（计算机科学与技术专业论文）企业信息门户中统一认证系统的研究与实现.pdf

北京邮l 乜人学硕j j 学位论义摘要 企业信息门户中统一认证系统的研究与实现 摘要 随着网络技术和信息门户技术的发展，门户中各种应用系统不断 增加，用户如果要访问多个系统，不仅要面对多个登录界面，可能还 要记忆不同的用户名和口令。每个系统有各自的账号管理系统，互不 信任。系统管理员不得不维护多个系统中的用户信息，保证数据的一 致性。为了构建企业和机构的统一数据访问平台，实现多个单体应用 系统全面的无缝集成，需要在企业信息门户中集成统一认证系统，从 而实现对不同应用系统的用户统一认证和统一授权。 本文首先阐述了统一认证系统所涉及的u ) a p 目录服务、s o a p 协议、w r e b s e i c e s 、单点登录等技术。然后分析统一认证系统的功 能并提出统一认证系统的体系结构。系统利用l d a p 作为实现统一认 证的基础，并利用基于s a m l 的s s o 机制实现用户的统一认证和授 权。 最后，本文在对统一认证系统进行分析和设计的基础之上，分步 的部署和实现了一个基于w r e b l 0 西cp o r t a l 的统一认证系统，并利用 一个原型系统的运行实例来验证了统一认证系统的功能和可行性。 关键词e i p 统一认证l d a p 服务单点登陆s a m l 框架j a a s 北京邮f 乜人学硕i j 学位论文 摘要 r e s e a r c ha n di m p l e m e n t 芦江i o no fu n i f i e d a u t h e n t i c a t i o nb a s e di ne n t e r p i u s e i n f o r m 睑t i o np o r t a i ， a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r ka n di n f b m a t i o np o f t a lt e c h n o l o g y v a r i o u s a p p l i c a t i o ns y s t e m si np o r t a la r ep o p u l a rd a yb yd a y w h e na c c e s st om u l t i p l ek i n d s0 f s y s t e m s ，u s e r s 肿to n l yh a v et of a c ed i 疵f e n tk i n d so f l o 舀np a g e sb u ta l s oh a v et o m e m o r i z eu s e rn 锄e p a s s w o r do fe a c h 印p l i c a t i o ns y s t e m e a c hs y s t e mh a si t so w n a c c o u n tm a n a g c m e n ts y s t e m sa n dd i s t m s t0 no t h e r a d m i n i s t r a t o r sh a v et om a i l a g e u s e r si n f 0 咖a t i o no fm u l t i p l es y s t e m st oe n s u r cd a t ac o n s i s t e n c y i no r d e rt ob u i l dt h e u n i t yo fd a t ap l a 怕咖sb e t w e e nm u l t i p l ee n t e 叩r i s ea p p l i c a t i o ns y s t e m sa n da c h i e v e t h ef u l li n t e 舒a t i o no fan u m b e ro fs i n 舀es y s t e m s ，t h eu n i f i e da u t h e n t i c a t i o ns y s t e m n e e dt ob ei n t e g m t e di n t oe n t e 叩“s ei n f b n n a t i o np o r t a l t 1 l eu n i f i e da u t h e n t i c a t i o n s y s t e m e n a b l e sc e n t r a l l ym a n a g e m e n t ，a u t h e n t i c a t i o na n da u t h o r i z a t i o nb e t w e e n p o n a la n dd i f ! i e r e n ta p p l i c a t i o ns y s t e m s t h i sp a p c rf i r s te l a b o r a t e st h eu d a ps e i c e s ，s o a pp r o t o c o l ，w 曲s e r v i c e s ，s s o w h i c ha r er e l a t e dt e c h n o l o g i e sw i t hu n i f i e da u t h e n t i c a t i o ns y s t e m ，a n dt h e na n a l y s e s t h ef u n c t i o no ft h eu n i f ! i e da u t h e n t i c a t i o ns y s t e ma n dg e n e r a t et h ea r c h i t e c t u r eo ft h e s y s t e m t h i ss y s t e mm a k e su s e0 fu ) a pt or e a l i z et h ec e n t r a l i z e dm a n a g e m e n to f u s e r si n f o n n a t i o na n dm a k e su s eo fs a m lb a s e ds s om e c h a n i s mt or e a l i z eu s e i s u n i f b n na u t h e n t i c a t i o na n da u t h o r i z a t i o n i nt h e l a s t ， t h i sp a p e ru s e sad e m o n s t r a t i o nt 0 i d e n t i f yt h et h e o r i e s卸d t e c h n o l o g i ；sa b 0 v e t h ed e m o n s t r a t i o ni n c l u d e saw e b b g i cp o t t a lb a s e du n i f i e d a u t h e n t i c a t i o ns y s t e ma n da na p p l i c a t i o ns y s t e ms a n l p i e k e yw o r d se l pu n i f i e da u t h e n t i c p ( i el d a ps s os a m lj a a s 北京邮电人学硕i ：学位论文声9 j 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：童壁塑日期：三竺曼弓? 寻! 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期问论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：鲎丝同期：竺! 墨辟i 皇l 导师虢! 习缉 日期：也越：墨2 北京邮电人学硕。t 学位论文第一章绪论 1 1 研究统一认证的意义 第一章绪论 随着企业信息化发展的不断深入，越来越多的应用和管理系统参与到企业的 日常工作中来，如办公自动化、财务系统、人力系统、生产系统等等。而由此带 来的自动化孤岛问题成为信息化发展的瓶颈。 p o 蹦为企业提供了一个单一的访问企业各种信息资源的入口，将企业的应 用、人员、信息与流程有机地结合起来，为信息化工作的开展提供了可行的思路 和解决方案。p o r t a l 为企业信息化工作的开展提供了一致和统一的基础架构，实 现统一的系统管理、端对端的安全架构、内容管理及服务的个性化和集成服务。 实现对所有应用系统的统一认证是p o n a l 需要提供的核心服务之一。然而， 每个应用系统都有一套独立的登录、认证和权限系统，而同一个用户可能在不同 的系统拥有不同的角色和权限。 多个系统的独立认证所带来的弊端是： 1 重复开发消耗开发成本和延缓开发进度。每个应用都要开发一套基本安全系 统是对开发资源的浪费。 2 多个认证系统使管理工作成本日益增加，并且越来越不可行。 3 用户需要记忆多个账户和口令，使用极为不便。 4 无法统一认证和授权策略。安全策略必须逐个在不同的系统内进行设置。 因此，建立基于p o r t a l 的统一认证系统对网络用户实行统一认证和统一授权 是必要的。用户要登录系统，必须先到身份认证系统认证身份，才可以访问各个 应用系统的网络资源，从而实现统一用户管理、统一安全控制，管理员对整个网 络可以实现单点管理。 1 2 统一认证的发展过程和研究现状 统一认证系统是随着互联网的发展，尤其是w 曲类应用系统的发展而发展 起来的。在客户服务器结构流行的时候，曾经出现过一些统一认证系统的雏形， 以及一些相关的产品，但是这些产品一般自有一套体系，在各个技术层面都未能 形成一个行业的标准，例如n o v e n 公司的目录服务和单点登录产品。随着w r e b 技术的发展，越来越多的统一认证方案被提出，并逐渐得到广泛认可，目前己经 初步形成了以微软公司和s u n 公司为代表的两大阵营，其代表技术分别为基于 北京邮i 乜人学顸 j 学位论文第一章绪论 p a s s p o n 的身份验证规范和自由联盟( l i b e n y l i a n c e ) 网络身份验证规范。 n e tp a s s p o r t 和l i b e n y 标准主要是为在i n t e m e t 大环境中进行的业务相似 的商务活动和个人的网上冲浪而设计的，如b 2 b 、b 2 c 等，对于一般组织机构 规模较小但应用系统复杂的环境还不适用，对专用的应用系统的集成能力有限。 例如组织机构中的人事工资系统、档案管理系统等，往往是不能加入到“b e n v 或者p a s s p o n 中的。这是因为这些规范形成的时间并不长，比较新，而且规范本 身也不够成熟，对于应用系统的集成来说有相当多的困难和不便。另一方面，这 类统一认证系统只是适合基于w 曲应用的统一认证，而一般组织机构中的很多 应用系统是非w 曲方式的应用，如果使用现有的统一认证服务来进行集成，其 移植成本和整合难度必然很高。最后，作为国外的产品，与国内的应用系统建设 模式有一定的差距，因此在使用上不论是合理性、易用性等各个方面都存在不少 的障碍。 国内对于统一认证的研究起步较晚，因为国内应用系统的建设相对滞后，总 体水平并不高，很多组织机构还在把主要精力放在单体系统的建设上。但是随着 信息化建设的逐步深入，越来越多的组织机构开始考虑应用系统的集成问题。统 一认证作为应用系统集成的一项基本内容和前提条件，也逐渐成为研究的重点。 但是国内的研究主要还是以项目的形式展开，即针对某个组织机构的个性化需求 进行集成、开发和实施，并没有形成统一的方案和标准。虽然也考虑采用国外的 技术、规范和平台，但是对相关技术的研究相对滞后，大多停留在原型系统，并 未形成统一、完善的解决方案，在使用中进行推广。 1 2 1m i c m s o f t 的n e tp a s s p o r t 技术 n e tp a s s p o n 是微软倡导的n e t 框架的核心组件之一，是一组联机验证服 务的集合。其目的是让用户使用网络和在线购物等电子商务活动更简单和快速。 m 玎p a s s p o n 是一套基于w 曲的服务，它的设计目标是简化对安全数据的 访问和传输。它把用户的个人注册信息全部存储在微软的服务器上。所有的 p a s s p o n 验证都是通过微软自己的服务器来完成。当用户使用电子邮件地址和密 码登陆到允许p a s s p o n 的w r c b 站点和服务后，如果还需要访问其它参与了 p a s s p o n 的站点，就无需再次登录就可以使用，因此用户无需记录每个网站的不 同的登录名和密码。其主要技术特点是：集中式认证、分布式授权，整个过程对 用户透明。 n e tp a s s p o n 各协作实体问采用标准的w 曲协议承载认证流，p a s s p o r t 充当 认证域的中心站点，存储所有用户的认证信息以及合作站点的s i t ei d 和密钥。 p a s s p o n 不直接与合作站点进行数据交换，所有认证信息由客户端进行存储和转 2 北京邮l 乜人学硕i j 学位论文 第一章绪论 发。p a s s p o r t 类似于k e r b e r o s 协议中的k d c ( k b yd i s t 肋u t i o nc e n t e r ) 密钥颁发 服务器的角色，但与k e r b e r o s 不同的是，用户浏览器只是接受p a s s p o n 用 s e t c o o k i e 命令写入的c o o k i e ，并根据重定向指令，将c ( ，o k i e 的内容作为重定 向u r l 的参数发给合作站点。合作站点上的p a s s p o nm a n a g e ro b j e c t 相当于认 证代理，在确认参数合法后，就将其用合作站点域名下的c o o l 【i e 保存起来，如 果在有效时间内再次认证，则可被用来验证用户身份，而无需再次访问p a s s p o n 的认证信息数据库。 n e tp a s s p o n 没有使用标准协议交换和传递认证信息，实现安全信息的互操 作。 1 2 2 自由联盟的l i b e n ) ，规范 自由联盟是用户认证技术的标准化团体，致力于身份鉴定技术。s u n 与其 他微软的对手己经开始与微软的p a s s p o r t 展开竞争，为用户提供一个在i i l t e m e t 上的数字身份。l i b e n y1 0 规范于2 0 0 2 年7 月推出，没有定义位于中心位置的认 证系统，也没有将合作站点用户迁移到中心认证系统，而是将合作站点和认证系 统间建立一对多或者多对多的联盟关系，建立联盟关系的系统账号间建立映射， 通过映射间接实现账号的全局性。s u nl i b e n y 反映出两个或多个企业形成一个信 任的关系。这种信任可通过企业安排或者合同来缔结。 l i b e n y 信任关系意味着一个企业信任另一个企业的用户认证和身份鉴别。 这种信任关系使得用户在一个网站注册后，可以访问另一个网站。因此，l i b e n v 的关键目的在于促进针对于多个站点或者w 曲服务单点登录。 1 3 本论文主要工作 研究并实现企业信息门户中的统一认证系统，是本文的主要工作。统一认证 系统需要为登录企业信息门户的用户提供统一的登录认证和统一的授权方法。 本文的主要工作包括： 1 阅读并研究统一认证涉及的关键技术：u ) a p 目录服务、s s o 单点登录、安 全认证技术等。 2 分析基于e i p 系统的统一认证的功能，并提出了具体的实现方案。 3 实现了一个基于w 曲l o 西cp o r t a i 的统一认证实例，并采用一个原型系统来验 证本系统的可行性和功能。 4 对本文实现的统一认证系统进行总结和分析。 北京邮i 乜大学硕l ：学位论义 第二章统一认证中的关键技术 第二章统一认证中的关键技术 2 1l d a p 目录服务 2 1 1 目录服务介绍 目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方 法。目录服务是一个存储着用于访问、管理和或配置电子政务网络信息的特殊数 据库，它把网络环境中的各种资源都作为目录信息，在目录树结构中分层存储， 对这些信息可以存储、访问、管理并使用。目录服务将分布式系统中的用户、资 源和组成分布式系统的其他对象统一组织起来，提供一个单一的逻辑视图，允许 用户和应用透明地访问网络上的资源。一个由目录服务支持的网络系统是一个集 成的、网络化的、统一的系统，而不是独立功能部分的简单聚合。 1 9 8 8 年r r u t 首先创建了基于目录服务的x 5 0 0 标准，全面描述了这一模 型，包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机服务器 通信的协议d a p ( d i r e l t o r ya c c e s sp r o t o c 0 1 ) 等。1 9 9 3 年u t 又对x 5 0 0 标准 进行了重大的修改和补充，形成了第二版建议。x 5 0 0 实际上不是一个协议，它 是由一个协议簇组成。x 5 0 1 模型强调目录服务基本模型和概念；x 5 0 9 认证框 架是如何在x 5 0 0 中处理目录客户和服务器的认证；x 5 1 1 抽象服务定义x 5 0 0 被要求提供的功能性服务；x 5 1 8 分布式操作过程表明如何跨越多台服务器处理 目录服务；x 5 1 9 协议规范即是x 5 0 0 协议，包括目录访问协议d a p 、目录系统 协议d s p 、目录操作绑定协议d o p 和目录信息s h a d o w i n g 协议d i s p ；x 5 2 0 选 定的属性类型要求是x 5 0 0 自己使用的属性类型；x 5 2 1 选定的对象类为x 5 0 0 自己使用的对象类；x 5 2 5 复制是如何在目录服务器之间复制目录内容。 x 5 0 0 虽然是一个完整的目录服务协议，但在实际应用的过程中，却存在着 不少障碍。由于目录访问协议廿这种应用层协议是严格遵照复杂的o s i 七层 协议模型制定的，对相关层的协议环境要求过多，主要运行在u n 机器上，在 许多小系统上，如p c 和m a c i n t o s h 上无法使用，因此没有多少人按照d a p 开发 应用程序，t c p i p 协议体系的普及，更使得这种协议越来越不适应需要。在这 种情况下d a p 的简化版l d a p 应运而生。 4 北京邮电人学硕j 二学位论文第1 二章统一认证中的关键技术 2 1 2l m 廿目录服务及四种模型 l d a p ( i j g i l 觚e i 曲td i r e c t o r ) ，a c c e s sp r o t o c 0 1 ) 【1 0 l 称为轻量级目录访问协议 是由美国m i c h i g 锄大学研发的一个新的目录访问协议，是用于检索和管理目录 信息的c s 协议规范，最初是作为x 5 0 0 的前端提出的。所谓轻量级，是相对于 基于七层协议的垤而言，因为它无需o s i 的上层协议栈。随着t c p i p 技术 主流地位的确立，u ) a p 也得到了越来越多的支持。l d a p 直接运行于i p 之上 ( 不是t c p 就是u d p ) ，从最初的以x 5 0 0 为主的应用，发展到独立应用，并扩 展到网络应用的不同方面。l d a p 协议从1 9 9 3 年批准，产生了l d a p v l 版本， 随后于1 9 9 7 年发布了第三个版本u ) a p v 3 ，它的出现是l d a p 协议发展的一个 里程碑性标志，它使l d a p 协议不仅仅作为x 5 0 0 的简化版，同时提供了u ) a p 协议许多自有的特性，使u ) a p 协议功能更为完备，具有了更大的生命力。 u ) a p 具备四种模型：信息模型、命名模型、功能模型、安全模型。 1 信息模型 信息模型描述u ) a p 的信息表示方式。 1 ) 属性 l d a p 目录服务模型是基于目录条目( e n t r y ) 的，每个目录条目包含一组属 性，用来存储现实世界中某种对象的信息，如人、某个组织等。目录条目与属性 的关系如图2 1 所示： 图2 - 1 条目，属性和值的关系图 每个属性有一个类型和一个或多个值，含有一个值的属性( 例如人的生r 等) 被称为“s i n 西e v a l u e d ”，含有多个值的属性( 例如有的人会有多个电话号码、联 系地址) 被称为“m u l t i 。v a l u e d ”。属性值的取值依赖于属性类别，例如m a i l 类型 的属性可用来存放电子邮件地址，而p h o 幻类型的属性则可存放j p g 格式的图像。 每个属性均有一个属性语法，用来决定该属性值的类型，如a s c i i 码、二进制 码等。有的属性还规定了匹配规则( m a t c h j n gr u l e s ) ，这些规则决定属性的值应 5 北京邮i 乜人学硕i ：学位论文第：章统一认证中的关键技术 该如何进行比较，例如相等规则、取子串规则或者决定属性应该如何排序的排序 规则。 2 ) 对象类 现实世界中的实体之间往往具有一些相同或相似的特性，被划分为不同的 类。 在u ) a p 目录服务中，每个目录条目均包含一个或多个对象类属性( 0 b i e c t c l a s s ) ，指示该目录条目的类型，该类型决定了目录条目中必须或可能包含的属 性，其中必须包含的属性被称为强制的，可能包含的属性被称为可选的。 对象类的定义遵循继承机制，子类继承父类所有的强制属性和可选属性。t 0 p 类形成了对象类层次的根，所有其它对象类都直接或间接地由它派生出来，t o p 类中定义的强制属性“o b j e c t c l a s s 保证了每一个目录条目至少有一个对象类。 目录条目只有在至少满足一个对象类的要求时才能被添加到目录中。 3 ) 模式 目录中所有属性、对象类、语法、匹配规则的定义的集合被称为目录的模式 ( s c h e m a ) ，它决定了数据在目录中的存储形式。在l d a p 中有许多系统对象类、 属性类型、语法和匹配规则，这些系统s c h e m a 在l d a p 标准中进行了规定。同 时，不同的应用领域也定义了自己的s c h e m a 。用户在应用时，也可以根据需要 自定义s c h e m a 。这有些类似于x m l ，除了x m l 标准中的x m l 定义外，每个 行业都有自己标准的d t d 或d o m 定义，用户也可以自扩展。如同x m l ，在 u ) a p 中也鼓励用户尽量使用标准的s c h e m a ，以增强信息的互联互通。在s c h e m a 中比较复杂的是匹配规则。在l d a p 中为了加快查询的速度，针对不同的数据 类型，可以提供不同的匹配方法，如针对字符串类型的相等、模糊、大于小于均 提供自己的匹配规则。 2 命名模型 命名模型描述u ) a p 中的数据如何组织。 目录中的所有目录条目按照层次模型进行排列，它是一个分级或类似树状的 结构，主要是为了更好地存储和搜索目录树中的对象。目录信息树( d i r e c t o r v i n f o 咖a t i o nt r e e ，d n ) 包含网络环境信息，子树能从主干上分枝。这与d n s 的 分级结构是相似的。d i t 中的每个对象，如用户，就成为目录服务条目( d i r e c c o r v s e i c ee n t r y ，d s e ) 。d i t 中的每个对象在l d a p 结构中必须是唯一的，因此用 户必须使用一个有区别的名称( d i s t i n g u i s h e dn h m e ，d n ) ，用它在d r i 范围内 代表对象的一个完整名称，标识由目录名和该目录条目到目录根部的路径所组 成。或者使用个相对有区别的名称( r e l a t i v ed i s t i n g i l i s h e dn 锄e s ，r d n ) ，它 是d n 的一个子集。在分级结构中最顶层的目录条目代表的是国家或者国际组 6 北京邮i 【1 人学硕 ：学位论文第二章统一认证中的关键技术 织，比如u s ( 美国) ，c n ( 中国) 等，而在每个国家的目录条目下是省或州。 在分级的最底层的目录条目代表的是人或者某些具体资源。 如图2 2 所示，d n 可使用下面的形式标识d i t 中的用户s u n ： c n = s u n ，o u = n c ，o = b u p t ，c = c n 在这里c i l 代表通用名称( c o m m o nn 锄e ) ；o u 代表组织单元( 0 r g a n i z a t i o n u n i t ) ；o 代表组织( o r g a n i z a t i o n ) ；c 代表国家。 图2 2 目录信息树d 兀i 最早x 5 0 0 遵循的命名模型以地理位置和国家区域为基础，获取一个注册名 称非常麻烦。u ) a p 支持x 5 0 0 的命名模型，同时引入新的基于域名系统d n s 的命名模型，利用d c ( 代表域组件，d o m a i nc o m p o n e n t ) 属性将d n s 映射到 d n ，例如，b u p t e d u c i i ”，被映射为“d c = b u p t ，d c = e d u ，d c = c l l 。 3 功能模型 功能模型描述了u ) a p 服务器端支持的所有目录操作。u ) a p 客户端和服务 器端的交互如图2 3 所示： 7 北京邮i 乜人学顾 ：学位论义 第二章统一认证中的关键技术 客户端 目录服务器 目录 图2 - 3u ) a p 客尸端与服务器端的交互 操作可以被分为三种类型： 1 ) 查询操作：( s e a r c h ，c o m p a r e ) 目录的主要功能就是提供信息，s e a r c h 操作用来在目录中查询信息，s e a r c h 操作的运行由下列参数控制： a )b a s e d n ：d i t 中的查询起点； b ) s c o p e ：查询的范围； c ) f i l t e r ：查询过滤； d ) 其它参数：决定那些属性将被返回、查询时间和规模的限制等。 需要注意的是当程序执行一个查询时，在搜索操作中要使用对象的唯一属 性。在一个d i t 中可执行三种类型的搜索：字符串、数字和布尔值。 c o m p a r e 操作检查特定目录条目是否包含所给的属性值。c o m p a r c 操作可由 s e a r c h 操作实现。但由于历史的原因它仍被保留。 2 ) 更改操作：( a d d ，d e l e t e ，m 0 d i f y ，m o d i f y d n ) 在目录中的信息可以被查询之前，必须先将信息存入目录。a d d 和d e l e t e 操作分别用于添加和删除目录中的条目。m o d i f y d n 实现重命名、添加和删除 d i t 中的目录条目。 对于目录信息的修改除了条目级的以外，还应有属性级的修改。通过m o d i f v 操作，新的属性可以被添加到目录项中，实现特定属性的删除，或者所有的属性 值替换为新值。 虽然目录不提供对事务( t r a n s a c t i o n ) 的支持，但对目录条目的修改操作应 该是原子的( a t o m i c ) ，并支持a 1 1 o r - n o t h i n g 原则。 北京邮电大学硕上学位论文第- 二章统一认证中的关键技术 3 1 认证相关操作：( b i n d ，u n b i n d ，a b a n d o n ) l d a p 定义了三个用于认证的操作：b i n d 在客户端和服务端之间初始化一个 会话；u n b i n d 中止这个会话；a b a n d o n 操作允许客户请求服务器中止一个操作 ( 例如耗时的操作) 。 4 安全模型 安全模型描述u ) a p 中的安全机制。u ) a p 中的安全模型主要通过身份认证、 安全通道和访问控制来实现。 1 ) 身份认证： 认证被用来在客户端和目录服务器之间建立会话。这个会话根据认证方式的 不同也具有不同的安全级别：无保障的匿名、基于明文的密码、基于s a s l ( s i m p l ea u t h e n t i c a t i o na n ds e c u r el a y e r ) 机制的加密会话。s a s l 是u ) a p v 3 的新增特性，用以克服u ) a p 中较为简单的安全机制。在实际的目录服务的应 用中我们也可以将一些通用的安全认证机制( 例如k e r b e r o s ，p ) 与u ) a p 服 务器软件集成使用以提高整个系统的安全性。 2 ) 通讯安全： 在u ) a p 中提供了基于s s i 用s 的通讯安全保障。s s i m s 是基于p 信 息安全技术，是目前i n t e m e t 上广泛采用的安全服务。i ，d a p 通过s t a n l r l 5 方式 启动t l s 服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端 证书认证的n 服务，同时可以实现对客户端身份和服务器端身份的双向验证。 3 ) 访问控制： 为了保护敏感信息资源，l d a p 目录服务定义了一系列访问控制规则，这些 规则规定了不同实体访问目录系统的权限。规则的模式如下： ：= a o c e s st o ：1 ) i r h a t 【b y 】 其中， ：幸j d n = i f i l t e r = l a t t r s = ：宰s e l q d n = i a d d r = i d o m a i n = i d n a t t r = ：= 【s e l f 】c o m p a r e i 【s e l f 】s e a r c h l 【s e l f 】r e a d | 【s e l f 】w r i t e 表示受本规则限定的目录条目或目录条目的属性； 表示拥有该 访问权限的实体； 表示访问权限。 下面是一个访问控制规则的例子： a c c e s st od o = ”，o = b u p t ，c = c n ”b y 宰s e 锄h a c c e s st od o = ”事， c = c n ”b y r e a d 它表示c n 子树下的所有目录条目可以被任何实体读取，c n 子树下的b u p t 下的目录条目可以被任何实体查询。 9 北京邮电人学硕 ：学位论文 第二章统一认证中的关键技术 2 1 3目前主流的l d a p 运行平台 1 n d s ( n o v e u d i r e c t o r ys e r v i c e s ) n d s 是随着n e m a r e 4 一起发布的，属于比较早的面向企业网络的目录服务 产品。它有效地将网络系统的各种资源组织到一起，也将各种应用软件集成到同 一个资源管理平台上。n d s 曾经为处于低谷的n o v e u 公司带来了希望和生机。 到了n e 咐a r e5 的时候，n d s 从中分离出来，以便支持不同的系统平台，这就是 e d i r e c t o r y 。n d s 可以支持各种规模的网络环境，当然也支持l d a p v 3 。由于n d s 是从系统软件中剥离出来的，所以软件的可靠性较高，也支持多个目录服务器之 间的复制。 2 m i c r o s o f ta c t i v ed i r e c t 0 巧 在m i c r o s o n 、m n d o w s2 0 0 0 操作系统发布之际，呼声最高、影响最大的当属 a c t i v ed i r e c t o r ) r ( 活动目录) 了。活动目录成了w i n d o w s2 0 0 0 网络系统的核心， 它存储了当前网络环境中所有资源的信息，包括基本的个人账户信息和各种系统 服务。另外，活动目录本身与系统的安全服务紧密地集成在一起，每个用户的安 全信息被保存在活动目录中，而用户对系统资源的访问也是受活动目录控制的。 操作系统通过活动目录控制用户的登录，活动目录与k e r b e r o s 认证协议结合起 来，实现了操作系统级的单点登录特性。 活动目录是w i n d o w s2 0 0 0 的核心组件，它超越了一般目录服务的概念。它 利用目录服务设施，将整个网络系统有机地组织起来。值得一提的是，活动目录 与m i c r o s o f te x c h a n g es e e r 有一种特殊的关系。在w i n d o w s2 0 0 0 发布之前， m j c r o s o f t 的企业群软件e x c h a n g es e e r 己经提供了目录服务功能，并且支持 u ) a p 协议。在w i n d o w s2 0 0 0 发布以后，e x c h a n g es e e r2 0 0 0 则自然地转移到 活动目录之上，利用活动目录作为它的用户信息管理设施。 3 o p e n l d a p o p e n id a p 是一个通过i i l t e m e t 进行集体开发的项目( 1 9 9 8 年8 月发布1 o 版本) 。它的目标是提供一个稳定的、商业级的、功能全面的u ) a p 套件，其中 包括u ) a p 服务器和一些开发工具，具体内容请参考w w o p e n l d a p o r g 网站。 由于o p e n i d a p 是源码开放的，所以它在l i n u x 平台上受到广泛的欢迎，当然 也可以移植到其他的系统平台上，甚至w i n d o w s 平台上。0 p e n u ) a p 2 x 版本支 持l d a p v 3 ，最新的版本可以支持l d a p v 3 协议的绝大部分特性，包括一些扩展 功能。 0 p e n l d a p 的一种典型用法是与s e n d m a i l ( 或q m a i l ) 一起提供邮件服务， 用户可以利用u ) a p 协议查询邮件账户信息，如果需要安全性的话，可以考虑 l o 北京邮电人学硕l 二学位论文第- 二章统一认证中的关键技术 使用o p e n s s l 。 2 1 4l d a p 编程接口 用户通过w 曲服务接口来访问目录服务器或者通过浏览器访问单点登录系 统，对目录信息的存取需要使用目录服务接口。目前，很多厂商提供相应的a p i 可以用来进行目录服务编程，如v e l l 公司的n d k 、网景公司的j a v au ) a p a p i ， 这两者都是针对特定的u ) a p 协议，是对l d a p 目录的低级别访问。s u n 公司的 j n d i ( j a v a 命名和目录接口) 是访问不同名字和目录服务的统一a p i 接口，它 提供了一个用于访问不同的命名和目录服务的公共接口，具有通用性。本系统采 用s u n 公司提供的j n d i 接口进行编程。 2 2s o a p 协议 s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 【6 j 是个基于x m l 的通信协议，在该 协议下，软件组件和应用程序能够通过标准的哪协议通信。s o a p 由 u s e r l a n d ，觚b a ，c o m m e r c eo n e ，c 0 m p a q ，d e v e l o p m e n t o r ，h p ，i b m ，i o n a ， l o t u s ，m i c r o s o f t 和s a p 共同起草，并于1 9 9 9 年末，作为简化x m l 和h t r p 互操作性的桥梁被创建。s o a p 建立在x m l 基础之上，它对跨系统交换的信息 打包定义一种简单方式。s o a p 的一部分说明了使用x m l 来描述数据的一些格 式，另外一部分s o 定义了一个可扩展的消息格式，用于方便地使用s o a p 消息 格式描述远端程序( r p c ) 。微软预测s o a p 将会成为w 曲服务间交换的标准消 息格式。s o a p 的设计目标是简明性和可扩展性。s q 廿以x m l 形式提供了一 个简单、轻量的用于在分散或分布环境中交换结构化和类型信息的机制。s o a p 本身并没有定义任何应用程序语义，如编程模型或特定语义的实现。实际上它通 过提供一个有标准组件的包模型和在模块中编码数据的机制，定义了一个简单的 表示应用程序语义的机制。这使s q 气p 能够被用于从消息传递到r p c 的各种系 统。 2 2 1s o a p 的消息 s o a p 为在一个松散的、分布的环境中使用x m l 对等地交换结构化的和类 型化的信息提供了一个简单的轻量级机制。s o a p 消息的描述框架格式是s o a p e n v e l o p e ( s o a p 封装) 为根元素，内含s o a ph e a d e r 和s o a pb o d y 子元素的 一个x m l 文档。所有的s o a p 消息都是使用x m l 格式来编码的。s o a p 应用 北京邮i 【1 人学硕i ：学位论文 第- 二章统一认证中的关键技术 程序在生成由s o a p 定义的所有元素和属性的时候，应该包含恰当的s o a p 的 名域。s o a p 定义了两个名域： 1 ) s o a p 封装的名域标识为： h t t p ：s c h e m a s x m l s o a p o f g s o a p 忙n v e l o p e 2 ) s o a p 编码规则的名域标识为： h t t p ：砖c h e m a s x m l s o a p o 叫s o a p e n c o d i n 此外，s o a p 消息必须不包含d t d ( d o c u m e n tt y p ed e f i n i t i o n ) ，也必须不 包含p i ( p - 0 c e s s i n gi n s t m c t i o n s ) 。除s o a pm u s t u n d e r s t a n da t t r i b u t e 和s o a pa c t o r a t t r i b u t e 外，一般允许属性及属性值自由地选择是在x m l 实例中描述还是在 x m ls c h e m a 中描述。 s o a p 消息是由一个强制的s o a pe n v e l o p e ，一个可选的s o a ph e a d e r 和一 个强制的s o a pb o d v 组成的x m l 文档。 1 s o a p e n v e l o p e e n v e l o p e 是表示该消息的x m l 文档的顶层元素，其语法规则为： 1 ) 元素名为e n v e l o p e ； 2 ) 该元素必须在s o a p 消息中出现，一般是根元素； 3 ) 该元素可以包含名域声明和额外的属性。如果出现额外属性( 并非是 s o a p 规范预定义的属性) 和额外子元素，则必须使用名域修饰。并且， e n v e l o p e 的直接子元素h e a d e r 和b 0 d y 必须排列在最前面。 s o a p 消息必须有一个封装元素与名域关联( 如下名域) ： h t t p ：砖c h e m a s x m l s o a p o r g s o a p e n v e l o p e 如果s o a p 应用程序接收到的s o a p 消息中的s 吼心封装元素与其它的名 域关联，则视为版本错误，应用程序必须丢弃这个消息。如果消息是通过h 1 曙 之类的请求应答协议收到的，应用程序必须回答一个s o a p v e r s i o n m i s m a t c h 错 误信息。 2 s o a ph e a d c r h e a d e r 元素( 头元素) 编码为s q 心封装元素的第一个直接子元素。头元 素的所有直接子元素称为条目。在s 吼蟑头中添加条目可实现在无须预先协定的 情况下，以分散但标准的方式扩展消息。s 吼廿定义了很少的一些属性来用于指 明谁可处理该特性以及它是可选处理的还是强制处理的。 s o a ph e a d e r 的语法规则如下： 1 ) 元素名为h e a d e r ； 2 ) 该元素可以在s o a p 消息中出现，但并不是必须出现。如果出现，该元素 必须是s o a pe n v e l o p e 元素的第一个直接子元素； 1 2 北京邮电人学硕上学位论文第二章统一认讧e 中的关键技术 3 ) 该元素可以包含一系列的h e a d e r 条目，这些条目都应当是h e a d e r 元素的 直接子元素。h e a d e r 的所有直接子元素必须有名域修饰； 4 ) h c a d e r 条目自身可以包含下级子元素，但这些元素不是h e