境要求过多。 ( 2 ) 主要是在u n i x 上运行，很多小系统上无法使用。 因而随着t c p i p 协议的普及，这一系列协议越来越不适应实际的需要了 3 1 1 2轻量级目录访问协议 l d a p 即为轻量级目录访问协议，英文全称是l i g h t w e i g h td i r e c t o r ya c c e s s p r o t o c o l ，一般都简称为l d a p 它基于x 5 0 0 标准，但是简单了很多，而且可 以根据需要定制。与】l5 0 0 不同，l d a p 支持t c p i p ，这对访问i n t e r n e t 是必 须的l d a p 的核心规范在r f c 中都有定义在企业范围内实现l d a p ，可以让运 行在几乎所有计算机平台上的所有应用程序从l d a p 目录中获取信息。l d a p 目录 中可以存储各种类型的数据，包括电子邮件地址、邮件路由信息、人力资源数 据、公用密匙、联系人列表等。通过把l d a p 目录作为系统集成中的一个重要环 节，可以简化员工在企业内部查询信息的步骤，甚至是主要的数据源都可以放 在任何地方。 1 4 第3 章统一认证相关技术分析 l d a p 协议是跨平台和标准的协议，因此应用程序就不用为l d a p 目录放在什 么样的服务器上操心了。实际上，l d a p 得到了业界的广泛认可，就是因为它是 i n t e r n e t 的标准。生产商都很愿意在产品中加入对l d a p 的支持，因为他们根本 不用考虑另一端( 客户端或服务端) 是怎么样的。l d a p 服务器可以是任何一个开 发源代码或商用的l d a p 目录服务器( 或者还可能是具有l d a p 界面的关系型数据 库) ，因为可以用同样的协议、客户端连接软件包和查询命令与l d a p 服务器进 行交互。 3 1 1 3两种协议的比较 从目录服务技术的发展来看，l d a p 标准实际上是在x 5 0 0 标准基础上产生 的一个简化版本，两者之间的关系与那种为解决同一个问题而出现的两个独立 发展的技术有很大的不同之处旧，因此需要在此基础上对这两个协议进行理解和 分析。 ( 1 ) 作为i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 一个正式的标准，l d a p 是】( 5 0 0 标准中的目录访问协议d a p 的一个子集，可用于建立x 5 0 0 目录因 此这两个目录服务技术标准有着许多的共同之处，即在平台上，都实现了一个 通用的平台结构，提供了一个操作系统和应用程序需要的信息服务类型，可以 被许多平台和应用程序接收和实现；在信息模型上，都使用了条目、对象类、 属性等概念和模式来描述信息；在命名空间方面，都使用了目录信息树结构和 层次命名模型：在功能模型上，都使用了相似的操作命令来管理目录信息；在 认证框架方面，都可以实现用户名称和密码，或者基于安全加密方式的认证机 制；在灵活性上，它们的目录规模都可大可小，大到全球目录树，小到只有一 台目录服务器；在分布性方面，目录信息都可以分布在多个目录服务器中，这 些服务器可以由各组织管理，既保证了目录信息总体结构一致性，又满足了分 级管理的需要 ( 2 ) l d a p 与x 5 0 0 的d a p 相同之处是l d a p 也是被设计用来从分层目录中提 取信息。但与之不同的是，为保持网络的带宽，l d a p 对来自x 5 0 0 目录询问的 应答次数加以限制最初l d a p 只是一种访问x 5 0 0 目录的简单方法，是x 5 0 0 的功能子集，但随着它的成熟和独立发展，已经增加了许多在x 5 0 0 中没有的 1 5 第3 章统一认证相关技术分折 新特性现在的l d a p 既可以为x 5 0 0 目录服务提供一个轻型前端，也可以实现 一个独立的目录服务 ( 3 ) l d a p 的独特之处 在l d a p 中a p ( a c c e s sp r o t o c 0 1 ) 既是一个x 5 0 0 的访问协议，又是一个 灵活的，可以独立实现的目录系统。 在l d a p 中，d a p 基于i n t e r n e t 协议，x 5 0 0 基于o s i ( 开放式系统互联) 协议：建立在应用层上的x 5 0 0 目录访问协议d a p ，需要在o s i 会话层和表示层 上进行许多的建立连接和包处理的任务，需要特殊的网络软件实现对网络的访 问；l d a p 则直接运行在更简单和更通用的t c p i p 或其它可靠的传输协议层上， 避免了在o s l 会话和表示层的开销，使连接的建立和包的处理更简单、更快， 对于互联网和企业网应用更理想。 l d a p 协议更为简单：l d a p 继承了x 5 0 0 最好的特性，同时去掉了它的复 杂性，l d a p 通过使用查找操作实现列表操作和读操作；另一方砸省去了x ，5 0 0 中 深奥的和很少使用的服务控制和安全特性，只保留了常用的特性，简化了l d a p 的实现。 l d a p 通过引用机制实现分布式访问：x 5 0 0 中d s a 通过服务器之闻的链 操作实现分布式访问，这样就使查询的压力集中在了服务器端；而l d a p 通过客 户端a p i 实现分布式操作，平衡了负载。 l d a p 具有低费用、易配置和易管理的特点：经过性能测试，l d a p 比x 5 0 0 具有更少的响应时间；l d a p 提供了满足应用程序对目录服务所需求的特性 3 1 2l d a p 模型 l d a p 有四种模型：信息模型、命名模型、功能模型、安全模型，用以描述 l d a p 的工作机制，描述什么样的数据可以存于l d a p 目录中，以及如何操作这些数 据。 3 1 2 1信息模型 l d a p 信息模型描述l d a p 的信息表示方式，定义了能够在目录中存储的数据 1 6 第3 章统一认证相关技术分析 的类型和基本的信息单位。它以模式( s c h e m a ) 为基础啪，以条目( e n t r y ) 为核心， 条目即关于对象的信息集合。模式由若干条目组成。通常，条目中的信息说明 真实世界的对象，比如一个人 条目由属性集合组成每个属性储存有属性值，说明对象的一个特征， 每个属性有一个类型，不同的类型有不同的取值范围，每个类型可以对应一个 值，也可以对应多个值蚴嘲，如表3 1 表3 1 属性和值对应表 属性类型属性值 c n l i uy a n g ， s nl i u t e l e p h o n e n u m b e r 0 2 9 8 8 3 0 1 2 3 4 e m a i l l i u y a n g s o h u c o m l d a p 中的信息模式，类似于面向对象的概念。在l d a p 中每个条目必须属于 某个或多个对象类( o b j e c tc l a s s ) ，每个o b j e c t c l a s s 由多个属性类型组成， 每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使 用继承的概念每个条目创建时，必须定义所属的对象类，必须提供对象类中 必选属性类型的属性值，在l d a p 中把对这些对象类、属性类型、语法和匹配规 则统称为s c h e m a 。 每一个s c h e m a 元素由一个o l d ( 对象标志符) 来作唯一标志不同用户自定 义的s c h e m a 元素名称只要设置正确，就不可能冲突。o i d 是由1 段或多段十进 制数字组成，段之间以点( “”) 分隔，例如“1 2 3 4 ”其中第一段需向i a n a 图3 2s c h e m a 元素层次图 1 7 第3 章统一认证相关技术分析 免费申请。如果用户需要自定义s c h e m a 元素，应申请自己组织的根o i d ，不要 使用其它自治的或者臆想的根o i d ，这会导致非常令人费解的错误。图3 2 是 s c h e m a 元素层次关系1 示例。 s c h e m a 元素分系统定义和用户定义两类。一般用户只能定义属性类型和对 象类。 ( 1 ) 属性类型( a t t r i b u t et y p e s ) 属性类型控制属性格式，包括属性的语法、匹配规则、是否可以多值、修改 权限和用法等。属性类型可直接由0 或多个属性类型继承而来，