校园网下高可用的安全身份认证技术研究.docx

校园网下高可用的安全身份认证技术研究

摘要：信息化建设中应用服务层出不穷，导致多套认证机制，为校园网用户带来不便。本文详细阐述了整合资源的基于LDAP的统一身份认证模型，分析了LDAP认证的优点及其四种基本模型。此系统采用主从分离模式，提高了可用性，方便了校园网用户和管理员使用，从而提高了整个信息系统的安全性和用户的工作效率。

中图分类号：G434文献标识码：A论文编号：1674-2117（2019）01-0110-03

“十三五”以来，高校内各种各样的应用服务层出不穷，導致多个系统拥有多套账号和密码，需要反复登录才可使用。根据以上情况，笔者提出建立一个能够服务于所有应用的系统，采用唯一的用户信息数据库系统对用户信息统一进行管理，每个应用系统都通过该认证系统来进行用户的身份认证，用户只需一次登录就可以访问网络中各应用系统相应权限内的资源。统一身份认证系统通过轻量级目录服务（LDAP）来完成身份认证。[1]选择采用LDAP协议，首先是因为LDAP目录服务采用一种分布式的目录树结构存储用户信息，具有读取速度快、扩展方便的特点[2]；其次LDAP也提供安全功能；最后，当用户的身份被识别后，它可以控制用户对网络资源、应用程序及其他网络服务的访问。

LDAP认证原理

目录服务器是统一身份认证平台的基础，对用户信息进行统一管理，保证数据的一致性和完整性。通过轻量级的目录服务协议（LightweightDirectoryAccessProtocol，LDAP）将各应用系统的用户或组织的信息以层次结构、面向对象的数据库的方式加以收集和管理。[3]LDAP实现了指定的数据结构的存储，是一种特殊的数据库，主要任务不是数据的存储和操作，并不像传统的数据库一样支持复杂的事务，它对查询进行了优化，与写性能相比LDAP的读性能要强很多。[4]

LDAP是基于X.500标准的，并且可以根据需要定制，LDAP支持TCP/IP协议，因此利用LDAP服务可以设计跨平台和应用的统一身份认证系统，它可以在任何计算机平台上访问LDAP目录。LDAP是一个安全的协议，它使用SASL（简单证明安全层）协议，提供访问控制。LDAP通过SSL/TLS认证机制来保护数据的完整性和私密性。所有的用户数据在LDAP服务器中被统一管理，所有的应用系统通过网络访问同一个用户数据库，数据的管理和安全保证放在LDAP服务器上进行统一维护。

LDAP的体系结构由四种基本模型组成。[5]其一，信息模型，描述LDAP的信息表示方式，定义能够在目录中存储的数据类型和基本的信息单位。在LDAP中信息以树状方式组织，基本数据单元是条目，每个条目由属性构成，属性中存储有属性值。其二，命名模型，描述LDAP的数据如何组织。所有目录条目按照层次模型进行排列，它是一个分级或类似树状的结构，能更好地存储和搜索目录树中的对象。目录信息树（DirectoryInformationTree，DIT）包含网络环境信息，子树能从主干上分枝。在LDAP中每个条目均有自己的标识名（DistinguishedName，DN）和相对标识名（RelativeDistinguishedName，RDN）。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识。其三，功能模型，描述LDAP的数据如何操作。在LDAP中共有查询、更新、认证和其他四类十种操作。其四，安全模型，主要通过身份认证、安全通道和访问控制来实现。身份认证：被用来在客户端和目录服务器之间建立会话，这个会话有无保障的匿名、基于明文的密码、基于SASL（SimpleAuthenticationandSecureLayer）机制的加密等不同的安全级别。安全通道：在LDAP中提供了基于SSL/TLS的通信安全保障。访问控制：为了保护敏感信息资源，LDAP目录服务定义了一系列异常的灵活和丰富的访问控制规则，这些规则规定了不同实体访问目录系统的权限。

高可用的安全认证系统实现

1.开发平台

Openldap是一款优秀的开源软件，提供一个跨平台的轻量级目录访问服务器，能够进行主从备份；同时提供脱机数据库管理工具和联机数据库管理工具。BDB是一个开放源代码的内嵌式数据库系统，能够进行高性能的事务处理，并且具有较好的可扩展性，是Openldap缺省配备的后台数据库。

2.目录设计

LDAP把对象类、属性类型、语法和匹配规则统称为schema。这些系统schema在LDAP标准中进行了规定，不同的应用领域也定义了各自不同的schema，同时，用户在应用时也可以根据需要自定义schema。笔者利用自定义模式，针对统一身份认证系统的数据设计需求，对目录服务的schema设计作以如下扩展（如图1）。在配置文件slapd.conf文件的全局定义部分