統(tǒng)一用戶管理及認證系統(tǒng)概要設計說明書

1、統(tǒng)一用戶管理及認證系統(tǒng)概要設計說明書文件狀態(tài)： 草稿 正式發(fā)布 正在修改文件標識：當前版本：1.0作 者：管策完成日期：2005-1-12保密級別：機密公司名稱： 北京萬維易化系統(tǒng)軟件開發(fā)有限公司公司地址： 北京西城區(qū)復興門內(nèi)大街158號遠洋大廈F102室 郵政編碼： 公司網(wǎng)址： WWW.EZCROSS.COM聯(lián)系電話： 傳 真： 修改記錄日期版本作者/修改者描述審核人2005-1-121.0管策新建統(tǒng)一用戶管理系統(tǒng)概要設計說明書目錄第一章 引言11.1編寫目的11.2背景11.3定義11.4參考資料1第二章 總體設計12.1需求規(guī)定12.2運行環(huán)境12.3基本設計概念和處理流程12.4結(jié)構(gòu)1

2、2.5功能器求與程序的關系12.6人工處理過程22.7尚未問決的問題2第三章 接口設計23.1用戶接口23.2外部接口23.3內(nèi)部接口2第四章 運行設計24.1運行模塊組合24.2運行控制24.3運行時間2第五章 系統(tǒng)數(shù)據(jù)結(jié)構(gòu)設計25.1邏輯結(jié)構(gòu)設計要點25.2物理結(jié)構(gòu)設計要點25.3數(shù)據(jù)結(jié)構(gòu)與程序的關系2第六章 系統(tǒng)出錯處理設計36.1出錯信息36.2補救措施36.3系統(tǒng)維護設計3第一章 引言1.1編寫目的在推進和發(fā)展信息建設的進程中，需要通過統(tǒng)一的規(guī)劃和設計，開發(fā)建設一套用戶統(tǒng)一的身份管理及單點認證支撐平臺。利用此支撐平臺可以實現(xiàn)用戶一次登錄、網(wǎng)內(nèi)通用，避免多次登錄到多個應用的情況，規(guī)范今

3、后的應用系統(tǒng)的建設。本文檔旨在依據(jù)此構(gòu)想為開發(fā)人員提出一個設計理念，解決在企業(yè)信息整合中遇到的一些問題。1.2背景招商局集團綜合辦公系統(tǒng)需要集成內(nèi)部辦公系統(tǒng)及其它一些外部應用，如ActivCard、CSMail、BBS、視頻會議系統(tǒng)等，由于用戶要求這些應用能夠在企業(yè)信息門戶中實現(xiàn)單點登錄（SSO），這就要求我們具備一個集中統(tǒng)一的用戶管理機制，統(tǒng)一用戶管理（UUM）正是一套可以滿足用戶需求的，能夠組件化的，通用的解決方案；特別是在網(wǎng)絡資源查找、用戶訪問控制與認證信息的查詢、新型網(wǎng)絡服務、網(wǎng)絡安全、商務網(wǎng)的通用數(shù)據(jù)庫服務和安全服務等方面，都需要應用目錄服務技術來實現(xiàn)一個通用、完善、應用簡單和可以擴

4、展的系統(tǒng)。第二章 總體設計2.1需求規(guī)定系統(tǒng)提供統(tǒng)一的用戶管理、身份認證及角色定制；一個全面的用戶管理基礎結(jié)構(gòu)應該能夠幫助公司實時地維持統(tǒng)一的用戶特征，即便這些用戶是為不同的應用系統(tǒng)而創(chuàng)建和使用。統(tǒng)一的用戶系統(tǒng)進行統(tǒng)一帳號創(chuàng)建、修改和刪除，這使快速推出新的業(yè)務成為可能。一個公司應該能擁有一個提供用戶全面集中管理的管理層，而不為每個新的應用程序或服務建立分布的用戶管理層。企業(yè)各應用的用戶通過一個全局唯一的用戶標示及存儲于目錄服務中的靜態(tài)口令或由令牌獲得動態(tài)口令，到認證服務器進行驗證，如驗證通過即可可登錄到企業(yè)信息門戶中訪問集成的各種應用；可以在系統(tǒng)中維護用戶信息并同步到各個應用中；能夠根據(jù)其在企

5、業(yè)的組織機構(gòu)中的身份定制角色。由于系統(tǒng)面向于企業(yè)的各種應用，提供基于目錄的統(tǒng)一用戶管理及認證；故必須具備標準通用，安全穩(wěn)定，響應快捷等特點的高性能服務能力。2.2運行環(huán)境由于占用資源少，系統(tǒng)對運行環(huán)境的要求不高，理想的系統(tǒng)網(wǎng)絡拓撲結(jié)構(gòu)如圖2.2.1所示：圖 服務器服務器可根據(jù)應用的規(guī)模選定，可采用各種專用的服務器系統(tǒng)或PC服務器系統(tǒng)（如；SUN服務器，IBM服務器,HP服務器等），使用操作系統(tǒng)可以為SUN Solaris或Linux。2.2.2 數(shù)據(jù)庫軟件流行的大中型數(shù)據(jù)庫軟件，如Oracle、MS SQL Server、DB2、PostgreSQL、SYSBASE等；2.2

6、.3 Web應用服務器WebLogic 6或以上版本W(wǎng)ebsphere 4或以上版本JRun 4或以上版本Resin 2.1.4或以上版本Tomcat 4或以上版本2.2.4 客戶機采用B/S結(jié)構(gòu)的子系統(tǒng)運行于Web瀏覽器之上，硬件要求為Pentium133/32M以上配置。2.3基本設計概念和處理流程2.3.1 企業(yè)級應用的系統(tǒng)架構(gòu)設計圖 .2 基于目錄服務的系統(tǒng)設計1) 目錄服務簡介目錄是一種特殊的數(shù)據(jù)庫，目錄服務就是按照樹狀信息組織模式，實現(xiàn)信息管理和服務接口的一種方法，目錄服務是軟件、硬件、策論以及管理的集合體；它服務于各種應用程序，包括LDAP（輕量級目錄訪問協(xié)議）目

7、錄和基于X.500的目錄。這些目錄都是通用的標準的目錄。它們不適合于特定的操作系統(tǒng)、應用目的；目錄服務系統(tǒng)一般由兩部分組成：第一部分是數(shù)據(jù)庫，一種分布式的數(shù)據(jù)庫，且擁有一個描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問和處理數(shù)據(jù)庫有關的詳細的訪問協(xié)議。雖然目錄也被稱為特殊的數(shù)據(jù)庫，但它不同于真正的數(shù)據(jù)庫。目錄的大部分操作為讀操作。假如應用程序要寫大量的數(shù)據(jù)，就應該考慮選擇使用數(shù)據(jù)庫來實現(xiàn)。目錄支持相對簡單的事務處理。與文件系統(tǒng)比較：目錄被認為是很差的文件系統(tǒng)。文件通常很大，有幾兆甚至更大，雖然目錄被優(yōu)化成存取很小的信息。應用程序以塊的方式存取文件。文件系統(tǒng)支持各種調(diào)用-像seek()，read()和writ

8、e()，這樣可以寫大文件的一部分的信息。目錄不能提供這種隨機的存取訪問。目錄條目被分成各種屬性。你可以分別獲取各種屬性。你不能取得一個條目的部分值，如從第幾個字節(jié)開始。與web的比較：不像web服務器一樣，目錄不適合推送JPEG圖像或Java程序給客戶端。Web服務通常作為開發(fā)web應用的跳板。這些平臺從CGI（公用網(wǎng)關接口）到更復雜的像Netscape應用服務平臺。目錄一般不提供這種形式的應用開發(fā)，甚至它不提供目錄應用開發(fā)平臺服務。與FTP的主要區(qū)別在于：數(shù)據(jù)量的大小和客戶的類型。另外一點就是FTP是一個非常簡單的協(xié)議，它專于做一件事情并把它做好。假如你想做的是把文件從一個地方傳送到另一個地

9、方，那么額外的目錄下層結(jié)構(gòu)也需要，如復制、查詢、更新等。與DNS比較：因特網(wǎng)的域名系統(tǒng)和目錄有相似之處，它們都提供對分層式數(shù)據(jù)庫的訪問。但其它一些不同把它們區(qū)分開來。DNS的主要目的是把主機名轉(zhuǎn)換成IP地址。比較而言，大多數(shù)目錄有更普通的作用。DNS有一套專門的、固定的計劃，而目錄允許被擴展。DNS不允許更新它的信息，而目錄可以。DNS可通過UDP的無連接的方式訪問，而目錄通常是連接訪問的。目錄服務與關系型數(shù)據(jù)庫比較，目錄不支持批量更新所需要的事務處理功能，目錄一般只執(zhí)行簡單的更新操作，適合于進行大量數(shù)據(jù)的檢索；目錄具有廣泛復制信息的能力，從而在縮短響應時間的同時，提高了可用性和可靠性。目前，

10、目錄服務技術的國際標準有兩個，即較早的X.500標準和近年迅速發(fā)展的LDAP標準。X.500：在八十年代中期，兩個不同的團體-CCITT和ISO，各自開始在目錄服務方面的研究工作。最后，兩個國際性的目錄規(guī)范融合成一個規(guī)范，這就是X.500。X.500的優(yōu)勢在于它的信息模型，它的多功能性和開放性。LDAP：1993年7月，第一個LDAP規(guī)范是由密歇根大學開發(fā)的，也就是RFC1487。LDAP的開發(fā)者們簡化了笨重的X.500目錄訪問協(xié)議，他們在功能性、數(shù)據(jù)表示、編碼和傳輸方面做了改建。目前，LDAP的版本是第3版本，相對以前版本來說，第3版本在國際化、提名、安全、擴展性和特性方面更加完善。1997

11、年，第3版本成為因特網(wǎng)標準。由于LDAP所具有的查詢效率高、樹狀的信息管理模式、分布式的部署框架以及靈活而細膩的訪問控制，使LDAP廣泛地應用于基礎性、關鍵性信息的管理，如用戶信息、網(wǎng)絡資源信息等。LDAP的應用主要涉及幾種類型。信息安全類：數(shù)字證書管理、授權管理、單點登錄；科學計算類：DCE(Distributed Computing Envirionment，分布式計算環(huán)境)、UDDI （Universal Description，Discovery and Integration, 統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議）；網(wǎng)絡資源管理類：MAIL系統(tǒng)、DNS系統(tǒng)、網(wǎng)絡用戶管理、電話號碼簿；電子政務資

12、源管理類：內(nèi)網(wǎng)組織信息服務、電子政務目錄體系、人口基礎庫、法人基礎庫。選擇目錄技術與否可參考以下幾個方面信息：*信息量大小。目錄適合于存放相對小的信息量，而不是幾兆大小的文件;*信息的類型。目錄通常是基于屬性的信息;*讀寫比。目錄適合于讀操作更多的應用。如需要用到大量的寫操作，數(shù)據(jù)庫是一個選擇;*搜尋能力。目錄能搜尋他自身包含的信息;*標準訪問。假如你需要標準的訪問信息,目錄是一個好的選擇;2) LDAPLDAP（輕量級目錄訪問協(xié)議，LightweightDirectoryAccessProtocol)是實現(xiàn)提供被稱為目錄服務的信息服務。目錄服務是一種特殊的數(shù)據(jù)庫系統(tǒng)，其專門針對讀取，瀏覽和搜

13、索操作進行了特定的優(yōu)化。目錄一般用來包含描述性的，基于屬性的信息并支持精細復雜的過濾能力。目錄一般不支持通用數(shù)據(jù)庫針對大量更新操作操作需要的復雜的事務管理或回卷策略。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結(jié)、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息，就需要使用運行在TCP/IP之上的訪問協(xié)議LDAP。LDAP四種基本模型：信息模型：描述LDAP的信息表示方式。在LDAP中信息以樹狀方式組織，在樹狀信息中的基本數(shù)據(jù)單元是條目，而每個條目由屬性構(gòu)成，屬性中存儲有屬性值；LDAP中的信息模式，類似于面向?qū)ο蟮母拍?，在LDAP中每個條目必須屬于某個或多個對象

14、類（Object Class），每個Object Class由多個屬性類型組成，每個屬性類型有所對應的語法和匹配規(guī)則；對象類和屬性類型的定義均可以使用繼承的概念。每個條目創(chuàng)建時，必須定義所屬的對象類，必須提供對象類中的必選屬性類型的屬性值，在LDAP中一個屬性類型可以對應多個值。在LDAP中把對象類、屬性類型、語法和匹配規(guī)則統(tǒng)稱為Schema，在LDAP中有許多系統(tǒng)對象類、屬性類型、語法和匹配規(guī)則，這些系統(tǒng)Schema在LDAP標準中進行了規(guī)定，同時不同的應用領域也定義了自己的Schema，同時用戶在應用時，也可以根據(jù)需要自定義Schema。這有些類似于XML，除了XML標準中的XML定義外，

15、每個行業(yè)都有自己標準的DTD或DOM定義，用戶也可以自擴展；也如同XML，在LDAP中也鼓勵用戶盡量使用標準的Schema，以增強信息的互聯(lián)互通。在Schema中最難理解的是匹配規(guī)則，這是LDAP中為了加快查詢的速度，針對不同的數(shù)據(jù)類型，可以提供不同的匹配方法，如針對字符串類型的相等、模糊、大于小于均提供自己的匹配規(guī)則。 命名模型：描述LDAP中的數(shù)據(jù)如何組織。LDAP中的命名模型，也即LDAP中的條目定位方式。在LDAP中每個條目均有自己的DN和RDN。DN是該條目在整個樹中的唯一名稱標識，RDN是條目在父節(jié)點下的唯一名稱標識，如同文件系統(tǒng)中，帶路徑的文件名就是DN，文件名就是RDN。功能模

16、型：描述LDAP中的數(shù)據(jù)操作訪問在LDAP中共有四類10種操作：查詢類操作，如搜索、比較；更新類操作，如添加條目、刪除條目、修改條目、修改條目名；認證類操作，如綁定、解綁定；其它操作，如放棄和擴展操作。除了擴展操作，另外9種是LDAP的標準操作；擴展操作是LDAP中為了增加新的功能，提供的一種標準的擴展框架，當前已經(jīng)成為LDAP標準的擴展操作，有修改密碼和StartTLS擴展，在新的RFC標準和草案中正在增加一些新的擴展操作，不同的LDAP廠商也均定義了自己的擴展操作。安全模型：描述LDAP中的安全機制。LDAP中的安全模型主要通過身份認證、安全通道和訪問控制來實現(xiàn)。身份認證 在LDAP中提供

17、三種認證機制，即匿名、基本認證和SASL（Simple Authentication and Secure Layer）認證。匿名認證即不對用戶進行認證，該方法僅對完全公開的方式適用；基本認證均是通過用戶名和密碼進行身份識別，又分為簡單密碼和摘要密碼認證；SASL認證即LDAP提供的在SSL和TLS安全通道基礎上進行的身份認證，包括數(shù)字證書的認證。通訊安全 在LDAP中提供了基于SSL/TLS的通訊安全保障。SSL/TLS是基于PKI信息安全技術，是目前Internet上廣泛采用的安全服務。LDAP通過StartTLS方式啟動TLS服務，可以提供通訊中的數(shù)據(jù)保密性、完整性保護；通過強制客戶端證

18、書認證的TLS服務，同時可以實現(xiàn)對客戶端身份和服務器端身份的雙向驗證。訪問控制 雖然LDAP目前并無訪問控制的標準，但從一些草案中或是事實上LDAP產(chǎn)品的訪問控制情況，我們不難看出：LDAP訪問控制異常的靈活和豐富，在LDAP中是基于訪問控制策略語句來實現(xiàn)訪問控制的，這不同于現(xiàn)有的關系型數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)，它是通過基于訪問控制列表來實現(xiàn)的，無論是基于組模式或角色模式，都擺脫不了這種限制。LDAP目錄中的信息是按照樹型結(jié)構(gòu)組織，具體信息存儲在條目(entry)的數(shù)據(jù)結(jié)構(gòu)中。條目相當于關系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute），D

19、N是用來引用條目的，DN相當于關系數(shù)據(jù)庫表中的關鍵字（PrimaryKey）。屬性由類型（Type）和一個或多個值（Values）組成，相當于關系數(shù)據(jù)庫中的字段（Field）由字段名和數(shù)據(jù)類型組成，只是為了方便檢索的需要，LDAP中的Type可以有多個Value，而不是關系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實現(xiàn)的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關系進行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關系數(shù)據(jù)庫。類型的一個例子就是mail，其值將是一個電子郵件地址。LDAP的信息是以樹型結(jié)構(gòu)存儲的，在樹根一般定義國家(c=C

20、N)或域名(dc=com)，在其下則往往定義一個或多個組織(organization)(o=Acme)或組織單元(organizationalunits)(ou=People)。一個組織單元可能包含諸如所有雇員、大樓內(nèi)的所有打印機等信息。此外，LDAP支持對條目能夠和必須支持哪些屬性進行控制，這是有一個特殊的稱為對象類別(objectClass)的屬性來實現(xiàn)的。該屬性的值決定了該條目必須遵循的一些規(guī)則，其規(guī)定了該條目能夠及至少應該包含哪些屬性。例如：inetorgPerson對象類需要支持sn(surname)和cn(commonname)屬性，但也可以包含可選的如郵件，電話號碼等屬性。3)

21、SUN iPlanetSUN的iPlanet電子商務解決方案中的統(tǒng)一用戶管理工具能夠適應用戶管理基礎結(jié)構(gòu)的要求， iPlanet統(tǒng)一用戶管理套件提供了對電子商務企業(yè)中所使用的各個系統(tǒng)進行統(tǒng)一和集中用戶管理功能，該套件包括以下幾個部分：目錄服務器：作為統(tǒng)一用戶管理套件的核心，為企業(yè)中的多種應用統(tǒng)一保存雇員、合作伙伴及供應商的信息，為套件中的其它部件提供了可伸縮性、高性能和細致存取控制。元目錄服務：給從其它應用系統(tǒng)增加的用戶信息提供統(tǒng)一管理方式，包括加入引擎、連接器、帳號管理合并、用戶帳號集成及消息系統(tǒng)集成等部件。加入引擎使用一個高度靈活的并且可擴展的規(guī)則，決定怎樣從不同的信息來源來聯(lián)合用戶數(shù)據(jù)。

22、這些規(guī)則能被用來控制數(shù)據(jù)更改的方向，為用戶數(shù)據(jù)的不同類型定義來源，進行用戶數(shù)據(jù)的管理。連接器是一組軟件模塊，用來與特定的數(shù)據(jù)來源交換信息，并提供給加入引擎使用。這些模塊可以在不同的系統(tǒng)中配置和安裝。靈活的體系結(jié)構(gòu)使公司可以細致地調(diào)整元目錄服務，使之提供最好的性能和可伸縮性，便于快速開發(fā)網(wǎng)上應用。帳號管理合并可以把多種來源信息集成帳號信息，包括顧客數(shù)據(jù)庫、網(wǎng)絡操作系統(tǒng)、郵件系統(tǒng)和電話交換機等。這種集成使基于Web的應用程序統(tǒng)一掌握用戶信息，便于新的增值應用的快速開發(fā)。用戶帳號集成可以自動完成用戶帳號和相關信息的增加、改變和刪除。例如，當在一個系統(tǒng)中建立一個用戶時，元目錄服務能自動地在其它系統(tǒng)上產(chǎn)

23、生用戶的帳號信息，因此用戶只須記住一個帳號，而且用戶的信息被所有系統(tǒng)所了解，也便于不同的系統(tǒng)對所有用戶進行定制的管理，而不論用戶的信息來源如何。消息系統(tǒng)集成可以使企業(yè)方便地與不同系統(tǒng)中的用戶，如雇員、合作伙伴、供應商和客戶之間建立聯(lián)系。 證書管理系統(tǒng)：為應用系統(tǒng)提供了根據(jù)適當?shù)陌踩墑e來認證用戶的方法，便于在公共的網(wǎng)絡上部署支持加密、認證、篡改檢測和數(shù)字簽名等應用。數(shù)字證書作為身份的證明，可使用戶在使用應用或服務時被賦予適當?shù)拇嫒嘞?。證書管理系統(tǒng)包括3個獨立的分系統(tǒng)，并具有高度靈活地安裝和配置選擇，允許一個公司基于已存在的策略定制它的PKI（公共密鑰）部署。證書管理器作為證書發(fā)出、更新和廢除

24、時使用的認證授權證書。一個或多個注冊管理器可以安裝在防火墻外面用來代理證書的請求，可以被合作伙伴或供應商所使用。當用戶忘記口令或離開他們的工作時，數(shù)據(jù)恢復管理器保護加密的數(shù)據(jù)以免于丟失。2.3.3 目錄設計設計目錄結(jié)構(gòu)是LDAP最重要的方面之一。下面我們將通過一個簡單的例子來說明如何設計合理的目錄結(jié)構(gòu)。假設有一個位于美國US(c=US)而且跨越多個州的名為Acme(o=Acme)的公司。Acme希望為所有的雇員實現(xiàn)一個小型的地址薄服務器。我們從一個簡單的組織DN開始：dn:o=Acme,c=US ;Acme所有的組織分類和屬性將存儲在該DN之下，這個DN在該存儲在該服務器的目錄是唯一的。Acm

25、e希望將其雇員的信息分為兩類：管理者(ou=Managers)和普通雇員(ou=Employees),這種分類產(chǎn)生的相對區(qū)別名(RDN,relativedistinguished names。表示相對于頂點DN)就是：dn:ou=Managers,o=Acme,c=USdn:ou=Employees,o=Acme,c=US在下面我們將會看到分層結(jié)構(gòu)的組成：頂點是US的Acme，下面是管理者組織單元和雇員組織單元。因此包括Managers和Employees的DN組成為：dn:cn=JasonH.Smith,ou=Managers,o=Acme,c=US dn:cn=RayD.Jones,ou=

26、Employees,o=Acme,c=US dn:cn=EricS.Woods,ou=Employees,o=Acme,c=US 為了引用JasonH.Smith的通用名(commonname)條目，LDAP將采用cn=JasonH.Smith的RDN。然后將前面的父條目結(jié)合在一起就形成如下的樹型結(jié)構(gòu)：cn=JasonH.Smith +ou=Managers+o=Acme+c=US-cn=JasonH.Smith,ou=Managers,o=Acme,c=U現(xiàn)在已經(jīng)定義好了目錄結(jié)構(gòu)，下一步就需要導入目錄信息數(shù)據(jù)。目錄信息數(shù)據(jù)將被存放在LDIF文件中，其是導入目錄信息數(shù)據(jù)的默認存放文件。用戶可以

27、方便的編寫Perl腳本來從例如/etc/passwd、NIS等系統(tǒng)文件中自動創(chuàng)建LDIF文件。下面的實例保存目錄信息數(shù)據(jù)為testdate.ldif文件，該文件的格式說明將可以在manldif中得到。 在添加任何組織單元以前，必須首先定義AcmeDN：dn:o=Acme,c=USobjectClass:organization這里o屬性是必須的o:Acme下面是管理組單元的DN，在添加任何管理者信息以前，必須先定義該條目。dn:ou=Managers,o=Acme,c=USobjectClass:organizationalUnit這里ou屬性是必須的。ou:Managers第一個管理者DN：

28、dn:cn=JasonH.Smith,ou=Managers,o=Acme,c=USobjectClass:inetOrgPerson cn和sn都是必須的屬性：cn:JasonH.Smithsn:Smith但是還可以定義一些可選的屬性：telephoneNumber:010-222-9999mail:localityName:Houston可以定義另外一個組織單元：dn:ou=Employees,o=Acme,c=USobjectClass:organizationalUnitou:Employee并添加雇員信息如下：dn:cn=RayD.Jones,ou=E

29、mployees,o=Acme,c=USobjectClass:inetOrgPersoncn:RayD.Jonessn:JonestelephoneNumber:444-555-6767mail:localityName:Houstondn:cn=EricS.Woods,ou=Employees,o=Acme,c=USobjectClass:inetOrgPersoncn:EricS.Woodssn:WoodstelephoneNumber:444-555-6768mail:localityName:Houston目錄結(jié)

30、構(gòu)如下圖所示：圖 .4 安全認證系統(tǒng)的安全特性：(1) 基于簡單認證機制中的口令認證機制，以用戶名和密碼為確認用戶身份的標志；(2) 在認證過程中，明文密碼絕不能在網(wǎng)絡上傳輸，防止竊聽導致泄密，保證用戶密碼的安全；(3) 可以實現(xiàn)認證客戶端和認證服務器的雙向認證，確保認證雙方的身份；(4) 能夠抵抗重放攻擊，既防止攻擊者使用竊聽到的過時的認證數(shù)據(jù)包再次獲得認證而冒充合法用戶的身份；應用服務器既作為相對用戶的服務器，又作為統(tǒng)一口令認證系統(tǒng)的客戶端。它們首先通過安全傳輸通道（如SSL通道）獲取用戶提交的用戶名和密碼，然后通過口令認證系統(tǒng)提供的統(tǒng)一口令認證模塊經(jīng)由安全認證通道向口令認

31、證服務器提交認證請求，并獲得認證結(jié)果（成功或失?。?，最終確定是否給該用戶提供服務；并引用LDAP的ACL（Access Control List）機制。認證算法：考慮到系統(tǒng)的安全和高效，要求設計的認證算法亦是安全、高效。安全主要有三方面：(1) 在認證過程中傳輸?shù)臄?shù)據(jù)不怕被竊聽，通過對傳輸?shù)臄?shù)據(jù)進行加密實現(xiàn)；(2) 傳輸中的數(shù)據(jù)可以防止被篡改，通過對傳輸?shù)臄?shù)據(jù)進行數(shù)字簽名實現(xiàn)；(3) 可以抵抗重放攻擊，方法是在認證數(shù)據(jù)包中打時戳，或在認證過程中使用Challenge-Response方法實現(xiàn)。采用時戳需要各系統(tǒng)實現(xiàn)時間同步，增加了系統(tǒng)的不安全性，故一般實現(xiàn)多采用Challenge-Respon

32、se方法。借鑒radius的CHAP認證算法，提出下面的算法模型，其流程如下：C：Client，認證客戶，一般為應用服務器；S：Server，統(tǒng)一口令認證服務器；K：C和S之間的共享秘密，即待認證用戶的單向加密后的密碼；N：待認證用戶的用戶名；R：S產(chǎn)生的隨機數(shù)；HM：對消息M做單向Hash消息摘要運算，可使用MD5算法；CKM：以密鑰K使用對稱加密算法對消息M進行對稱加密，可使用DES算法；r：認證的結(jié)果，成功或失??；1. C=S：N,HN+K+02. S=C：CKR,HN+CKR+K+R3. C=S：N,CKR,K,HN+CKR,K+K+R4. S=C：CKr,R,HN+CKr+K+R在認

33、證的每一個步驟中，無論客戶端還是服務器端，都要求對數(shù)據(jù)包中的H域做校驗。由于H域中包含了C和S之間的共享秘密，所以對于不知道此秘密的攻擊者而言，是無法偽造合法的數(shù)據(jù)包的，也由此雙向證實了C或S的身份。認證的過程分為預請求和正式請求兩部分，其中預請求是C向S獲取隨機數(shù)R的過程，在正式的認證請求中C必須向S提交此憑據(jù)。由于R對于每次認證請求都不同，且在S端有記錄，攻擊者即使竊聽到了一個成功的認證請求包，在下次使用時卻失效了，所以可以很好的防重放攻擊。2.3.5 功能擴展需要進一步的調(diào)研，根據(jù)管理對象的特點決定需要哪些新的對象類和屬性類型，來擴展Schema。2.4系統(tǒng)結(jié)構(gòu)系統(tǒng)服務對象系統(tǒng)功能模塊目

34、錄服務維護安全策略服務系統(tǒng)用戶中心組織機構(gòu)管理用戶角色定制服務部署維護系統(tǒng)維護認證服務目錄服務應用二應用一應用三應用N圖 2.42.5功能需求與程序的關系功能需求的實現(xiàn)同各塊程序的分配關系矩陣圖：功能需求/程序模塊目錄服務維護安全策略服務系統(tǒng)用戶中心組織機構(gòu)管理用戶角色定制服務部署維護系統(tǒng)維護SSO實現(xiàn)用戶新增/刪除/修改組織機構(gòu)管理角色定制應用系統(tǒng)注冊應用接口日志管理應用協(xié)作管理表 2.52.6人工處理過程暫無2.7尚未解決的問題暫無第三章 接口設計3.1用戶接口應用管理接口；應用部署接口；功能擴展接口；3.2外部接口用戶信息同步接口；應用組織機構(gòu)接口；應用角色信息接口；應用授權接口；應用目錄服務接口；應用認證接口；3.3內(nèi)部接口LDAP接口；數(shù)據(jù)庫中間件接口；用戶與角色之間的接口；第四章 運行設計4.1運行模塊組合暫無4.2運行控制暫無4.3運行時間由于系統(tǒng)是用戶與應用的中間層，故運行時間不宜過長，暫定于10s之內(nèi)；第五章 系統(tǒng)數(shù)據(jù)結(jié)構(gòu)設計5.1邏輯結(jié)構(gòu)設計要點給出本系統(tǒng)內(nèi)所使用的每個數(shù)據(jù)結(jié)構(gòu)的名稱、標識符以及它們之中每個數(shù)據(jù)項、記錄、文卷和系的標識、定義、長度及它們之間的層次的或表格的相互關系。5.2物理結(jié)構(gòu)設計要點給出本系統(tǒng)內(nèi)所使用的每個數(shù)據(jù)結(jié)構(gòu)中的每個數(shù)據(jù)項的存儲要求，訪問方法、存取單位、存取的物理關系（索