摘 要：隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的普及，在身份認(rèn)證的過(guò)程中，認(rèn)證系統(tǒng)的可擴(kuò)展性、訪問(wèn)效率、安全可靠性等各方面都是需要考慮的問(wèn)題，而采用相應(yīng)的目錄結(jié)構(gòu)和目錄安全機(jī)制能有效解決這些問(wèn)題，本文針認(rèn)證信息存儲(chǔ)模塊主要包含的內(nèi)容，提出了一些可行的方案，并加以分析、總結(jié)。

關(guān)鍵詞：身份認(rèn)證；信息存儲(chǔ)；目錄

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言（Introduction）

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的逐漸普及，各種應(yīng)用系統(tǒng)逐漸增多，校園網(wǎng)應(yīng)用系統(tǒng)[1]在提供更高層次服務(wù)同時(shí)，對(duì)于用戶身份認(rèn)證，用戶服務(wù)權(quán)限的要求相應(yīng)的提高，原來(lái)每個(gè)服務(wù)系統(tǒng)各自為政的身份認(rèn)證方式難以達(dá)到這個(gè)要求。如何進(jìn)行用戶身份信息的存儲(chǔ)管理，才能實(shí)現(xiàn)用戶身份認(rèn)證的可靠性、獨(dú)立性和安全性？

用戶注冊(cè)信息的存儲(chǔ)采用基于LDAP協(xié)議的規(guī)劃設(shè)計(jì)，通過(guò)基于LDAP協(xié)議目錄服務(wù)的Sun One Directory Server的目錄進(jìn)行存儲(chǔ)，繼承了Solaris操作系統(tǒng)的桌面化批量管理和目錄的安全可靠等各方面的優(yōu)點(diǎn)。認(rèn)證信息存儲(chǔ)模塊的各種規(guī)劃與設(shè)計(jì)，為用戶統(tǒng)一身份認(rèn)證[2]系統(tǒng)的訪問(wèn)效率性、安全可靠性、可擴(kuò)展性等方面都提供了有力的保障。

2 認(rèn)證信息目錄存儲(chǔ)分析（Authentication

information of directory stores analysis）

認(rèn)證信息存儲(chǔ)模塊的主要包含內(nèi)容：目錄信息樹設(shè)計(jì)、屬性和對(duì)象類設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、目錄安全機(jī)制的設(shè)計(jì)、目錄結(jié)構(gòu)規(guī)劃、Sun One Directory Server目錄存儲(chǔ)。

2.1 LDAP協(xié)議目錄

LDAP[3]就是輕量級(jí)目錄訪問(wèn)協(xié)議的意思，是由美國(guó)Michigan大學(xué)研發(fā)的一種新的信息目錄訪問(wèn)協(xié)議，目錄服務(wù)中的目錄對(duì)象可以代表管理系統(tǒng)中的資源信息、組織信息和人員信息等，LDAP幾乎可以存儲(chǔ)所有類型的數(shù)據(jù)：NIS映射、電子郵件地址、聯(lián)系人信息列表、DNS信息和電話等信息。LDAP中的目錄由一個(gè)個(gè)條目組成，每個(gè)條目類似于關(guān)系數(shù)據(jù)庫(kù)中的表記錄，所有條目是具有別名DN的屬性集合。LDAP協(xié)議集還規(guī)定了所有DN的存取控制方法、搜索格式、復(fù)制方法、命名方法等。

目錄與一般的關(guān)系數(shù)據(jù)庫(kù)是有區(qū)別的，它并不是表達(dá)復(fù)雜的對(duì)象聯(lián)系，也不是處理頻繁的數(shù)據(jù)更新及。相反的，在對(duì)目錄的操作請(qǐng)求過(guò)程中，更新請(qǐng)求頻率是遠(yuǎn)遠(yuǎn)低于查找請(qǐng)求頻率的，因此，目錄一般都要針對(duì)查找進(jìn)行優(yōu)化，以存儲(chǔ)大量相對(duì)靜態(tài)的數(shù)據(jù)，以便適合系統(tǒng)對(duì)用戶注冊(cè)信息的頻繁讀取、查找等操作。目錄一般按層次采用樹狀模型，它能使存儲(chǔ)在里面的信息以一個(gè)有序的整體呈現(xiàn)在用戶面前，從而在一定程度上簡(jiǎn)化了網(wǎng)絡(luò)資源和網(wǎng)絡(luò)信息的集中管理。

在起初選擇用戶注冊(cè)信息存儲(chǔ)方式時(shí)，對(duì)比目錄存儲(chǔ)和關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)的優(yōu)缺點(diǎn)，總結(jié)LDAP目錄存儲(chǔ)在一下幾個(gè)方面具有更大優(yōu)勢(shì)：首先是讀寫操作方面，在LDAP中的數(shù)據(jù)處理主要是進(jìn)行“讀/查詢”操作，所以一般存放相對(duì)變化不大的數(shù)據(jù)信息，同時(shí)對(duì)讀操作進(jìn)行了優(yōu)化處理；而關(guān)系型數(shù)據(jù)庫(kù)在設(shè)計(jì)上必須讀寫兼顧，因?yàn)殛P(guān)系型數(shù)據(jù)庫(kù)中存在著大量數(shù)據(jù)的更新操作；其次是擴(kuò)展性方面，LDAP可以根據(jù)新的需要和應(yīng)用進(jìn)行擴(kuò)展，而關(guān)系型數(shù)據(jù)庫(kù)中的基本數(shù)據(jù)類型很難擴(kuò)展；再次，在性能方面，一個(gè)大型LDAP系統(tǒng)對(duì)目錄整體的訪問(wèn)需要在每秒幾千個(gè)到幾萬(wàn)個(gè)查詢，并且這些查詢通常比關(guān)系型數(shù)據(jù)庫(kù)的處理簡(jiǎn)單的多，而一個(gè)大型關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)每秒大概能處理幾百個(gè)查詢事務(wù)。因?yàn)橄到y(tǒng)的開源特性使然，存在一定的不穩(wěn)定性，所以，LDAP對(duì)該系統(tǒng)并非最佳選擇，結(jié)合如上優(yōu)點(diǎn)，本文采用目錄結(jié)構(gòu)存儲(chǔ)用戶注冊(cè)信息，提出如下三種解決方案：

Windows平臺(tái)下的目錄服務(wù)，活動(dòng)目錄（Active Directory）是Windows 2000 Server及其更高版本的集成服務(wù)，是Windows 2000網(wǎng)絡(luò)中目錄服務(wù)的實(shí)現(xiàn)方式，使一種網(wǎng)絡(luò)服務(wù)，它存儲(chǔ)網(wǎng)絡(luò)資源的信息并使得用戶和應(yīng)用程序能訪問(wèn)這些資源，該目錄服務(wù)基于Windows系統(tǒng)下。雖然，功能強(qiáng)大，設(shè)計(jì)完善，但是因?yàn)閃indows易于被攻擊，其安全性能稍差；GNU/Linux平臺(tái)下的OpenLDAP目錄服務(wù)，OpenLDAP目錄服務(wù)是開放源代碼，易于理解系統(tǒng)架構(gòu)技術(shù)細(xì)節(jié)，也能在社區(qū)及時(shí)同核心開發(fā)人員取得聯(lián)系，是一種靈活支持所有授權(quán)方式的產(chǎn)品，而且被默認(rèn)集成到了Redhat Linux下，帶有OpenLDAP安裝軟件。

因?yàn)槠溟_源的特性，存在一定的不穩(wěn)定性，所以，該產(chǎn)品并非最佳選擇；Solaris平臺(tái)下的目錄服務(wù)，Sun ONE Directory Server是功能強(qiáng)大且具伸縮性的分布式目錄服務(wù)其，它基于符合工業(yè)標(biāo)準(zhǔn)的輕型目錄訪問(wèn)協(xié)議。是構(gòu)建集中化與分布式數(shù)據(jù)庫(kù)的基礎(chǔ)，這樣建立的數(shù)據(jù)庫(kù)可用于內(nèi)部網(wǎng)，也可跨越外聯(lián)網(wǎng)從而實(shí)現(xiàn)與商業(yè)合作伙伴共享數(shù)據(jù)資源，其性能優(yōu)越，穩(wěn)定性高，適合為企業(yè)級(jí)用戶服務(wù)。

本文中的系統(tǒng)完成之后將用于校園網(wǎng)用戶注冊(cè)信息的存儲(chǔ)，需要在安全性、穩(wěn)定性、可靠性等各方面提出更高要求，綜合考慮之后，本文選擇第三種方案。因?yàn)?，Solaris操作系統(tǒng)在穩(wěn)定性、安全性等方面是經(jīng)得住考驗(yàn)的，為企業(yè)級(jí)用戶提供的目錄服務(wù)經(jīng)過(guò)了商業(yè)的考驗(yàn)更加可靠和穩(wěn)定。

2.2 目錄結(jié)構(gòu)規(guī)劃

為了使系統(tǒng)的目錄服務(wù)能更加靈活、更加可靠地完成用戶認(rèn)證信息的存儲(chǔ)，必須重新規(guī)劃目錄的結(jié)構(gòu)。一般的系統(tǒng)采用以服務(wù)為輔助的方式進(jìn)行設(shè)計(jì)，先開發(fā)存儲(chǔ)，再開發(fā)應(yīng)用。上一代目錄以服務(wù)為基礎(chǔ)，而新的目錄將以信息為基礎(chǔ)。

LDAP把語(yǔ)法、匹配規(guī)則、屬性類型和對(duì)象類等統(tǒng)稱為Schema。這些系統(tǒng)Schema都在LDAP標(biāo)準(zhǔn)中進(jìn)行了規(guī)定，而且在不同的應(yīng)用領(lǐng)域也定義各自不同的Schema，用戶在應(yīng)用時(shí)可以根據(jù)需要自定義Schema。RFC2798定義了一個(gè)名為Inetorgperson的LDAP對(duì)象類以及一組該對(duì)象類可用的屬性，這些屬性都是目錄服務(wù)中經(jīng)常用到的一個(gè)人的常用信息。如：Given Name（名字）、Department Number（部門編號(hào)）、Telephone Number（電話號(hào)碼）、Mail（郵件）、Uid（用戶標(biāo)識(shí)號(hào)）。根據(jù)實(shí)際應(yīng)用，標(biāo)準(zhǔn)的屬性只是為記錄用戶信息的典型的目錄服務(wù)而提供的，而已有的屬性所能表示的信息是不夠的，如果想要要將其擴(kuò)展到滿足廣泛的對(duì)基礎(chǔ)信息的管理，就需要對(duì)LDAP的schema進(jìn)行一些補(bǔ)充設(shè)計(jì)。endprint

要想存儲(chǔ)和管理各應(yīng)用系統(tǒng)的用戶名和密碼，唯一用于區(qū)分用戶身份的節(jié)點(diǎn)就是OU，通過(guò)判斷OU=Student、OU=Teacher或者OU=VIP來(lái)判斷是學(xué)生、教師或者其他身份，至于用戶在各個(gè)系統(tǒng)中的身份、角色、權(quán)限，完全由應(yīng)用系統(tǒng)中存儲(chǔ)的該用戶的信息來(lái)決定。

Sun One Directory Server目錄在節(jié)點(diǎn)上的設(shè)置有個(gè)很大的優(yōu)點(diǎn)，默認(rèn)情況下，目錄本身就定義了100多個(gè)節(jié)點(diǎn)，可以根據(jù)自己的需要隨意擴(kuò)充，本文就采用了使用SN表示學(xué)號(hào)，GiverName表示身份證號(hào)，這樣就可以根據(jù)用戶對(duì)目錄節(jié)點(diǎn)的需要，適當(dāng)?shù)倪M(jìn)行增加節(jié)點(diǎn)數(shù)量，以此滿足了用戶對(duì)系統(tǒng)擴(kuò)充的需要。

2.3 目錄安全機(jī)制

LDAP與關(guān)系數(shù)據(jù)庫(kù)很重要的一個(gè)區(qū)別就在于LDAP提供了強(qiáng)有力的安全模型。它的安全模型主要通過(guò)安全通道、訪問(wèn)控制和身份認(rèn)證等來(lái)實(shí)現(xiàn)。LDAP的訪問(wèn)控制機(jī)制非常豐富而靈活，它是通過(guò)訪問(wèn)控制列表ACL實(shí)現(xiàn)的，而關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)通常采用基于角色或者用戶組進(jìn)行權(quán)限控制。

LDAP的安全認(rèn)證可以通過(guò)RFC2246來(lái)實(shí)現(xiàn)，RFC2246定義了TLS，它使用X.509證書向上層提供安全的數(shù)據(jù)傳輸，對(duì)傳輸層數(shù)據(jù)進(jìn)行加密。為了使系統(tǒng)具有完備的安全機(jī)制，同時(shí)又能適用于分布式環(huán)境，應(yīng)該使用在傳輸層進(jìn)行數(shù)據(jù)完整性和數(shù)據(jù)私密性保護(hù)，因此身份認(rèn)證平臺(tái)認(rèn)證系統(tǒng)采用基于公鑰體制的TLS認(rèn)證方式比較好。

2.4 Sun One Directory Server目錄存儲(chǔ)

Sun One Directory Server的目錄服務(wù)采用LDAP協(xié)議，LDAP協(xié)議的查詢效率很高，即使是上百萬(wàn)用戶，查詢速度也極快；目錄采用節(jié)點(diǎn)結(jié)構(gòu)，Sun目錄本身已經(jīng)自定義了100多個(gè)節(jié)點(diǎn)，便于用戶系統(tǒng)的使用和擴(kuò)充；該目錄服務(wù)，作為一個(gè)整體來(lái)講更具優(yōu)勢(shì)，它采用分布式結(jié)構(gòu)，更加開放，形成的客戶資料全部由用戶系統(tǒng)自己掌握，增加了安全性；在項(xiàng)目實(shí)施過(guò)程中，Sun One Directory Server給人印象最深的就是開放性，它在管理上的伸縮性優(yōu)于其他同類產(chǎn)品。

系統(tǒng)的Sun One Directory Server安裝在Solaris9.0操作系統(tǒng)上，從服務(wù)器選擇、操作系統(tǒng)選擇、目錄存儲(chǔ)軟件選擇完全采用Sun公司的產(chǎn)品，在系統(tǒng)穩(wěn)定性，安全性，可靠性上都得到了最大限度的保障。

當(dāng)服務(wù)器端solaris版本安裝完畢之后，建議安裝一個(gè)Windows版本的客戶端，便于遠(yuǎn)程管理，Windows版本的客戶端安裝相對(duì)簡(jiǎn)單，這樣可以通過(guò)客戶端連接對(duì)目錄服務(wù)進(jìn)行操作。

Sun One Directory Server功能十分強(qiáng)大，在目錄存儲(chǔ)方面，很多管理都可以在客戶端完成，下面針對(duì)各個(gè)不同功能介紹如下：Tasks選擇下，可以啟動(dòng)、停止、重啟Directory Server；可以直接采用Sun One提供的備份、恢復(fù)工具完成對(duì)目錄的備份恢復(fù)工作，安全、可靠、方便、簡(jiǎn)單；關(guān)于LDIF的導(dǎo)入、導(dǎo)出可以用于批量用戶的導(dǎo)入。

LDIF即為L(zhǎng)DAP Data Interchange Format，它是以文本的形式描述目錄信息樹中各個(gè)條目的詳細(xì)信息。信息的許多操作如數(shù)據(jù)導(dǎo)入、導(dǎo)出、添加、修改、拷貝等都是基于LDIF文件進(jìn)行的，所以LDAP是目錄樹信息交換的基礎(chǔ)。

3 結(jié)論（Conclusion）

通過(guò)上述LDIF可以得知，日常維護(hù)過(guò)程中，可以通過(guò)導(dǎo)出目錄服務(wù)的LDIF來(lái)實(shí)現(xiàn)目錄的備份和恢復(fù)工作。本文批量導(dǎo)入用戶的方法，就是采用將用戶根據(jù)上述節(jié)點(diǎn)要求，用自己開發(fā)的程序，將用戶相關(guān)信息寫成LDIF能夠識(shí)別的格式，然后采用LDIF導(dǎo)入，即實(shí)現(xiàn)了用戶的批量導(dǎo)入，同樣道理，Sun One Directory Server可以實(shí)現(xiàn)用戶的批量導(dǎo)出。

通過(guò)這樣的存儲(chǔ)，基本上能保證各種統(tǒng)一身份認(rèn)證系統(tǒng)的可擴(kuò)展性、訪問(wèn)效率、安全可靠性等各方面要求，是一種比較行之有效的管理模式。

參考文獻(xiàn)（References）

[1] 任河，李杰.資源訪問(wèn)控制與統(tǒng)一身份認(rèn)證技術(shù)的研究[J].機(jī)

電產(chǎn)品開發(fā)與創(chuàng)新，2004（6）：9-11.

[2] 李冰，袁野.LDAP目錄服務(wù)在統(tǒng)一身份認(rèn)證系統(tǒng)中的應(yīng)用[J].

信息技術(shù)，2005（1）：68-71.

[3] 孫超，陳鋼.基于Agent技術(shù)的統(tǒng)一身份認(rèn)證系統(tǒng)[J].計(jì)算機(jī)應(yīng)

用研究，2005（3）：138-140.

作者簡(jiǎn)介：

吳克文（1980-），男，碩士，講師.研究領(lǐng)域：電腦芯片級(jí)維

修，數(shù)據(jù)恢復(fù)，網(wǎng)絡(luò)技術(shù).endprint