统一用户管理及认证系统概要设计说明书Word格式.docx

1、第一章 引言1.1编写目的在推进和发展信息建设的进程中，需要通过统一的规划和设计，开发建设一套用户统一的身份管理及单点认证支撑平台。利用此支撑平台可以实现用户一次登录、网内通用，避免多次登录到多个应用的情况，规范今后的应用系统的建设。本文档旨在依据此构想为开发人员提出一个设计理念，解决在企业信息整合中遇到的一些问题。1.2背景招商局集团综合办公系统需要集成内部办公系统及其它一些外部应用，如ActivCard、CSMail、BBS、视频会议系统等，由于用户要求这些应用能够在企业信息门户中实现单点登录（SSO），这就要求我们具备一个集中统一的用户管理机制，统一用户管理（UUM）正是一套可以满足用户

2、需求的，能够组件化的，通用的解决方案；特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。第二章 总体设计2.1需求规定系统提供统一的用户管理、身份认证及角色定制；一个全面的用户管理基础结构应该能够帮助公司实时地维持统一的用户特征，即便这些用户是为不同的应用系统而创建和使用。统一的用户系统进行统一帐号创建、修改和删除，这使快速推出新的业务成为可能。一个公司应该能拥有一个提供用户全面集中管理的管理层，而不为每个新的应用程序或服务建立分布的用户管理层。企业各应用的用

3、户通过一个全局唯一的用户标示及存储于目录服务中的静态口令或由令牌获得动态口令，到认证服务器进行验证，如验证通过即可可登录到企业信息门户中访问集成的各种应用；可以在系统中维护用户信息并同步到各个应用中；能够根据其在企业的组织机构中的身份定制角色。由于系统面向于企业的各种应用，提供基于目录的统一用户管理及认证；故必须具备标准通用，安全稳定，响应快捷等特点的高性能服务能力。2.2运行环境由于占用资源少，系统对运行环境的要求不高，理想的系统网络拓扑结构如图2.2.1所示：图 2.22.2.1 服务器服务器可根据应用的规模选定，可采用各种专用的服务器系统或PC服务器系统（如；SUN服务器，IBM服务器,

4、HP服务器等），使用操作系统可以为SUN Solaris或Linux。2.2.2 数据库软件流行的大中型数据库软件，如Oracle、MS SQL Server、DB2、PostgreSQL、SYSBASE等；2.2.3 Web应用服务器WebLogic 6或以上版本Websphere 4或以上版本JRun 4或以上版本Resin 2.1.4或以上版本Tomcat 4或以上版本2.2.4 客户机采用B/S结构的子系统运行于Web浏览器之上，硬件要求为Pentium133/32M以上配置。2.3基本设计概念和处理流程2.3.1 企业级应用的系统架构设计图 2.3.12.3.2 基于目录服务的系统设

5、计1） 目录服务简介目录是一种特殊的数据库，目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法，目录服务是软件、硬件、策论以及管理的集合体；它服务于各种应用程序，包括LDAP（轻量级目录访问协议）目录和基于X.500的目录。这些目录都是通用的标准的目录。它们不适合于特定的操作系统、应用目的；目录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据库有关的详细的访问协议。虽然目录也被称为特殊的数据库，但它不同于真正的数据库。目录的大部分操作为读操作。假如应用程序要写大量的数据，就应该考虑选择使用数据库来实现。目录支持

6、相对简单的事务处理。与文件系统比较：目录被认为是很差的文件系统。文件通常很大，有几兆甚至更大，虽然目录被优化成存取很小的信息。应用程序以块的方式存取文件。文件系统支持各种调用-像seek（），read（）和write（），这样可以写大文件的一部分的信息。目录不能提供这种随机的存取访问。目录条目被分成各种属性。你可以分别获取各种属性。你不能取得一个条目的部分值，如从第几个字节开始。与web的比较：不像web服务器一样，目录不适合推送JPEG图像或Java程序给客户端。Web服务通常作为开发web应用的跳板。这些平台从CGI（公用网关接口）到更复杂的像Netscape应用服务平台。目录一般不提供这

7、种形式的应用开发，甚至它不提供目录应用开发平台服务。与FTP的主要区别在于：数据量的大小和客户的类型。另外一点就是FTP是一个非常简单的协议，它专于做一件事情并把它做好。假如你想做的是把文件从一个地方传送到另一个地方，那么额外的目录下层结构也需要，如复制、查询、更新等。与DNS比较：因特网的域名系统和目录有相似之处，它们都提供对分层式数据库的访问。但其它一些不同把它们区分开来。DNS的主要目的是把主机名转换成IP地址。比较而言，大多数目录有更普通的作用。DNS有一套专门的、固定的计划，而目录允许被扩展。DNS不允许更新它的信息，而目录可以。DNS可通过UDP的无连接的方式访问，而目录通常是连接

8、访问的。目录服务与关系型数据库比较，目录不支持批量更新所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进行大量数据的检索；目录具有广泛复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。目前，目录服务技术的国际标准有两个，即较早的X.500标准和近年迅速发展的LDAP标准。X.500：在八十年代中期，两个不同的团体-CCITT和ISO，各自开始在目录服务方面的研究工作。最后，两个国际性的目录规范融合成一个规范，这就是X.500。X.500的优势在于它的信息模型，它的多功能性和开放性。LDAP：1993年7月，第一个LDAP规范是由密歇根大学开发的，也就是RFC1487。L

9、DAP的开发者们简化了笨重的X.500目录访问协议，他们在功能性、数据表示、编码和传输方面做了改建。目前，LDAP的版本是第3版本，相对以前版本来说，第3版本在国际化、提名、安全、扩展性和特性方面更加完善。1997年，第3版本成为因特网标准。由于LDAP所具有的查询效率高、树状的信息管理模式、分布式的部署框架以及灵活而细腻的访问控制，使LDAP广泛地应用于基础性、关键性信息的管理，如用户信息、网络资源信息等。LDAP的应用主要涉及几种类型。信息安全类：数字证书管理、授权管理、单点登录；科学计算类：DCE（Distributed Computing Envirionment，分布式计算环境）、U

10、DDI （Universal Description，Discovery and Integration, 统一描述、发现和集成协议）；网络资源管理类：MAIL系统、DNS系统、网络用户管理、电话号码簿；电子政务资源管理类：内网组织信息服务、电子政务目录体系、人口基础库、法人基础库。选择目录技术与否可参考以下几个方面信息：*信息量大小。目录适合于存放相对小的信息量，而不是几兆大小的文件;信息的类型。目录通常是基于属性的信息;读写比。目录适合于读操作更多的应用。如需要用到大量的写操作，数据库是一个选择;搜寻能力。目录能搜寻他自身包含的信息;标准访问。假如你需要标准的访问信息,目录是一个好的选择;

11、2） LDAPLDAP（轻量级目录访问协议，LightweightDirectoryAccessProtocol）是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议LDAP。LDAP四种基本模型：信息模型：描述LDAP的信

12、息表示方式。在LDAP中信息以树状方式组织，在树状信息中的基本数据单元是条目，而每个条目由属性构成，属性中存储有属性值；LDAP中的信息模式，类似于面向对象的概念，在LDAP中每个条目必须属于某个或多个对象类（Object Class），每个Object Class由多个属性类型组成，每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值，在LDAP中一个属性类型可以对应多个值。在LDAP中把对象类、属性类型、语法和匹配规则统称为Schema，在LDAP中有许多系统对象类、属性类型、语法和匹

13、配规则，这些系统Schema在LDAP标准中进行了规定，同时不同的应用领域也定义了自己的Schema，同时用户在应用时，也可以根据需要自定义Schema。这有些类似于XML，除了XML标准中的XML定义外，每个行业都有自己标准的DTD或DOM定义，用户也可以自扩展；也如同XML，在LDAP中也鼓励用户尽量使用标准的Schema，以增强信息的互联互通。在Schema中最难理解的是匹配规则，这是LDAP中为了加快查询的速度，针对不同的数据类型，可以提供不同的匹配方法，如针对字符串类型的相等、模糊、大于小于均提供自己的匹配规则。 命名模型：描述LDAP中的数据如何组织。LDAP中的命名模型，也即LD

14、AP中的条目定位方式。在LDAP中每个条目均有自己的DN和RDN。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识，如同文件系统中，带路径的文件名就是DN，文件名就是RDN。功能模型：描述LDAP中的数据操作访问在LDAP中共有四类10种操作：查询类操作，如搜索、比较；更新类操作，如添加条目、删除条目、修改条目、修改条目名；认证类操作，如绑定、解绑定；其它操作，如放弃和扩展操作。除了扩展操作，另外9种是LDAP的标准操作；扩展操作是LDAP中为了增加新的功能，提供的一种标准的扩展框架，当前已经成为LDAP标准的扩展操作，有修改密码和StartTLS扩展，在新的RFC标

15、准和草案中正在增加一些新的扩展操作，不同的LDAP厂商也均定义了自己的扩展操作。安全模型：描述LDAP中的安全机制。LDAP中的安全模型主要通过身份认证、安全通道和访问控制来实现。身份认证 在LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。匿名认证即不对用户进行认证，该方法仅对完全公开的方式适用；基本认证均是通过用户名和密码进行身份识别，又分为简单密码和摘要密码认证；SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。通讯安全 在LDAP中提供了基于SSL/TL

16、S的通讯安全保障。SSL/TLS是基于PKI信息安全技术，是目前Internet上广泛采用的安全服务。LDAP通过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务器端身份的双向验证。访问控制 虽然LDAP目前并无访问控制的标准，但从一些草案中或是事实上LDAP产品的访问控制情况，我们不难看出：LDAP访问控制异常的灵活和丰富，在LDAP中是基于访问控制策略语句来实现访问控制的，这不同于现有的关系型数据库系统和应用系统，它是通过基于访问控制列表来实现的，无论是基于组模式或角色模式，都摆脱不了这种限制。L

17、DAP目录中的信息是按照树型结构组织，具体信息存储在条目（entry）的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名DN（DistinguishedName）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（PrimaryKey）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的

18、直观。LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。类型的一个例子就是mail，其值将是一个电子邮件地址。LDAP的信息是以树型结构存储的，在树根一般定义国家（c=CN）或域名（dc=com），在其下则往往定义一个或多个组织（organization）（o=Acme）或组织单元（organizationalunits）（ou=People）。一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。此外，LDAP支持对条目能够和必须支持哪些属性进行控制，这是有一个特殊的称为对象类别（objectClass）的属性来实现的。该属性的值决定了该条目必须遵循

19、的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如：inetorgPerson对象类需要支持sn（surname）和cn（commonname）属性，但也可以包含可选的如邮件，电话号码等属性。3） SUN iPlanetSUN的iPlanet电子商务解决方案中的统一用户管理工具能够适应用户管理基础结构的要求， iPlanet统一用户管理套件提供了对电子商务企业中所使用的各个系统进行统一和集中用户管理功能，该套件包括以下几个部分：目录服务器：作为统一用户管理套件的核心，为企业中的多种应用统一保存雇员、合作伙伴及供应商的信息，为套件中的其它部件提供了可伸缩性、高性能和细致存取控制。元目录服

20、务：给从其它应用系统增加的用户信息提供统一管理方式，包括加入引擎、连接器、帐号管理合并、用户帐号集成及消息系统集成等部件。加入引擎使用一个高度灵活的并且可扩展的规则，决定怎样从不同的信息来源来联合用户数据。这些规则能被用来控制数据更改的方向，为用户数据的不同类型定义来源，进行用户数据的管理。连接器是一组软件模块，用来与特定的数据来源交换信息，并提供给加入引擎使用。这些模块可以在不同的系统中配置和安装。灵活的体系结构使公司可以细致地调整元目录服务，使之提供最好的性能和可伸缩性，便于快速开发网上应用。帐号管理合并可以把多种来源信息集成帐号信息，包括顾客数据库、网络操作系统、邮件系统和电话交换机等。

21、这种集成使基于Web的应用程序统一掌握用户信息，便于新的增值应用的快速开发。用户帐号集成可以自动完成用户帐号和相关信息的增加、改变和删除。例如，当在一个系统中建立一个用户时，元目录服务能自动地在其它系统上产生用户的帐号信息，因此用户只须记住一个帐号，而且用户的信息被所有系统所了解，也便于不同的系统对所有用户进行定制的管理，而不论用户的信息来源如何。消息系统集成可以使企业方便地与不同系统中的用户，如雇员、合作伙伴、供应商和客户之间建立联系。证书管理系统：为应用系统提供了根据适当的安全级别来认证用户的方法，便于在公共的网络上部署支持加密、认证、篡改检测和数字签名等应用。数字证书作为身份的证明，可使

22、用户在使用应用或服务时被赋予适当的存取权限。证书管理系统包括3个独立的分系统，并具有高度灵活地安装和配置选择，允许一个公司基于已存在的策略定制它的PKI（公共密钥）部署。证书管理器作为证书发出、更新和废除时使用的认证授权证书。一个或多个注册管理器可以安装在防火墙外面用来代理证书的请求，可以被合作伙伴或供应商所使用。当用户忘记口令或离开他们的工作时，数据恢复管理器保护加密的数据以免于丢失。2.3.3 目录设计设计目录结构是LDAP最重要的方面之一。下面我们将通过一个简单的例子来说明如何设计合理的目录结构。假设有一个位于美国US（c=US）而且跨越多个州的名为Acme（o=Acme）的公司。Acm

23、e希望为所有的雇员实现一个小型的地址薄服务器。我们从一个简单的组织DN开始：dn:o=Acme,c=US ;Acme所有的组织分类和属性将存储在该DN之下，这个DN在该存储在该服务器的目录是唯一的。Acme希望将其雇员的信息分为两类：管理者（ou=Managers）和普通雇员（ou=Employees）,这种分类产生的相对区别名（RDN,relativedistinguished names。表示相对于顶点DN）就是：ou=Managers,c=USou=Employees,在下面我们将会看到分层结构的组成：顶点是US的Acme，下面是管理者组织单元和雇员组织单元。因此包括Managers和E

24、mployees的DN组成为：cn=JasonH.Smith,c=US dn:cn=RayD.Jones,cn=EricS.Woods,c=US 为了引用JasonSmith的通用名（commonname）条目，LDAP将采用cn=JasonSmith的RDN。然后将前面的父条目结合在一起就形成如下的树型结构：Smith +ou=Managerso=Acme-c=U现在已经定义好了目录结构，下一步就需要导入目录信息数据。目录信息数据将被存放在LDIF文件中，其是导入目录信息数据的默认存放文件。用户可以方便的编写Perl脚本来从例如/etc/passwd、NIS等系统文件中自动创建LDIF文件。

25、下面的实例保存目录信息数据为testdate.ldif文件，该文件的格式说明将可以在manldif中得到。 在添加任何组织单元以前，必须首先定义AcmeDN：objectClass:organization这里o属性是必须的o:Acme下面是管理组单元的DN，在添加任何管理者信息以前，必须先定义该条目。organizationalUnit这里ou属性是必须的。ou:Managers第一个管理者DN：inetOrgPerson cn和sn都是必须的属性：cn:JasonSmithsn:但是还可以定义一些可选的属性：telephoneNumber:010-222-9999mail:smithloc

26、alityName:Houston可以定义另外一个组织单元：Employee并添加雇员信息如下：inetOrgPersonRayJones444-555-6767jonesrdEricWoods444-555-6768woodses目录结构如下图所示：图 2.3.32.3.4 安全认证系统的安全特性：（1） 基于简单认证机制中的口令认证机制，以用户名和密码为确认用户身份的标志；（2） 在认证过程中，明文密码绝不能在网络上传输，防止窃听导致泄密，保证用户密码的安全；（3） 可以实现认证客户端和认证服务器的双向认证，确保认证双方的身份；（4） 能够抵抗重放攻击，既防止攻击者使用窃听到的过时的认证数

27、据包再次获得认证而冒充合法用户的身份；应用服务器既作为相对用户的服务器，又作为统一口令认证系统的客户端。它们首先通过安全传输通道（如SSL通道）获取用户提交的用户名和密码，然后通过口令认证系统提供的统一口令认证模块经由安全认证通道向口令认证服务器提交认证请求，并获得认证结果（成功或失败），最终确定是否给该用户提供服务；并引用LDAP的ACL（Access Control List）机制。认证算法：考虑到系统的安全和高效，要求设计的认证算法亦是安全、高效。安全主要有三方面：（1） 在认证过程中传输的数据不怕被窃听，通过对传输的数据进行加密实现；（2） 传输中的数据可以防止被篡改，通过对传输的数据

28、进行数字签名实现；（3） 可以抵抗重放攻击，方法是在认证数据包中打时戳，或在认证过程中使用Challenge-Response方法实现。采用时戳需要各系统实现时间同步，增加了系统的不安全性，故一般实现多采用Challenge-Response方法。借鉴radius的CHAP认证算法，提出下面的算法模型，其流程如下：C：Client，认证客户，一般为应用服务器；S：Server，统一口令认证服务器；K：C和S之间的共享秘密，即待认证用户的单向加密后的密码；N：待认证用户的用户名；R：S产生的随机数；HM：对消息M做单向Hash消息摘要运算，可使用MD5算法；CKM：以密钥K使用对称加密算法对消息M进行对称加密，可使用DES算法；r：认证的结果，成功或失败；1. C=N,HN+K+02. S=CKR,HN+CKR+K+R3. C=N,CKR,K,HN+CKR,K+K+R4. S=CKr,R,HN+CKr+K+R在认证的每一个步骤中，无论客户端还是服务器端，都要求对数据包中的H域做校验。由于H域中包含了C和