（计算机应用技术专业论文）基于ldap统一认证系统的设计与实现.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 随着全球信息化和i n t e r n e t 技术的迅速发展，信息化建设水平已成为衡量一个国家 和地区综合实力的重要标志。在信息化建设进程中，信息的安全问题日益突出，作为 信息网络安全的一个重要方面，身份认证和单点登录技术的应用日益广泛，迫切需要 一种支持多种平台、统一多种认证方式、易于管理、安全的认证系统。即为各个应用 系统建立统一的、安全的身份认证服务，这样既能避免信息混乱带来的麻烦，又能方 便统一管理，减轻了维护的负担并且增加了安全性。因为传统的认证在网络上传输基 本上都是基于明文的用户名和密码进行传输，这样很容易被攻击和截取，使系统资源 遭到破坏。有时在一般系统中，密码一般由长度不长的字符组成，用户为了方便记忆 繁多的密码，往往会选用一些更为简便的密码形式，这就很容易遭受密码猜测的攻击， 也容易给系统带来安全威胁，使系统容易受到攻击，降低了系统的安全性。 本文提出的解决方案主要是为基于b s 的应用系统的资源进行整合，对整个团体 的应用系统开发统一认证模块，整个统一认证模块后台使用了l d a p ( l i g h t w e i g h t d i r e c t o r y a c c e s sp r o t o c 0 1 ) 目录数据库来实现用户信息的存取，对用户信息统一管理， 通过对c a s 的二次开发实现了基于l d a p 为后台认证的单点登录，在整个认证过程中， 本系统使用了缓存技术来提高系统性能，对系统向缓存中存取数据使用了c o n s i s t e n t h a s h i n g 算法来保证每次访问缓存的命中率。同时本系统还使用s t r u t s 和s p r i n g 技术开 发了基于w e b 的统一管理子系统来对l d a p 中的用户信息和应用系统信息进行统一 管理，对所有用户进行统一授权。并且通过对l d a p 目录服务器的分布式设计与部署 来进行负载均衡，从而提高了系统的稳定性。 关键词：目录服务，中心认证服务，单点登录，轻量级目录访问协议，统一身份认证 西南交通大学硕士研究生学位论文第fi 页 a bs t r a c t t h el e v do fi n f o r m a t i o nt e c h n o l o g yh a sb e c o m ea l li m p o r t a n tm e a s u r e m e n to fo v e r a l l s 仃e n g t ho fac o u n t r yo rar e g i o nw i t ht h ed e v e l o p m e n to fg l o b a li n f o r m a t i o n i z a t i o na n d i n t e r n e tt e c h n o l o g y i nt h e p r o c e s so fi n f o r m a t i o n i z a t i o n ，i n f o r m a t i o ns e c u r i t yb e c o m e si n c r e a s i n g l y p r o m i n e n t i d e n t i t ya u t h e n t i c a t i o na n ds i n g l es i g n o nt e c h n o l o g y , a sa l li m p o r t a n ta s p e c to f i n f o r m a t i o nn e t w o r ks e c u r i t y , h a sb e e n u s e dm o r ea n dm o r ew i d e l y t h i sr e q u i r e sa n a u t h e n t i c a t i o n s y s t e m w h i c h s u p p o r t i n gm u l t i p l ep l a t f o r m s ，u s i n g u n i f i e dv a r i e s a u t h e n t i c a t i o nm e t h o d s ，e a s yt om a n a g e ，a n ds e c u r e i ti sm o r ea n dm o r ei m p o r t a n tt o e s t a b l i s hac o n s i s t e n t ， s e c u r ea u t h e n t i c a t i o ns e r v i c e ，t oa v o i dt h eh a s s l eo fc o n f u s i n g i n f o r m a t i o n ，t of a c i l i t a t ei n t e g r a t e dm a n a g e m e n t ， a n da l s ot o l i g h t e nt h eb u r d e no f m a i n t e n a n c ea n di n c r e a s es e c u r i t y t r a d i t i o n a la u t h e n t i c a t i o nm e t h o d st r a n s p o r ti n f o r m a t i o no nt h en e t w o r kb a s e do n e x p l i c i tu s e rn a m ea n dp a s s w o r d ，w h i c hi se a s i l yt ob ea t t a c k e da n do b t a i n e d ，a n dc a nr e s u l t i nd e s t r o yo ft h es y s t e mr e s o u r c e i nt h em e a n t i m e ，i nt h eg e n e r a ls y s t e m s ，p a s s w o r d sa r e c o m p o s e do fc h a r a c t e r sa n da r en o tl o n ge n o u g h t h o u g hs i m p l ep a s s w o r d sa r ee a s i l yt ob e r e m e m b e r e d ，t h e ya r ee a s yt ob ea t t a c k e d ，e a s i l yi n c u rs e c u r i t yt h r e a t st ot h es y s t e m ，a n d r e d u c et h es y s t e m ss e c u r i t yl e v e l t h es o l u t i o ni nt h i st h e s i si st oi n t e g r a t et h er e s o u r c e so fb sb a s e da p p l i c a t i o ns y s t e m s a n de s t a b l i s hau n i f i e da u t h e n t i c a t i o nm o d u l ef o re v e r yi n d i v i d u a la p p l i c a t i o ns y s t e m u s e r i n f o r m a t i o ni ss t o r e da n da c c e s s e di nl d a ps e r v e ri nt h eu n i f i e da u t h e n t i c a t i o nm o d u l et o s i m p l i f y t h em a n a g e m e n to ft h eu s e ri n f o r m a t i o n ，s i n g l e s i g n o nb a s e do nl d a p a u t h e n t i c a t i o ni si m p l e m e n t e db ye x t e n dt h ec a s p e r f o r m a n c ei se n h a n c e db yt h ea d o p t i o n o fc a c h et e c h n o l o g yi nt h es y s t e m ，c o n s i s t e n th a s h i n ga l g o r i t h mi su s e dt os t o r ed a t ai n c a c h et oi m p r o v et h es u c c e s sr a t ew h e na c c e s sd a t ai nc a c h e a tt h es a m et i m eaw e bb a s e d m a n a g e m e n ts u b s y s t e mi sd e v e l o p e du s i n gs t r u t sa n ds p r i n tt om a n a g eu s e ri n f o r m a t i o n a n di n f o r m a t i o no fa p p l i c a t i o ns y s t e m sa n da u t h e n t i c a t i o no fu s e r si st h r o u g ht h es a m e w a y f o rl o a db a l a n c i n gc o n s i d e r a t i o n t h es o l u t i o nh e r ea l s od e s i g n e da n dd e p l o y e dad i s t r i b u t e d l d a ps e r v e l s y s t e m ，t h i si m p r o v e st h es t a b i l i t yo ft h ew h o l e s y s t e m k e y w o r d s ：d i r e c t o r ys e r v i c e ，c a s ，s s o ，l d a p , u n i f i e di d e n t i t ya u t h e n t i c a t i o n 西南交通大学曲南交逋大罕 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并 向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权西南交通大学可以将本论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复印手段保存和汇编本学位论文。 本学位论文属于 1 保密口，在 年解密后适用本授权书； 2 不保密团，使用本授权书。 ( 请在以上方框内打“4 ”) 学位论文作者签名： 日期：i b 弘砸 指导老师签名： ，o 。、 渺t j 日期- 沙( d 、i7 西南交通大学硕士学位论文主要工作( 贡献) 声明 本人在学位论文中所做的主要工作或贡献如下： 1 对统一认证和单点登录做了详细的介绍，并且介绍了几种单点登录方案以及本 文为何会选择c a s 协议作为本文的实现技术。 2 对整个资源的用户进行统一管理，对所有应用系统进行统一授权。 3 系统中使用缓存技术来解决高并发的情况，大大的提高了系统的处理高并发的 能力 4 对系统的目录服务器的分布式设计使得整个系统的目录数据库的负载均衡情 况得到了改善。 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作所得的成果。 除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过 的研究成果。对本文的研究做出贡献的个人和集体，均己在文中作了明确说明。本人 完全了解违反上述声明所引起的一切法律责任将由本人承担。 厶， 猗砂 西南交通大学硕士研究生学位论文第1 页 1 1 研究背景以及意义 第1 章引言 近些年，随着l d a p ( l i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻量级目录访问协议) 应用 领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选 方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网 络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实 现一个通用、完善、应用简单和可以扩展的系统。 并且轻量级目录访问协议l d a p 是一个基于t c p i p 协议的开放的、可扩展的网络 协议，目前已经发展成为目录服务的标准，它简单，安全，优化了信息查询功能，凭 借优异的查询效率和清晰的树状管理模式以及分布式部署框架和灵活细腻的访问控制 等优点，在基础性和关键信息管理( 用户管理，网络信息资源等) 领域得到了广泛的 支持和应用，是解决跨系统的复杂网络资源管理的重要手段。基于目录服务的统一身 份认证系统，采用l d a p 标准协议，把目录服务器作为存储多个应用服务器用户信息 的数据库，开发使用l d a p 进行身份认证的功能模块，实现不同应用服务器的用户身 份认证的多证合一，各种应用系统都遵从同一目录访问标准，能与同一目录进行交互， 将认证、权限信息统一保管于该目录中，从实现统一认证。 1 2 研究现状 随着i n t e m e t 和信息技术的迅速发展，在网络中对用户身份和权限的安全认证问题 逐渐被人们所关注，目前，国外己经有许多协议和产品支持统一身份认证，其中比较 典型的有m i t 的k e r b e r o s 3 】【4 协议，s u n 公司的l i b e r t y 协议，微软的p a s s p o r t 1 8 】目前 国外已经有许多协议和产品支持统一身份认证。系统以及p k i 中的x 5 0 9 数字证书认 证技术。 1 k e r b e r o s 是基于对称密钥技术的可信第三方认证协议，用户通过在密钥分发中心 ( k e yd i s t r i b u t i o nc e n t e r , k d c ) 认证身份，获得一个k e r b e r o s 票据，以后则通过该票 据来认证用户身份，不需要重新输入用户名和口令，因此可以利用该协议来实现统一 身份认证。 2 l i b e r t y 协议是基于安全声明标记语言( s e c u r i t y a s s e r t i o n sm a r k u pl a n g u a g e ， s a m l ) 标准的一个面向w e b 应用统一身份认证的与平台无关的开放协议。它的核心 思想是身份联合( i d e n t i t yf e d e r a t i o n ) ，两个w e b 应用之间可以保留原来的用户认证机 制，通过建立它们各自身份的对应关系来达到统一身份认证的目的；用户的验证票据 通过重定向( r e d i r e c t i o n ) 或c o o k i e 在w e b 应用间传递来实现统一身份认证，而用户 西南交通大学硕士研究生学位论文第2 页 毫曼鼍曼曼曼皇曼曼皇曼曼曼曼曼曼皇曼皇曼量曼曼皇曼曼曼皇曼蔓曼曼皇曼曼曼! 曼曼曼曼! 曼曼曼曼皇曼皇曼皇曼曼曼曼皇量皇曼曼曼曼曼曼鼍曼曼曼量i | = i i i = = m ：m 曼 的个人信息的交换通过两个w e b 应用间的后台s o a p 通信进行。 3 p a s s p o r t 是微软推出的基于w e b 的统一身份认证系统，它由一个p a s s p o r t 服务器和 若干联盟站点组成【2 】。用户通过网页在p a s s p o r t 服务器处使用用户名口令来认证自己 身份，p a s s p o r t 服务器则在用户的本地浏览器的c o o k i e 中写入一个认证票据，并根据 用户所要访问的站点生成一个站点相关的票据，然后将该票据封装在h t t p 请求消息 里，把用户重定向到目标站点。目标站点的安全基础设施将根据收到的票据来认证用 户的身份。通过使用c o o k i e 和重定向机制，p a s s p o r t 实现了基于w e b 的统一身份认证 服务。 4 采用基于p k i 的x 5 0 9 证书认证技术，它类似于k e r b e r o s 技术，依赖于共同信赖 的第三方来实现认证，所不同的是它采用公钥加密体制，实现上更加简单明了。这里 可信赖的第三方是指称为c a ( c e r t i f i c a t ea u t h o r i t y ) 的认证机构，它负责认证用户的 身份并向用户签发数字证书。持有此证书的用户就可以凭此证书访问那些信任c a 的 服务器。 现阶段国内使用的大部分统一身份认证产品是国外开发的，国内少有从事统一身份 认证和网络资源统一管理方面研究的工作单位。在国内的企业几乎没有一家有成熟的 商业产品，对统一身份认证系统的研究和开发都处在研究设讦或自主开发阶段，并且 由于他们自己的商业利益并未公开各种技术细节，各种标准也没进行规范。随着网络 的普及和国家信息化的建设，使用统一身份认证技术，将提高工作效率和降低管理费 用。 1 3 论文的主要工作 课题研究重点就是统一身份认证的设计部分，针对目前各个企事业网络资源中的 现有认证方式的繁琐和不足，用统一身份认证的思想，详细阐述了整个系统的设计目 标、工作原理及应解决的关键问题，并提出了统一身份认证系统的解决方案。根据实 际应用背景，本论文主要的工作如下： 1 首先介绍了目录服务概念，包括x 5 0 0 的概况、l d a p 的基本概念和特性。并 且对安全技术的基础给出了论述。 2 分析和总结了单点登录的几种实现方案，并且分别阐述了以k e r b e r o s 协议为基 础单点登录和p a s s p o r t 协议为基础的单点登录方案和c a s ( c e n t r a la u t h e n t i c a t i o n s e r v i c e ) 协议为基础单点登录单点登录方案。 3 详细设计了统一认证系统的各个模块：系统架构、目录树、应用程序接口以及 分布式目录系统。 4 在l i n u x 下搭建目录服务器实现了统一认证系统并且介绍了实现过程并且对 西南交通大学硕士研究生学位论文第3 页 ! i i ii | 曼曼曼曼鼍曼鼍曼曼曼曼曼! 曼! ! 曼曼! 曼璺 统一认证加缓存前和缓存后进行了测试。 1 4 论文的组织结构 论文结构如下： 第一章绪论。提出论文研究的对象以及国内外相关研究发展现状，介绍本文所做 工作及其意义。 第二章统一认证系统的基本知识，重点阐述l d a p 的四种模型。 第三章对系统使用的认证机制重点论述，并提出改进方案以及详细论述了基于票 据思想的c a s 协议实现单点登录和认证的过程。 第四章基于l d a p 的统一认证系统设计。对统一认证系统进行详细设计，包括系 统框架设计、目录树设计、应用程序接口设计同时给出了解决高并发访问统一认证系 统并且对目录服务器进行分布式部署提高了系统均衡负载的性能。 第五章基于l d a p 的统一认证系统实现。实现了统一用户认证系统，该系统使用 o p e n l d a p 服务器，实现了高速查询，利用c a s 实现了单点登录通过传输过程中基于 h t t p s 协议代替了h t t p 协议保护了系统的安全性，为了提高统一管理等功能。最后 通过解决统一认证高并发的方案巧妙的实现了在统一认证系统中使用m e m c a c h e 服务 器，并且改变了分发算法提高了缓存的命中率。 第六章对统一认证的前景做了分析，并且认识到本系统的不足之处，将在什么地 方继续跟迸等等。 西南交通大学硕士研究生学位论文第4 页 2 1 目录的基本概念 第2 章相关技术基础 目录是按照某种次序排列的对象信息列表，是一个存储对象各种属性的特殊数据 库。这些属性可以在访问的时候进行调用。例如公共电话本，统一认证的目标属性是 具体用户，用户有很多的属性，包括名字、电话号码、家庭住址等等这些信息。在计 算机里目录就是一种特殊的数据库，用来存储按照某种次序排列的对象信息。目录的 发展经历了书面目录、基于p c 的目录和基于互联网络目录三个阶段。 传统的目录是计算机或互联网目录的一种构件，向其它的应用程序提供服务，但 是缺乏集中管理的机制，网络的目录需要公共的，分布式目录，并且能跨系统的对应 用程序进行集中的，统一的服务，因此目录服务诞生了。 2 2 目录服务简介 目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目 录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一 个描述数据属性的规则；第二部分则是访问和处理数据库有关的详细的访问协议。 目前，随着企业自身的发展，企业的网络也日益壮大，网络提供的服务也越来越 多，如网络登录、电子邮件服务、f t p 服务、代理服务和办公自动化等，但带来的问 题也日益增多，其中最突出的问题就是用户账号的管理，由于大部分的应用系统是来 自不同的开发商，各个系统使用自己的认证机制，需要网络管理员在每个应用系统中 建立相应的账号信息，因此造成了大量的重复劳动。同时也为用户带来无穷的烦恼， 他们不得不整天将一大堆的账号和密码装在脑袋里，对于记忆力差的用户就更痛苦了， 很容易被这些账号和密码搞得头昏，三天两头就找管理人员恢复密码，如果遇到修改 账号和口令信息时还要到各个系统中去修改，浪费大量的精力。 目录服务( d i r e c t o r ys e r v i c e s ) 就是为了解决以上的问题而产生的，它规定了统一 的身份信息和数据库、身份认证机制和接口，通过它可以实现资源和信息的统一管理， 保证了数据的一致性和完整性。目录服务是一个特殊的数据库，它为读、浏览和搜索 进行了优化。目录可以用来保存描述性的、基于属性的信息，并且支持复杂的过滤搜 索能力。目录通常不支持在一般数据库管理系统当中支持的复杂事务处理或者回滚机 制这些机制是为了处理大容量的复杂更新操作而设计的。目录更新只是简单的“所 有或者没有”的更新如果被允许的话。目录优化为针对大量查找或者搜索操作进 行快速的响应。它们可以具有大范围复制信息的功能，以便提高可用性和可靠性，同 西南交通大学硕士研究生学位论文第5 页 时缩短响应时间。目录服务可以有效的管理企业网络中的用户各种资源，降低管理成 本，保障网络的安全。目录服务目前有x 5 0 0 和l d a p 两个国际标准协议【5 j 。 2 3l d a p 简介 l d a 。p 是x 5 0 0 标准中的目录访问协议d a p 的一个子集，可用于建立x 5 0 0 目录， 因此这两个目录服务技术标准有着许多的共同之处。即在系统上，都实现了一个通用 的系统结构，提供了一个操作系统和应用程序需要的信息服务类型，可以被许多系统 和应用程序接收和实现；在信息模型上，都使用了项、对象类、属性等概念和模式来 描述信息；在命名空间方面，都使用了目录信息树结构和层次命名模型；在功能模型 上，都使用了相似的操作命令来管理目录信息；在认证框架方面，都可以实现用户名 称和密码，或者基于安全加密方式的认证机制；在灵活性上，它们的目录规模都可大 可小，大到全球目录树，小到只有一台目录服务器；在分布性方面，目录信息都可以 分布在多个目录服务器中，这些服务器可以由各组织管理，既保证了目录信息总体结 构的一致性，又满足了分级管理的需要。l d a p 具有下列特点： 1 l d a p 是一个跨系统的、标准的协议，得到了业界广泛的认可； 2 l d a p 服务器可以使用基于“推”或“拉”的技术，用简单的或基于安全证书 的安全认证，复制部分或全部数据，既保证了数据的安全性，又提高了数据的访问效 率； 3 l d a p 是一个安全的协议，l d a pv 3 6 】【7 删支持s a s l ( s i m p l ea u t h e n t i c a t i o na n d s e c u r i t yl a y e r 简单验证和安全层) 、s s l ( s e c u r es o c k e tl a y e r 安全套接层协议层) 和 t l s ( t r a n s p o r tl a y e rs e c u r i t y 传输层安全) ，使用认证来确保事务的安全，另外，l d a p 提供了不同层次的访问控制，以限制不同用户的访问权限： 4 支持异类数据存储，l d a p 存储的数据可以是文本资料、二进制图片等； 5 大多数的l d a p 服务器安装简单，也容易维护和优化。 目前l d a p 协议已经经历了l d a p v l 、l d a p v 2 、l d a p v 3 这三个版本，目前被 广泛的使用的是l d a p v 3 。l d a p v 3 不仅仅作为x 5 0 0 的简化版本出现，同时也提供 了许多x 5 0 0 所不具有的特性，使l d a p 协议的功能更加完善，更用实用性。 l d a p 与一般数据库不同，它专门为快速响应大量的读、浏览和搜索操作进行了 优化，能保证在用户数据库量较大的情况下满足性能上的需求。在网络中应用了l d a p 后，用户只需使用一个账号和密码就可以轻松访问网络中的所有服务，实现统一身份 认证，摆脱传统网络中的“服务越多，账号越多”的困扰【7 】。 西南交通大学硕士研究生学位论文第6 页 2 4l d a p 的四种模型 l d a p 的体系结构由4 种基本模型组成：信息模型描述l d a j ，的信息表示方式， 命名模型描述l d a p 的数据如何组织，功能模型描述l d a p 的数据操作访问方式，安 全模型描述l d a p 的安全机制。 2 4 1 信息模型 l d a p 信息模型定义能够在目录中存储的数据类型和基本的信息单位。在l d a d ， 中信息以树状方式组织，基本数据单元是条目( r a m - y ) 即关于对象的信息集合， 而每个条目由属性构成，属性中存储属性值。通常条目中的信息说明真实世界的对象， 比如一个人、部门、服务器和打印机等，它们与组织中的真实对象相符合。 2 4 2 命名模型 l d a p 中的命名模型，即l d a p 中的条目定位方式。在l d a 6 中的每个条目均有 自己的d n ( d i s t i n g u i s h e dn a m e ，标识名) 和r d n ( r e l a t i v ed i s t i n g u i s h e dn a m e ，相 对标识名) 。d n 是该条目在整个树中的惟一名称标识。r d n 是条目在父节点下的惟一 名称标识，如同文件系统中，带路径的文件名就是d n ，文件名就是r d n 。 2 4 3 功能模型 l d a p 功能模型说明了能够使用l d a p 协议对目录执行某些操作。在l d a p 中共 有4 类操作： 1 查询类操作，如搜索、比较； 2 更新类操作，如添加条目、删除条目、修改条目和修改名称； 3 认证类操作，如绑定、解绑定； 4 其他操作，如放弃和扩展作用。 2 4 4 安全模型 l d a p 的安全模型主要是基于绑定操作的，绑定操作的不同使得安全机制有所不 同。一般有下述3 种。 匿名：这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用。 基本认证：当使用l d a p 的基本安全认证时，客户进程通过网络向服务进程发送 一个分辨名( d n ) 和密码相匹配，如果匹配则认为通过了认证。 s a s l 认证：即l d a p 提供的在s s l 和t s l 安全通道基础上进行的身份认证，包 西南交通大学硕士研究生学位论文第7 页 括数字证书的认证【9 】【10 1 。 2 5l d a p 存储结构 一棵目录信息树由若干条目( e n t r y ) 组成，每个条目有惟一的标准d n ( d i s t i n g u i s h e dn a m e ) ，条目可以描述用户账号、打印机和计算机对象。一个条目是一 个对象，每个条目由多个属性组成，每个属性由一个到多个类型和一个到多个值组成， 如账号对象可以有多个账号名、口令、e m a i l 地址和联系电话等属性。每个属性可以 对应一个或多个值，如联系电话属性可以包括多个值如图2 1 所示。 属性 条目 图2 - 1 条目与属性关系图 操作l d a p 目录服务器是通过目录数据库来存储网络信息以提供目录服务的，为 了方便用户迅速查找和定位信息，目录数据库是以目录信息树为存储方式的树，目录信 息树及其相关概念构成了l d a p 协议的信息模型，在整个l d a p 目录中，会接触到一 些特别的命名方式来命名这个目录树中的根、树枝和树叶。 b d n ( b a s ed n ) ：基准d n ，相当于整个目录树中的根。也就是代表整个公司， 但是在l d a p 中，一般使用公司的域名前缀作为b d n 的名称，如d c = m y c o m p a n y ， d c = c o m ，d c = e n 这就是一个b d n 。 o u ( o r g a n i z a t i o nu n i t ) ：组织单元，位于根的下面，但是本身不包含数据，只是 起到从逻辑上划分的作用，相当于这个目录树的树枝和树干。在最低层的o u 树枝下， 才是真正的数据树叶d n 。例如，最常见的o u = p e o p l e 这是表示p e o p l e 这个组织单元， 它表明凡是属于这个单元下的数据，都是员工信息的，而o u = c o m p u t e r 则表明要检索 所有的计算机硬件，去这个分支。 d n ( d i s t i n g u i s h e dn a m e ) ：分布式名称，相当于每个树叶。整个d n 可以完整唯 一的确定一片树叶。它可以分为两个部分，前面是r d n ，后面是该d n 的位置，例如 u i d = p a u l ，o u = p e o p l e ，d c - - m y c o m p a n y ，d c = c n ，这是一个最终的树叶，它唯一确定了中 西南交通大学硕士研究生学位论文第8 页 国一家名为m y c o m p a n y 公司的叫做p a u l 的员工，这个树叶会包括很多关于这个员工的 信息，至于应该包含哪些信息，完全由自己决定。 r d n ( r e l a t i o nd n ) ：除了叶子节点前面的整个路径可以称之为r d n 。 c n ( c o m m o nn a m e ) ： u i d = p a u l 中的p a u l 又可以称为c n 。某些组织结构中，也 会直接以c n 给记录命名，如：u i d = p a u l ，o u = p e o p l e ，d c = m y c o m p a n y ，d c = c n 。 树叶的属性：d n 本身没有意义，它只是定位了这样一个入口，能通过这个入口得 到想要的信息，那么入口里面究竟有些什么呢? l d a p 目录以多个n a m e n a l u e 以树的 形式来存储，例如u i d = p a u l ，o u = p e o p l e ，d c = m y c o m p a n y ，d c = e n 。这个d n 下面存储 的信息： d n ：u i d = z h a n g ，o u = p e o p l e ，d c - - m y c o m p a n y , d c = o o m ，d e 2 0 n o b j e c t c l a s s ：p e r s o n o b j e c t c l a s s ：o r g a n i z a t i o n l p e r s o n o b j e c t c l a s s ：i n e t o r g p e r s o n u i d ：z h a n g c n ：z h a n g s n ：y a n g t e l e p h o n e n u m b e r ：0 2 8 8 8 8 8 8 8 8 8 o ：s o m ec o m p a n y , c o 。l t d m a i l r o u t i n g a d r e s s ：n e t s n a k e c n g m a i l c o m u s e r p a s s w o r d ： c r y p t 3 2 12 3 1 v 7 6 t 8 9 n b c u i d i l u m b e r ：1 1 l g i d n u m b e r ：2 2 2 h o m e d i r e c t o r y ：h o m e p a u l l o g i n s h e l l ：b i n s h 上面一段里有不少需要的信息，首先给出了个人的基本信息，然后给出了当这个 人登录某台l i n u x 主机时，它的账号、组和主目录使用的s h e l l 。 l d a p 目录用对象( o b j e c tc l a s s e s ) 来定义每种的含义、属性和可能包含的值。例 如如果使用了p e r s o n 这个o b j e c t c l a s s ，那么就必须有c n ( c o m m o nn a m e ) 和s n ( s u r n a m e ) 这两个属性，p e r s o n 也有些不必须选择的属性，如邮件地址等等，而 i n e t o r g p e r s o n 则要求u i d n u m b e r 、g i d n u m b e r 和l o g i n s h e l l 等都是必须的【9 】【1 2 】【1 3 】。 2 6 本章小结 本章的内容重要是介绍了系统开发的一些基础知识，包括l d a p 的一些简单的概 念，例如x 5 0 0 协议以及l d a p 协议和x 5 0 0 协议的比较，阐述了l d a p 的四种模型以 西南交通大学硕士研究生学位论文第9 页 及存储结构，本章的目的就是对一些基础知识进行简单的介绍。 西南交通大学硕士研究生学位论文第10 页 3 1 单点登录介绍 第3 章单点登录的研究 在传统的多应用认证中，用户需要自行记录所有信息系统的用户凭证( 一般是用户 名和密码方式) ，当登录不同的系统时提供不同的用户凭证，而且每一个系统都需要一 个登录模块。这导致了用户管理的分散以及身份认证的复杂性。单点登录是通过用户 的一次性鉴别登录即可获得需要访问系统和应用软件的授权的技术。其实质就是凭证 ( c r e d e n t i a l ) 在多个应用系统之间的传递或共享。也就是说一旦用户通过了单点登录认 证，则这一次的登录可以被多个应用系统同时认可，使得用户名、登录密码在网络环 境中传递的次数大大减少，降低风险，并且通过统一的接口处理，做集中的接入处理， 让用户无缝访问各种应用。单点登录系统中包括三个角色，用户( 应用系统的使用者 也是单点登录的受益者) 、应用系统服务器( 为用户提供应用服务者) ，认证中心( 信 任的第三方) ，目前实现单点登录的方案主要有三种：k e r b e r o s 协议的单点登录方案， p a s s p o r t 协议的单点登录方案和基于c a s 协议来实现的单点登录方案。 3 2k e r b e r o s 协议的单点登录方案 3 2 1k e r b e r o s 协议 目前影响网络传输的一个问题就是在于用户传输用户名和口令的时候都是以明文 传输的，认证仅仅限于i p 地址和口令。入侵者通过截获和分析用户发送的传输数据包 就可能破解传输的口令，通过伪装i p 地址和客户端等手段，就可以远程访问系统。还 有另外一个问题就是用户使用某种系统服务之前的身份认证问题，由于系统完全处于 用户的控制之下，用户可以替换操作系统，还可以替换机器本身，因此，网络的安全 服务不能全部依赖于客户端来执行可靠的认证，主要在服务器端来进行认证。 解决这个问题的一个办法是使用k e a b e r o s 认证机制。k e r b e r o s 是为t c p p 网络设 计的可信的第三方认证协议。网络上的k e r b e r o s 服务起着可信任的仲裁的作用。 k e r b e r o s 可以提供安全的网络身份的鉴别，用户把自己的登录账号和密码交给本地计 算机上的可信任的代理者，由它向认证服务器进行身份鉴别。 3 2 2k e r b e r o s 模型 k c r b e r o s 由管理服务器，认证服务器，数据库传播软件，用户程序以及其他应用 程序组成。服务器提供一个到数据库的读写网络接口，用于数据库的增、删、查、改： 西南交通大学硕士研究生学位论文第1 1 页 认证服务器提供到数据库的只读网络接口，用于鉴别和生成会话密钥；数据库传播软 件用于复制数据库，如果网络系统有比较庞大的用户量，这时候可能出现有多个 k e r b e r o s 认证服务器，这样可以随时更新数据库；用户程序是k e r b e r o s 提供给用户的 界面程序，可用于向服务器提供注册、修改等功能，以及向其他应用程序提供具体的 服务。 k e r b e r o s 模型依赖于k e r b e r o s 认证服务器的存在，它执行密钥管理和控制功能。 k e r b e r o s 保存所有客户密钥的数据库。需要认证的应用系统或者服务都需要在k e r b e r o s 注册其身份信息和秘密密钥。 由于k e r b e r o s 知道每个人的秘密密钥，因此它就能产生消息向一个实体证实另外 一个实体的身份。每当两个用户要进行安全通信进行认证请求时，k e r b e r o s 认证服务 器还能产生会话密钥，会话密钥用来加密双方的通信消息，通信完毕，即销毁会话密 钥。 归纳起来，k e r b e r o s 主要有三个功能：认证，授权和记账。 1 认证：每个用户都可以声明一个d ，认证过程就是测试这个声明。在基本的认 证中，要求用户提供一个口令。在改进的认证中，要求用户使用服务器赋予d 合法的一块“令牌“，或者要求用户提供其他的例如指纹，声音等来认证对i d 的声明。k e r b e r o s 的主要功能就是把认证从不安全到安全，保证在一个k e r b e r o s 的辖域里所有用户被相同标准或策略认证，因为在一个大型的网络中可能不止 一个认证服务器，所以说在一个辖域内。 2 授权：在用户被认证后，应用服务器或者网络服务器可以管理授权。它查看被 请求的资源，检验d 拥有者是否具有使用资源的许可。k e r b e r o s 此时的目标 是在基于授权的系统上提供i d 委托认证。 3 记账：记账的目的是为客户支付的限额和消费提供证据 3 】【15 1 。 3 2 3k e r b e r o s 工作原理 一般来说k e r b e r o s 有两种数据结构：票据和认证，k e r b e r o s 的票据是客户端用它 向服务器方证明自己身份的凭证，包括了服务器的名字、客户端的名字、客户端地址、 时间标记、生命周期以及一个会话密钥，这些信息使用接收票据的服务器方与k d c 共 享的密钥进行加密，其结构如下： t c ，s - - s ，c ，a d d r , t i m e s t a m p ，l i f e c y c l e ，k ，s ) k ，k d e 票据如果发放了，可以让指定的客户端使用多次，直到票据过期，但是认证与票 据不同，只能使用一次，每次客户端想使用应用服务时必须重新生成新的认证标识， 认证标识是由客户方自己生成的，它包含有客户端的名字、主机地址、以及目前客户 西南交通大学硕士研究生学位论文第1 2 页 端主机的时间。认证标记是采用票据中给出的会话密钥加密的，其结构如下： 氏= c ，a d d r , t i m e s t a m p 1 ( c ，s ； 下面简单介绍一下符号的含义，如表3 1 所示： 表3 1 符号含义 符号含义 c 客户端 s 服务器 k d c 密钥分发中心 a s认证服务器 t g s票据服务器 k xx 与k d c 共享密钥 k x ，y x ，y 的会话密钥 t x ，y x 对y 的凭证 a xx 的认证标识+ a x ，y x 对y 的鉴别 n 一次随机数 t 时间标记或序列号 k e r b e r o s 认证机制大体流程如图3 1 所示。 客户端 1 请求票据服务；2 传回许可票据；3 请求服务器票据 4 胡艮务器许可票据：5 请求服务：6 服务响应； 图3 1k e r b e r o s 的认证过程 西南交通大学硕士研究生学位论文第1 3 页 1 ) 当客户端想要访问某一应用服务器时，需要向a s 发送包含用户名的认证请求 c 一 a s ：c ，t g s ， n ： 2 ) a s 对客户端的信息进行鉴别后会产生一个加密密钥k 汹，作为客户端访问t g s 的凭证( 会话密钥) ，构造一个包含客户端，会话密钥以及和失效时间等信息的特殊票 据t g t ，a s 用客户端的密钥k c 对新的对话密钥进行加密与t g t 一起构成消息返回 给客户端。客户端用输入的密码进行解密，如果正确就能得到会话密钥k ，椰。 a s 一 c ： k ，t g s n k c t 。，t g s ) k t g s ； 3 ) 客户端向t g s 发送包含一个访问t g s 用的t g t 需要访问