（计算机应用技术专业论文）教科网统一身份认证系统新型体系结构的设计与实现.pdf

摘要 摘要 随着教科网的飞速发展，身份认证作为信息安全的第一道保障越来越重要。 各种应用系统各自独立的身份认证存在弊端。而现有的统一身份认证系统应用集 成能力及整合能力不足，不适合在教科网的网络环境上的应用。因此，建立一个 统一的身份认证和用户管理系统，对各个应用系统的用户实现统一的认证、统一 的管理和统一的授权是教科网信息安全系统建设中的重要环节。 本文在分析教科网的安全特性和身份认证现状，综合各相关技术特征的基础 上，提出了一个适合教科网应用的统一身份认证与用户管理系统的新型体系结构。 采用软件工程方法学描述了此架构下统一身份系统的u m l 模型，以及各个用例 的功能过程，并设计可扩展的目录树和数据库结构。在系统的功篚实现部分，先 概述目录服务器和数据库访问接口及安全传输的系统概要实现，然后提出实现完 全的单点登陆思想，重点阐述实现完全单点登陆的难点提出了解决办法和部分实 现；论述用a p a c h ea x i s 实现的开放的w e b 服务组件和简单的证书认证实现机制。 本文采用j a v a 语言和其a p i 编程，说明了各个核心技术的实现方法和步骤。软件 设计部分和实现部分证明此新型的体系结构是可行的。最后总结了此构架下的系 统的特点和优越性。 用户注册、账号关联和统一认证功能采用w e b 服务的方式，易于应用系统集 成。随着更多的应用系统加入到统一认证服务，本系统将会在教科网的信息安全 体系中发挥更重要的作用。而且网络管理更加简单。 关键词：身份认证，访问控制，单点登陆，令牌，w e b 服务，简单对象访问协议， 轻量目录访问协议 广东工业大学工学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n ta tf u l ls p e e do ft h ec e r n e t ，t h ei d e n t i t ya u t h e n t i c a t i o na s t h ef i r s t p r o t e c t i o ni n t h ei n f o r m a t i o n s a f e t yi s m o r ea n dm o r ei m p o r t a n t b u tt h e d r a w b a c ke x i s t si ne a c h i n d e p e n d e n ti d e n t i t y a u t h e n t i c a t i o no fv a r i o u sk i n d so f a p p l i c a t i o ns y s t e m s ，a n dt h ee x i s t i n gu n i f i e di d e n t i t ya u t h e n t i c a t i o ns y s t e m sw h i c h i n t e g r a t e da n dc o m b i n e sa b i l i t yi sd e f i c i e n ta r eu n s u i t a b l et ot h ec e r n e t s o ，s e t t i n g u pau n i f i e da u t h e n t i c a t i o ns y s t e m ，w h i c hc a nc o m p l e t eu n i f i e da u t h e n t i c a t i o na n d a u t h o r i t ya n d a d m i n i s t e rb e t w e e nt h ea p p l i c a t i o ns y s t e m s 。i ti sa ni m p o r t a n tl i n ko f c o n s t r u c t i o no fi n f o r m a t i o ns e c u r i t ys y s t e mo ft h ec e r n e t o nt h ef o u n d a t i o no fa n a l y s i n gt h a ts e c u r i t yf e a t u r eo ft h ec e r n e ta n di d e n t i t y a u t h e n t i c a t i o nc u r r e n ts i t u a t i o na n d s y n t h e s i z i n g t h ec h a r a c t e r i s t i c so fr e l e v a n t t e c h n o l o g i e s ，t h i sp a p e rh a v ep u tf o r w a r dan e w t y p e a r c h i t e c t u r eo ft h eu n i f i e d i d e n t i t y a u t h e n t i c a t i o n s y s t e m w h i c hi ss u i t a b l ef u rt h ec e r n e t t h e nh a v e d e s c r i b e dt h eu m lm o d e lo f s y s t e ma c c o r d i n gt ot h a ta r c h i t e c t u r ew i t ht h es o f t w a r e e n g i n e e r i n g m e t h o da n de a c hf u n c t i o nc o u r s eo ft h eu s ec a s e a n dd e s i g nt h e e x p a n d e dc a t a l o g u et r e ea n dd a t a b a s es t r u c t u r e ih a v ed e s i g n e dt h ed i r e t o r yt r e ea n d d a t a b a s es t r u c t u r ea l s o a tr e a l i z a t i o ns e c t i o n ，it o t a l i t ys u m m e du pd i r e t o r ys e r v e r a n dd a t a b a s ea c c e s si n t e r f a c ea n dt h a t s e c u r i t y t r a n s m i t i o nf i r s t t h e nih a v ep u t f o r w a r dt h e c o m p l e t es i n g l es i n g n o nt h o u g h ti n t h e s y s t e m ，g i v e ne m p h a s i st o e x p o u n dt h e s o l u t i o nt ot h e d i f f i c u l t ya m o n gt h ec o m p l e t es i n g l es i n g - o na n d r e a l i z e sp a r t l y ；t h ep a p e ra l s oh a v ee x p o u n d e dt h er e l i a z a t i o no ft h ew e bs e r v i c e s c o m p o n e n t sa c h i e v i n g w i t h a p a c h e a x i s f r a m w o r k ，a n ds i m p l e c e r t i f i c a t e a u t h e n t i c a t i o nm e c h a n i s m j a v al a n g u a g ea n di t sa p i sw e r eu s e df o rp r o g r a m m i n g sa t t h i sp a p e r ；ih a v eo f f e r e de a c hk e yf u n c t i o ni m p l e m e n t a t i o nm e t h o d s ，a n dg i v e nt h e i r p r o g r a m i n gs t e p sa n d i t sc o d e t h ew o r ki ns o f t w a r ed e s i g n i n gs e c t i o na n di m p l e m e n t s e c t i o nh a sp r o v e dt h i sn e w t y p ea r c h i t e c t u r eo fu n i f i e di d e n t i t ya u t h e n t i c a t i o ns y s t e m i sf e a s i b l e f i n a l l yih a v es u m m a r i z e dt h ec h a r a c t e r i s t i ca n ds u p e r i o r i t yo ft h es y s t e m u n d e rt h i sf r a m e w o r k t h ef u n c t i o n so fu s e rr e g i s t r a t i o n ，a c c o u n t sa s s o c i a t i o na n du n i f i e da u t h e n t i c a t i o n a d o p t w e bs e r v i c e ，。w h i c hi sa p tt os y s t e mi n t e g r a t i o n w i t hm o r ea p p l i c a t i o ns y s t e m s j o i n i n gu n i f i e di d e n t i t ya u t h e n t i c a t i o ns e r v e ，t h i ss y s t e mw i l lp l a yam o r ei m p o r t a n t r o l ei nt h ec e r n e ti n f os e c u r i t ya r c h i t e c t u r e a n dn e t w o r k m a n a g e m e n t i ss i m p l e r k e yw o r k s ：i d e n t i t ya u t h e n t i c a t i o n ，a c c e s sc o n t r o l ，s i n g l es i g n o n ，t o k e n w e bs e r v i c e s ，s o a p ，l d a p i i i 第一章绪论 1 1 课题研究背景 第一章绪论 1 1 1 教科网的发展与安全问题 随着教育和科研计算机网( c e r n e t ) 的飞速发展，基于网络的应用逐步丰 富和完善：如广东省教科网在2 0 0 2 年实现的应用系统有网上监考系统、网上招生 系统、网上试卷、网上视频系统试验，这些系统的投入使用使网络的作用效益初 步展现出来。同时，随着各个校园网的高速发展和普及，信息化校园建设和完善， 基于校园网的应用和服务越来越多：网上教学、虚拟社区、数字图书、视频会议、 视频点播等等应用【l 】。我们的校园逐步成为数字化校园，从而深刻的影响传统的 教学及校园生活。 然而，网上资源逐步增多其中包括敏感数据和资源，人们越来越认识到网络 安全问题的重要性。由于教育网接入i n t e r n e t ，i n t e r n e t 是基于t c p i p 协议族的， 其在设计中并没有考虑到安全性。i n t e r n e t 是一个不设防的开放型系统，在安全性 要求很高的应用中暴露不足。前几年的五一中美网络黑客大战，一波接一波的蠕 虫病毒、s q l 2 0 0 0 病毒和冲击波病毒的肆虐，对教科网的网络安全体系的建设敲响 了警钟。同时，信息的共享性，可访问性与信息的保密性是一对矛盾，使得网络 系统保密日渐困难。因此，建立一套适应校园网的信息安全体系系统成为目前校 园网络建设中急需解决的一个问题。 1 1 2 身份认证与信息安全 网络与信息安全涉及的领域非常广泛，包括安全策略、管理制度、系统运行 和技术措施等各个方面。就安全保密技术要实现的目标来看，一般可包括以下6 个方面，或叫做安全服务模型，即：身份认证、授权控制、审计确认、数据保密、 数据完整和可用性。其中前3 个目标，即身份认证( a u t h e n t i c a t i o n ) 、授权控制 ( a u t h o r i z a t i o n ) 和审计确认( a c c o u n t i n g ，或a u d i t i n g ) ，一般简称为a a a 技术， 广东工业大学工学硕士学位论文 它们正是现代信息安全系统的3 个主要组成部分。同时，身份认证这第一个a 又 是后2 个a 的前提。身份认证通过了，才谈得上授权控制和审计确认【”。 身份认证是用户网络身份的确认技术，它是网络安全的第一道防线，也是最 重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确认一 个用户的合法性，然后确定这个用户的个人数据和特定权限。身份认证是最基本 的安全服务，其他的安全服务都依赖它。一旦身份系统被攻破，那么系统的其他 安全措施如同虚设。 用户管理和具体的应用逻辑有关，与身份认证模块紧密结合在一起的。用户 管理是在身份认证之前规划和设计好的，其工作包括如何对组织用户，如何划分 角色和分配权限，如何设置密码等等工作。用户管理是基于策略和角色的管理。 1 2 身份认证的现状 由于身份认证的重要性，所以在技术上近年来得到了飞速的发展。从一般常 用的静态口令，动态口令，双因数身份认证，到近来在研究和开发上比较热的p k i 数字证书和生物特征技术3 】【4 1 。但是根据国外的应用情况以及从我国的国情出发， 口令身份认证技术与其他几种技术比较起来，由于使用方便、管理简单、成本便 宜，而被经常采用。而对于那些要涉及机密数据或者敏感数据的系统，就需要采 用更高强度的认证技术 4 】 5 1 。 从服务器端认证实现方式来看，或者说从各个应用系统之间如何交互身份信 息，就可以把身份认证分为独立认证和统一认证。现在许多应用系统有具有一套 独立的身份认证予系统。即独立认证，但从安全性、通用性、及时性和权威性来 看，都不能令人满意，而且存在很大的安全隐患。 近年也出现了一些统一身份认证的系统，其中一部分是基于l d a p 的c s 构 架，利用目录服务技术实现部分系统的统一认证。使用目录服务器来集中存储用 户的个人身份信息和权限信息，假设应用服务遵从统一的目录服务标准，可以和 目录服务器交互，实现统一认证。其认证过程【6 】如图1 1 ： a 用户要使用s l 的服务，向其传送自己的用户i d 和口令； b s 1 将用户的用户名和口令发送给目录服务器d s 要求验证： c 目录服务器验证用户的用户名和口令，将验证结果发给s 1 。 d s 1 根据验证结果决定是否接受用户的服务请求，并将结果发给用户。 第一章绪论 图1 1 基于目录服务的统一身份认证过程 f i g u r e1 - 1c o u r s eo fu n i f i e di d e n t i t ya u t h e n t i c a t i o nb a s e do nd i r e c t o r ys e r v i c e 这种方式下，应用系统可以不带自己的用户系统，所有对用户的管理交给目 录服务器处理，实现了用户的统一认证。可见其可移植性和通用性有待提高。 微软和自由联盟( l i b e r t y a l l i a n c e ) 致力于基于w e b 方式的统一身份认证服务 的研究，如微软的n e tp a s s p o r t 和s u n 的i d e n t i t ys e r v e r 。 n e tp a s s p o r t 是微软倡导的n e t 框架的核心组件之一，是一组联机验证服 务的集合。其目的是让用户使用网络和在线购物等电子商务活动更简单和快 速。n e tp a s s p o r t 是一套基于w e b 的服务，它们的设计目标是简化对安全数据 的访问和传输。它把用户的的个人注册信息全部存储在微软的服务器上。所有的 p a s s p o r t 验证都是通过微软自己的服务器来完成【”。当用户使用电子邮件地址和 密码登陆到允许p a s s p o r t 的w e b 站点和服务后，如果还需要访问其他参与了 p a s s p o r t 的站点，就无需再次登陆就可以使用，因此用户无需记住每个网站的不 同的登录名和密码。这就实现了所谓的单点登录( s i n g l es i g n - o n ，s s o ) 。 自由联盟是用户认证技术的标准化团体，致力于身份鉴定技术。s u n 与其他 微软的对手已经开始与微软的p a s s p o r t 展开竞争，为用户提供一个在i n t e r n e t 上 的数字身份。 l i b e r t y 反映出两个或多个企业形成一个信任的关系。这种信任可通过企业安 排或者合同来缔结。l i b e r t y 信任关系意味着一个企业信任另一个企业的用户认证 决定。这种信任关系让一个用户在一个网站注艇，也可以访问另一个网站。因此， l i b e r t y 的关键目的在于促进针对于多个站点或者w e b 服务单一登录 8 】。 广东工业大学工学硕士学位论文 比较：p a s s p o r t 是一个由微软控制的中央式身份认证服务，同时也是微软作 业系统与目录服务所支持的标准；自由联盟是一个可兼容的身份认证服务规范， 实现的事零散的认证，即一个用户多个名字的多方认证方式；l i b e r t y 是依据 o a s i s 产业标准，使用s a m l 语言来在不同的认证系统间交换认证信息，但微软 并没有正式支持该标准。 1 3 现有身份认证服务的局限性 分析现有的系统的不足应从身份认证的现状出发，介绍独立认证及两种不同 统一身份认证的局限性。 ( 一) 独立认证及其弊端 现在开发新的应用系统时，一般都要设计一套身份认证和用户管理子系统， 来对系统的合法用户进行验证、授权和管理。这种独立认证的方式有以下的弊端： 第一：消耗开发成本和延缓应用开发进度； 第二：多个认证系统使管理工作成本日益增加，由于用户遗忘密码而所需的支 持费用不断上涨，管理工作日益加重； 第三：用户使用不方便。用户对每一个使用的系统都需要记忆账户口令组合； 第四：无法统一认证和授权策略。在多认证系统环境下，安全策略必须逐个地 在不同的系统内进行设置。若应用多达几十个时，修改策略的进度可能跟 不上策略的变化，从而造成不必要的损失； 第五：无法统一分析用户的应用行为。日志格式的不一致，使用户应用行为无 法从用户角度进行分析，若要分析和综合也需要花费大量的人力物力【6 】【”。 ( 二)基于目录服务的统一身份认证的不足 采用传统的和用户管理系统，由于目录服务器是基于c s 结构的，直接采用 它来提供教科网中的统一身份认证和用户管理服务，使用时需要一次一次的输入 口令，安全性令人担忧，而且有以下的问题未能解决： 第一个问题是不能解决单点登录。用户使从一个系统切换到另一个系统时， 必须多次确认自己的身份，一天当中往往要多次重复这种身份认证过程。，良好的 安全防护系统要求定期的更换认证信息( 如口令) ，这就使得用户使用非常不便， 管理员的工作量也非常繁杂且易出错【l 。 4 第一章绪论 第二个问题是不能与原有应用系统的整合。如何与原先有应用系统整合是现 有的统一身份认证系统的一个局限性。原有应用系统一般都带有自己的身份认证 子系统，考虑到原有系统是基于不同平台，不同技术逐步发展起来的，这些认证 子系统要与现有的统一身份认证和用户管理系统进行无缝的衔接，需要对每个应 用系统都进行大小修改和更新工作，才能较好的整合，这就没有保护好现有的投 资，而且成本不菲。 第三个问题是对新的应用系统的集成能力有刚“。在统一身份认证和用户管 理系统部署后。当要设计或者使用新的应用系统时，如果使用现有的解决方案。 需要手动的把新系统的相关参数配置到统一身份认证系统中，而且在新系统中也 需要手动的设置，修改底层代码或者a p i ，才能平滑的引入身份认证和用户管理 服务。这往往费时费力而且效率不高。 第四个问题是系统间的耦合度。由于目录服务采用的是c s 模式，现有的应 用模式主要是客户端通过和服务端的a p i 函数和统一身份认证系统进行信息的交 互。这种模式的一个主要问题是，一旦服务端的系统结构发生了变化，则所有的 客户端必须改变自己的系统以适应这种变化【6 】。如果调用该服务的应用系统数量 比较多的话，那么服务端的改变所带来的代价将是巨大和不可承受的。 因此，应实现统一身份认证服务系统和其他应用系统之间的松散耦合，服务 端的改动应该不影响其他应用系统对服务的调用。 ( 三) 基于w e b 应用的统一认证服务的局限 n e tp a s s p o r t 和l i b e r t y 这些系统或者标准主要是在因特网大环境中进行的 商务活动和个人的网上冲浪而设计的，如b 2 c 、b 2 b ，对于教科网这种特定的小 环境还不适用。一方面，教科网的很多应用系统不是对大众开放的，比如人事工 资系统，档案管理系统，所以这些专用系统是不能加入的l i b e r t y 或者p a s s p o r t 中；另一方面，由于用户的不确定性和身份信息的要求不同，而且教科网中很多 应用安全要求很高，如高考录取系统，网上考试系统等，在教科网中必须建立自 己的用户身份认证和管理系统，如n e tp a s s p o r t 把用户身份信息和认证过程集中 在微软的服务器中进行的方式显然不适宜。从另一个方面讲，这类统一身份认证 系统只是适合基于w e b 应用的统一认证，而教科网中有很多应用系统是非w e b 方式的应用，把这些应用加入到统一认证服务中，如果使用现有的统一认证服务 来进行集成，其移植成本和整合难度必然很高。 广东工业大学工学硕士学位论文 1 4 课题研究内容与文章结构 教科网中的应用系统越来越多，网上的资源也日渐丰富。校园中的许多传统 功能和业务以及完全依靠教科网的平台来完成，因此，网络安全和信息安全在此 显得尤为重要。而教科网中的应用系统是在不同的时期发展起来的，有着互异的 操作平台，不同的技术背景以及不同的安全要求。 针对目前身份认证系统的现状，以及教科网对身份认证的需求，有必要设计 适合教科网的新型统一身份认证与用户管理系统，来对用户进行统一的授权、统 一的管理和统一的管理。本文分析两种统一身份认证系统特点，综合利用目录服 务技术的优点，w e b 服务的高度可集成性和跨平台j a v a 的安全机制，提出一个适 合教科网的统一身份认证与用户管理系统的体系结构。 本课题的研究内容： ( 1 ) 设计基于l d a p 和w e b 服务的新型统一身份认证系统的体系结构； ( 2 ) 用u m l 模型来描述系统功能和结构。 r 3 ) 实现全面的单点登陆； ( 4 ) 认证功能实现为w e b 服务组件，供应用系统方便加入； ( 5 ) 简单的证书认证机制的实现； 本文的结构： 第一章绪论，总结课题的研究背景分析独立的身份认证和基于目录服务及基于 w e b 应用的统一身份认证的局限性，提出本文的研究内容； 第二章目录服务，介绍目录服务的概念和功能，及l d a p 协议和其编程接口； 第三章w e b 服务体系结构，介绍w e b 服务的优势及架构，以及s o a p 、w s d l 、 u d d i 等规范； 第四章信息安全相关技术，介绍密码学原理、s s l 协议及认证技术； 第五章系统设计，确定设计思想，设计系统新型的体系结构及其u m l 模型， 并设计目录树和数据库结构； 第六章系统功能实现，概要系统的实现方法，重点介绍系统的新特性：全面的 s s o 、开放的悄b 船毒担件 及基于证书的认证机制的实现： 结论总结本系统的优点，本文的创新之处以及下一步的工作。 6 第二章目录服务 2 1 目录服务介绍 2 1 1 目录与目录服务 第二章目录服务 目录是用于保存某种资源( 包括用户和各类软硬件设施) 信息的，是一项开 放系统的集合，这些系统相互合作容纳有关现实世界对象的信息，形成一个逻辑 信息数据库。目录是存储各种对象的一个物理上的容器，从静态的角度来理解目 录与我们以前所结识的”目录”和”文件夹”没有本质上的区别，仅仅是一个对象， 一个实体。目录的用户在许可的条件下，读或者修改目录中的信息。 目录服务是使目录中的所有信息和资源发挥作用的服务，目录服务所表达的 含义与目录紧密相关，它是指目录信息源与针对这些信息源的服务结合起来使得 这些信息可被用户使用。 2 1 2 目录服务的功能 目录服务也是一种数据库，不过它是面向对象的，它的目标定位是满足网络 互连管理的需求，与关系型数据库不同，它特别适合分布式计算环境，它在数据 的同步与复制，权限的配置及继承和数据的安全管理方面都有独特的优势l ，目 录服务技术将是构筑网络应用支撑平台的关键技术之一。 2 1 3 目录服务的标准 实现目录服务的方式有多种，但目前趋势是i t u t 的x 5 0 0 系列 ( x 5 0 0 0 x 5 9 9 ) 国际标准。x 5 0 0 系列共由九个建议组成，其中x 5 0 0 是目录 服务的概要介绍【1 2 1 ；x 5 0 1 定义了目录服务的模型；x 5 0 9 给出了目标身份验证 的机制1 2 】【1 3 】。自2 0 世纪9 0 年代开始。许多新的建议写入了r f c 系列建议标准。 应 客户根据x 5 l l 目录访阿瑚庵a p 访问目录。d a p 是一个全o s i 协议，功能广泛， 其中很多功能大多数服务很少使用到。为减少d a p 协议中的内务操作，密歇根大 学的一个研究小组与因特网工程任务促进会( 1 e t f ) 联手开发了定义在r f c l 7 7 7 广东工业大学工学硕士学位论文 中的轻型目录访问协议( l d a p ) ，它成了互联网上目录服务的通用标准。 2 2l d a p 协议 2 2 1l d a p 协议概念 l d a p 即轻量级目录访问协议，是与d a p 相对应的i n t e r n e t 协议，直接运行 于t c p i p 或者其他可靠传输协议之上，是目录服务的前端访问协议。它简化了 x 5 0 0 的许多操作，省去了极少使用的那些特征，用一些操作仿真其他操作，使 用简单的串编码大多数属性，使之成为低开销访问x 5 0 0 目录的方法，适用于任 何平台，便于实现因特网全球性目录服务和企业目录服务。 l d a p 协议由一系列文档组成。共有三个版本分别在r f c l 4 8 7 ，r f c l 7 7 7 和 r f c 2 2 5 3 中定义【l4 1 。其基本工作方式为l d a p 客户端向l d a p 服务器发送请求， 服务器发回应答信息，l d a p 协议定义的便是客户机与服务器之间请求、应答的 格式和约定。即l d a p 客户机访问服务器大前端访问协议j 【”】。如下图2 - 1 所示。 至于l d a p 对于服务器如何具体实现，如服务器如何检索信息，多个服务器之问 如何进行同步，安全问题等没有做任何规定，这些是纯粹的前端访问协议【l 2 1 。 应用客户目录服务 + - 回复信息 图2 - 1l d a p 协议模式 f i g u r e2 - 1t h e m o d eo fl d a pp r o t o c o l 条目 第二章目录服务 2 2 2l d a p 信息模型 目录信息树( d i r e c t o r y l n f o r m a t i o n t r e e ，简称d i t ) 3 2 其相关概念构成了l d a p 协议的信息模型。目录信息树是以层次化的树型结构来组织的。如下图2 2 所 示为一棵目录信息树。 图2 2 目录信息树的结构 f i g u r e2 - 2t h es t r u c t u r eo fd i r e c t o r yi n f o r m a t i o nt r e e 其节点称为条目( e n t r y ，入口) ，是用来存储数据。对应于现实世界中的对 象。条目由描述对象的一组属性( a t t r i b u t e ) 组成，每个属性有一个属性类型和 若干个值。属性类型用名称或者点分十进制构成的对象标识符( o i d ) 来识别。 每个条目都包含一个对象类( o b j e e t c l a s s ) 类型的属性，用来确定该条目应该包含哪 些属性【1 甜。 大多数属性的取值对于服务器并无意义，而由客户去解释和使用，但某些属性 ( o p e r a t i n a la t t r i b u t e ) 被目录服务器用来管理目录系统，它们往往由服务器自动生 产和修改而无需用户参与。属性的定义包含了属性取值应遵守的文法和对属性查 询时应用的匹配规1 ( m a t c h i n g r u l e ) 。 使用l d i f ( l d a pd a t ai n t e r c h a n g ef o r m a t l d a p ，数据交换格式) 文件，代 表在l d a p 目录服务器间导入、导出目录信息，或描述应用于目录的一系列改变。 l d i f 格式用于传送目录信息，或描述一组对目录条目的修改，l d i f 文件包括被 行分隔符分割的一系列记录。一条记录包括一序列描述目录条目的行或一序列描 述一组目录条目变化的行。一个l d i f 文件指定一组目录条目，或一组应用于目录 条目的更改，但二者不能兼顾。 9 广东工业大学工学硕士学位论文 在l d a p 中把对象类、属性类型、语法、匹配规则、目录信息树的内容规则 和目录信息树的结构规则以及命名形式统称为模式( s c h e m a ) 1 4 】，在l d a p 中有许 多系统对象类、属性类型、语法和匹配规则，这些系统模式在l d a p 标准中进行 了规定，不同的应用领域也定义了自己的模式，同时用户在应用时，也可以根据 需要自定义模式。目录中包含一种条目s u b s c h e m a ( 又称s u b e n t r y ) 用来记录目录 的模式信息，如该目录服务器支持的属性和对象类。 总之，l d a p 信息模型描述条目，条目是目录的基本信息单元。条目由属性 组成，属性由一个属性类型和一个或多个属性值组成。属性的约束用来限制作为 属性值的数据的类型和长度。目录模式规定了一个属性是必须属性还是可选属性。 2 2 3l d a p 命名模型 l d a p 的命名模型定义了数据的组织和引用方式，也即l d a p 中的条目定位 方式。它规定所有的目录条目以倒置逻辑树结构进行存储，用户通过标准的命名 模型可以访问树中任何位置的条目。依照树状组织结构可以将条目分成两种类别： 非叶子结点容器条目和叶子结点数据条目。目录树上任何节点都必须具有一个或 多个能够标识自己的属性，即：r d n ( r e l a t i v e d i s t i n g u i s h e d n a m e 一相对识别名) ； r d n 只能在同一容器范围内相互区别条目d 6 。为了在整棵树中唯一地标识出一个 特定的条目，d n ( d i s t i n g u i s h e d n a m e 绝对识别名) 得以提出，它是将从当前条 目到树根位置所经历的所有条目的的r d n 连接而成的一个顺序r d n 串，用户可 以根据需要随意访问树中的任何条目，如同文件系统中，带路径的文件名就是 d n ，文件名就是r d n 。 2 2 4l d a p 功能模型 l d a p 功能模型定义了用户通过l d a p 协议能够对目录所执行的操作，这些 操作根据功能特征分成如下三组，即： ( 1 ) 、查询操作( i n t e r r o g a t i o no p e r a t i o n s ) ； 允许用户搜索目录并检索相应目录的目录数据，并取出单个目录条目。有两 个相关操作：查询与比较。具体操作原语包括：s e a r c h 、 c o m p a r e 。 ( 2 ) 、更新操作( u p d a t eo p e r a t i o n s ) ： 1 0 第二章目录服务 定义了用户能够操纵目录数据的方式，允许用户对条目进行添加、修改和删 除操作。具体操作原语包括：a d d 、d e l e t e 、r e n a m e 、m o d i f y 。 ( 3 ) 、认证和控制操作( a u t h e n t i c a t i o na n dc o n t r o lo p e r a t i o n s ) ； 使得用户能够在使用目录之前确认身份并控制会话中的某些特殊方面。具体 操作原语包括：b i n d 、u n b i n d 、a b a n d o n 。 为了扩展原有的基本操作，最新版本的l d a p 协议允许用户自己定制需要的 操作，这极大地加强了对目录数据的访问和控制能力。 2 2 5l d a p 安全模型 l d a p 安全模型的根本目的在于提供一个框架以防止目录数据受到未授权的 访问。l d a p 中的安全模型主要通过身份认证、安全通道和访问控制来实现。在 l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l e a u t h e n t i c a t i o n a n d s e c u r el a y e r ) 认证 1 4 】。在l d a p 中提供了基于s s l t l s 的通讯安全保障，l d a p 通过s t a r t t l s 方式启动t l s 服务，可以提供通讯中的数据保密性、完整性保护； 通过强制客户端证书认证的t l s 服务，同时可以实现对客户端身份和服务器端身 份的双向验证【 j ；l d a p 访问控制异常的灵活和丰富，在l d a p 中是基于访问 控制策略语句来实现访问控制的。 l d a p 协议族提供了如下安全机制对目录服务进行保护： ( 1 ) 使用请求者i d 对客户机进行认证。 ( 2 ) 通过s s l t l s 协议来提供数据完整性保护。 ( 3 ) 通过s s l t l s 协议来提供数据保密性保护。 ( 4 ) 通过对服务器的管理员权限配置和对服务器资源的使用进行限制。 ( 5 ) 通过s s l t l s 协议对服务器进行认证。 在l d a p 中，可以把整个目录、目录的子树、特定条目、特定条目属性集或 符合某过滤条件的条目作为控制对象进行授权；可把特定用户、属于特定组或所 有目录用户作为授权主体进行授权：最后，还可以定义对特定位置( 如i p 地址或 d n s 名称) 的访问权。 广东工业大学工学硕士学位论文 2 2 6l d a p 服务的优势 大多数的l d a p 服务器都为读密集型的操作进行专门的优化。因此，当从 l d a p 服务器中读取数据的时候会比从专门为o l t p ( 联机事务处理) 优化的关系 型数据库中读取数据快一个数量级。 l d a p 协议是跨平台的和标准的协议，因此应用程序就不用为l d a p 目录放 在什么样的服务器上操心了。实际上，l d a p 得到了业界的广泛认可，因为它是 i n t e r n e t 的标准。产商都很愿意在产品中加入对l d a p 的支持，因为他们根本不用 考虑另一端( 客户端或服务端) 是怎么样的。l d a p 服务器可以是任何一个开发 源代码或商用的l d a p 目录服务器( 或者还可能是具有l d a p 界面的关系型数据 库) ，因为可以用同样的协议、客户端连接软件包和查询命令与l d a p 服务器进 行交互1 1 1 1 。与l d a p 不同的是，如果软件产商想在软件产品中集成对d b m s 的 支持，那么通常都要对每一个数据库服务器单独定制。 不象很多商用的关系型数据库，用户不必为l d a p 的每一个客户端连接或许 可协议付费。大多数的l d a p 服务器安装起来很简单，也容易维护和优化。 2 3 目录服务接口 使用j a v a 的j n d i 接口可以连接l d a p 服务器进行应用开发。j n d i 提供目 录和命名的一个优良的面向对象的抽象。开发人员使用j n d i 可以开发出使用 l d a p 或其他访问协议的查询来检索结果；但是他们并不局限于l d a p ，也不是 必须开发与l d a p 相关的应用程序。j n d l 支持l d a pv 3 中的关键功能。j n d i 提供j a v a 应用程序使用j a v a 对象模型来访问目录，可以处理像a w t 和 j a v a b e a n s 组件这样的对象，将它们绑定到目录中，然后再返回来查找它们，而 不用做任何转换或者处理数据表示问题【i 8 1 。 j n d i 本身独立于任何特定目录访问协议。单独的服务提供程序决定所支持 的协议。而n e t s c a p e 的a p i 是特定于l d a p 的。它用于对l d a p 目录的低级 别访问。它暴露应用程序一般不需要知道的协议细节。j n d i 是j a v a 程序的一个 普通目录a p i ，大多数j a v a 程序应该使用j n d i 来访问目录。需要在协议级别 处理目录内容的应用程序可能会选择使用n e t s c a p e 的a p i 。 第三章w e bs e r v i c e s 体系机构和技术规范 第三章w e bs e r v i c e s 体系结构和技术规范 3 1w e b 服务的简介 3 1 1w e b 服务的概述 w e bs e r v i c e s 是一种面向服务的体系架构( s o a ) ，到目前为止还没有统一的 明确定义。w e bs e r v i c e s 的主要目标是在现有的各种异构平台的基础上构筑一个 通用的与平台无关的、与语言无关的技术层，各种不同平台上的应用依靠这个技 术层来进行彼此的连接和集成。与传统w e b 应用技术的区别是：传统w e b 应用技 术解决的是如何让人来使用w e b 应用所提供的服务；而w e bs e r v i c e s 解决的是如 何让计算机系统( 或说程序) 来使用w e b 应用所提供的服务 1 9 】。 从技术上来说，w e b 服务可以看作是部署在w e b 上的对象，它是完成一项特 定的任务。用标准的规范的语言来描述其操作接口，通过标准化的x m l 消息传 递机制，可以通过网络访问这些操作。服务的接口是基于x m l 的w s d l 语言来 描述的，隐藏了业务实现的细节，使用者可以在任何平台以任何编程语言实现， 只要他们可以创建并且使w e b 服务接口所定义的消息【2 0 1 。 可以认为。w e b 服务技术是x m l 、s o a p 、w s d l 和u d d i 的整合技术。它 允许用户开发，编目和发布商业服务，在w e b 上进行交付和使用。基于x m l 和 远程过程调用( r p c ) 的s o a p 规范基础上的通用协议提供了w e b 服务技术的支 柱：不管平台、对象模型或编程语言，用户可以通过开放的接口访问w e bs e r ：v i c e s 提供的商业功能【2 ”。 3 1 2w e b 服务的特点和技术优势 w e b 服务一般是存在于w e b 上的对象，因此具有面向对象的所有特点，同时 w e bs e r v i c e s 的基石是x m l ，所以具有更好的开放性。w e bs e r v i c e s 还具有以下 的特点2 0 ： ( 1 ) 自描述；( 2 ) 可绑定和可调用；( 3 ) 可组合；( 4 ) 简单性；( 5 ) 可发布可查找； ( 6 ) 完好的封装性。w e b 服务既然是一种对象，自然就具备对象的良好封装性， 广东工业大学工学硕士学位论文 它可以让使用者看到所有的公开的服务( 功能列表) ： ( 7 ) 松散的耦合性。缘于对象组件技术，w e bs e r v i c e s 实现的任何变化对调用 者来说都是透明的，只要接口不变，调用者不会感觉到w e bs e r v i c e s 的任何 变化，哪怕是平台的迁移对用户来说也是一无所知的； ( 8 ) 高度可集成性 7 1 。由于w e b 服务采取简单的、易于理解的标准w e b 协议作 为组件界面描述和协同描述规范，完全屏蔽了不同软件平台的差异，无论是 c o r b a 、d c o m 还是e j b 都可以通过这一种标准协议进行互操作，实现了 当前环境下的最高可集成性。 3 2w e b 服务的体系架构 w e bs e r v i c e s 使用面向服务的体系架构( s o a ) ，s o a 中共有三种角色和三种 行为，如下图3 1 示。这三种角色分别如下【2 0 】【2 3 】： 图3 - iw e bs e r c i c e s 的模型 f i g u r e3 - 1m o d e lo fw e b s e r v i c e s 服务提供者( s e r v i c ep r o v i d e r ) ：w e b 服务的拥有者，为其他服务和用户提供服务 功能。服务提供者实现服务之后可以发布服务，并响应对其