基于LDAP的統(tǒng)一身份認(rèn)證平臺(tái)的研究與應(yīng)用

許柳威，田文雅

（浙江經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 圖書信息中心，浙江 杭州 310018）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用，以及數(shù)字化校園建設(shè)的不斷推進(jìn)，校園內(nèi)各種應(yīng)用系統(tǒng)也不斷增加，從而致使網(wǎng)絡(luò)管理，尤其是基于應(yīng)用及用戶的管理變的更加復(fù)雜。 在不同的應(yīng)用系統(tǒng)中，每個(gè)應(yīng)用系統(tǒng)都需要設(shè)置賬號(hào)，對(duì)于不同的用戶也有著不同的權(quán)限，這就帶來了許多問題，管理起來很不方便；尤其是用戶面對(duì)多個(gè)應(yīng)用系統(tǒng)需要輸入不同的賬號(hào)和密碼，不僅煩瑣不易記憶，而且容易出現(xiàn)密碼丟失等安全隱患。目前，亟需解決的主要問題是如何使校園網(wǎng)用戶只擁有一個(gè)賬號(hào)，卻可以在多個(gè)不同的應(yīng)用系統(tǒng)中登錄并使用。[1][2]

基于 LDAP（Lightweight Directory Access Protocol）的統(tǒng)一身份認(rèn)證平臺(tái)的實(shí)現(xiàn)以及應(yīng)用不僅使應(yīng)用系統(tǒng)的認(rèn)證問題以及用戶管理得到有效的解決，使校園網(wǎng)內(nèi)所有用戶的身份信息得到統(tǒng)一，還使應(yīng)用系統(tǒng)的技術(shù)難點(diǎn)得到實(shí)現(xiàn)，可見，對(duì)于解決校園網(wǎng)目前存在的主要問題，基于LDAP的統(tǒng)一身份認(rèn)證平臺(tái)具有積極重要的作用。

一、LDAP協(xié)議簡(jiǎn)介

目前主流的統(tǒng)一身份認(rèn)證方案中，都使用了目錄服務(wù)技術(shù)。作為標(biāo)準(zhǔn)的目錄服務(wù)技術(shù)中的一種，LDAP基于X.500標(biāo)準(zhǔn)（也被稱為“DAP”協(xié)議）。X.500的特點(diǎn)主要表現(xiàn)為具有層次性，其不足之處則主要體現(xiàn)在，豐富的操作以及數(shù)據(jù)模型不僅使其顯得比較笨重，還使其非常復(fù)雜，另一方面，它具有的功能十分強(qiáng)大，同時(shí)還包括了所有的查詢更新協(xié)議以及命名空間。為了解決X.500標(biāo)準(zhǔn)的不足之處，密歇根州（Michigan）大學(xué)推出了一種較為簡(jiǎn)單的基于TCP/IP協(xié)議 的DAP新版本，也就是LDAP協(xié)議。與其他協(xié)議相比，它比較簡(jiǎn)單，主要是用于Internet，同時(shí)，它還可以依據(jù)應(yīng)用的需求來進(jìn)行擴(kuò)展以及定制。LDAP協(xié)議實(shí)現(xiàn)了目錄服務(wù)在TCP/IP上的的運(yùn)行，這一點(diǎn)同時(shí)也是和X.500的不同之處。LDAP協(xié)議之所以能夠保證用戶數(shù)據(jù)量較大的情況下滿足性能上的需求，主要是因?yàn)樗鼘?duì)Internet訪問支持極其好，并且對(duì)內(nèi)容讀取、快速響應(yīng)大量的瀏覽以及快速響應(yīng)大量的瀏覽做了專門的優(yōu)化。[3]LDAP的核心規(guī)范在RFC中都有定義。[4]

與其他專門在線事務(wù)處理優(yōu)化關(guān)系型數(shù)據(jù)庫相比較，LDAP服務(wù)的數(shù)據(jù)處理速度能夠快上一個(gè)數(shù)量級(jí)，這主要是因?yàn)長(zhǎng)DAP協(xié)議具有諸多明顯的特點(diǎn)，比如，它能夠跨越不同的平臺(tái)和系統(tǒng)，不依賴任何特定的軟硬件平臺(tái)；提供了同步復(fù)制和分布式服務(wù)功能；數(shù)據(jù)處理速度比較快，層次結(jié)構(gòu)也比較清晰；具有完善的安全控制機(jī)制；軟件安裝簡(jiǎn)單，容易優(yōu)化和維護(hù)。[5]

目前，LDAP已經(jīng)被大部分的數(shù)字化校園用來作為認(rèn)證數(shù)據(jù)庫，主要是存放用戶一些基本的個(gè)人信息，比如uid，password等。由于LDAP具有實(shí)現(xiàn)容易、效率高和更容易擴(kuò)展等優(yōu)點(diǎn)，因此得到廠家的廣泛支持，被越來越多的系統(tǒng)作為標(biāo)準(zhǔn)的功能所繼承，LDAP已迅速發(fā)展成為因特網(wǎng)上事實(shí)的目錄協(xié)議標(biāo)準(zhǔn)。而對(duì)于另外一些查詢關(guān)系復(fù)雜的數(shù)據(jù)，則依然是存在于關(guān)系型的數(shù)據(jù)庫中。

二、LDAP目錄服務(wù)器存儲(chǔ)模型的目錄樹結(jié)構(gòu)

LDAP目錄服務(wù)器對(duì)于網(wǎng)絡(luò)信息的存儲(chǔ)以及提供目錄服務(wù)，主要是通過目錄數(shù)據(jù)庫來進(jìn)行的。為了能夠使用戶對(duì)信息進(jìn)行快速查找和定位，目錄數(shù)據(jù)庫對(duì)于數(shù)據(jù)的存儲(chǔ)主要是用樹狀的層次結(jié)構(gòu)。浙江經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院統(tǒng)一身份認(rèn)證平臺(tái)的用戶認(rèn)證信息的LDAP目錄服務(wù)器存儲(chǔ)模型的目錄樹結(jié)構(gòu)如圖1所示。

圖1 LDAP目錄樹結(jié)構(gòu)

在圖 1 出現(xiàn)的“dc”、“ou”、“uid”等關(guān)鍵字，它們代表了不同的含義，表列出了各關(guān)鍵字及含義。

表 關(guān)鍵字及其含義

目錄樹主要由多個(gè)條目來構(gòu)成，每個(gè)條目除了能夠?qū)τ?jì)算機(jī)、用戶賬號(hào)以及打印機(jī)等對(duì)象進(jìn)行描述，同時(shí)，還具有唯一的標(biāo)志名DN。另外，每個(gè)條目還是由多個(gè)“屬性”來組成的，比如，賬號(hào)對(duì)象可以有用戶名、密碼、E-mail地址和聯(lián)系電話等屬性，而每個(gè)屬性則能夠?qū)?yīng)一個(gè)或多個(gè)“值”，比如，聯(lián)系電話屬性能夠包括若干個(gè)值。而對(duì)于條目信息的描述，則主要是通過LDAP數(shù)據(jù)交換格式文件（LDIF），以及采用文本的形式來進(jìn)行的。

圖1所示的目錄樹中的最頂層，稱為目錄樹的基準(zhǔn)，也就是基準(zhǔn)DN。原則上，可以自由選擇基準(zhǔn)DN的格式，為了便于以后目錄樹的擴(kuò)展，通常使用DNS域名編碼作為基準(zhǔn)DN。浙江經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的DNS域名為 zjiet.edu.cn， 目錄樹的基準(zhǔn) DN即 dc=zjiet，dc=edu，dc=cn。

標(biāo)志名DN是條目的唯一標(biāo)識(shí)。該條目在LDAP目錄樹中的位置以及RDN是構(gòu)成DN最為主要的兩部分。在父節(jié)點(diǎn)下，RDN則是唯一的名稱標(biāo)識(shí)。比如，在同文件系統(tǒng)中，不帶路徑的文件名是RDN，而帶路徑的文件名就是DN。對(duì)于浙江經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院，采用的LDAP目錄樹的所有條目都是以UserID屬性作為該條目的RDN。例如，圖1中目錄樹條目2的RDN為UserID=admin，DN 為 UserID=admin，ou=administrator，dc=zjiet，dc=edu，dc=cn。

三、統(tǒng)一身份認(rèn)證服務(wù)流程

統(tǒng)一身份認(rèn)證平臺(tái)服務(wù)主要包括兩類，也就是認(rèn)證管理以及身份管理。其中，認(rèn)證管理主要是涉及校園信息門戶服務(wù)、統(tǒng)一身份認(rèn)證服務(wù)、注冊(cè)中心服務(wù)以及應(yīng)用系統(tǒng)服務(wù)等多個(gè)服務(wù)之間的相互調(diào)用。對(duì)于統(tǒng)一身份認(rèn)證服務(wù)的具體流程，如圖2所示。

圖2 統(tǒng)一身份認(rèn)證服務(wù)流程示意

（1）用戶通過使用統(tǒng)一分配的身份賬號(hào)登錄到校園信息門戶服務(wù)；

（2）校園信息門戶服務(wù)建立與用戶之間的會(huì)話，然后將與會(huì)話認(rèn)證有關(guān)的令牌信息再返回給用戶；

（3）用戶通過使用返回的認(rèn)證令牌訪問信息門戶頁面中的應(yīng)用系統(tǒng)鏈接，把認(rèn)證令牌、賬號(hào)以及門戶系統(tǒng)的賬號(hào)傳遞給統(tǒng)一認(rèn)證服務(wù)；

（4）統(tǒng)一認(rèn)證服務(wù)訪問注冊(cè)中心，查詢到校園信息門戶服務(wù)的訪問入口，并且檢驗(yàn)該賬號(hào)是否有訪問應(yīng)用系統(tǒng)的權(quán)限，接著將獲取平臺(tái)中已做好映射的門戶系統(tǒng)賬號(hào)和口令；

（5）統(tǒng)一認(rèn)證服務(wù)把申請(qǐng)消息轉(zhuǎn)發(fā)給應(yīng)用服務(wù)；

（6）校園信息門戶服務(wù)把申請(qǐng)結(jié)果返回給統(tǒng)一身份認(rèn)證服務(wù)，最后由統(tǒng)一身份認(rèn)證服務(wù)將結(jié)果返回給用戶。

而身份管理主要包含兩種服務(wù)：一是賬號(hào)映射，對(duì)用戶在教務(wù)、OA、學(xué)工以及郵件等多種應(yīng)用系統(tǒng)已經(jīng)有的賬號(hào)和統(tǒng)一身份賬號(hào)進(jìn)行映射關(guān)聯(lián)，如果用戶通過統(tǒng)一身份認(rèn)證，則可以自動(dòng)獲取權(quán)限訪問相應(yīng)的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)必須到UDDI注冊(cè)中心注冊(cè)，注冊(cè)中心給每一個(gè)應(yīng)用系統(tǒng)分配一個(gè)唯一標(biāo)志符，用于提供該系統(tǒng)的服務(wù)訪問入口，并在注冊(cè)中心登記該應(yīng)用系統(tǒng)的詳細(xì)服務(wù)描述；二是統(tǒng)一身份賬號(hào)管理，其主要功能是完成校園網(wǎng)用戶的統(tǒng)一身份賬號(hào)的創(chuàng)建、修改以及注銷，該服務(wù)主要是由校園信息門戶調(diào)用。[6]另外，身份管理不僅可以兼顧老的應(yīng)用系統(tǒng)中的用戶賬號(hào)，通過兼顧老的應(yīng)用系統(tǒng)中的用戶賬號(hào)，還可以兼顧老的應(yīng)用系統(tǒng)中的用戶賬號(hào)。

四、統(tǒng)一身份認(rèn)證平臺(tái)接口設(shè)計(jì)

1.Web Service接口認(rèn)證方案

接口使用WebService技術(shù)，調(diào)用地址如下：[7]

2.URL單點(diǎn)漫游方案

用戶在學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)登錄成功后，通過點(diǎn)擊業(yè)務(wù)系統(tǒng)的URL轉(zhuǎn)到各業(yè)務(wù)系統(tǒng)，傳遞過來的URL是類似于下面的格式：

http://127.0.0.1/default2.aspx?verify=9CE291D684D3B 582DDBCC44D9991BB94&userName=admin&strSysDatetime=2012-08-1014:27:46&jsName=department&open-Type=1&url=action.do&gnmkdm=M011

參數(shù)含義如下：

verify表示md5加密信息 (32位加密)。

userName表示用戶名。

strSysDatetime表示由學(xué)校認(rèn)證中心自動(dòng)生成的時(shí)間戳。

jsName表示用戶的角色（學(xué)生student，教師teacher，部門 department）。

openType表示系統(tǒng)的集成方式，1表示集中在框架中打開，2表示在新窗口打開。

verify=md5(userName+strKey+strSysDatetime+js-Name)

url表示認(rèn)證通過后直接指向當(dāng)前的地址，可以為空，gnmkdm表示認(rèn)證通過時(shí)直接指向到當(dāng)前功能模塊代碼的對(duì)應(yīng)頁面，可以為空。一般情況下，URL和gnmkdm只有一個(gè)參數(shù)有值和都沒有值，strKey為事先商定的握手密碼，握手密碼要求存放到表中。

認(rèn)證之前首先判斷當(dāng)前用戶是否已經(jīng)登錄，當(dāng)session值和傳入的用戶名值相等時(shí)，默認(rèn)已經(jīng)第二次登錄，不需要認(rèn)證，直接進(jìn)入系統(tǒng)。

五、統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用

浙江經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院統(tǒng)一身份認(rèn)證平臺(tái)使用的LDAP服務(wù)器和后臺(tái)數(shù)據(jù)庫分別由開源的OpenLDAP和Berkeley DB實(shí)現(xiàn)。在平臺(tái)建立起來后，目前進(jìn)行集成使用的主要有上網(wǎng)認(rèn)證客戶端、6個(gè)Web業(yè)務(wù)系統(tǒng)以及VPN系統(tǒng)。在Web業(yè)務(wù)系統(tǒng)內(nèi)，基于Java平臺(tái)和J2EE技術(shù)的有：學(xué)生工作管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)，基于PHP技術(shù)的郵件系統(tǒng)；基于ASP技術(shù)的有學(xué)校論壇；基于.NET技術(shù)架構(gòu)以及微軟Windows平臺(tái)的主要有：數(shù)字圖書館系統(tǒng)、教學(xué)管理信息系統(tǒng)。各個(gè)系統(tǒng)具有在一個(gè)界面進(jìn)行一次登錄就能夠訪問各系統(tǒng)的功能，該功能主要是通過調(diào)用后臺(tái)的統(tǒng)一身份認(rèn)證系統(tǒng)以及Web-Service接口登錄來實(shí)現(xiàn)的。系統(tǒng)不僅運(yùn)行比較可靠穩(wěn)定，同時(shí)調(diào)用也比較簡(jiǎn)單方便，從而極大地方便了用戶。

對(duì)于做了統(tǒng)一身份認(rèn)證集成的Web應(yīng)用系統(tǒng)，其登錄的界面以及統(tǒng)一身份認(rèn)證登錄的入口，如圖3所示。

圖3 統(tǒng)一身份認(rèn)證平臺(tái)登錄窗口

圖4是以作者身份登錄數(shù)字化校園統(tǒng)一身份認(rèn)證平臺(tái)后的首頁，里面有6個(gè)已經(jīng)集成統(tǒng)一身份認(rèn)證的業(yè)務(wù)系統(tǒng)名稱。實(shí)現(xiàn)統(tǒng)一身份認(rèn)證后，可以直接在這里訪問這些業(yè)務(wù)系統(tǒng)。用戶不需要另外記憶6個(gè)業(yè)務(wù)系統(tǒng)的用戶名和口令，非常方便。

點(diǎn)擊圖4右上角“安全中心”鏈接，進(jìn)入個(gè)人自助服務(wù)頁面，用戶可以自行修改密碼，可以通過正確回答預(yù)先設(shè)定好的密碼找回問題來重設(shè)密碼。

六、結(jié)束語

圖4 統(tǒng)一身份認(rèn)證平臺(tái)主窗口

統(tǒng)一身份認(rèn)證平臺(tái)主要的作用是：它不僅可以解決多個(gè)應(yīng)用系統(tǒng)之間用戶不統(tǒng)一的問題，還能夠解決權(quán)限控制不統(tǒng)一的問題。本文對(duì)于如何應(yīng)用基于LDAP協(xié)議的目錄服務(wù)，以及在校園網(wǎng)建立統(tǒng)一身份認(rèn)證平臺(tái)實(shí)現(xiàn)在多個(gè)應(yīng)用系統(tǒng)中用戶身份的統(tǒng)一認(rèn)證進(jìn)行了初步探討，并給出了具體的系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)。大量實(shí)踐結(jié)果表明：統(tǒng)一身份認(rèn)證平臺(tái)在為用戶提供極大方便的同時(shí)，也使對(duì)用戶的統(tǒng)一集中管理得到了實(shí)現(xiàn)，并且使應(yīng)用系統(tǒng)的可靠性和安全性得到了很大的提高。

[1]賀超波,陳啟買,歐陽輝.數(shù)字化校園門戶平臺(tái)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2008(12):25-28.

[2]段海波.高校數(shù)字化校園的統(tǒng)一身份認(rèn)證解決方案[J].中國(guó)教育信息化,2010(17):43-46.

[3]許鑫,蘇新寧,陸炯.數(shù)字化校園身份認(rèn)證系統(tǒng)的設(shè)計(jì)[J].現(xiàn)代圖書情報(bào)技術(shù),2005(4):51-57.

[4]M.Wahl,T.Howes,S.Kille.Lightweight Directory Access Protocol(V3)[S].IE TF RFC 2251.NetworkWorking Group,1997.

[5]常潘,沈富可.基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2007,33(5):281-282.

[6]What is UDDI?[EB/OL].http://uddi.xml.org/node/96,2006.08.28.

[7]Web Services Architecture.[EB/OL].http://www.w3.org/TR/ws-arch/,2004.02.11.