基于LDAP的B／S應(yīng)用系統(tǒng)權(quán)限管理＊

張 軒 余 亮

（中國電子科技集團公司第二十八研究所 南京 210007）

1 引言

與C／S系統(tǒng)相比，B／S系統(tǒng)中的權(quán)限更為重要，C／S系統(tǒng)具有特殊的客戶端，權(quán)限管理可通過客戶端或客戶端＋服務(wù)器檢測實現(xiàn)，而B／S系統(tǒng)中，每臺計算機都擁有瀏覽器功能，如果不建立完整的權(quán)限檢測機制，非法用戶可能通過瀏覽器輕易訪問到B／S系統(tǒng)中的所有功能。因此需在B／S業(yè)務(wù)系統(tǒng)中建立健壯的權(quán)限管理體系，經(jīng)過授權(quán)的用戶可以正常合法的使用已授權(quán)功能，未經(jīng)授權(quán)的非法用戶將被拒之門外。本文基于 RBAC（Role－Based policies Access Control）—基于角色的訪問控制，結(jié)合輕量級目錄訪問服務(wù)（LDAP）對所存儲的權(quán)限信息元素快速讀寫的優(yōu)勢，探索B／S應(yīng)用系統(tǒng)權(quán)限設(shè)計方案。

RBAC是由NIST（National Institute of Standards and Technology）美國國家標準與技術(shù)研究院提出，其主要思想可簡單地用圖1來表示［1］。

圖1 RBAC模型

在RBAC基本思想中，訪問控制過程分成兩步：訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，實現(xiàn)用戶與訪問權(quán)限的邏輯分離。

用戶與訪問權(quán)限的邏輯分離，極大方便了權(quán)限管理。在實際應(yīng)用中，如果一個用戶的職位發(fā)生變化，只要將用戶當前角色剔除，加入代表新職務(wù)或新任務(wù)的角色即可。角色／權(quán)限之間的變化比角色／用戶關(guān)系之間的變化相對要慢，而且配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，所以由專門的技術(shù)人員來承擔(dān)；而委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，這與現(xiàn)實中情況一致。

LDAP是一個新的目錄訪問協(xié)議，它是在繼承了X.500標準的所有優(yōu)點的基礎(chǔ)上發(fā)展起來的一個基于TCP／IP體系的目錄服務(wù)協(xié)議，也是目前在網(wǎng)絡(luò)上應(yīng)用最為廣泛的目錄服務(wù)協(xié)議［4］。與UNIX的文件系統(tǒng)類似，在LDAP中目錄按照樹型結(jié)構(gòu)來組織，該樹型結(jié)構(gòu)稱為目錄信息樹（DirectoryInformation Tree，DIT）。LDAP標準定義了目錄中訪問信息的協(xié)議，規(guī)定了信息的形式和特性、信息存放的索引和組織方式、分布式的操作模型，并且使LDAP協(xié)議本身和信息模型都是可以被擴展的。LDAP目錄中可以存放如文本、圖片、URL、二進制數(shù)據(jù)、證書等不同類型的數(shù)據(jù)。LDAP樹狀信息中的基本數(shù)據(jù)單元稱為條目（Entry），條目可以理解為關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有標識名（Distinguished Name，DN）的屬性（Attribute）集合，DN 可以理解為關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（Primary Key）；屬性由類型（Type）和多個值（Values）組成。LDAP中的屬性可以理解為關(guān)系數(shù)據(jù)庫中的域（Field），域由域名和數(shù)據(jù)類型組成，在LDAP中為了便于檢索類型（Type），一個類型（Type）可以同時擁有多個值（Value）。和關(guān)系數(shù)據(jù)一樣，LDAP服務(wù)器也是用來處理查詢和更新的，但LDAP與關(guān)系數(shù)據(jù)庫具有較大的不同，LDAP不具有關(guān)系數(shù)據(jù)庫完備的關(guān)系運算處理能力，也沒有很強的數(shù)值計算能力。但是LDAP目錄服務(wù)對讀、瀏覽和搜索等操作進行了優(yōu)化［2］。

2 基于LDAP的權(quán)限設(shè)計

常規(guī)B／S應(yīng)用系統(tǒng)權(quán)限管理設(shè)計方案，其權(quán)限管理元素（組織機構(gòu)、角色、人員、權(quán)限信息）存儲于關(guān)系型數(shù)據(jù)庫中，存在的弊端顯而易見：數(shù)據(jù)庫需不斷進行數(shù)據(jù)類型的驗證和事務(wù)完整性的確認；角色、人員、權(quán)限信息的關(guān)系通過表的關(guān)聯(lián)體現(xiàn)，頻繁的數(shù)據(jù)訪問使得前端用戶對數(shù)據(jù)的控制不夠靈活［5］。

輕量級目錄服務(wù)協(xié)議（LDAP）的推出解決了上述問題。主要優(yōu)勢體現(xiàn)在：

1）與關(guān)系數(shù)據(jù)庫相比，LDAP的檢索性能更加迅速，對讀、瀏覽和搜索進行了優(yōu)化，主要面向數(shù)據(jù)的查詢服務(wù)（查詢和修改操作比一般是大于10∶1），快速響應(yīng)和大容量查詢并且提供多目錄服務(wù)器的信息復(fù)制功能［3］。

2）提供多目錄服務(wù)器的信息復(fù)制功能。

3）角色、人員、權(quán)限信息關(guān)系通過目錄節(jié)點之間的相互引用體現(xiàn)，與通過數(shù)據(jù)表體現(xiàn)方式相比更加簡化。

4）同時，LDAP協(xié)議是跨平臺的協(xié)議，是開放的Internet標準，因此得到了業(yè)界的廣泛認可。

基于LDAP的權(quán)限管理目錄體系如圖2所示。

圖2 基于LDAP的權(quán)限數(shù)據(jù)元素存儲關(guān)系

1）Users目錄用于管理所有的用戶，保存用戶的基本信息。

2）Groups目錄用于管理系統(tǒng)中所有的組織機構(gòu)（崗位）。組織機構(gòu)節(jié)點下可包含下級的組織機構(gòu)，體現(xiàn)組織機構(gòu)在部門內(nèi)部的上下級關(guān)系。

3）Roles目錄存儲系統(tǒng)中的角色信息。

4）Permissions目錄存儲系統(tǒng)中的權(quán)限信息，可進一步分解為功能權(quán)限信息與資源權(quán)限信息。

圖2中虛箭頭體現(xiàn)了各類型節(jié)點（組織機構(gòu)、角色、人員、權(quán)限）在權(quán)限管理模型中的相互關(guān)系，在LDAP的配置文件中，各節(jié)點屬性定義如圖3所示。

圖2是體現(xiàn)了存儲結(jié)構(gòu)與存儲關(guān)系，圖3是圖2的權(quán)限數(shù)據(jù)元素存儲關(guān)系在LDAP服務(wù)器中配置文件的定義。

LDAP目錄中的信息是按照樹型結(jié)構(gòu)組織的，具體信息存儲在條目（entry）的數(shù)據(jù)結(jié)構(gòu)中。條目包含了多個屬性，每個屬性由一個類型和多個值構(gòu)成。每個條目使用一個識別名（DN）標識，每個條目DN的各個元素稱為相對識別名（RDN）。這個樹型結(jié)構(gòu)類似于文件系統(tǒng)，RDN相當于文件，DN相當于文件的絕對路徑。

圖3 目錄節(jié)點的LDAP描述文件定義

3 實際解決方案

在更多的場景中，需要對原有B／S系統(tǒng)、現(xiàn)有B／S系統(tǒng)進行集成，提供統(tǒng)一的權(quán)限管理體系和展現(xiàn)界面，需要結(jié)合單點登錄技術(shù)（SSO）、門戶技術(shù)一起構(gòu)建模型，模型描述如圖4所示［7］。

圖4 統(tǒng)一的權(quán)限管理體系

權(quán)限數(shù)據(jù)、用戶（組織機構(gòu)）、角色數(shù)據(jù)存入LDAP服務(wù)器，并通過圖2中LDAP節(jié)點之間的引用關(guān)系，建立實際的RBAC模型。

用戶進入門戶時，B／S應(yīng)用系統(tǒng)的訪問控制功能對訪問者進行身份認證，通過讀取LDAP服務(wù)器中的目錄數(shù)據(jù)（組織機構(gòu)、用戶、權(quán)限數(shù)據(jù)），合法用戶將被賦予相應(yīng)的系統(tǒng)訪問權(quán)限。當合法用戶通過門戶系統(tǒng)訪問內(nèi)部的B／S應(yīng)用系統(tǒng)時，訪問控制功能將在跨系統(tǒng)訪問中提供單一登錄（“一次鑒權(quán)”）的服務(wù)機制。即系統(tǒng)自動記錄用戶當前身份信息，并在登錄新的應(yīng)用系統(tǒng)時將記錄用戶的身份，各應(yīng)用系統(tǒng)支持單點登錄機制并認可接收用戶身份信息，使用者無需再登錄用戶身份認證信息即可登錄此系統(tǒng)［4］。

進入門戶后，如訪問新研系統(tǒng)，會話Session里存放有登錄的用戶名、該用戶所屬組織機構(gòu)信息、該用戶具有的訪問新研系統(tǒng)的權(quán)限，這些信息在單點登錄過程中從LDAP服務(wù)器中獲取，新研系統(tǒng)依據(jù)這些信息（尤其是用戶權(quán)限訪問信息），提供相應(yīng)功能展示［8］。

進入門戶后，如訪問原有系統(tǒng)，會話Session里只存放有登錄的用戶名、該用戶所屬組織機構(gòu)信息，這些信息在單點登錄過程中從LDAP服務(wù)器中獲取，但無法從LDAP服務(wù)器中獲取該用戶具有的訪問原有系統(tǒng)的權(quán)限，通過在原有系統(tǒng)內(nèi)部增加一個過濾器，在不改動原有用戶權(quán)限數(shù)據(jù)庫前提下，將原有系統(tǒng)的用戶權(quán)限信息與登錄門戶的用戶信息做映射，達到集成的目的。

這種集成方式無需改造原有系統(tǒng)的權(quán)限管理體制，但是需要在過濾器里維護足夠的用戶映射關(guān)系。過濾器的工作模式如圖5所示。

圖5 過濾器工作模式圖

圖5簡要描述了過濾器的映射關(guān)系模型，以及通過單點登錄認證的用戶如何利用映射關(guān)系訪問原有B／S應(yīng)用系統(tǒng)。事實上，如果原有系統(tǒng)的權(quán)限管理體系足夠復(fù)雜，單靠上圖的模型是遠遠不夠的，需要用戶在過濾器里維護足夠復(fù)雜的映射關(guān)系。

4 結(jié)語

與常規(guī)基于關(guān)系數(shù)據(jù)庫的權(quán)限管理體系相比，RBAC（基于角色的訪問控制）實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，權(quán)限指派流程更加清晰，便于信息系統(tǒng)管理員維護；同時權(quán)限信息元素存儲于輕量級目錄訪問服務(wù)（LDAP）中，大幅縮減了對數(shù)據(jù)庫的訪問，提高了系統(tǒng)的訪問控制運行效率，是未來基于B／S架構(gòu)的大型管理信息系統(tǒng)權(quán)限控制所采用一項核心技術(shù)［9］。

目錄服務(wù)（LDAP）被視為網(wǎng)絡(luò)應(yīng)用發(fā)展的下一個核心技術(shù)，具備良好的跨平臺能力，有廣闊的應(yīng)用前景，隨著國產(chǎn)化、網(wǎng)絡(luò)化進程，以LDAP為代表的目錄服務(wù)，以其簡單、高效、低成本的優(yōu)勢，提供了一種統(tǒng)一而簡便的網(wǎng)絡(luò)資源管理和組織技術(shù)。

使用目錄服務(wù)來實現(xiàn)系統(tǒng)權(quán)限管理只是目錄服務(wù)的一個簡單應(yīng)用。目錄服務(wù)是一個具有強大功能和潛力的新技術(shù)，它的應(yīng)用不僅僅限于系統(tǒng)權(quán)限管理，我們還可以利用LDAP作名錄解析、視頻會議、信息資源查詢等。

新一代的基于B／S架構(gòu)信息管理系統(tǒng)將基于國產(chǎn)化的軟硬件平臺，目錄服務(wù)（LDAP）為名錄服務(wù)提供一種高效的解決方案。

LDAP的諸多特性為跨平臺名錄服務(wù)的開發(fā)提供了可行性條件，具體體現(xiàn)在［11］：

1）提供了一個操作系統(tǒng)和應(yīng)用程序需要的信息服務(wù)模型，可以被許多平臺和應(yīng)用程序接收和實現(xiàn)。于此，可基于LDAP開發(fā)新的名錄服務(wù)，運行在不同操作系統(tǒng)之上的遺留業(yè)務(wù)系統(tǒng)可以跨平臺訪問名錄服務(wù)，有效整合現(xiàn)有資源，避免重復(fù)開發(fā)，降低成本。

2）使用項、對象類、屬性等概念和模式來描述信息，可以滿足未來名錄服務(wù)各級名錄項的多種屬性定義，便于依據(jù)需求的進展擴充名錄項，形成一個開放的名錄服務(wù)體系。

3）LDAP使用目錄信息樹結(jié)構(gòu)和層次命名模型：在分布性方面，目錄信息都可以分布在一個目錄服務(wù)器中，這些服務(wù)器可以由各組織管理，既保證了目錄信息總體結(jié)構(gòu)的一致性，又滿足了分級管理的需要；LDAP的X.525協(xié)議支持各級LDAP服務(wù)器的數(shù)據(jù)復(fù)制。利用LDAP的分布性和可復(fù)制性，未來的名錄服務(wù)可以實現(xiàn)分級管理、按需同步、統(tǒng)一授權(quán)。

4）LDAP所提供的基于安全加密方式的認證機制，為未來名錄服務(wù)安全可靠的同步傳輸提供技術(shù)保障。

［1］覃章榮，王強，歐鑌進，等.基于角色的權(quán)限管理方法的改進與應(yīng)用［J］.計算機工程與設(shè)計，2007，28（3）：1282－1284.

［2］李馥娟.基于LDAP的統(tǒng)一身份認證系統(tǒng)的設(shè)計［J］.中國新通信，2009（5）：48－50.

［3］胡開勝.LDAP協(xié)議在數(shù)字圖書館統(tǒng)一身份認證系統(tǒng)中的應(yīng)用［J］.電腦知識與技術(shù)，2010，6（10）：2334－2336.

［4］張輝，楊岳湘，汪詩林，等.數(shù)字校園中基于LDAP的統(tǒng)一用戶身份管理技術(shù)研究［J］.計算機工程與科學(xué)，2005，27（1）：14－17.

［5］付珊，李寧，來競，等.一種面向LDAP的目錄查詢語言DQL［J］.計算機與數(shù)字工程，2008，36（1）：23－25.

［6］李冰，原野.LDAP目錄服務(wù)在統(tǒng)一身份認證系統(tǒng)中的應(yīng)用［J］.信息技術(shù)，2005（1）：68－71.

［7］尹文平，蘭雨晴，高靜，等.基于LDAP的用戶統(tǒng)一身份認證管理系統(tǒng)的設(shè)計與實現(xiàn)［J］.計算機系統(tǒng)應(yīng)用，2005（10）：18－21.

［8］李翔，晁愛農(nóng)，劉孟強，等.LDAP的研究及其在統(tǒng)一身份認證系統(tǒng)中的應(yīng)用［J］.計算機應(yīng)用，2008，28：1－3.

［9］吳潔明，周寧.基于LDAP的信息共享平臺的研究與實現(xiàn)［J］.計算機應(yīng)用，2008，28（4）：26－29.

［10］王居柱，侯彤璞，孫明柱.基于Struts－Hibernate架構(gòu)的權(quán)限管理系統(tǒng)的設(shè)計與實現(xiàn)［J］.計算機與數(shù)字工程，2011（4）.

［11］肖琬蓉，楊生舉.基于LDAP的統(tǒng)一用戶認證系統(tǒng)的設(shè)計與實現(xiàn)［J］.計算機科學(xué)，2008，35（5）：298－301.