请使用微信扫描二维码登录

基于LDAP的统一授权会员登录管理系统统的设计和实现

Y 890082分类号：TP393单位代码：10005学号：S密级：公开北京工业大学硕士学位论文题目基王丛坠里数筮二援拯笪堡丕筮敛遮盐塑塞现英文并列堕釜!盟婴!塑幽鱼塑丛!型鲤盟幽1题目I_ITHORIZAT工0N船iAG日舳巳NT SYSTEM BASED ON LDAP研究生姓名：筮亚县专业：让篡扭廛旦技苤研究方姠：进簋扭圜塑撞丕丛基厘旦导师姓名：蕉丞基职称：副煎援论文报告提交日期2Q盟生旦学位授予日期2QQ!生旦授予单位名称和地址jt塞互些盘堂IE基亘型圈匡罡压旦!鲤呈摘要授权管理基础设施(Pri、，ilege MaIlagement hl臃tnlcturePMI)的目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。目前国内的PMI研究刚起步，通过对该技術进行研究开发自己的PMI产品已经刻不容缓。论文首先介绍了PMI、LDAP(Light Directory Access Protocol轻量级目录访问协议)在国内外研究现状，分析了PMI的系统结构和u)AP基本原理其次，针对如何设计统一授权会员登录管理系统统进行阐述该系统主要包括属性证书管理、权限分配和访问控制。系统把用户信息、資源信息、角色信息等用于访问控制的信息统一管理起来使用属性证书管理用户的访问权限。属性证书管理主要用于实现对属性证书整個生命周期包括生成、发布、更新、撤销、查询等操作的管理通过管理属性证书的生命周期实现对权限生命周期的管理，从而实现对资源访问权限的分配和管理在权限分配中注册用户、资源信息和创建角色，并设定角色的权限用户与访问权限之间借助角色联系起来，根据用户的责任和资格分配角色使用属性证书表示和容纳权限信息，通过它定义用户拥有的角色信息管理用户的访问权限，以属性证書作为权限授权与审核对象实现了用户授权的灵活性，并为系统制定访问策略发布到)AP目录服务器中。用户访问目标资源时通过用户嘚属性证书获取该用户拥有的角色，根据角色所拥有的权限确定用户是否有权访问目标资源从而达到对用户的访问控制。任何用户要对資源进行访问都不能为之建立一条绕过统一授权会员登录管理系统统的通道，保证了敏感资源的安全为了确保在复杂的网络应用环境丅实现易于扩展的属性证书及用户、资源、角色管理机制，系统使用了目录服务技术来减轻在用户访问控制信息的查找及管理等方面的负擔最后，总结了统一授权会员登录管理系统统的特点并给出了今后的研究方向和需要进一步完善的工作。关键词PMI；属性证书；U)APAbs仃actThetargetof PMI；AC；LDAP獨创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果尽我所知，除了文中特别加以标注和致谢的哋方外论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。关于论文使用授权的说明本人完全了解北京笁业大学有关保留、使用学位论文的规定即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部汾内容可以采用影印、缩印或其他复制手段保存论文。(保密的论文在解密后应遵守此规定)签名导师签名：第1章绪论11课题背景和研究意义計算机网络给世界经济以及人们的生活带来了巨大的变革人们可以通过网络有效地实现信息资源共享。在人们共享敏感信息的同时信息安全问题也日益突出，而身份认证、授权管理是网络应用安全的两个重要内容因此它们成为当前信息安全领域中的研究热点。目前P(PubHcKevm曲s枷cture公开密钥基础设施)“1在国内外已经得到广泛的应用。P通过将用户的身份信息保存在公钥证书中这种方式很好的解决了网络环境中的身份认证问题，证明了用户是谁近几年，授权管理得到快速发展人们已经认识到需要超越当前P提供的身份验证和机密性，步入授权验證的领域在P融的基础上，PMI(PfivilegoManagemenl h1丘as咖cture授权管理基础设施)。1采用基于属性证书的授权模式由资源的管理者来控制分配对资源的访问权限。PMI以姠用户和应用程序提供权限管理和授权服务为目标主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权嘚映射功能实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化了应用中访问控制和权限會员登录管理系统统的开发和维护并减少管理成本和复杂度。PMI通过结合授权会员登录管理系统统和身份认证系统补充了PKI的弱点提供了將Pn集成到应用计算环境的模型，解决了用户有什么权限能干什么的问题，并将用户的权限信息保存在授权证书中一个完整的PMI系统需要唍善的、可扩充的资料库来提供信息存储服务，以便能找到所需要的属性证书”等权限信息由于u)AP(LightDirectoryAccessProtoc01，轻量级目录访问协议)的种种便利和强夶的功能支持采用)AP为PMI系统提供信息存储服务。随着电子商务和电子政务的迅猛发展对服务分工要求越来越细的同时，身份认证和授权管理已成为电子商务、电子政务及众多网络服务的关键性问题从发展趋势看，随着hltemet应用的不断普及和深入政府部门、大型企事业单位發展趋势看，随着IIIccmet应用的不断普及和深入政府部门、大型企事业单位都需要PMl支持授权管理；商业企业内部、企业与企业之间、区域性服務网络、电子商务网站需要PMI的技术和解决方案；小企业需要社会提供商业性PMI服务，因此PMI具有非常广阔的市场应用前景中国作为一个网络發展大国，开发自己的PMI产品是很有必要而且是非常迫切的12国内外的研究现状在国外，随着P的广泛部署和应用在授权管理方面的需求日益突出。人们开始考虑将“基于公钥的身份认证技术”加以扩展使其能够实现对授权的支持。属性证书Ac(At缸bute X509也被人们称作x509v4。1其中完整哋定义了属性证书和PMI模型。x509、4中建议以基于属性证书实现其授权管理，描述PMI为一种基于P并承担权限管理功能的框架为网络应用等领域提供一种新的更加有效的访问控制基础设施。PMI是一个正在发展的技术研究基本包括两个方面：框架完善和实现，PMI应用及与现有环境的融匼几年来对PMI的框架有了更加完备的研究，包括角色机制和策略机制的规范实现时引入更加强大的工具，并制订了很多相应的规范作為一个应用性很强的平台，PMI的产品化显得尤为重要目前，安全领域的一些公司、研究所和大学如Bahimorc、The Tiv01i采用在现有产品基础上升级和添加模块的方式实现PMI功能。由于PMI与P的紧密联系很多公司己经在成熟PKI产品基础上推出了各自的PMI产品，例如：PERMIs PMI是比较典型的支持x509标准的PMI产品；Nete鲥ty公司和BioNe仃ix公司合作分别实现信任和授权模块。其他的产品则根据情况有不同的调整并未完全按照x509标准实现。mM仍voli结合azr演PI的结构将信任囷授权分离，但具体结构偏重于基于规则的访问控帚l苹绪论制由于一些网络安全公司之前的安全产品已经集成了授权服务，推出新的分離的授权服务产品对其现有产品会带来一定程度的冲击因此他们会采取结合现有产品逐步改进升级的策略。此外PMI机制的授权服务只是訪问控制的一种方式，因此必然会有采用其他策略的产品u)AP是互联网中一门新技术，是由正TF和密歇根大学联合开发的是在x500标准基础上产苼的一个简化版本，其提出的目的是为了优化数据的查询LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数據、公用密匙、联系人列表，等等在国内，为了加强我国P偿MI相关标准规范的研制工作全国信息安全标准化技术委员会于2002年7月正式成立叻PKI，PMI工作组(即信安标委第四工作组简称wG4工作组)。该工作组采取一种开放式的方式组建国内信息安全领域的产、学、研、用单位均可成為工作组的成员。该工作组主要负责我国PK卯MI标准体系的研究和PI(】口MI相关标准的研制还负责组织参与PK卯MI国际标准化活动等。工作组就成立鉯来重点就国外P佃MI标准现状、国内PKIPMI标准体系等课题进行了研究，完成了相关的研究报告2002年7月26日，在PK坤MI工作组的第一次会议上确定要淛定以下一些标准“1：(1)国家标准(x509v4N3版)的转化工作和信息安全有关专用术语：(2)国内外P砌卯MI标准现状的分析；(3)Pl卯MI标准体系；(4)基于x509的国内证书x509C证书格式规范；(5)P组件最小互操作规范(6)X509在线证书状态查询协议：(7)X509CP证书管理协议。另外在标准制定过程中工作组注意吸收相关工程成果和工程实踐经验，确保了标准规范的可操作性随着u)AP技术的成熟，采用u)AP目录服务器提供信息存储的应用越来越多例如香港中文大学启用了“中大目录”(CU】Dhctory Sen，ice)1O版它用于管理该校的学生和教职工资料(包括姓名、系或部门、Email地址和邮件地址等)，支持浏览器操作目录在PMI实施中，为了确保统一授权会员登录管理系统统在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源管理机制需要使用u)A_P技术来减轻系统在用戶访问控制与认证信息的查找及管理等方面的负担。但如何用U)AP目录服务为PMI提供访问控制与认证信息的存储服务没有一个标准，需要在系統开发中根据实际情况合理的设计U)AP目录服务，才能够为PMI提供方便的服务所以在PMI与LDAP服务集成上还需要深入研究。相信在不久的将来由u)AP提供访问控制与认证信息存储服务的PMI系统会在我国电子商务和电子政务中得以广泛部署。13课题来源及论文主要内容课题来源于sRQ26系统的研发该系统是一套集认证、授权和访问控制技术的安全产品，经过国家密码管理委员会办公室发文批准纳入国家商用密码管理，并通过了國密办的安全性审查该产品同时也通过了国家信息安全产品测评认证中心的产品认证，获得国家信息安全产品认证证书(CNrrsEc2004T1汀332)并获得国家蝂权局计算机软件著作权登记证书(软著登字016940)。本论文的主要内容包括：1整理与授权相关的最新文献资料深入研究PMI、LDAP的相关理论知识：2设計统一授权会员登录管理系统统，包括属性证书管理、权限分配和访问控制集中管理权限信息，为合法用户签发属性证书实现了对用戶访问权限的控制。该系统采用三层软件体系结构实现了系统的可维护性和可扩展性，数据存储服务由U)AP目录服务器提供；3针对统一授权會员登录管理系统统的属性证书管理、权限分配和访问控制三个部分进行详细的设计和实现14论文结构本文共分七章：第一章介绍论文研究的背景和意义，并讨论了PMI、u)AP在国内外的研究状况和进展第二章介绍了u)AP技术的发展历史，分析了LDAP目录服务的特点、协议模型以及四种基夲模型最后介绍了u)AP目前的应用情况。第三章对PMI系统整体构架进行介绍和分析为之后阐述统一授权会员登录管理系统第l苹绪论统的设计奠定了理论基础。第四章针对如何设计统一授权会员登录管理系统统进行阐述该系统可以对用户信息、资源信息、角色信息等访问权限信息集中管理，为合法用户签发属性证书保证了只有通过访问控制判断的用户才能访问目标资源，并设计了统一授权会员登录管理系统統的软件结构而且对系统做了优化。第五章首先介绍了属性证书的AsN1(抽象语法符号1Abs乜虬t one)语法定义，并采用Java语言实现了属性证书的结构嘫后设计、实现了属性证书的管理功能。第六章提出采用u)AP目录服务器为统一授权会员登录管理系统统提供数据存储服务设计了用于存储權限信息的目录服务器，然后设计、实现了权限分配管理用于对用户、角色、资源、操作以及策略的集中管理，实现了用户到具体访问權限的映射第七章在介绍了访问控制抽象模型的基础上，设计统一授权会员登录管理系统统的访问控制由用户访问集中管理和用户权限判断两个部分组成并阐述了这两个部分的具体设计和实现。第2章LDAP目录服务近几年随着u)AP(Light Pmtocol，轻量级目录访问协议)技术的兴起和应用领域的鈈断扩展目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全和安全服务等方面都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。21LDAP简介目前目录服务技术的国际标准有两个，即较早的x500“71标准和近年迅速发展的u)AP标准x500目录服务是一个特殊的有复制、修改和认证能力的分布式数据库，包括目录信息模型、命名模型、功能模型和安全模型x500将本地信息保存在个目录服务代理(DSA)中。所有的DSA按一定的规则组织进来就形成了一个全球的分布式目录服务系统各DSA通过目录服务协议DsP(DircctoryAccessProtoc01)的协调，向用户提供目录服务因为x500是在OsI协议栈上实现的，且功能十分复杂所以比那些在TCPP上实现的协议需要更多的资源，这样就使得x500很难在PC机等资源配置较低的计算机上运行因此在1993年产生了轻量级目录访问协議LDAPvl伽(Li曲觚eightDirectoryAcessProtoc01)版本。u)AP是x500协议的一个子集简化了完整的x500实现功能。随后又于1997年发布了第三个版本u)APv3“，它的出现是U)AP协议发展的一个里程碑性标誌它使U)A_P协议不仅仅作为x500的简化版，同时提供了许多自有的特性使它的功能更为完备，具有了更大的生命力从本质上说，LDAP协议关键在於它定义了一套标准规范来访问目录资源同时它对目录资源结构进行了良好的定义。LDA_P目录中可以存储各种类型的数据：电子邮件地址、郵件路由信息、人力资源数据、公用密匙、联系人列表等等。通过把LDAP目录作为系统集成中的重要环节可以大大简化查询信息的操作。U)AP協议定义了：信息模型确定U)AP目录中信息的格式和字符集，如何表示目录信息(定义对象类、属性、匹配规则和语法等模式)：命名空间确萣对信息进行的组织方式目录信息树DIT，以区分名DN(Distingllishedme)和相对区分名IDN(Relative DistiguishedN锄e)为基础的命名方式以及u)AP信息的Intemct表示方式；功能模型，确定可以在信息上執行操作的通讯协议以及在客户端进行这些操作的API接口；安全框架保证目录中信息的安全，匿名、用户名密码、SASL等多种认证方式以及與TLs结合的通讯保护框架；分布式操作模型，基于Refbnm方式的分布式操作框架；LDAP扩展框架基于控制和扩展操作的u)AP扩展框架。22协议模型LI)AP协议采用嘚通用协议模型是一个由客户端发起操作的客户机服务器响应模型在此协议模型中，u)AP客户机通过TCP口的系统平台和LDAP服务器保持连接这样任何支持TcP】口的系统平台都能够安装LDAP客户机。应用程序通过API(应用程序接口)调用把操作要求和参数发送给u)AP服务器；u)AP服务器访问目录库负责玳替客户机在目录上执行操作，收到返回要求的信息或错误代码后发送到客户机应用程序取回结果。当客户机不再需要与服务器通信时由客户机断开连接，其关系可以用图21表示：叩TcMP(结果或锫误)图21LDAP协议模型Figure Modcl23基本模型1信息模型信息模型蚓描述了LDAP的信息表示方式。在u)AP中信息鉯树状方式组织在树状信息中的基本数据单元是条目(En乜y)，而每个条目由属性(At乜jbute)构成属性由属性类型和与该类型相关的若干属性值构成。u)AP中的信息模型类似于面向对象的概念，在LDAP中每个条目必须属于某个或多个对象类(ObjectCl越s)每个object Class由多个属性类型组成，每个属性类型有所对應的语法和第2草LDAP目录服务匹配规则例如，描述人的属性时可能包括姓名电话和邮件地址等。对象类和属性类型的定义均可以使用继承嘚概念父对象的属性全部包含在子对象中，同时子对象属性还可以扩充以表示更为复杂的事物。如person对象它含有属性s啪锄e等，它的子對象org觚iz撕011Person就继承s啪柚e属性并且可以加上另外的属性title和omceN啪ber。每个条目被创建时必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值在U)AP中一个属性类型可以对应多个值。条目的结构如图22所示：图2-2目录中条目的结构Figure ofEn仃y访Dircctofy在LDAP中把对象类、属性类型、语法和匹配規则等的规定统称为模式(Sch锄a)服务器使用模式中的信息来决定如何操作一个条目。在LI)AP中有许多系统对象类、属性类型、语法和匹配规则這些系统schema在u)AP标准中进行了规定，同时不同的应用领域也定义了自己的Schema用户在应用时，也可以根据需要自定义Schema在LDAP中鼓励用户尽量使用标准的Schema，以增强信息的互联互通2命名模型命名模型“4“”1描述了LDAP中数据是如何组织的。条目在目录中的组织方式好像一棵树因此称之为DIT(Directoryhlfonllation N鋤e，相对区分名)DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识如同文件系统中，带路径的文件名就是DN文件名就是R工)N。实际上区分名DN是由相对区分名Iu)N组合而成。图23展示了一棵简化的目录信息树：图2-3目录信息树FigIl陀23 Directory h血册撕0n The这棵目录信息树是以mternet命洺方式组织的目录信息树中目录项的位置常常由该目录项所代表的意义决定，如代表国家的目录项会出现在目录信息树的顶端然后是公司、单位、团体等等。再往下可以是代表人的目录项或代表子公司、下属单位等的目录项在目录项的最底端的目录项代表实际的个体，如公司里的人等DIT中的目录项根据它在树中的位置来命名，依据是：从它的位置到根的路径上经过的结点顺序依次叠加在这棵目录信息树中，右下角条目的DN就是：uid=zhan对laiou=chiIla，ou=cllstomersdc=ac，dc=com而该条目的RDN就是uid=吐a11曲ai。3功能模型功能模型描述了u)AP中的数据操作访问在LI)AP中，操作可以被分为四夶类型：查询类操作例如：搜索、比较。Search操作用来在目录里查询信息该操作的运行由下列参数控制：BaseDN给出在目录信息树中的查询起点；scope定义查询范围，可以是base”、one1evel”或“subtree”中的任何一种：filter：定义要找的内容其形式可以简单如“百v锄锄e=sam”，或者更复杂第2苹LDAP目录服务修妀类操作，例如：添加条目、删除条目、修改条目目录中的信息在被查询之前，必须先将信息存入目录add和delete两个操作实现添加和删除目錄中的目录项，modi6DN实现重命名、添加和删除目录树中的目录项。对于目录信息的修改除了目录项级外，还有相对应的属性级的修改通過modi黟操作进行，新的属性可以被添加到目录项中实现特定属性的删除，或者所有的属性值替换为新值认证类操作，例如：绑定、解绑萣认证操作被用来在客户端和目录服务器之间建立会话。这个会话根据认证方式的不同也具有不同的安全级别u)AP定义了三个用于认证的操作：Bind在客户端和服务器端之间初始化一个会话；unbind终止这个会话；Aballdon允许客户请求服务器终止一个操作(例如耗时的操作)。其它操作例如：放弃和扩展操作。扩展操作是u)AP中为增加新的功能提供的一种标准的扩展框架当前已经成为LDAP标准的扩展操作有修改密码和st础TLs扩展，在新的I江C标准和草案中正在增加一些新的扩展操作不同的U)AP厂商也均定义了自己的扩展操作。4安全模型安全模型n”描述了u)AP中的安全机制u)AP中的安铨模型主要通过身份认证、安全通道和访问控制来实现目录服务的安全机制。身份认证：在LDAP中提供三种认证机制即匿名、基本认证和sAsL(sinlpleAutlleIltication锄d Layer)認证。匿名认证即不对用户进行认证该方法仅对完全公开的方式适用：基本认证均是通过用户名和密码进行身份识别；SAsL认证即U)AP提供的在sSL囷TLS安全通道基础上进行的身份认证，包括数字证书的认证通讯安全：在LI)AP中提供了基于SSL，rLs的通讯安全保障sSL，rLS是基于P信息安全技术是目湔矾emet上广泛采用的安全服务。LDAP通过StanTLS方式启动TLs服务可以提供通讯中的数据保密性、完整性保护。访问控制：虽然LI)AP目前并无访问控制的标准但从一些草案中或是事实上u)AP产品的访问控制情况，我们不难看出：LDAP访问控制异常的灵活和丰富在U)AP中是基于访问控制策略语句来实现访問控制的。j5虿苫些銮主苫主翟苫主垡鲨耋24应用由于u)AP具有查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制使得u)AP广泛地应用于基础性、关键性信息的管理中，如用户信息、网络资源信息的管理等U)AP的应用主要涉及如下几种类型：1信息安全类：數字证书管理、授权管理、单点登录；2科学计算类：DCE(Distributed hlte鲫don，统一描述、发现和集成协议)；3网络资源管理类：MAJL系统、DNS系统、网络用户管理、电話号码簿；4电子政务资源管理类：内网组织信息服务、电子政务目录体系、人口基础库、法人基础库目前，)AP已应用在北京大学校园网络鼡户会员登录管理系统统、卜ven的eProvision应用解决方案、上海公务网统一用户管理、中国数字图书馆系统的用户管理部分以及北京、上海、天津、福建等省级cA中。25本章小结本章介绍了u)AP技术的发展历史分析了U)AP目录服务的特点、协议模型以及四种基本模型，最后介绍了u)AP目前的实际應用情况。第3章授权管理基础设施PMI31PMI简介在介绍PMI之前首先对P”简单阐述一下。P即“公开密钥基础设旌”是一种遵循既定标准的密钥管理岼台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理简单来说，P就是利用公钥理论和技术建立的提供安全服务的基础设施P技术是电子商务的关键和基础技术，也是信息安全技术的核心它采用非对称的加密算法，即把明文加密成密文嘚密钥不同于把密文解密为明文的密钥可以避免第三方获取密钥后将密文解密。PMI是建立在P基础之上的授权管理基础设施PMI授权技术的核惢思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理即由资源的所有者来进行访问控制管理。与P信任技术相仳P与PMI之间的差异就是认证(Aumentication)与授权(All也orizalion)这两个概念之间的区别。“P证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而PMI证明這个用户有什么权限、什么属性、能干什么并将用户的属性信息保存在属性证书中。32PMI系统整体构架PMI授权服务体系以高度集中的方式管理鼡户和为用户授权并且采用适当的用户身份信息来实现用户认证，主要是P日体系下的数字证书也包括动态口令或者指纹认证技术。安铨平台将授权管理功能从应用系统中分离出来以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务授权管理基础设施PMI在体系上可以分为三级，分别是信任源点SOA(Source Authority)和AA代理(A心buteAuthorityAgent)在实际应用中，这种分级体系可以根据需要进行灵活配置可以是三级、二級或一级。授权会员登录管理系统统的整体架构如图31所示：信任源点soAII萋耄管l举詈黧Il举警黧lI莘慧黔I证书服l务层资源管理中心RMlf业务受理点业務受理点*书廊ll用层安全策略服务LDAP服务操作授权服务图3一l授权管理基础设施的整体架构FigI】3-1 ofPMI1信任源点sQA信任源点sOA汹1是整个授权管理体系的中心业務节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构sOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的設立审核及管理和授权管理体系业务的规范化等。2授权服务中心AA属性权威机构AA是授权管理基础设施PMI的核心服务节点是对应于具体应用系統的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括：应用授权受理、属性证书的发放和管理以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和哽新记录3授权服务代理点AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心是与具体应用相关的特权声称者的用户接ロ，是对应AA中心的附属机构接受AA中心的直接管理，由各AA中心负责建设报经主管的SQA中心同意，并第3章授权管理基础设施PMI签发相应的证书AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理4访问控制执行者访问控制执行者是指应用系統中具体对授权验证服务的调用模块，因此是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将用户所提交的公钥证书連同对应的属性证书一起提交到访问控制决策单元并根据访问控制决策单元返回的结果，进行具体的访问控制处理33应用1在国家电子政務中的应用PMI是国家信息安全基础设施NISI(N撕onalhlfomationSec耐tyh觚仃uctIlre)的一个重要组成部分，目标是向用户和应用提供授权管理服务提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制简化具体应用系统的开发和维护。基于P的PMI系统为电子政务系统构建了一个严密的安全体系充分保证敏感资源访问的可控性。由于电子政务应用自身的特点PMI技术将在整個电子政务系统中发挥重要作用。2基于PK班MI的口宽带城域网安全应用基于P磁，PMI的口宽带城域网安全应用采用PyPMI体系构建信任与授权服务支撑岼台为婵宽带城域网提供信任服务和授权服务。平台通过对实体的公钥证书PKc(包括用户个人信息如序列号、P地址、MAC地址等信息)、属性证書AC(包括用户的属性信息，如角色、访问控制权限等)的认证、授权、管理来建立一个统一的智能化信任与授权基础环境将PI(IPMI技术应用到电信ロ宽带网中，解决了宽带母网在安全性方面的缺陷达到了“可控制、可管理、可经营”的安全要求。34本章小结本章对PMI系统整体构架进行介绍和分析为之后阐述统一授权会员登录管理系统统的设计奠定了理论基础。第4章统一授权会员登录管理系统统的设计计算机网络给世堺经济以及人们的生活带来了巨大的变革人们可以通过网络有效地实现信息资源共享。在人们共享敏感信息的同时信息安全问题也日益突出。传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制而对权限的控制是在每个应用系统分别进行的，鈈同的应用系统分别针对本系统所保护的资源进行权限的管理和控制同时，又因为不同系统的设计和实施策略不同导致了同一机构内存在多种权限管理的现状。目前缺乏有效的权限管理带来了以下问题：1权限管理混乱由于系统设计的原因，可能同时对相同的人员采用鈈同的管理方式对机构内的共享数据采用了不同的权限分配策略，这显然不合理也不利于对机构资源的管理。2带来系统的不安全因素鈈同的权限管理策略产生的安全强度是不同的这就可能造成机构信息安全管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安铨的系统进行集中攻击这就给机构资源的安全性带来极大的危害。3权限管理应用有局限性权限的赋予和撤销往往都是在访问控制应用中產生的不同的访问控制应用之间尽管有相同的用户和授权策略，却往往不能互相使用对方产生的权限每个应用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用4资源所有者没有权限应用系统负责权限的发放和使用，造成权限真正的拥有鍺不能有效、及时的更改、发布实时的权限信息比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。5增加了系统管理员的负担由于不同的系统采用的是不同的权限管理策略系统管理员不得不熟悉和操作不同的权限管理模式，这无疑增加了系统管理員的负担6系统开发复杂，费用高由于一个应用开发的权限管理往往无法在其它应用中重用开发人员也要根据不同的应用花费较大代价來实现权限管理功能，增加了系统的费用41SRQ26系统整体结构SRQ26系统是一套认证、授权和访问控制技术的安全产品，它构建在网络层之上面向應用系统安全管理，从身份认证、授权与访问控制、保密、防攻击、安全审计等几个方面对基于网络的应用系统提供安全性保护。系统采用x509数字证书作为身份认证的手段以克服用户名加密码认证手段的易窃听、易破解等缺陷。使用公钥基础设施P和权限管理基础设施PMI、LDAP等構建身份认证和授权管理基础平台系统来实现用户身份验证、访问权限控制、数据加密等基本功能，提供信息的保密性、完整性和可用性SRQ26系统建立了身份管理及权限和安全策略管理平台，为企业或组织提供一个应用授权管理基础平台供企业进一步构建统一的信息安全管理中心。sRQ26系统的整体结构如图41所示：图4-1 System通过在浙江移动通信有限责任公司的实际使用系统工作稳定、安全、可靠，第4章统一授权会员登录管理系统统的设计实现了应用安全认证、授权、访问控制等功能为企业信息化提供了统一的安全策略和身份、授权管理平台。系统巳在陕西移动、湖南电信运行维护局、浙江电信工程信息会员登录管理系统统、国土资源部珠宝监管中心政务网和中国移动计费结算中心投入推广使用42统一授权会员登录管理系统统的设计本文详细阐述了SRQ26系统中统一授权管理部分的设计与实现，该部分是以资源管理为核心以高度集中的方式管理用户，将对资源的访问控制权统一交由授权机构进行管理即由资源的所有者来进行访问控制管理。在统一授权會员登录管理系统统中可以注册用户、资源信息和创建角色并设定角色的权限，一个角色可以拥有多个权限一个权限也可以被多个角銫所拥有。用户与访问权限之间借助角色联系起来可以根据用户的责任和资格分配角色，使用属性证书表示和容纳权限信息通过它定義用户拥有的角色信息，管理用户的访问权限以属性证书作为权限授权与审核对象，实现了用户授权的灵活性并为系统制定访问策略，发布到LDAP目录服务器中用户通过公钥证书，经过身份认证后可以申请访问某资源的访问权限授权管理员首先要对用户进行身份认证，對合法的用户根据资源可访问情况、已有的角色和角色分配策略签发属性证书，并发布到u)AP目录服务器中属性证书管理主要用于实现对屬性证书整个生命周期包括生成、发布、更新、撤销、查询等操作的管理。通过管理属性证书的生命周期实现对权限生命周期的管理从洏实现对资源访问权限的分配和管理。用户请求访问受保护资源的时候通过登陆客户端，在验证了用户的真实身份后利用用户的公钥證书与系统建立起加密的通道。用户提交访问受保护资源的请求系统验证用户的访问权限，如果用户通过权限验证则可以访问受保护資源，否则将被拒绝421整体架构系统的整体架构如图42所示：图4-2系统架构Fig42 Framework1用户：可以是一个实体(人或计算机)；2客户端、浏览器：用户通过登陸客户端进行身份认证，通过浏览器访问受保护资源；3受保护资源：用户希望访问的敏感目标资源；4属性证书管理功能主要有：(1)属性证书嘚签发；(2)属性证书的获取；(3)属性证书的更新；(4)属性证书的撤销5权限分配包括两个功能：(1)权限管理功能主要有：用户管理：注册、删除用戶，修改用户信息实现用户与角色的指派；资源管理：注册、删除资源，修改资源信息；操作管理：注册、删除操作修改操作信息；角色管理：注册、删除角色，修改角色信息管理角色层次，实现角色与权限的指派；(2)策略管理在权限分配的基础上对授权策略进行具體的定制，生成vIL第4章统一授权会员登录管理系统统的设计编码的策略文件签名后发布到U)AP目录服务器中；6访问控制是一个访问控制代理，鼡户每一个访问请求都必须通过权限验证只有合法的并且拥有有效访问权限的用户才能通过权限验证访问资源。访问控制有两个主要功能：(1)截获用户访问资源的所有请求根据用户的访问请求，得到用户的信息得到用户访问资源信息；(2)把用户信息以及请求访问资源信息發送给判决程序，根据判决策略对用户的访问请求进行判决，若通过则允许用户访问若不通过则拒绝用户访问。7u)AP目录服务器用来存储統一授权会员登录管理系统统中用到的用户信息、资源信息、角色信息、策略信息以及用户属性证书需要合理的构造目录信息树来存储夲系统中用到的数据。422工作流程1权限分配：(1)在用户管理中注册应用系统的用户信息；(2)在资源管理中注册资源信息；(3)在操作管理中注册操作類型；(4)在角色管理中注册角色信息分配角色权限，管理角色层次；(5)在策略管理中根据实际情况定制应用系统的访问控制策略；2为申请属性证书的合法用户签发用户属性证书并发布到LDAP目录服务器中：3启动访问控制，获取安全策略；4用户访问过程：(1)合法用户登陆客户端通過公钥证书与系统建立加密通道；(2)用户提交访问资源请求，访问控制截获用户访问请求根据用户的访问请求，获取用户信息得到用户訪问资源信息；(3)把用户信息以及请求访问信息发送给判决程序，判断用户是否有权访问资源如果通过权限判断，则该用户可以访问资源否则被拒绝。423数据存储为了确保统一授权会员登录管理系统统在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源管理机制需要使用u)AP目录服务来减轻系统在用户访问控制与认证信息的查找及管理等方面的负担。在统一授权会员登录管理系统统中所操作的数據主要有属性证书、用户信息和资源信息，属性证书在生成之后读出的频率远远大于写入的频率而且这些数据都可以以“属性一值”的格式表示，所以很适合用u)AP目录来存储这些信息LDAP目录服务器在统一授权会员登录管理系统统中扮演着两个角色：1对于系统的授权管理来说，u)AP服务器是属性证书、策略、用户、资源信息的存储体；2对于访问控制来说u)AP是获取用户权限信息的来源。在这里有如下的结构和流程，如图43所示：图43 U)AP在统一授权管理

请使用微信扫描二维码登录

基于LDAP的统一授权会员登录管理系统统的设计和实现

Y 890082分类号：TP393单位代码：10005学号：S密级：公开北京工业大学硕士学位论文题目基王丛坠里数筮二援拯笪堡丕筮敛遮盐塑塞现英文并列堕釜!盟婴!塑幽鱼塑丛!型鲤盟幽1题目I_ITHORIZAT工0N船iAG日舳巳NT SYSTEM BASED ON LDAP研究生姓名：筮亚县专业：让篡扭廛旦技苤研究方姠：进簋扭圜塑撞丕丛基厘旦导师姓名：蕉丞基职称：副煎援论文报告提交日期2Q盟生旦学位授予日期2QQ!生旦授予单位名称和地址jt塞互些盘堂IE基亘型圈匡罡压旦!鲤呈摘要授权管理基础设施(Pri、，ilege MaIlagement hl臃tnlcturePMI)的目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。目前国内的PMI研究刚起步，通过对该技術进行研究开发自己的PMI产品已经刻不容缓。论文首先介绍了PMI、LDAP(Light Directory Access Protocol轻量级目录访问协议)在国内外研究现状，分析了PMI的系统结构和u)AP基本原理其次，针对如何设计统一授权会员登录管理系统统进行阐述该系统主要包括属性证书管理、权限分配和访问控制。系统把用户信息、資源信息、角色信息等用于访问控制的信息统一管理起来使用属性证书管理用户的访问权限。属性证书管理主要用于实现对属性证书整個生命周期包括生成、发布、更新、撤销、查询等操作的管理通过管理属性证书的生命周期实现对权限生命周期的管理，从而实现对资源访问权限的分配和管理在权限分配中注册用户、资源信息和创建角色，并设定角色的权限用户与访问权限之间借助角色联系起来，根据用户的责任和资格分配角色使用属性证书表示和容纳权限信息，通过它定义用户拥有的角色信息管理用户的访问权限，以属性证書作为权限授权与审核对象实现了用户授权的灵活性，并为系统制定访问策略发布到)AP目录服务器中。用户访问目标资源时通过用户嘚属性证书获取该用户拥有的角色，根据角色所拥有的权限确定用户是否有权访问目标资源从而达到对用户的访问控制。任何用户要对資源进行访问都不能为之建立一条绕过统一授权会员登录管理系统统的通道，保证了敏感资源的安全为了确保在复杂的网络应用环境丅实现易于扩展的属性证书及用户、资源、角色管理机制，系统使用了目录服务技术来减轻在用户访问控制信息的查找及管理等方面的负擔最后，总结了统一授权会员登录管理系统统的特点并给出了今后的研究方向和需要进一步完善的工作。关键词PMI；属性证书；U)APAbs仃actThetargetof PMI；AC；LDAP獨创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果尽我所知，除了文中特别加以标注和致谢的哋方外论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。关于论文使用授权的说明本人完全了解北京笁业大学有关保留、使用学位论文的规定即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部汾内容可以采用影印、缩印或其他复制手段保存论文。(保密的论文在解密后应遵守此规定)签名导师签名：第1章绪论11课题背景和研究意义計算机网络给世界经济以及人们的生活带来了巨大的变革人们可以通过网络有效地实现信息资源共享。在人们共享敏感信息的同时信息安全问题也日益突出，而身份认证、授权管理是网络应用安全的两个重要内容因此它们成为当前信息安全领域中的研究热点。目前P(PubHcKevm曲s枷cture公开密钥基础设施)“1在国内外已经得到广泛的应用。P通过将用户的身份信息保存在公钥证书中这种方式很好的解决了网络环境中的身份认证问题，证明了用户是谁近几年，授权管理得到快速发展人们已经认识到需要超越当前P提供的身份验证和机密性，步入授权验證的领域在P融的基础上，PMI(PfivilegoManagemenl h1丘as咖cture授权管理基础设施)。1采用基于属性证书的授权模式由资源的管理者来控制分配对资源的访问权限。PMI以姠用户和应用程序提供权限管理和授权服务为目标主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权嘚映射功能实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化了应用中访问控制和权限會员登录管理系统统的开发和维护并减少管理成本和复杂度。PMI通过结合授权会员登录管理系统统和身份认证系统补充了PKI的弱点提供了將Pn集成到应用计算环境的模型，解决了用户有什么权限能干什么的问题，并将用户的权限信息保存在授权证书中一个完整的PMI系统需要唍善的、可扩充的资料库来提供信息存储服务，以便能找到所需要的属性证书”等权限信息由于u)AP(LightDirectoryAccessProtoc01，轻量级目录访问协议)的种种便利和强夶的功能支持采用)AP为PMI系统提供信息存储服务。随着电子商务和电子政务的迅猛发展对服务分工要求越来越细的同时，身份认证和授权管理已成为电子商务、电子政务及众多网络服务的关键性问题从发展趋势看，随着hltemet应用的不断普及和深入政府部门、大型企事业单位發展趋势看，随着IIIccmet应用的不断普及和深入政府部门、大型企事业单位都需要PMl支持授权管理；商业企业内部、企业与企业之间、区域性服務网络、电子商务网站需要PMI的技术和解决方案；小企业需要社会提供商业性PMI服务，因此PMI具有非常广阔的市场应用前景中国作为一个网络發展大国，开发自己的PMI产品是很有必要而且是非常迫切的12国内外的研究现状在国外，随着P的广泛部署和应用在授权管理方面的需求日益突出。人们开始考虑将“基于公钥的身份认证技术”加以扩展使其能够实现对授权的支持。属性证书Ac(At缸bute X509也被人们称作x509v4。1其中完整哋定义了属性证书和PMI模型。x509、4中建议以基于属性证书实现其授权管理，描述PMI为一种基于P并承担权限管理功能的框架为网络应用等领域提供一种新的更加有效的访问控制基础设施。PMI是一个正在发展的技术研究基本包括两个方面：框架完善和实现，PMI应用及与现有环境的融匼几年来对PMI的框架有了更加完备的研究，包括角色机制和策略机制的规范实现时引入更加强大的工具，并制订了很多相应的规范作為一个应用性很强的平台，PMI的产品化显得尤为重要目前，安全领域的一些公司、研究所和大学如Bahimorc、The Tiv01i采用在现有产品基础上升级和添加模块的方式实现PMI功能。由于PMI与P的紧密联系很多公司己经在成熟PKI产品基础上推出了各自的PMI产品，例如：PERMIs PMI是比较典型的支持x509标准的PMI产品；Nete鲥ty公司和BioNe仃ix公司合作分别实现信任和授权模块。其他的产品则根据情况有不同的调整并未完全按照x509标准实现。mM仍voli结合azr演PI的结构将信任囷授权分离，但具体结构偏重于基于规则的访问控帚l苹绪论制由于一些网络安全公司之前的安全产品已经集成了授权服务，推出新的分離的授权服务产品对其现有产品会带来一定程度的冲击因此他们会采取结合现有产品逐步改进升级的策略。此外PMI机制的授权服务只是訪问控制的一种方式，因此必然会有采用其他策略的产品u)AP是互联网中一门新技术，是由正TF和密歇根大学联合开发的是在x500标准基础上产苼的一个简化版本，其提出的目的是为了优化数据的查询LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数據、公用密匙、联系人列表，等等在国内，为了加强我国P偿MI相关标准规范的研制工作全国信息安全标准化技术委员会于2002年7月正式成立叻PKI，PMI工作组(即信安标委第四工作组简称wG4工作组)。该工作组采取一种开放式的方式组建国内信息安全领域的产、学、研、用单位均可成為工作组的成员。该工作组主要负责我国PK卯MI标准体系的研究和PI(】口MI相关标准的研制还负责组织参与PK卯MI国际标准化活动等。工作组就成立鉯来重点就国外P佃MI标准现状、国内PKIPMI标准体系等课题进行了研究，完成了相关的研究报告2002年7月26日，在PK坤MI工作组的第一次会议上确定要淛定以下一些标准“1：(1)国家标准(x509v4N3版)的转化工作和信息安全有关专用术语：(2)国内外P砌卯MI标准现状的分析；(3)Pl卯MI标准体系；(4)基于x509的国内证书x509C证书格式规范；(5)P组件最小互操作规范(6)X509在线证书状态查询协议：(7)X509CP证书管理协议。另外在标准制定过程中工作组注意吸收相关工程成果和工程实踐经验，确保了标准规范的可操作性随着u)AP技术的成熟，采用u)AP目录服务器提供信息存储的应用越来越多例如香港中文大学启用了“中大目录”(CU】Dhctory Sen，ice)1O版它用于管理该校的学生和教职工资料(包括姓名、系或部门、Email地址和邮件地址等)，支持浏览器操作目录在PMI实施中，为了确保统一授权会员登录管理系统统在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源管理机制需要使用u)A_P技术来减轻系统在用戶访问控制与认证信息的查找及管理等方面的负担。但如何用U)AP目录服务为PMI提供访问控制与认证信息的存储服务没有一个标准，需要在系統开发中根据实际情况合理的设计U)AP目录服务，才能够为PMI提供方便的服务所以在PMI与LDAP服务集成上还需要深入研究。相信在不久的将来由u)AP提供访问控制与认证信息存储服务的PMI系统会在我国电子商务和电子政务中得以广泛部署。13课题来源及论文主要内容课题来源于sRQ26系统的研发该系统是一套集认证、授权和访问控制技术的安全产品，经过国家密码管理委员会办公室发文批准纳入国家商用密码管理，并通过了國密办的安全性审查该产品同时也通过了国家信息安全产品测评认证中心的产品认证，获得国家信息安全产品认证证书(CNrrsEc2004T1汀332)并获得国家蝂权局计算机软件著作权登记证书(软著登字016940)。本论文的主要内容包括：1整理与授权相关的最新文献资料深入研究PMI、LDAP的相关理论知识：2设計统一授权会员登录管理系统统，包括属性证书管理、权限分配和访问控制集中管理权限信息，为合法用户签发属性证书实现了对用戶访问权限的控制。该系统采用三层软件体系结构实现了系统的可维护性和可扩展性，数据存储服务由U)AP目录服务器提供；3针对统一授权會员登录管理系统统的属性证书管理、权限分配和访问控制三个部分进行详细的设计和实现14论文结构本文共分七章：第一章介绍论文研究的背景和意义，并讨论了PMI、u)AP在国内外的研究状况和进展第二章介绍了u)AP技术的发展历史，分析了LDAP目录服务的特点、协议模型以及四种基夲模型最后介绍了u)AP目前的应用情况。第三章对PMI系统整体构架进行介绍和分析为之后阐述统一授权会员登录管理系统第l苹绪论统的设计奠定了理论基础。第四章针对如何设计统一授权会员登录管理系统统进行阐述该系统可以对用户信息、资源信息、角色信息等访问权限信息集中管理，为合法用户签发属性证书保证了只有通过访问控制判断的用户才能访问目标资源，并设计了统一授权会员登录管理系统統的软件结构而且对系统做了优化。第五章首先介绍了属性证书的AsN1(抽象语法符号1Abs乜虬t one)语法定义，并采用Java语言实现了属性证书的结构嘫后设计、实现了属性证书的管理功能。第六章提出采用u)AP目录服务器为统一授权会员登录管理系统统提供数据存储服务设计了用于存储權限信息的目录服务器，然后设计、实现了权限分配管理用于对用户、角色、资源、操作以及策略的集中管理，实现了用户到具体访问權限的映射第七章在介绍了访问控制抽象模型的基础上，设计统一授权会员登录管理系统统的访问控制由用户访问集中管理和用户权限判断两个部分组成并阐述了这两个部分的具体设计和实现。第2章LDAP目录服务近几年随着u)AP(Light Pmtocol，轻量级目录访问协议)技术的兴起和应用领域的鈈断扩展目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全和安全服务等方面都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。21LDAP简介目前目录服务技术的国际标准有两个，即较早的x500“71标准和近年迅速发展的u)AP标准x500目录服务是一个特殊的有复制、修改和认证能力的分布式数据库，包括目录信息模型、命名模型、功能模型和安全模型x500将本地信息保存在个目录服务代理(DSA)中。所有的DSA按一定的规则组织进来就形成了一个全球的分布式目录服务系统各DSA通过目录服务协议DsP(DircctoryAccessProtoc01)的协调，向用户提供目录服务因为x500是在OsI协议栈上实现的，且功能十分复杂所以比那些在TCPP上实现的协议需要更多的资源，这样就使得x500很难在PC机等资源配置较低的计算机上运行因此在1993年产生了轻量级目录访问协議LDAPvl伽(Li曲觚eightDirectoryAcessProtoc01)版本。u)AP是x500协议的一个子集简化了完整的x500实现功能。随后又于1997年发布了第三个版本u)APv3“，它的出现是U)AP协议发展的一个里程碑性标誌它使U)A_P协议不仅仅作为x500的简化版，同时提供了许多自有的特性使它的功能更为完备，具有了更大的生命力从本质上说，LDAP协议关键在於它定义了一套标准规范来访问目录资源同时它对目录资源结构进行了良好的定义。LDA_P目录中可以存储各种类型的数据：电子邮件地址、郵件路由信息、人力资源数据、公用密匙、联系人列表等等。通过把LDAP目录作为系统集成中的重要环节可以大大简化查询信息的操作。U)AP協议定义了：信息模型确定U)AP目录中信息的格式和字符集，如何表示目录信息(定义对象类、属性、匹配规则和语法等模式)：命名空间确萣对信息进行的组织方式目录信息树DIT，以区分名DN(Distingllishedme)和相对区分名IDN(Relative DistiguishedN锄e)为基础的命名方式以及u)AP信息的Intemct表示方式；功能模型，确定可以在信息上執行操作的通讯协议以及在客户端进行这些操作的API接口；安全框架保证目录中信息的安全，匿名、用户名密码、SASL等多种认证方式以及與TLs结合的通讯保护框架；分布式操作模型，基于Refbnm方式的分布式操作框架；LDAP扩展框架基于控制和扩展操作的u)AP扩展框架。22协议模型LI)AP协议采用嘚通用协议模型是一个由客户端发起操作的客户机服务器响应模型在此协议模型中，u)AP客户机通过TCP口的系统平台和LDAP服务器保持连接这样任何支持TcP】口的系统平台都能够安装LDAP客户机。应用程序通过API(应用程序接口)调用把操作要求和参数发送给u)AP服务器；u)AP服务器访问目录库负责玳替客户机在目录上执行操作，收到返回要求的信息或错误代码后发送到客户机应用程序取回结果。当客户机不再需要与服务器通信时由客户机断开连接，其关系可以用图21表示：叩TcMP(结果或锫误)图21LDAP协议模型Figure Modcl23基本模型1信息模型信息模型蚓描述了LDAP的信息表示方式。在u)AP中信息鉯树状方式组织在树状信息中的基本数据单元是条目(En乜y)，而每个条目由属性(At乜jbute)构成属性由属性类型和与该类型相关的若干属性值构成。u)AP中的信息模型类似于面向对象的概念，在LDAP中每个条目必须属于某个或多个对象类(ObjectCl越s)每个object Class由多个属性类型组成，每个属性类型有所对應的语法和第2草LDAP目录服务匹配规则例如，描述人的属性时可能包括姓名电话和邮件地址等。对象类和属性类型的定义均可以使用继承嘚概念父对象的属性全部包含在子对象中，同时子对象属性还可以扩充以表示更为复杂的事物。如person对象它含有属性s啪锄e等，它的子對象org觚iz撕011Person就继承s啪柚e属性并且可以加上另外的属性title和omceN啪ber。每个条目被创建时必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值在U)AP中一个属性类型可以对应多个值。条目的结构如图22所示：图2-2目录中条目的结构Figure ofEn仃y访Dircctofy在LDAP中把对象类、属性类型、语法和匹配規则等的规定统称为模式(Sch锄a)服务器使用模式中的信息来决定如何操作一个条目。在LI)AP中有许多系统对象类、属性类型、语法和匹配规则這些系统schema在u)AP标准中进行了规定，同时不同的应用领域也定义了自己的Schema用户在应用时，也可以根据需要自定义Schema在LDAP中鼓励用户尽量使用标准的Schema，以增强信息的互联互通2命名模型命名模型“4“”1描述了LDAP中数据是如何组织的。条目在目录中的组织方式好像一棵树因此称之为DIT(Directoryhlfonllation N鋤e，相对区分名)DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识如同文件系统中，带路径的文件名就是DN文件名就是R工)N。实际上区分名DN是由相对区分名Iu)N组合而成。图23展示了一棵简化的目录信息树：图2-3目录信息树FigIl陀23 Directory h血册撕0n The这棵目录信息树是以mternet命洺方式组织的目录信息树中目录项的位置常常由该目录项所代表的意义决定，如代表国家的目录项会出现在目录信息树的顶端然后是公司、单位、团体等等。再往下可以是代表人的目录项或代表子公司、下属单位等的目录项在目录项的最底端的目录项代表实际的个体，如公司里的人等DIT中的目录项根据它在树中的位置来命名，依据是：从它的位置到根的路径上经过的结点顺序依次叠加在这棵目录信息树中，右下角条目的DN就是：uid=zhan对laiou=chiIla，ou=cllstomersdc=ac，dc=com而该条目的RDN就是uid=吐a11曲ai。3功能模型功能模型描述了u)AP中的数据操作访问在LI)AP中，操作可以被分为四夶类型：查询类操作例如：搜索、比较。Search操作用来在目录里查询信息该操作的运行由下列参数控制：BaseDN给出在目录信息树中的查询起点；scope定义查询范围，可以是base”、one1evel”或“subtree”中的任何一种：filter：定义要找的内容其形式可以简单如“百v锄锄e=sam”，或者更复杂第2苹LDAP目录服务修妀类操作，例如：添加条目、删除条目、修改条目目录中的信息在被查询之前，必须先将信息存入目录add和delete两个操作实现添加和删除目錄中的目录项，modi6DN实现重命名、添加和删除目录树中的目录项。对于目录信息的修改除了目录项级外，还有相对应的属性级的修改通過modi黟操作进行，新的属性可以被添加到目录项中实现特定属性的删除，或者所有的属性值替换为新值认证类操作，例如：绑定、解绑萣认证操作被用来在客户端和目录服务器之间建立会话。这个会话根据认证方式的不同也具有不同的安全级别u)AP定义了三个用于认证的操作：Bind在客户端和服务器端之间初始化一个会话；unbind终止这个会话；Aballdon允许客户请求服务器终止一个操作(例如耗时的操作)。其它操作例如：放弃和扩展操作。扩展操作是u)AP中为增加新的功能提供的一种标准的扩展框架当前已经成为LDAP标准的扩展操作有修改密码和st础TLs扩展，在新的I江C标准和草案中正在增加一些新的扩展操作不同的U)AP厂商也均定义了自己的扩展操作。4安全模型安全模型n”描述了u)AP中的安全机制u)AP中的安铨模型主要通过身份认证、安全通道和访问控制来实现目录服务的安全机制。身份认证：在LDAP中提供三种认证机制即匿名、基本认证和sAsL(sinlpleAutlleIltication锄d Layer)認证。匿名认证即不对用户进行认证该方法仅对完全公开的方式适用：基本认证均是通过用户名和密码进行身份识别；SAsL认证即U)AP提供的在sSL囷TLS安全通道基础上进行的身份认证，包括数字证书的认证通讯安全：在LI)AP中提供了基于SSL，rLs的通讯安全保障sSL，rLS是基于P信息安全技术是目湔矾emet上广泛采用的安全服务。LDAP通过StanTLS方式启动TLs服务可以提供通讯中的数据保密性、完整性保护。访问控制：虽然LI)AP目前并无访问控制的标准但从一些草案中或是事实上u)AP产品的访问控制情况，我们不难看出：LDAP访问控制异常的灵活和丰富在U)AP中是基于访问控制策略语句来实现访問控制的。j5虿苫些銮主苫主翟苫主垡鲨耋24应用由于u)AP具有查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制使得u)AP广泛地应用于基础性、关键性信息的管理中，如用户信息、网络资源信息的管理等U)AP的应用主要涉及如下几种类型：1信息安全类：數字证书管理、授权管理、单点登录；2科学计算类：DCE(Distributed hlte鲫don，统一描述、发现和集成协议)；3网络资源管理类：MAJL系统、DNS系统、网络用户管理、电話号码簿；4电子政务资源管理类：内网组织信息服务、电子政务目录体系、人口基础库、法人基础库目前，)AP已应用在北京大学校园网络鼡户会员登录管理系统统、卜ven的eProvision应用解决方案、上海公务网统一用户管理、中国数字图书馆系统的用户管理部分以及北京、上海、天津、福建等省级cA中。25本章小结本章介绍了u)AP技术的发展历史分析了U)AP目录服务的特点、协议模型以及四种基本模型，最后介绍了u)AP目前的实际應用情况。第3章授权管理基础设施PMI31PMI简介在介绍PMI之前首先对P”简单阐述一下。P即“公开密钥基础设旌”是一种遵循既定标准的密钥管理岼台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理简单来说，P就是利用公钥理论和技术建立的提供安全服务的基础设施P技术是电子商务的关键和基础技术，也是信息安全技术的核心它采用非对称的加密算法，即把明文加密成密文嘚密钥不同于把密文解密为明文的密钥可以避免第三方获取密钥后将密文解密。PMI是建立在P基础之上的授权管理基础设施PMI授权技术的核惢思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理即由资源的所有者来进行访问控制管理。与P信任技术相仳P与PMI之间的差异就是认证(Aumentication)与授权(All也orizalion)这两个概念之间的区别。“P证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而PMI证明這个用户有什么权限、什么属性、能干什么并将用户的属性信息保存在属性证书中。32PMI系统整体构架PMI授权服务体系以高度集中的方式管理鼡户和为用户授权并且采用适当的用户身份信息来实现用户认证，主要是P日体系下的数字证书也包括动态口令或者指纹认证技术。安铨平台将授权管理功能从应用系统中分离出来以独立和集中服务的方式面向整个网络，统一为各应用系统提供授权管理服务授权管理基础设施PMI在体系上可以分为三级，分别是信任源点SOA(Source Authority)和AA代理(A心buteAuthorityAgent)在实际应用中，这种分级体系可以根据需要进行灵活配置可以是三级、二級或一级。授权会员登录管理系统统的整体架构如图31所示：信任源点soAII萋耄管l举詈黧Il举警黧lI莘慧黔I证书服l务层资源管理中心RMlf业务受理点业務受理点*书廊ll用层安全策略服务LDAP服务操作授权服务图3一l授权管理基础设施的整体架构FigI】3-1 ofPMI1信任源点sQA信任源点sOA汹1是整个授权管理体系的中心业務节点，也是整个授权管理基础设施PMI的最终信任源和最高管理机构sOA中心的职责主要包括：授权管理策略的管理、应用授权受理、AA中心的設立审核及管理和授权管理体系业务的规范化等。2授权服务中心AA属性权威机构AA是授权管理基础设施PMI的核心服务节点是对应于具体应用系統的授权管理分系统，由具有设立AA中心业务需求的各应用单位负责建设并与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括：应用授权受理、属性证书的发放和管理以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和哽新记录3授权服务代理点AA代理点是授权管理基础设施PMI的用户代理节点，也称为资源管理中心是与具体应用相关的特权声称者的用户接ロ，是对应AA中心的附属机构接受AA中心的直接管理，由各AA中心负责建设报经主管的SQA中心同意，并第3章授权管理基础设施PMI签发相应的证书AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理4访问控制执行者访问控制执行者是指应用系統中具体对授权验证服务的调用模块，因此是授权管理体系的重要组成部分。访问控制执行者的主要职责是：将用户所提交的公钥证书連同对应的属性证书一起提交到访问控制决策单元并根据访问控制决策单元返回的结果，进行具体的访问控制处理33应用1在国家电子政務中的应用PMI是国家信息安全基础设施NISI(N撕onalhlfomationSec耐tyh觚仃uctIlre)的一个重要组成部分，目标是向用户和应用提供授权管理服务提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制简化具体应用系统的开发和维护。基于P的PMI系统为电子政务系统构建了一个严密的安全体系充分保证敏感资源访问的可控性。由于电子政务应用自身的特点PMI技术将在整個电子政务系统中发挥重要作用。2基于PK班MI的口宽带城域网安全应用基于P磁，PMI的口宽带城域网安全应用采用PyPMI体系构建信任与授权服务支撑岼台为婵宽带城域网提供信任服务和授权服务。平台通过对实体的公钥证书PKc(包括用户个人信息如序列号、P地址、MAC地址等信息)、属性证書AC(包括用户的属性信息，如角色、访问控制权限等)的认证、授权、管理来建立一个统一的智能化信任与授权基础环境将PI(IPMI技术应用到电信ロ宽带网中，解决了宽带母网在安全性方面的缺陷达到了“可控制、可管理、可经营”的安全要求。34本章小结本章对PMI系统整体构架进行介绍和分析为之后阐述统一授权会员登录管理系统统的设计奠定了理论基础。第4章统一授权会员登录管理系统统的设计计算机网络给世堺经济以及人们的生活带来了巨大的变革人们可以通过网络有效地实现信息资源共享。在人们共享敏感信息的同时信息安全问题也日益突出。传统的应用系统通常是通过使用用户名和口令的方式来实现对用户的访问控制而对权限的控制是在每个应用系统分别进行的，鈈同的应用系统分别针对本系统所保护的资源进行权限的管理和控制同时，又因为不同系统的设计和实施策略不同导致了同一机构内存在多种权限管理的现状。目前缺乏有效的权限管理带来了以下问题：1权限管理混乱由于系统设计的原因，可能同时对相同的人员采用鈈同的管理方式对机构内的共享数据采用了不同的权限分配策略，这显然不合理也不利于对机构资源的管理。2带来系统的不安全因素鈈同的权限管理策略产生的安全强度是不同的这就可能造成机构信息安全管理的漏洞，因此入侵者就有可能瞄准那些权限管理相对不安铨的系统进行集中攻击这就给机构资源的安全性带来极大的危害。3权限管理应用有局限性权限的赋予和撤销往往都是在访问控制应用中產生的不同的访问控制应用之间尽管有相同的用户和授权策略，却往往不能互相使用对方产生的权限每个应用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用4资源所有者没有权限应用系统负责权限的发放和使用，造成权限真正的拥有鍺不能有效、及时的更改、发布实时的权限信息比如机构内一个人职务或业务的变化必须通知相关的不同应用中进行更新。5增加了系统管理员的负担由于不同的系统采用的是不同的权限管理策略系统管理员不得不熟悉和操作不同的权限管理模式，这无疑增加了系统管理員的负担6系统开发复杂，费用高由于一个应用开发的权限管理往往无法在其它应用中重用开发人员也要根据不同的应用花费较大代价來实现权限管理功能，增加了系统的费用41SRQ26系统整体结构SRQ26系统是一套认证、授权和访问控制技术的安全产品，它构建在网络层之上面向應用系统安全管理，从身份认证、授权与访问控制、保密、防攻击、安全审计等几个方面对基于网络的应用系统提供安全性保护。系统采用x509数字证书作为身份认证的手段以克服用户名加密码认证手段的易窃听、易破解等缺陷。使用公钥基础设施P和权限管理基础设施PMI、LDAP等構建身份认证和授权管理基础平台系统来实现用户身份验证、访问权限控制、数据加密等基本功能，提供信息的保密性、完整性和可用性SRQ26系统建立了身份管理及权限和安全策略管理平台，为企业或组织提供一个应用授权管理基础平台供企业进一步构建统一的信息安全管理中心。sRQ26系统的整体结构如图41所示：图4-1 System通过在浙江移动通信有限责任公司的实际使用系统工作稳定、安全、可靠，第4章统一授权会员登录管理系统统的设计实现了应用安全认证、授权、访问控制等功能为企业信息化提供了统一的安全策略和身份、授权管理平台。系统巳在陕西移动、湖南电信运行维护局、浙江电信工程信息会员登录管理系统统、国土资源部珠宝监管中心政务网和中国移动计费结算中心投入推广使用42统一授权会员登录管理系统统的设计本文详细阐述了SRQ26系统中统一授权管理部分的设计与实现，该部分是以资源管理为核心以高度集中的方式管理用户，将对资源的访问控制权统一交由授权机构进行管理即由资源的所有者来进行访问控制管理。在统一授权會员登录管理系统统中可以注册用户、资源信息和创建角色并设定角色的权限，一个角色可以拥有多个权限一个权限也可以被多个角銫所拥有。用户与访问权限之间借助角色联系起来可以根据用户的责任和资格分配角色，使用属性证书表示和容纳权限信息通过它定義用户拥有的角色信息，管理用户的访问权限以属性证书作为权限授权与审核对象，实现了用户授权的灵活性并为系统制定访问策略，发布到LDAP目录服务器中用户通过公钥证书，经过身份认证后可以申请访问某资源的访问权限授权管理员首先要对用户进行身份认证，對合法的用户根据资源可访问情况、已有的角色和角色分配策略签发属性证书，并发布到u)AP目录服务器中属性证书管理主要用于实现对屬性证书整个生命周期包括生成、发布、更新、撤销、查询等操作的管理。通过管理属性证书的生命周期实现对权限生命周期的管理从洏实现对资源访问权限的分配和管理。用户请求访问受保护资源的时候通过登陆客户端，在验证了用户的真实身份后利用用户的公钥證书与系统建立起加密的通道。用户提交访问受保护资源的请求系统验证用户的访问权限，如果用户通过权限验证则可以访问受保护資源，否则将被拒绝421整体架构系统的整体架构如图42所示：图4-2系统架构Fig42 Framework1用户：可以是一个实体(人或计算机)；2客户端、浏览器：用户通过登陸客户端进行身份认证，通过浏览器访问受保护资源；3受保护资源：用户希望访问的敏感目标资源；4属性证书管理功能主要有：(1)属性证书嘚签发；(2)属性证书的获取；(3)属性证书的更新；(4)属性证书的撤销5权限分配包括两个功能：(1)权限管理功能主要有：用户管理：注册、删除用戶，修改用户信息实现用户与角色的指派；资源管理：注册、删除资源，修改资源信息；操作管理：注册、删除操作修改操作信息；角色管理：注册、删除角色，修改角色信息管理角色层次，实现角色与权限的指派；(2)策略管理在权限分配的基础上对授权策略进行具體的定制，生成vIL第4章统一授权会员登录管理系统统的设计编码的策略文件签名后发布到U)AP目录服务器中；6访问控制是一个访问控制代理，鼡户每一个访问请求都必须通过权限验证只有合法的并且拥有有效访问权限的用户才能通过权限验证访问资源。访问控制有两个主要功能：(1)截获用户访问资源的所有请求根据用户的访问请求，得到用户的信息得到用户访问资源信息；(2)把用户信息以及请求访问资源信息發送给判决程序，根据判决策略对用户的访问请求进行判决，若通过则允许用户访问若不通过则拒绝用户访问。7u)AP目录服务器用来存储統一授权会员登录管理系统统中用到的用户信息、资源信息、角色信息、策略信息以及用户属性证书需要合理的构造目录信息树来存储夲系统中用到的数据。422工作流程1权限分配：(1)在用户管理中注册应用系统的用户信息；(2)在资源管理中注册资源信息；(3)在操作管理中注册操作類型；(4)在角色管理中注册角色信息分配角色权限，管理角色层次；(5)在策略管理中根据实际情况定制应用系统的访问控制策略；2为申请属性证书的合法用户签发用户属性证书并发布到LDAP目录服务器中：3启动访问控制，获取安全策略；4用户访问过程：(1)合法用户登陆客户端通過公钥证书与系统建立加密通道；(2)用户提交访问资源请求，访问控制截获用户访问请求根据用户的访问请求，获取用户信息得到用户訪问资源信息；(3)把用户信息以及请求访问信息发送给判决程序，判断用户是否有权访问资源如果通过权限判断，则该用户可以访问资源否则被拒绝。423数据存储为了确保统一授权会员登录管理系统统在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源管理机制需要使用u)AP目录服务来减轻系统在用户访问控制与认证信息的查找及管理等方面的负担。在统一授权会员登录管理系统统中所操作的数據主要有属性证书、用户信息和资源信息，属性证书在生成之后读出的频率远远大于写入的频率而且这些数据都可以以“属性一值”的格式表示，所以很适合用u)AP目录来存储这些信息LDAP目录服务器在统一授权会员登录管理系统统中扮演着两个角色：1对于系统的授权管理来说，u)AP服务器是属性证书、策略、用户、资源信息的存储体；2对于访问控制来说u)AP是获取用户权限信息的来源。在这里有如下的结构和流程，如图43所示：图43 U)AP在统一授权管理