基于活动目录的发电企业信息系统身份认证技术研究.pdfVIP

基于活动目录的发电企业 信息系统身份认证技术研究 李若溪 (华能大连电厂，辽宁大连116100) 摘要：讨论在已经存在域的企业中，建立以LDAP协议为核心的统一身份验证系统的必要性、可行性。分析 了LDAP的基本情况，并就LDAP的定制、复制与安全措施做了相应研究。对认证服务器的设计思想和具体 实现方法也作了介绍。以Microsoft的活动目录平台为基础，提出一种可行的企业统一身份认证平台的解决 方案，包括物理结构和逻辑结构。并就实施过程中一些值得关注的问题进行了讨论。 关键词：统一身份认证；LDAP；活动目录 网络环境下的信息安全日益得到重视，其技术 1．3用户信息维护量剧增 也在逐步完善，传统的对称加密方法的不断改进与 强化到非对称加密技术的出现，再到数字证书的概 当企业发生人事变动时，要更改每个系统中的 念广为人知，包括各种认证令牌的使用逐渐增多， 人员信息。这一工作的及时性和准确性很难得到 PKI的概念不但流行而且也已经得到广泛的实际应 保证。而且，用户源和验证源分布在不同的应用系 Service 用。同时对于XML加密和签名标准与Web 统中，不利于用户行为的跟踪和日志的分析和审计。 安全性研究的进展也在不断促进它的日益成熟与 广泛应用。信息安全技术的不断发展与完善，为设 2发电企业的身份认证技术 计和建设一个完整的数字化企业，尤其是统一身份 现有的各种身份认证技术可以分为3类：基于 认证平台类的系统，提供了坚实的技术背景。 密码的认证方式、令牌认汪方式和生物特征认证方 1背景 式。其中，使用的最为广泛的是基于密码的认证方 Direc- 式。最常见的是基于LDAP协议(Lightweight 华能国际电力股份有限公司于2006年在总公 Access tory ActiveDi— 司与所属的各电厂实施了基于Microsoft rectory的域平台。由于各电厂投产时问有先后，信temet访问的支持非常好，并且它还为浏览和查找目 息化基础不同，系统基础架构的实现方法各异，在 录以及内容读取提供了专门的优化，使得渎取速度 Active 实施MicrosoftDirectory的域平台时或多或少比一般的关系数据库要快得多。具有代表性的产 地存在一些问题，其中一些问题较为普遍。 品是微软在Windows系列操作系统中集成的活动目 录(Active Directory)。 1．1原系统与新域的兼容问题 由于厂内的个人工作站退出原有域，而加入到 2．1 活动目录身份认证技术的基本特征 公司域中，导致某些基于原有域的应用很难在不经 过修改的情况下继续使用。增加了系统切换的成 发电企业信息系统的身份认证和其他行业相 本和对日常生产工作的扰动。 比，既有相似性，又有区别。根据发电企业自身的 生产特点，其信息系统的身份认证系统具有以下基 1．2用户管理和验证方式混乱 本特征，系统能否满足这些特征的要求，是项目实 用户要面