（计算机应用技术专业论文）基于目录服务的校园网统一认证系统模型的研究.pdf

摘要 随着通信技术、网络技术的不断发展，网络已经成为我们学习和生活中重要 的基础设施。而校园网作为学校教育信息化建设的基础，在教学、科研、管理等 方面发挥着越来越重要的作用。同时校园网是一类复杂而很有代表性的网络，具 有用户数量大，网络应用与服务繁多等特点。在校园网中，通常是由各个应用程 序和服务使用各自特定的数据库来存储用户信息，并使用各自特定的协议实现用 户信息的访问。因此产生了各类用广信息重复和不一致等问题，给管理员和用户 带来了麻烦，同时存在l = c 4 络安全隐患。阕此，迫切需要实现校园网用户的统一身 份管理和认证。 校园网统一认证系统能够实现校同嘲上各种服务和应用系统统一的用户管 理和身份认证，町让用户只需要一套用户账户，就可以使用校园内所有的基于目 录的应用系统和服务。从而实现集中的用户管理、统一的身份认证和统一的访问 控制。 本文以校园网统一认证系统的模型为研究对象，对其相关的协议和技术进行 了洋细研究a 研究内容主要包括目- r n 务技术、k e r b e r o s 认证技术和校园网目 录设计等。特别足文中将目录服务技术和k e r b e r o s 集成在一起，提出了基于目 录服务的校园网统。认证系统安全模型，该模型的实现不仅解决了校园网统一认 证问题，而且提高了系统的完整性。 关键宇：目录服务，l d a p ，认证协议，k e r b e r o s ，身份认证，s a s ，校园网 网络安全 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m m u n i c a t i o nt e c h n o l o g y a n dn e t w o r kt e c h n o l o g y , n e t w o r kh a sb e c o m eav e r yi m p o r t a n ti n f r a s t r u c t u r ei no u rs t u d ya n dl i f e b e i n gt h e b a s i so ft h ee d u c a t i o n a li n f o r m a t i o n a l i z a t i o n ，c a m p u sn e t w o r ki sp l a y i n ga m o r ea n d m o r e i m p o r t a n tr o l ei nt h et e a c h i n g ，r e s e a r c h i n g a n da d m i n i s t r a t i v ea r e a s f u r t h e r m o r e ， c a m p u sn e t w o r k sa r ea k i n do fc o m p l i c a t e da n ds y m b o l i cn e t w o r ks y s t e m ，t a k i n go n f e a t u r e sl i k e l a r g e n u m b e r so fu s e r s ，d i v e r s i f i c a t i o no fn e t w o r ka p p l i c a t i o n sa n d s e r v i c e s i nac a m p u sn e t w o r ks y s t e m ，t h eu s e r s i n f o r m a t i o ni su s u a l l ys t o r e db yt h e a p p l i c a t i o n sa n d s e r v i c e sr e s p e c t i v e l yi nt h ec e r t a i nd a t a b a s e sa n di no r d e rt or e a l i z et h e a c c e s s i n go fu s e r s i n f o r m a t i o nt h r o u g h c e r t a i np r o t o c 0 1 t h e r e f o r e ，m a n yp r o b l e m s a r i s ew h i c hb r i n gt r o u b l e st ot h ea d m i n i s t r a t o r sa n du s e r s ，s u c ha sd u p l i c a t i o na n d i n c o n s i s t e n c yo f u s e r si n f o r m a t i o n t h e r ea r ea l s os o m en e t w o r ks e c u r i t yp r o b l e m s a c c o r d i n g t ot h ea b o v er e a s o n s ，t h er e a l i z a t i o no fu n i f o r mi d e n t i t ym a n a g e m e n ta n d a u t h e n t i c a t i o no f t h ec a m p u su s e r sb e c o m e sa l la r g e n tn e e d t h eu n i f o r mc a m p u si d e n t i t ya u t h e n t i c a t i o ns y s t e mw i l lr e a l i z et m i f o r mi d e n t i t y m a n a g e m e n ta n da u t h e n t i c a t i o n f o ra l lk i n d so fs e r v i c e sa n da p p l i c a t i o n si nc a m p u s n e t w o r k t h eu s e r so n l yn e e das i n g l ea c c o u n ta n dt h e nt h e yh a v et h er i g h tt oa c c e s sa l l t h e a p p l i c a t i o n s a n ds e r v i c e sb a s e do nt h ed i r e c t o r ys e r v i c e si n c a m p u sn e t w o r k c o n s e q u e n t l y ，c e n t r a l i z e da c c o u n tm a n a g e m e n t ，u n i f o r mi d e n t i t y a u t h e n t i c a t i o na n d u n i f i e da c c e s sc o n t r o lp o l i c yt ot h ew h o l en e t w o r kc a nb er e a l i z e d t h i sp a p e rf o c u s e so nt h em o d e lo f u n i f o r mc a m p u si d e n t i t ya u t h e n t i c a t i o ns y s t e m a n dt h ed e t a i l e ds t u d yo ft h er e l a t e dp r o t o c o l sa n dt e c h n o l o g i e s 。t h em a i nc o n t e n to f t h er e s e a r c hi n c l u d e st h e d i r e c t o r y s e r v i c e t e c h n o l o g y , k e r b e r o s a u t h e n t i c a t i o n t e c h n o l o g y a n dc a m p u s d i r e c t o r yd e s i g n e t c t h ef e a t u r eo ft h i s p a p e ri s t h a ti t c o m b i n e sd i r e c t o r ys e r v i c e st e c h n o l o g ya n dk e r b e r o st e c h n o l o g ya n d p r o v i d e d as e c u r e m o d e lo f t h eu n i f o r mc a m p u si d e n t i t ya u t h e n t i c a t i o ns y s t e mb a s e d0 n d i r e c t o r ys e r v i c e s t h er e a l i z a t i o no ft h i sm o d e lw i l ln o to n l ys o l v et h ep r o b l e m so ft h eu n i f o r mi d e n t i t y a u t h e n t i c a t i o ns y s t e mo fc a m p u sn e t w o r k s ：b u ta l s oi m p r o v et h es a f e t ya n d i n t e g r i t yo f t h es y s t e m k e y w o r d ：d i r e c t o r ys e r v i c e s ，l d a p , a u t h e n t i c a t i o np r o t o c o l ，k e r b e r o s ，i d e n t i t y a u t h e n t i c a t i o n ，s a s l ，c a m p u sn e t w o r k ，n e t w o r ks e c u r i t y 第一帚绪论 第一章绪论 1 1 引言 校园网作为学校教育信息化建设的基础，在教学、科研、管理等方面发挥着 越来越重要的作用。校园网是+ 6 类复杂而很有代表性的网络，具有多用户、流动 性大、服务器多、应用系统多样、网络服务繁多等特点。在校园网中网络资源和 网络对象的信息极为庞大，通常是由各个应用服务程序使用各自特定的数据库来 存储用户信息，并使用各自特定的协议实现用户信息的访问。这存在着许多局限 性： 系统是独立分散的( e m a t l 系统、网络存储系统、教学系统、办公系统等) ， 用户标识身份认证是分散的； 无法建立共同的安全机制； 没有可共享用户资料问的关系。 因而，对校园网的管理、使用带来了不便和安全隐患，具体表现在两个方面： 对于管理员：越来越多的系统需要管理，需要较高的维护成本( 管理员、设 备等) ；重复的资料输入，用，t 资料无法共享：没有人知道任一使用者到底 有多少信息系统权限：无法建立企i k 统一的安全控制及管理策略。 刺于用户：太多账号口令，容易忘记，导致用户采用简单易记的口令和共享 口令，口令反而产生了更多网络安全问题。 因此，实现校同网用户的统一身份认证是。个急需解决的问题。校园网统一 认证系统能够实现校园网上各种服务和应用系统统一的用户管理和身份认证，可 让用户只需要一套用户账户，就可以使用校园内所有的基于目录的应用系统和服 务。从而实现统一用户管理、统一安全控制，管理员对整个网络可以实现单点管 理。这也是本课题研究的意义所在。 1 2 统一认证系统的研究现状 认证( a u t h e n t i c a t i o n ) ：认证是证实一个主体所声称的身份或角色的处理过 程。其身份可以通过下面的方式验证： 该主体知道什么，如口令： 该主体拥有什么，如通过智能卡、挑战应答机制、公钥验证等： 第一章绪论 该主体是什么，如通过照片辨认、指纹或生理特征。 目前主要有以下几种的认证技术有： 1 ) p a p 认证：p a p ( p a s s w o r da u t h e n t i c a t i o np r o t o c 0 1 ) 是最基本的安全认 汪阱议，i e t f 的r f c l 3 3 4 文档对其进行了定义，p a p 有认证请求、认证确 认和认证否认兰种帧类型，使用明文u 令认证对象实体。 2 ) c h a p 认证：c t a p ( c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) 是一 种被广泛接受的工业标准，它通过三次握手方式对被认证方进行周期性 的认证。c h a p 认证通过要求对等实体共享一个普通文本来提供网络的安 全性。 3 ) 一次性 令认证：其在登录过程中加入不确定因素，使每次登录的过程 中传送的信息都不相同。一次性口令认证主要有基于口令序列的s k e y 一 次性口令认证技术和基于智能卡的认证技术两种。 4 ) k e r h e r o s 认汪：是基于第三方认证的协议，由m i t 的p r o j e c ta t h e n a 开发 而成，使用d 舔加密算法，目前主要有两个版本( v 4 ，v 5 ) ，其中版本5 是 r f c l 5 1 0 指定的一种i n t e r n e t 标准，受到广泛支持。 k e r b e r o s 也是目前主要流行的统一认证的协议，许多公司的系统女n l b m 、 m i c r o s o f t 等都支持该协议，s u n 公司采用k e r b e r o s 提出了s e a m ( s u ne n t e r p r i s e a u t h e n t i c a t i o nm e c h a n i s m ) 也是采用t k e r b e r o s 协议为基础。“。至今m i t 一直在 不断的完善k e r b e r o s 。 随着目录服务技术的发展，目录服务已经逐渐成为重要的网络基础设施，为 网络管理、用户身份管理与认证，以及应用开发建立了新的模式。国际上许多组 织、机构丌展这方面的研究工作，主要有：d m t f ( d i s t r i b u t e dm a n a g e m e n tt a s k f o r c e ) 提出了基于目录的网络( d e n d i r e c t o r ye n a b l e dn e t w o r k ) 的概念，并 制定了许多标准1 “；i n t e r n e t 2 研究小组从事将目录服务应用于高校校园网的身 份标识、管理和认证”；s u n 公司提出s 州o n e 、n o v e l l 公司提出叫en e t 等概念 和产晶，利用目录服务实现网络资源和用户统一标议和管理”“。国内外许多高 校已经丌始建立自己的基于目录服务的统一认证系统，国外如s t 九n f 。r d 大学呻1 ， b r i t i s hc o l u m b i a 大学，国内有北京大学1 、华南理工大学等。但目前这些系统 多采用简荜u 令认证的方式，存在网络安全隐患。 第一币绪论 1 3 本文研究的内容和实现目标 本文是在论述目录服务的基础上，提出了基于目录服务的校园网统一认证系 统的基本模型，这个模型基本代表了日前该类系统。然后讨论了校园网建立目录 服务的关键方法。接着针对基小模型讨论了其潜在的安全隐患，提出了将 k e r b e r o s 认证技术引入基于目录服务的校园网统一认证系统的模型中来，从而 提高系统的安全性和可靠性。最后介绍了在【。i n u x 环境下实现陔系统模型的方 法，以及应用程序的丌发接口设计。 本文的具体内容如下： 第一章介绍了校园网统一认证系统的需求，介绍了目前国内外研究现状，以 及本文的研究内容和f 1 标。 第二章讨论目录服务技术及其现行国际标准。 第三章给出基于目录服务的校园网统一认证系统的基本模型和功能。 第四章介绍了建立校园网目录服务设计的方法。 第五章提出并讨论了基本模型的安全隐患，提出基于目录服务的校园网统一 认证系统安全模型。 第六章介绍了在l i n u x 环境f 系统的实现和应用程序接口。 第七章对整个研究工作做了总结。 本文实现的主要目标如f ： 1 ) 讨论目录服务技术，找出相关技术。 2 ) 提出建立校同嗍目录服务的方法。 3 ) 对目录服务的校园网统一认证系统基本模型的安全隐患进行论述。 4 ) 提出基于目录服务的校同网统一认证系统安全模型。 5 ) 给出在l i n u x 环境下实现该模型的方法。 6 ) 讨论应用程序接口。 第二章甘录服务技术 第二章目录服务技术 2 1 目录服务简介 目录是一种在读取、浏览和查询等方面具有最优化性能的特殊的数据库，其 中往往包括描述性的基于属性的信息，并且具有超常的筛选能力。目录通常不象 数据库管理系统那样具有复杂的事物处理能力，不支持大量的复杂的数据更新操 作。目录的更新是典型的那种要么全有要么全无的简单形式。目录能够对大量的 查找操作作出快速响应，它能够通过复制信息来提高其有效性和可靠性，并提高 响应速度。有许多方法实现目录服务，不同的方法将不同种类的信息存放在目录 中，并实现信息的引用、查询、更新和访问控制等。一些目录服务是局部的，仅 在限定的环境中提供服务，也有些| _ = ；i 录服务是全球的，其服务范围很大( 如整个 i n t e r n e t ) 。全球的服务通常是分布式的，i n t e r n e t 的d n s 就是一个典型的全 球分布式目录服务系统。 目录服务可以命名、描述和指定一个企业范围内的用户和资源，从而简化通 信与管理；它可以使用户通过简单的搜索，查找资源及其它用户；它可帮助管理 人员收集和控制散布于该机构的信息，并可以使他们全面地审视这些信息。许多 商家现在都已丌始认识到目录服务的价值，特别是随着i n t r a n e t 的崛起以及轻 型目录服务l d a p 的丌发，人们对其价值的认识f 1 趋明朗。 当前目录服务标准t 要有两种：即x 5 0 0 和l d a p 。 x 5 0 0 目录服务标准： x 5 0 0 是o s i 目录标准，建立于o s i ( o p e ns y s t e mi n t e r c o n n e c t i o n ) 的七 层协议基础之上。x 5 0 0 定义了一个完整的目录服务，c c i t t 在1 9 8 8 年制定了第 一版x 5 0 0 国际标准，全面捕述了这一模型。之后i t u t 又在1 9 9 3 年作了显著 的修订和补充，产：生了第二版建议( 1 9 9 7 年又作了进一步的修改) ，i s o 接受了 此建议，把它作为i s 0 i e c 9 5 9 4 国际标准1 。 l d a p 目录服务标准： l d a p 是l i g h td i r e c t o r ya c c e s sp r o t o c o l 的简写，称为轻型目录访问协 议。l d a p 作为一种f 式的i e t f 标准，已在r f c l 7 7 7 和r f c 2 2 5 1 中得到描述。最 初开发l d a p 足作为( ) s t 日录服务x 5 0 0 的终端，是一种访问x 5 0 0 目录的简单 4 第二章h 录胀务技术 方法，是x 5 0 0 目录服务技术的目录访问协议d a p 的一个子集，可用于建立x 5 0 0 目录。但随着它的成熟，已经增加了许多在x 5 0 0 中没有的新特性，如a p i 、l d i f 。 l d a p 町以为x 5 0 0h 录服务提供一个轻型前端，也可以实现一个独立的目录服 务“1 。 2 2 儿个主要的概念 2 2 1 目录树( d i t ) 在一个目录服务系统中，整个甘录信息集可以表示为一个目录信息树d i t 。 树中的每个节点是个目录项，每个同录项代表真实世界中的物体，如人、部门、 组织或国家等。目录项有上层项、f 层项、叶项、根项。顶节点为根项，是唯一 无上层项的节点，没有下层项的节点足叶项。传统式的目录树命名形式参见图 2 1 ，代表国家的项直接出现在根的下面，在国家f 面是表示省，省的下面是表 示组织的项，再向下是组织内部的结构，再向下是表示人的项。这种结构正好可 以与真实世界的物体之间的关系相刘应。 图2 1 传统命名方式的目录树 a l l cd e p a r t m e n t 2 2 2 项( e n t r y ) 每个项对应一个列象，日录对象是现实世界物体的一个方面，例如一个 第一二章甘录服务技术 o r g a n i z a t i o n a p e f s o n 项对应一个公司职员。项由属性组成( 参见图2 2 ) ，每个 属性保存对象一个方衙的信息。项的每个属性包含一个类型和一个或多个值。目 录信息树d i t 中，每层中的项所代表的对象包含在h 层中或弓上层项相关，如组 织包含在国家中，分支机构包含在组织中。一个职员项包含在公司市场部这个组 织单元项中。一个目录服务中最普通的项类型是p e r s o n 项，这个类型的项将包 含名称、地址、电话号码等信息。图2 3 给出了一个目录项实例。 图2 2 项、属性、数值问关系图 卜、c ：c n 、i 、。：t i u t 、l 、o u = c 。m p u t e rd e p a n m e r t 、l 图2 3 一个目录项实例 l i n i n g 第= 帝廿录服务技术 2 2 3 属性( a t t r i b u t e ) 描述项的某个方面的条信息称为属性。一个属性由一个属性类型和一个或 多个属性值组成。类型一般是助记符号串，像c n 指c o m m o nn a m e ，m a i l 指e m a i 1 地址。属性的类型确定具体的值，例如一个m a i l 属性可能包含这样的值 “j s w a n g t j u t e d u c n ”，一个人的j p e g p h o t o 属性包含一个二：进制的3 p e g j f i f 格式的图像。例如：属性类“t e l e p h o t on u m b e r ”的值可以为“0 2 22 3 6 7 9 4 4 5 ”。 一个公司职员项可以包含一个公司职员对象类，可能由员工号、姓名、年龄、所 属部门等属性和对应的值组成，而其中所属部门可能有多个值。 属性类型确定属性的语法，确定信息可以存储哪种类型的值。在个项中有 必需的和可选的属性，由每个项中特定的对象类属性控制，对象类属性的值标识 项的类型( 例如人、组纵等) 。对象类属性的类型决定哪些属性是必需的，哪些 足可选的。例如对象类人，要求s u r n a m e 和c o m m o n n a m e 属性是必须的，但 d e s c r i p t i o n 、s e e a ls o 和其它的属性是选的。 2 2 4 辨别名称( d i s t i n g u i s h e dn a m e ) 项是用名字区分的。每个项有一个相对辨别名称r d n ，每个项从上层项得到 辨别名称d n ，附加自己的相对辨别名称形成辨别名称d n ，r d n 在同类中唯一标 识本项。例如，一个盘牛名为w a n gj u n 的学生，我们可以将他的姓名作为此项的 r d n ，假定从上层项计算机系获得d n 为： 其中，c 2 c n 是国家为中国，l = ti a n j i n 是城市为天滓市， o = n a n k a i 是组织 为南丌大学，o u = c o m p u t e rd e p a r t m e n t 是组织单元为计算机系，再与本项的r d n 结合，构成本项的d n ： 2 2 5 模式( s c h e m a ) 所有性能优越的数据库都有模式，它是控制数据库输入的各个方面的规则 集。图2 4 给出了目录模式的组成部分的示意图。 销_ 二章日录服务技术 s c h e m ad e f i n i t i o n s a s n ls y n t a x m a t c h i n gr u l e l 图2 4 目录模式的组成部分的示意图 属性语法( a t t r i b u t es y n t a x ) 属性是不唰的类，每个类有自己的语法。例如：年龄属性有i n t e g e r 值，即 属性值的语法是i nl e g e r 。“a d d r e s s ”属性的语法可以是p r i n t a b l e s t r i n g ( p r i n t a b l e s t r n g 是a s n 1 定义的字符串类型) 。不同的属性可有相同的语法， 但语义不同。例如：“a g e ”和“n u m b e ro i c h i l d r e n ”的属性类型同为i n t e g e r ， 但他们有不同的语义。属性语法就是用于定义属性值的语法。 匹配规则( m a t c h i n gr u l e s ) 匹配规则是用于确定用户给出的值是否与目录中一个值完全匹配。名称解 析、查找操作等都用到匹配规则。匹配规则主要包括： 夺当前匹配规则：应用于所有的属性语法。如果项中有属性存在，返回真， 并与用户专前属性类型匹配。 夺相等匹配规则：比较当前属性值与存储的属性值是否相同。每个属性语 法需有自己的相等匹配规则定义，并指出在什么条件下两个值相等。 夺子串匹配规则：判断用户给出的值是否为属性字符串的子申，只有子串 属性语法r 定义它。 夺顺序匹配规则：指定语法的所有可能值的顺序。用户可以检查存储的属 性值大于等于、小于或等于当前值。 夺近似匹配规则：看用户值是否与存储的属性值近似相等。 当 一一 ：| 一一 笫一章目录服务技术 属性类型 一个属性由一个属性类型和一个或多个属性值组成。为给属性一个有意义的 属性值，就必须给出属性类型的明确定义( 包括语法和语义) 。属性语法和匹配 规则定义了属性值的语法和如何比较的属性语法。 对象类 本对象类必备的属性类的列表；可选的属性类列表；本对象类是哪个对象类 的子类；本对象类的对象标讨 。 有相同特征的对象由对象类标识。目录中的每个对象项至少是一个对象类的 成员。同一类型的所有对象具有棚同特性。对于目录来讲，同一类型中所有目录 对象，其各项具有相同的属性类型集。个对象类定义中应包括： 夺这类对象所必须有的属性类型的列表； 夺这类对象可选的属性类型的列表； 冷这个对象类是哪个或哪螳刈象类的子类： 夺这个对象类的标识符。 子类 出简单的对象建立复杂的剥象的机制，称为子类机制。一个对象如果是一个 超类的子类，则继承超类的所有属性，并增加更多的限制标准。对于目录对象类， 子类继承超类的所有必备的和可选的属性，还有自身的必备和可选的属性。标准 中定义了一个最一般的对象类，即t o p ，其他类都是它的子类。图2 5 给出了标 准中。个对象类继承层次的例予。其中“p e r s o n ”类是t o p 类的个子集， “o r g a n i z a t i o n a lp e r s o n ”类是“p e r s o n ”类的一个子集。 一一一一一一一一。 一j 陶2 5 一个对缘类继承层次的例子 笫章目录服务技术 对象类t o p ，l o p 类只有一个必备的属性类，即对象类属性，它用于指明一个特定项描述 的是哪类对象。所有的类都是t o p 的子类，因此都有对象类属性。对象类属性出 现于每个项，并指明它所属的对象类和超类。 对象类属性 缺省则为多值，需列出对象的向卜直到t o p 的所有超类的对象标识符。t o p 的对象标识符可不列m ，凶为所有对象必有此值。 命名格式 命名格式用于控制项的命名，它简要描述那些属性类型必须在r d n 中。命名 格式通常包括： 夺说明使用本命名格式来命名的项的结构化对象类； 呤形成这些项的r d n 所必须用到的属性列表； 夺形成这些项的r d n 可能用到的属性类列表： 呤为本命名格式分配对象标识符。 2 3 目录服务操作 为了实现对目录项的管理，目录服务定义了相应的操作，这些操作主要包 括：绑定( b i n d ) 、解绑定( l n b i n d ) 、添加( a d d ) 、删除( d e l e t e ) 、修改( m o d i f y ) 、 杏找( s e a r c h ) 、比较( c o m p a r e ) 、修改辨别名称( m o d i f y d n ) 和放弃( a b a n d o n ) 。 在目录服务巾没有一个真j f 的拷贝操作，因为每个项都必须有个唯一的 o n 。一个近似的拷姒是，查找一个已经存在项，使用相同的名称将它添加到原来 的部分。 绑定操作 在用户要求目录执行其他的操作之前，客户端必须与一个目录服务器建立一 个连接，这通过目录绑定操作实现。在一个客户端连接一个操作到一个服务器之 前，必须通过一个绑定操作在其问建立一个关联。 解绑定操作 客户端完成系列目录请求，并收到所有的结果后，最后的任务是通过目录 解绑定操作关闭与服务器的连接。相似的，一个服务器完成连接一系列请求到另 一个服务器，并收到所有的响应后，通过一个解绑定操作关闭连接。解绑定没有 1 0 第二章日录胀务技术 参数，不能失败。 添加操作 在一个目录树中增加一个叶项。被添加的项的直接上级项必须存在，因为目 录树每次只能建立一层结构。这个操作i j ：以增加任何类型的目录项，但新项总是 加到主目录服务器上。添加新项日、j ，必须给出项的属性集，而其他有关目录管理 使用到的属性，由目录服务系统自身自动的添d i ：! n 新项的属性集合中，这些管理 属性可能包含新项的创建时间、创建人、修改时阳j 、修改人等。 添加新项时，首先服务器将检查用户是否有权添加项和给定的所有属性。许 多实现只允许目录管理员添加项，而普通用户不能向目录树中添加项。普通用户 要想添加新项，必须从目录管理员那里获得相应的权限。 最后服务器必须确保新项与控制增项日录树的模式相一致。用户在增项操 作中提供的模式信息包含项的对象类列表和直到t o p 对象类的所有超类。服务器 必须检查这个对象类是否存在于模式中，如果存在，必须检查新项的相对辨别名 称是否匹配命名格式中指定的属性。 删除操作 从目录树中删除一个项，且只能足一个叶项，因为目录树中不能出现洞，要 想删除非叶项，必须保证先将此项以f 的所有项删除。在删除前，服务器将对删 除项的安全性进行检查，检查用、1 是否已经得到删除项的授权，是否允许此用户 删除项。 修改操作 用于修改。个目录项内容，但要汴意，此操作不可以修改组成项的相对辨别 名称的属性，要修改辨别名称属性，必须由修改辨别名称操作实现。修改操作通 过一系列对项的内容，即项的属性和属性值的添d r i t n 删除柬实现。对于项的属性 值的修改，每个修改依次进行，一个失败，整个操作失败，也就是说整个操作是 原予的。项的修改后的属性必须j 项的模式或系统的模式一致，但在修改过程中， 可以有不一致。 查找操作 查找目录树中用户指定的部分，选择适合用户指定的标准的项，并从那些项 中返回指定的信息。在进行查找操作时 找操作从这个基对象丌始扫描目录树 用户需要提供一个基对象辨别名称。查 它可以是任意一点。查找从基对象项， 笫一章目录服务技术 直到完成用户定义的整个范围的扫描。用户定义的范围可以是三个值： 夺基对象( b a s e o b j e c t ) ：表示只查找用户指定的基本对象。 夺一层( o n e l e v e l ) ：表示只查找基对象的所有直接下级。 夺整个子树( w h o l e s u b t r e e ) ：查找基对象和它的所有下级，直到目录树的 所有叶。 目录服务系统将根据用户提供的查找条件形成杏找过滤器，查找过滤器从目 录树中选择项。一个过滤器的基本部分是过滤项，它指定查找中选择项的标准。 对于多值属性，只要有一个属性值通过检查，过滤项就为真。每个属性类有相应 的匹配规则，有相应匹配规则的属性爿能进行一个过滤项的检查。 比较操作 比较操作允许应用程序使用目录中的项检查指定值或信息的f 确性，检查一 个项是否持有一个与用户当6 u 的声称属性值相同的特定的属性值。比较时使用为 属性类定义的相等匹配规则，如用为串属性定义的相等匹配规则，则为大小无关 匹配规则。项的辨别名称只在用户请求提供的为别名时返回，但在9 3 版中，如 果用户禁止知道项的辨别名称，则它被从结果中删除。 放弃操作 用户可能放弃任何个对目录项的操作，但放弃一个操作不意味目录将放弃 请求，有些情况放弃一个请求是不可能的。放弃操作只有一个参数，即被放弃的 操作的调用标识，调用标识是当一个操作第一次进行传输时，远程操作服务返回 的参数。如果放弃操作成功，放弃操作返回一个空结果，并返回一个放弃错误给 原操作：如果失败，放弃操作返回一个放弃失败错误，原操作继续进行。 修改辨别名称操作 修改相对辨别名称操作，即能修改一个叶项的相对辨别名称也可以修改非叶 项的相对辨别名称，并可以将叶项和子树移动到d i t 中的新位罱。 2 4 目录服务特性 目录服务的特殊性体现在以下几个方而： 是一种与平台无关的信息存储方式，为异构系统之间的信息共享提供了可 能。 i 二要用于信息的存储和捡索，因此检索功能强大，而增、删、改等更新功 第二章日录服务技术 能相对较弱。凶为目录服务器是专门为那些检索频率大大多于更新频率的 信息服务而设计的： 一个目录服务器好像个数据库，但包含更多的描述性的、基于属性的信 息。目录不支持数据库管理系统常用的事务处理，没有数据完整性约束， 大大简化数据操作。保存在个目录中的信息更经常的是用于读取，而不 是写入，目录只支持简单的事务处理。数据库更适用于写入大量的数据， 可以处理大量的、各种类型的事务。 它不同于关系数据库，是一种与关系数据库完全不同的信息存储库。 与文件系统比较来看，文件一般都很大，而目录划于存储和检索相对较小 的信息进行了优化。 与w e b 比较：虽然w e b 文档也有读多写少的特征，但目录不适用于向客户 端传送几兆的j p e 6 图像或j a v a 应用程序。 与d n s 的比较：d n s 为实现它的特定目的进行了高度的优化，而大多数日录 则是用于通用目的的。 目录服务的实现对于大量的查找或搜索操作给予快速的响应。 提供复制功能。为了增加u j 用性和可靠性，并减少响应时问，目录服务能 够进行信息的广泛复制。当目录信息被复制后，在各复制品之间可能造成 临时的不一致，但只要最终一致就町以。 有很多不同的方法提供个目录服务。不同的方法允许在目录中存储不同 种类的信息，放胃对信息进行参照、查询和更新，和进行非授权保护的不 同请求。有些目录服务是本地的，提供有限的服务：其他服务是全球的， 提供更，。泛的服务。 2 5 x 5 0 0 目录服务标准 x 5 0 0 是o s if j 录标准，建立fo s i ( o p e ns y s t e mi n t e r c o n n e c t i o n ) 的七 层协议基础之上。它定义了一个完整的目录服务，包括一个信息模型、一个名称 空间、 个功能模型和一个认证框架，电定义了一个目录访问协议( d i r e c t o r v a c c e s s p r o t o c 0 1 ) ，用丁二客户端访问目录。c c i t t 在1 9 8 8 年制定了第一版x 5 0 0 国际标准，全面描述了这一模型，包括同录服务器的目录结构、命名方法、搜索 机制以及用于客户机与服务器通信的协议一目录访问协议d a p ( d i r e c t o r va c c e s s 第二章日录服务技术 p r o t o c 0 1 ) 。之后i t u t 又在1 9 9 3 年作了显著的修订和补充，产生了第二版建议 ( 1 9 9 7 年又作了进一步的修改) ，i s o 接受了此建议，把它作为i s 0 i e c 9 5 9 4 国 际标准。 x 5 0 0 标准中定义了一种目录结构，此结构像一棵倒置的树，树根在顶部， 无数树枝向下延伸。这种结构反映了大多数公司的结构。在x 5 0 0 标准中，用户 和网络资源( 如服务器、打印机) 被定义为对象。对象具有一组属性，如对象的 名字及其位置。x 5 0 0 分级名字结构使得唯一确认目录树中的每一个对象成为可 能。 x 5 0 0 系列建议定义了实现目录服务时网络中的传输协议。d s a 之问的通信 协议称为目录系统协议( d i r e c t o r ys y s t e mp r o t o c o ，d s p ) ，d s a 和d u a 之j 、日j 使用目录访问协议( d a p ) ，用户的9 种操作请求和结果都是通过d a p 协议传输的。 这两个协议基于o s i 七层模型，它们都是应用层协议，必须有表示层，会话层等 层协议的支持，所以协议丌销比较大，对计算机的要求较高。 2 5 1 x 5 0 0 标准的内容 x 5 0 0 系列协议m9 个协议组成：x 5 0 0 是目录服务的概要介绍；x 5 0 1 定 义了目录服务的模型；x j l l 对目录的各种抽象服务作了定义；x 5 1 8 描述分布 操作的实现过程；x 5 1 9 是传输协议；x 5 2 0 和x 5 2 1 定义了常用对象类和属性； x 5 0 9 提出了一种认证的框架；x 5 2 5 规定了备份。 x 5 0 0 主要定义了如_ f 几部分： 一个信息模型：确定目录中信息的格式和字符集，如何在项中表示目录信 息( 定义对象类、属性等模式) ； 一个命名空间：确定信息如何迸行组织和引用，如何组织和命名项、目录 信息树d i t 和层次命名模型： 一个功能模型：确定可以在信息上执行的操作； 。个认证框架：保证目录中信息的安全，如何实现目录中信息的授权保护， 即访问控制模型； 一个分布操作模型：定义了目录管理模型，确定数据如何进行分布和如何 对分布数据执行操作，如何将全局目录树划分为管理域进行管理；定义了 客户端与服务器通信的目录访问协议d a p ，将用户请求在服务器之间进行链 第二审目录服务技术 接所需的目录系统协议d s p ，将选定的信息在服务器之白j 进行复制所需的目 录信息映像协议d i s p ，用于自动征服务器之间配置连接协议的目录操作绑 定协议d o p 。 x 5 0 0 也有一个自己的a p i ，即柬自x o p e n 的x d s 标准，它是一个全面的 a p i ，提供对d a p 的完全访问，但由丁过于复杂，难以广泛采用。 2 5 2x 5 0 0 目录服务模型 x 5 0 0 目录服务器模型( 参见图2 6 ) 由三个基本单元组成，包括：目录信 息库( d i r e c t o r yi n f o r m a t i o nb a s e ，d i b ) 、目录系统代理( d i r e c t o r ys y s t e m a g e n t ，d s a ) 和目录用户代理( d 5r e c t o r yu s e ra g e n t ，d u a ) 。d i b 中的信息由 d s a 管理，应用程序和用户通过一个d u a 访问目录，d u a 通过目录访问协议 ( d i f e cl o r ya c c e s sp r o t o c 0 1 ) 传输目录请求到一个d s a ，目录系统代理响应 用户提出的目录服务请求。目录本身山个或多个d s a 组成，d s a 之问可以进行 通信，实现目录信息的共享；或执行提名( r e f e r r a l ) 。d s a 中的子目录树组成 d s a 之问相瓦合作，为用户和应用程序提供一个目录服务。用户和应用程序无需 知道它们访问的信息位于哪一个具体的目录服务器上，即用户应用程序可以连接 到任何一个服务器卜，可以访问任何位置的同录信息。 d i r e c t o r y a c c e s sp o i n t a c c e s sp r o t o c o l 图2 6x 5 0 0 月录模型 2 5 3 分布式目录服务 x 5 0 0 系列建议的目录服务是分布式的。个d s a 收到请求者( d s a 或d u a ) 的操作请求后，如果它本地的目录信息能够完成此操作，它就返回结果，否则 d s a 可以通过两种提名方式( r e f e r r a l s ) 响应用户请求：它可以把请求转发给 第一二审目录服务技术 存有相关目录信息的d s a ，收集它们返回的结果，再把结果送回请求者( 参见图 2 7 ) ：或者它也可以直接向请求者返回一个参考指针，告诉请求者相关的d s a 的 访问地址，由请求者自己访问该d s a ( 参见图2 8 ) 。 7 7 、( 1 ) d a pr e q u e s i d u a j 、i 一一、1 j ( 6 ) d a pr e s p o n s e l 一。 网2 7 提名至d s a 图2 8 提名至d u a ( 铺 一i 2 5 4x 5 0 0 标准的特点与不足 x 5 0 0 国际标准所规定的目录服务有以下特点： 分布性：目录信息分布在各地的计算机中，并由各组织管理，既保证了目录 信息总体结构致，又满足了分级管理的需要。 灵活性：规模可大几丁小，大到全球，小