摘 要：随着网络技术应用的普及，在身份认证的过程中，认证系统的可扩展性、访问效率、安全可靠性等各方面都是需要考虑的问题，而采用相应的目录结构和目录安全机制能有效解决这些问题，本文针认证信息存储模块主要包含的内容，提出了一些可行的方案，并加以分析、总结。

关键词：身份认证；信息存储；目录

中图分类号：TP393.08 文献标识码：A

1 引言（Introduction）

随着网络技术应用的逐渐普及，各种应用系统逐渐增多，校园网应用系统[1]在提供更高层次服务同时，对于用户身份认证，用户服务权限的要求相应的提高，原来每个服务系统各自为政的身份认证方式难以达到这个要求。如何进行用户身份信息的存储管理，才能实现用户身份认证的可靠性、独立性和安全性？

用户注册信息的存储采用基于LDAP协议的规划设计，通过基于LDAP协议目录服务的Sun One Directory Server的目录进行存储，继承了Solaris操作系统的桌面化批量管理和目录的安全可靠等各方面的优点。认证信息存储模块的各种规划与设计，为用户统一身份认证[2]系统的访问效率性、安全可靠性、可扩展性等方面都提供了有力的保障。

2 认证信息目录存储分析（Authentication

information of directory stores analysis）

认证信息存储模块的主要包含内容：目录信息树设计、属性和对象类设计、结构设计、目录安全机制的设计、目录结构规划、Sun One Directory Server目录存储。

2.1 LDAP协议目录

LDAP[3]就是轻量级目录访问协议的意思，是由美国Michigan大学研发的一种新的信息目录访问协议，目录服务中的目录对象可以代表管理系统中的资源信息、组织信息和人员信息等，LDAP几乎可以存储所有类型的数据：NIS映射、电子邮件地址、联系人信息列表、DNS信息和电话等信息。LDAP中的目录由一个个条目组成，每个条目类似于关系数据库中的表记录，所有条目是具有别名DN的属性集合。LDAP协议集还规定了所有DN的存取控制方法、搜索格式、复制方法、命名方法等。

目录与一般的关系数据库是有区别的，它并不是表达复杂的对象联系，也不是处理频繁的数据更新及。相反的，在对目录的操作请求过程中，更新请求频率是远远低于查找请求频率的，因此，目录一般都要针对查找进行优化，以存储大量相对静态的数据，以便适合系统对用户注册信息的频繁读取、查找等操作。目录一般按层次采用树状模型，它能使存储在里面的信息以一个有序的整体呈现在用户面前，从而在一定程度上简化了网络资源和网络信息的集中管理。

在起初选择用户注册信息存储方式时，对比目录存储和关系型数据库存储的优缺点，总结LDAP目录存储在一下几个方面具有更大优势：首先是读写操作方面，在LDAP中的数据处理主要是进行“读/查询”操作，所以一般存放相对变化不大的数据信息，同时对读操作进行了优化处理；而关系型数据库在设计上必须读写兼顾，因为关系型数据库中存在着大量数据的更新操作；其次是扩展性方面，LDAP可以根据新的需要和应用进行扩展，而关系型数据库中的基本数据类型很难扩展；再次，在性能方面，一个大型LDAP系统对目录整体的访问需要在每秒几千个到几万个查询，并且这些查询通常比关系型数据库的处理简单的多，而一个大型关系型数据库系统每秒大概能处理几百个查询事务。因为系统的开源特性使然，存在一定的不稳定性，所以，LDAP对该系统并非最佳选择，结合如上优点，本文采用目录结构存储用户注册信息，提出如下三种解决方案：

Windows平台下的目录服务，活动目录（Active Directory）是Windows 2000 Server及其更高版本的集成服务，是Windows 2000网络中目录服务的实现方式，使一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源，该目录服务基于Windows系统下。虽然，功能强大，设计完善，但是因为Windows易于被攻击，其安全性能稍差；GNU/Linux平台下的OpenLDAP目录服务，OpenLDAP目录服务是开放源代码，易于理解系统架构技术细节，也能在社区及时同核心开发人员取得联系，是一种灵活支持所有授权方式的产品，而且被默认集成到了Redhat Linux下，带有OpenLDAP安装软件。

因为其开源的特性，存在一定的不稳定性，所以，该产品并非最佳选择；Solaris平台下的目录服务，Sun ONE Directory Server是功能强大且具伸缩性的分布式目录服务其，它基于符合工业标准的轻型目录访问协议。是构建集中化与分布式数据库的基础，这样建立的数据库可用于内部网，也可跨越外联网从而实现与商业合作伙伴共享数据资源，其性能优越，稳定性高，适合为企业级用户服务。

本文中的系统完成之后将用于校园网用户注册信息的存储，需要在安全性、稳定性、可靠性等各方面提出更高要求，综合考虑之后，本文选择第三种方案。因为，Solaris操作系统在稳定性、安全性等方面是经得住考验的，为企业级用户提供的目录服务经过了商业的考验更加可靠和稳定。

2.2 目录结构规划

为了使系统的目录服务能更加灵活、更加可靠地完成用户认证信息的存储，必须重新规划目录的结构。一般的系统采用以服务为辅助的方式进行设计，先开发存储，再开发应用。上一代目录以服务为基础，而新的目录将以信息为基础。

LDAP把语法、匹配规则、属性类型和对象类等统称为Schema。这些系统Schema都在LDAP标准中进行了规定，而且在不同的应用领域也定义各自不同的Schema，用户在应用时可以根据需要自定义Schema。RFC2798定义了一个名为Inetorgperson的LDAP对象类以及一组该对象类可用的属性，这些属性都是目录服务中经常用到的一个人的常用信息。如：Given Name（名字）、Department Number（部门编号）、Telephone Number（电话号码）、Mail（邮件）、Uid（用户标识号）。根据实际应用，标准的属性只是为记录用户信息的典型的目录服务而提供的，而已有的属性所能表示的信息是不够的，如果想要要将其扩展到满足广泛的对基础信息的管理，就需要对LDAP的schema进行一些补充设计。endprint

要想存储和管理各应用系统的用户名和密码，唯一用于区分用户身份的节点就是OU，通过判断OU=Student、OU=Teacher或者OU=VIP来判断是学生、教师或者其他身份，至于用户在各个系统中的身份、角色、权限，完全由应用系统中存储的该用户的信息来决定。

Sun One Directory Server目录在节点上的设置有个很大的优点，默认情况下，目录本身就定义了100多个节点，可以根据自己的需要随意扩充，本文就采用了使用SN表示学号，GiverName表示身份证号，这样就可以根据用户对目录节点的需要，适当的进行增加节点数量，以此满足了用户对系统扩充的需要。

2.3 目录安全机制

LDAP与关系数据库很重要的一个区别就在于LDAP提供了强有力的安全模型。它的安全模型主要通过安全通道、访问控制和身份认证等来实现。LDAP的访问控制机制非常丰富而灵活，它是通过访问控制列表ACL实现的，而关系数据库系统通常采用基于角色或者用户组进行权限控制。

LDAP的安全认证可以通过RFC2246来实现，RFC2246定义了TLS，它使用X.509证书向上层提供安全的数据传输，对传输层数据进行加密。为了使系统具有完备的安全机制，同时又能适用于分布式环境，应该使用在传输层进行数据完整性和数据私密性保护，因此身份认证平台认证系统采用基于公钥体制的TLS认证方式比较好。

2.4 Sun One Directory Server目录存储

Sun One Directory Server的目录服务采用LDAP协议，LDAP协议的查询效率很高，即使是上百万用户，查询速度也极快；目录采用节点结构，Sun目录本身已经自定义了100多个节点，便于用户系统的使用和扩充；该目录服务，作为一个整体来讲更具优势，它采用分布式结构，更加开放，形成的客户资料全部由用户系统自己掌握，增加了安全性；在项目实施过程中，Sun One Directory Server给人印象最深的就是开放性，它在管理上的伸缩性优于其他同类产品。

系统的Sun One Directory Server安装在Solaris9.0操作系统上，从服务器选择、操作系统选择、目录存储软件选择完全采用Sun公司的产品，在系统稳定性，安全性，可靠性上都得到了最大限度的保障。

当服务器端solaris版本安装完毕之后，建议安装一个Windows版本的客户端，便于远程管理，Windows版本的客户端安装相对简单，这样可以通过客户端连接对目录服务进行操作。

Sun One Directory Server功能十分强大，在目录存储方面，很多管理都可以在客户端完成，下面针对各个不同功能介绍如下：Tasks选择下，可以启动、停止、重启Directory Server；可以直接采用Sun One提供的备份、恢复工具完成对目录的备份恢复工作，安全、可靠、方便、简单；关于LDIF的导入、导出可以用于批量用户的导入。

LDIF即为LDAP Data Interchange Format，它是以文本的形式描述目录信息树中各个条目的详细信息。信息的许多操作如数据导入、导出、添加、修改、拷贝等都是基于LDIF文件进行的，所以LDAP是目录树信息交换的基础。

3 结论（Conclusion）

通过上述LDIF可以得知，日常维护过程中，可以通过导出目录服务的LDIF来实现目录的备份和恢复工作。本文批量导入用户的方法，就是采用将用户根据上述节点要求，用自己开发的程序，将用户相关信息写成LDIF能够识别的格式，然后采用LDIF导入，即实现了用户的批量导入，同样道理，Sun One Directory Server可以实现用户的批量导出。

通过这样的存储，基本上能保证各种统一身份认证系统的可扩展性、访问效率、安全可靠性等各方面要求，是一种比较行之有效的管理模式。

参考文献（References）

[1] 任河，李杰.资源访问控制与统一身份认证技术的研究[J].机

电产品开发与创新，2004（6）：9-11.

[2] 李冰，袁野.LDAP目录服务在统一身份认证系统中的应用[J].

信息技术，2005（1）：68-71.

[3] 孙超，陈钢.基于Agent技术的统一身份认证系统[J].计算机应

用研究，2005（3）：138-140.

作者简介：

吴克文（1980-），男，硕士，讲师.研究领域：电脑芯片级维

修，数据恢复，网络技术.endprint