基于LDAP政务资源目录服务系统分析与设计.docVIP

基于LDAP政务资源目录服务系统分析与设计 　　[摘要]从政务资源管理的实际需求和目录服务的特点着手，分析构建目录服务系统的重要性，并实现基于目录服务系统政务资源管理。 　　[关键词]政务资源 轻量级目录访问协议 身份认证 目录服务 　　中图分类号：TP3文献标识码：A 文章编号：1671-7597（2008）1210065-01 　　 　　一、引言 　　 　　随着政府信息化的发展，政府在行使自身职能的过程中产生并管理着大量信息资源。这些信息资源孤立而杂乱的分布在政府活动所触及的部门、行业和地域，构成庞大的立体政务资源网络。 　　Internet技术的发展为信息资源的共享与交互提供了快捷途径，但是，电子政务信息化建设缺乏统一规划、政务信息资源缺少统一标准，导至政务信息资源分布杂乱、部门间数据格式与存储方式不统一，很难实现资源共享，更难于统一管理，直接影响信息资源的管理利用。因此，必须提供有效的技术手段整合现有的信息资源，提高政府部门对信息资源的共享水平和利用率。 　　本文提出一种基于LDAP的政务资源目录服务解决方案。以国家电子政务规划的核心元数据作为标准，以树状分层结构存储资源对象，建立与政府组织结构一致的网络结构。通过目录，实现清晰且完整的信息表示，使用者可以最短路径寻找到需要的信息。 　　 　　二、关键技术分析 　　 　　（一）LDAP协议 　　LDAP(轻量级目录访问协议，Lightweight Directory Access Protocol) 　　是实现提供被称为目录服务的信息服务。 　　LDAP目录中的信息按照树型结构组织，具体信息存储在条目（entry）的数据结构中。条目相当于关系数据库中表的记录;条目是具有区别名DN（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不象关系数据库中为降低数据的冗余性而要求的各个域必须不相关。LDAP中条目的组织一般按照直观地理位置和组织关系进行组织。LDAP把数据存放在文件中，为使用基于索引的文件数据库提高效率。 　　LDAP的信息是以树型结构存储，树根一般定义国家（c=CN）或域名（dc=com），在其下则定义一个或多个组织（organization）（o=Acme）或组织单元（organizational units） （ou=People）。一个组织单元可能包含诸如所有雇员、单位设备等信息。此外，LDAP支持对条目能够和必须支持哪些属性进行控制，这由一个特殊的称为对象类别（objectClass）的属性来实现。该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。 　　（二）LDAP协议模型 　　LDAP协议基于以下四种模型： 　　1．信息模型。在LDAP中，信息以树状方式组织，树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值；LDAP中的信息模式，类似于面向对象的概念，在LDAP中，每个条目必须属于某个或多个对象类（Object Class），每个对象类由多个属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值。 　　2．命名模型。LDAP命名模型定义用户如何组织和引用数据。LDAP命名模型提供的灵活性，使用户可以用一种易于管理的方式把条目放入目录。例如，可以创建一个条目，用来保存描述组织中人的信息的所有条目。以目录节点为基本组成单元，LDAP目录中的所有目录节点构成了目录信息树。 　　3．功能模型。在LDAP中共有四类操作：查询类操作，如搜索、比较；更新类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它操作，如放弃和扩展操作。除了扩展操作，其他操作都是LDAP的标准操作；扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为LDAP标准的扩展操作。 　　4．安全模型。LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。 　　身份认证：LDAP提供三种认证机制，即匿名、基本认证和SASL认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包