校園網(wǎng)統(tǒng)一身份認證系統(tǒng)的設計與實現(xiàn)論文

1、 . . . 分類號TP3.56 學號 43學校代碼10487 密級 無 碩士學位論文在線考試統(tǒng)一身份認證系統(tǒng)的設計與實現(xiàn)學位申請人： 沖學科專業(yè)：計算機技術指導教師：馬光志答辯日期:2008年11月Design and Implementation of Uniform Identity Authentication System Based on Campus NetworkA Dissertation Submitted for the Degree of MasterCandidate：Zhang ChongMajor：Computer Technologysupervisor：Ma

2、GuangzhiHuazhongUniversity of Science and TechnologyWuhan 430074, P.R.ChinaOctober, 2008- 71 - / 80摘 要隨著高等院校中校園網(wǎng)應用的逐漸普與，各種應用系統(tǒng)逐漸增多，校園網(wǎng)應用系統(tǒng)在提供更高層次服務同時，對于用戶身份認證，用戶服務權限的要求相應的提高，原來每個服務系統(tǒng)各自為政的身份認證方式難以達到這個要求。這就需要建立一個獨立的，高安全性和高可靠性的身份認證與權限管理系統(tǒng)。為了解決高等院校各種應用系統(tǒng)用戶管理過程中的分散管理的共性問題，論文提出了統(tǒng)一、集中管理用戶訪問權限的認證方案。論文系統(tǒng)采用LD

3、AP目錄存儲和Web Services調(diào)用的技術，建立了用戶信息統(tǒng)一存儲、調(diào)用接口程序、用戶自助管理3個模塊。將高校中用戶登錄系統(tǒng)的基本驗證信息統(tǒng)一存儲，統(tǒng)一管理，并建立簡單、便捷的調(diào)用機制，實現(xiàn)數(shù)字化校園用戶身份認證的統(tǒng)一管理和維護。在用戶信息統(tǒng)一存儲模塊，采用基于LDAP協(xié)議的Sun Directory Server目錄統(tǒng)一存儲用戶基本認證信息，將用戶注冊信息寫入目錄中存儲，完成對用戶注冊信息的存儲，達到了讀取速度快，系統(tǒng)安全性能高，維護簡便的特點。在調(diào)用接口程序模塊，引用Web Services服務調(diào)用自定義接口類庫實現(xiàn)對目錄的間接訪問。應用系統(tǒng)只需通過WEB引用Web Services

4、服務，調(diào)用接口類庫實現(xiàn)對目錄直接操作，以此實現(xiàn)應用系統(tǒng)對目錄的間接訪問操作，實現(xiàn)了調(diào)用簡單、安全穩(wěn)定、管理維護方便。在用戶自助管理模塊，采用.Net技術，實現(xiàn)基于Web的B/S自助管理模式，用戶根據(jù)自己的證件號、號與，完成在系統(tǒng)中的注冊、修改等功能，簡化了管理維護工作。論文系統(tǒng)在實際應用過程中，很好的解決了多應用系統(tǒng)各自管理用戶的問題，方便了使用，簡化了管理，提高了安全性和穩(wěn)定性。論文從系統(tǒng)的開發(fā)流程、設計構架和核心技術詳細介紹了系統(tǒng)的設計和開發(fā)。關鍵詞：輕量級目錄訪問協(xié)議，分布式，校園網(wǎng)，用戶管理AbstractWith the campus network applications inc

5、reasingly popular among the institutions of higher learning, a variety of application systems increasing, application systems in the campus network to provide a higher level of service at the same time, for user authentication, user privileges service the requirements of the corresponding increase i

6、n each of the original service. Their own system of authentication methods difficult to meet this requirement This requires the establishment of an independent, high security and reliability of the identity and rights management system. In order to solve a variety of institutions of higher learning

7、management system users in the process of decentralization of common problems, the dissertation put forward a unified, centralized management of user access to the certification program.This system adopts LDAP directory system to store and called the Web Services technology, established of a unified

8、 storage of user information, called the interface program, user self-service management module. Colleges and universities will be in the user login system to verify the basic unity of information storage, management, and to establish simple and convenient mechanism for calling, digital campus user

9、authentication management and maintenance.Unified storage of user information module, based on the LDAP protocol Sun Directory Server unified directory to store the basic user authentication information, the user registration information into the directory store, complete the user registration infor

10、mation storage, to read the speed and security High-performance, easy maintenance features.The procedure call interfaceprogram module, quote Web Services called custom interface class library for the realization of the indirect access directory. Application systems only through the WEB to quote Web

11、Services, called the interface class library for the realization of direct operate the directory in order to achieve the application of indirect access to the operation of directory,achieved called simply, security and stability, management and maintenance easily. The user self-service management mo

12、dule using. Net technology, achieved the Web-based B/S self-management mode, the user according to their own papers, identity card number and name, completed the function of registration, modification, and so on, simplified the work of management and maintenance. In the practical application of the

13、system, primely solved a number of problems of each application systems in user management, facilitated the use of simplified management, increased security and stability. This paper detailedly introduces the design and development of the systems development process, design and architecture,and the

14、core technology.Keywords: Ldap,Web Services, Campus Network, User Management目 錄1 緒言- 1 -1.1 課題背景- 1 -1.2 課題研究的目的和意義- 1 -1.3 國外研究概況- 1 -1.4 主要研究容- 2 -2 系統(tǒng)設計方案的研究- 3 -2.1 系統(tǒng)的特點與性能要求- 3 -2.2 系統(tǒng)的體系結構- 4 -2.3 系統(tǒng)實現(xiàn)流程- 5 -2.4 運行環(huán)境- 6 -3 系統(tǒng)的設計- 8 -3.1認證信息存儲模塊- 8 -3.1.1 目錄結構規(guī)劃- 8 -3.1.2 Sun One Directory Ser

15、ver目錄存儲- 10 -3.2調(diào)用接口程序- 16 -3.2.1訪問目錄接口類庫- 17 -3.2.2 Web Services調(diào)用類庫訪問目錄- 21 -3.2.3 應用程序調(diào)用方法- 24 -3.2.4實現(xiàn)用戶在應用系統(tǒng)中的注冊- 25 -3.3 用戶自助管理- 27 -3.3.1 用戶注冊驗證- 27 -3.3.2 用戶信息自助管理- 29 -3.3.3 管理員web用戶管理模塊- 30 -3.4 配置文件管理軟件- 37 -4 系統(tǒng)的實現(xiàn)- 41 -4.1 Sun One Directory Server安裝- 41 -4.2 統(tǒng)一身份認證平臺架設- 49 -4.2.1 Userin

16、f項目- 49 -4.2.2 Web Services服務- 52 -4.2.3用戶信息WEB管理服務- 53 -4.3 應用系統(tǒng)調(diào)用- 54 -4.4 Sun One Administration Server管理- 60 -4.5 Web遠程管理用戶- 65 -5 總結與展望- 66 -5.1 總結- 66 -5.2 系統(tǒng)測試- 66 -5.3 展望評估- 69 -致- 70 -參考文獻- 71 -附錄- 72 -1 緒 言本章闡述了校園網(wǎng)用戶管理系統(tǒng)的研究背景、研究目的、意義、國外研究現(xiàn)狀與發(fā)展方向，明確指出了校園網(wǎng)用戶管理系統(tǒng)在校園信息系統(tǒng)中的作用，發(fā)展過程以與所面臨的問題。1.1 課

17、題背景隨著信息技術、網(wǎng)絡技術的飛速發(fā)展，校園網(wǎng)的應用越來越廣，校園可以接入互聯(lián)網(wǎng)的計算機的數(shù)量已經(jīng)達到了相當?shù)囊?guī)模。校園網(wǎng)已經(jīng)有一批系統(tǒng)向校的師生員工提供多樣化的信息服務，如主頁服務，社區(qū)服務、教務服務，校務系統(tǒng)等。如果各個應用系統(tǒng)各自保存不同的身份認證方式，就會存在以下問題：(1) 一個用戶登錄不同應用系統(tǒng)就需要采用不同，不容易記憶；而很多用戶在不同應用系統(tǒng)里面采用同樣的密碼，不安全；(2) 不同系統(tǒng)都采用自身的一套認證和用戶管理機制，不利于學校統(tǒng)一管理；(3) 有些用戶離開學校以后由于缺乏統(tǒng)一管理，還可以登錄校一些業(yè)務系統(tǒng)。因此隨著校園網(wǎng)提供信息服務和質(zhì)量的提升，對信息安全的需要也越來越強

18、烈。同時，校園網(wǎng)提供更高層次服務的時候，對于用戶的身份認證，服務權限管理的要求相應地提高，原來各個服務系統(tǒng)各自為政的身份認證方式難以達到這個要求。這就必須要一個獨立的，高安全性和高可靠性的身份認證與權限管理系統(tǒng)。在這種情況下，為了解決目前校園應用系統(tǒng)用戶登錄信息分別保存在各自的系統(tǒng)，存在不能集中管理、統(tǒng)一分配權限、不能保證用戶登錄信息安全的情況下提出該課題。1.2 課題研究的目的和意義本文系統(tǒng)是為了解決高等院校各種應用系統(tǒng)在用戶管理過程中的共性問題，是集中管理高等院校資源訪問權限的認證方案，降低高等院校的權限管理與維護成本，具有高擴展性、高安全性的解決方案。從而將系統(tǒng)定位于建立一個統(tǒng)一身份認證

19、平臺，將高校中用戶登錄系統(tǒng)的基本驗證信息統(tǒng)一存儲，統(tǒng)一管理，對應用系統(tǒng)統(tǒng)一授權；建立簡單、便捷的調(diào)用機制，實現(xiàn)數(shù)字化校園用戶身份認證的統(tǒng)一管理維護。1.3 國外研究概況統(tǒng)一身份認證已經(jīng)不是一個新穎的課題，國外都已經(jīng)開始這方面的研究和實施，而且也有一些商業(yè)產(chǎn)品，也有很多高校自主開發(fā)的系統(tǒng)，綜觀這些應用系統(tǒng)，分析如下：商業(yè)產(chǎn)品一般都是基于CA認證系統(tǒng)，提供各種數(shù)字證書的應用接口，提供相應的用戶管理模塊，單點登錄等功能，功能齊備，但是商業(yè)產(chǎn)品價格不菲，后期開發(fā)以與維護相對較困難；很多高校自主研究的系統(tǒng)都是針對自己學校的應用，缺乏方便、快捷的調(diào)用方法。該方案的思路是開發(fā)一個安全的存儲以與方便、快捷的系

20、統(tǒng)調(diào)用方法，即解決了昂貴的費用問題，同時又便于在高校中的推廣應用。1.4 主要研究容本文系統(tǒng)是一個集中的用戶認證管理系統(tǒng)，可管理和分發(fā)用戶權限和身份，為不同的應用系統(tǒng)提供用戶和權限管理服務；本文系統(tǒng)采用統(tǒng)一的注冊驗證機制，確保用戶注冊的真實身份；將用戶信息資源統(tǒng)一保存到認證服務器中，保證了信息資源的安全穩(wěn)定，單一可靠；完善的接口連接服務，支持基于任何平臺的各種應用系統(tǒng)的調(diào)用，簡單易實現(xiàn)；各應用系統(tǒng)只需保留角色和權限控制，用戶數(shù)據(jù)信息資源統(tǒng)一保存在認證服務器中，用戶和角色的管理由應用系統(tǒng)自行管理，從而簡化了應用系統(tǒng)中用戶管理模塊的建設和用戶后期維護。本文系統(tǒng)的目標就是建立一個統(tǒng)一的身份認證平臺，

21、將高校中用戶登錄系統(tǒng)的基本驗證信息統(tǒng)一存儲、統(tǒng)一管理；同時建立簡單、便捷的調(diào)用機制，實現(xiàn)數(shù)字化校園用戶身份認證的統(tǒng)一管理維護。本文系統(tǒng)研究的容主要包括如下三個方面：(1)身份信息的統(tǒng)一存儲，需要在容量、效率、可靠性、安全性等各方面都有很高的保障；(2)身份信息的便捷調(diào)用，需要提供方便的調(diào)用機制，提供通用性強，廣泛適用的接口程序，而且安全、可靠、高效。(3)身份信息的統(tǒng)一管理，需要支持批量操作，同時支持用戶自助管理等；論文第一章介紹了課題背景、意義和研究現(xiàn)狀；第二章介紹了校園網(wǎng)用戶管理系統(tǒng)的分析與設計；第三章介紹了本文系統(tǒng)的設計方法與關鍵技術；第四章介紹本文系統(tǒng)的具體實現(xiàn)方法和過程；應用情況；第

22、五章總結了該系統(tǒng)在實際應用中取得效果以與存在的有待改進的問題。2 系統(tǒng)設計方案的研究2.1 系統(tǒng)的特點與性能要求在現(xiàn)實校園中，每一個成員都有一個固定的身份，用戶的身份決定了用戶在校園空間所享有的權限?！皵?shù)字化校園”是現(xiàn)實校園在數(shù)字空間的反映，因此對于“數(shù)字化校園”中的每一個成員，在數(shù)字空間也相應地需要有一個固定的身份，即電子身份?！皵?shù)字化校園”是個系統(tǒng)工程，較完整的“數(shù)字化校園”將包括諸如電子、視頻點播、社區(qū)服務、校務系統(tǒng)等應用系統(tǒng)。如果每個系統(tǒng)都建立獨立的身份認證系統(tǒng)，將不利于使用和管理，如圖2.1所示。圖2.1 目前校園網(wǎng)應用系統(tǒng)單獨、各自進行身份認證狀況從上圖可以看到，“數(shù)字化校園”中的

23、應用系統(tǒng)會隨著時間的推移而逐漸增多，而這種各個應用系統(tǒng)用戶認證各自獨立的情況已經(jīng)給用戶帶來了諸多不便。應用系統(tǒng)和用戶數(shù)量的不斷增加，眾多用戶面對多個應用系統(tǒng)，而各個應用系統(tǒng)都有自己的一套安全策略和用戶認證授權方法。因此用戶不得不記憶不同應用系統(tǒng)的用戶登錄信息。這樣不論是用戶使用，還是應用系統(tǒng)的管理維護，都增加了應用系統(tǒng)的開發(fā)和管理成本，假如用戶在各個應用系統(tǒng)采用同樣簡單的用戶密碼，將會對應用系統(tǒng)安全性產(chǎn)生影響。因此，為了滿足“數(shù)字化校園”建設的需要，校園網(wǎng)各種應用系統(tǒng)應該采用統(tǒng)一的用戶認證信息存儲，統(tǒng)一的身份認證接口，并在此基礎上，將各自分立的應用系統(tǒng)的驗證信息統(tǒng)一起來，實現(xiàn)用戶統(tǒng)一管理、認證

24、和授權，這種集成的系統(tǒng)就是校園網(wǎng)用戶統(tǒng)一身份認證管理系統(tǒng)。當需要構建校園網(wǎng)用戶管理系統(tǒng)統(tǒng)一身份認證平臺時，首先要解決幾個主要的問題：身份信息的統(tǒng)一存儲、身份信息的統(tǒng)一管理、用戶身份認證服務。(1)身份信息的統(tǒng)一存儲，需要在容量、效率、可靠性、安全性等各方面都有很高的保障，本文系統(tǒng)采用LDAP目錄服務來存儲用戶認證信息。目錄服務用來保存描述性的，基于屬性的信息，并且支持復雜的過濾搜索能力。目錄被優(yōu)化為針對大量的查找或者搜索操作進行快速響應的存儲。(2)身份信息的統(tǒng)一管理，需要支持批量操作，如成批數(shù)據(jù)導入導出、批量更新等。將存儲歸為統(tǒng)一之后，該系統(tǒng)包含了用戶基本信息導入導出程序、用戶自助管理系統(tǒng)、

25、配置文件管理軟件等相關系統(tǒng)，實現(xiàn)了身份信息的統(tǒng)一管理。(3)用戶身份認證服務，需要提供一個通用性強，廣泛適用的接口程序，而且安全、可靠、高效。本文系統(tǒng)采用Web Services服務向應用系統(tǒng)提供統(tǒng)一身份認證服務。Web Services是自包含的、模塊化的應用程序，它可以在網(wǎng)路中被描述、發(fā)布、查找以與被調(diào)用。2.2 系統(tǒng)的體系結構根據(jù)上述研究分析，本文將高校統(tǒng)一身份認證系統(tǒng)分為三個模塊，如圖2.2所示：目錄存儲用戶認證信息數(shù)據(jù)庫存儲真實驗證信息用戶管理系統(tǒng)Web Services 調(diào)用接口程序應用系統(tǒng)應用系統(tǒng)C/S導入導出目錄管理平臺應用系統(tǒng)應用系統(tǒng)圖2.2 統(tǒng)一身份認證系統(tǒng)結構圖從上圖可以

26、看出該系統(tǒng)共分為三個模塊：(1)認證信息存儲模塊此模塊主要完成用戶認證信息的存儲，存儲信息的備份/恢復，批量管理注冊用戶，單個管理用戶信息；(2)調(diào)用接口程序模塊此模塊主要完成對用戶認證信息和用戶驗證信息的調(diào)用，實現(xiàn)應用程序對目錄存儲的調(diào)用、訪問、管理等功能；(3)用戶自助管理模塊此模塊主要完成用戶自助管理，實現(xiàn)注冊信息管理，密碼維護，忘記密碼找回等功能。2.3 系統(tǒng)實現(xiàn)流程1、在認證信息存儲模塊中，采用了LDAP目錄存儲技術，實現(xiàn)用戶信息的統(tǒng)一存儲，其中目錄存儲的設計結構圖如圖2.3 所示：dc=zzti,dc=edu,dc=cncn=peoplecn=groupscn=department

27、scn=services圖2.3 目錄存儲結構樹圖其中：people目錄存儲所有師生的詳細信息。groups目錄用于分組管理各種資料。例如可以分為老師和學生等。departments用于存儲學院各級各部門的信息。services則是各類服務的信息。2、調(diào)用接口程序模塊中，采用Web Services技術，實現(xiàn)跨平臺、跨系統(tǒng)、簡捷、安全的調(diào)用模式，其中應用系統(tǒng)調(diào)用存儲流程圖，如圖2.4所示：應用系統(tǒng)應用系統(tǒng)應用系統(tǒng)應用系統(tǒng)Web Services 調(diào)用LdapClassess類庫用戶認證信息存儲圖2.4 應用系統(tǒng)調(diào)用存儲流程圖3、用戶自助管理模塊中，采用基于Web的方式，實現(xiàn)用戶對于個人信息的自

28、主管理，其中用戶驗證信息流程圖，如圖2.5所示：統(tǒng)一身份認證系統(tǒng)驗證驗證成功用戶訪問應用系統(tǒng)判斷應用系統(tǒng)用戶信息驗證失敗統(tǒng)一身份認證注冊從目錄中取出相關信息寫入應用系統(tǒng)應用系統(tǒng)存在該用戶應用系統(tǒng)不存在用戶應用系統(tǒng)驗證成功圖2.5 用戶在采用統(tǒng)一身份認證架構的應用系統(tǒng)中注冊流程圖2.4 運行環(huán)境本文系統(tǒng)共分為三個模塊，其中各自的運行環(huán)境要求如下：1、認證信息存儲模塊：因為該模塊中認證信息的存儲采用的是基于LDAP的Sun One Directory Server服務，該服務提供有Windows版本和Solaris版本的安裝程序，考慮到系統(tǒng)的穩(wěn)定性和安全性因素，建議運行環(huán)境采用基于Solaris操

29、作系統(tǒng)下的Sun One Directory Server服務器。2、應用系統(tǒng)調(diào)用模塊因該模塊主要使用Web Services服務實現(xiàn)應用系統(tǒng)對于認證信息的調(diào)用，調(diào)用參數(shù)采用Xml存儲，運行服務需要提供支持微軟.Net Framework 1.1 與IIS6.0的Windows環(huán)境。3、用戶自助管理模塊用戶自助管理模塊采用微軟的Visual Studio開發(fā)，基于C#的A技術，需要提供支持.Net Framework 1.1 與IIS6.0的Web環(huán)境。3 系統(tǒng)的設計本文系統(tǒng)實現(xiàn)了校園應用系統(tǒng)用戶認證信息的安全存儲和共享調(diào)用，用戶只需要在統(tǒng)一身份認證系統(tǒng)中進行注冊，在任何應用系統(tǒng)中都可以采用此

30、注冊信息，保證了用戶注冊信息的安全、單一、獨立、共享。應用系統(tǒng)調(diào)用認證信息是通過調(diào)用接口程序來實現(xiàn)的，當用戶在采用了統(tǒng)一身份認證的應用系統(tǒng)登陸時，應用系統(tǒng)首先調(diào)用Web Services程序，將輸入的用戶名和密碼通過Web Services調(diào)用接口類庫傳輸?shù)接脩粽J證信息模塊中進行驗證，然后同樣的途徑反饋給應用系統(tǒng)一個true或者false，從而完成應用系統(tǒng)用戶驗證。通過上述三個模塊的設計，本文系統(tǒng)實現(xiàn)了高校“數(shù)字化校園”中應用系統(tǒng)的用戶認證的統(tǒng)一管理。下面將根據(jù)針對各個模塊的具體實現(xiàn)，總結如下：3.1認證信息存儲模塊本文系統(tǒng)中用戶注冊信息的存儲是通過基于LDAP協(xié)議目錄服務的Sun One D

31、irectory Server的目錄存儲，采用基于LDAP協(xié)議的規(guī)劃設計，繼承了Solaris操作系統(tǒng)的安全可靠，桌面化批量管理等一系列優(yōu)點。認證信息存儲模塊的各種設計規(guī)劃，對于統(tǒng)一身份認證系統(tǒng)的可擴展性、訪問效率、安全可靠性等各方面都給予了充足的保障。認證信息存儲模塊的主要任務：目錄結構規(guī)劃、Sun One Directory Server目錄存儲、批量/單個用戶管理。3.1.1 目錄結構規(guī)劃本文系統(tǒng)中將采用基于LDAP協(xié)議的目錄進行用戶注冊信息的存儲，簡單介紹LDAP如下：LDAP（Lightweight Directory Access Protocol:輕量級目錄訪問協(xié)議）是由美國Mi

32、chigan大學研發(fā)的一個新的目錄訪問協(xié)議，是一個信息目錄，目錄服務中的目錄對象可以代表管理系統(tǒng)中的組織信息、人員信息以與資源信息等，幾乎可以存儲所有類型的數(shù)據(jù)：點子地址，DNS信息、NIS映射、聯(lián)系人信息列表和等信息。LDAP中目錄由條目（entry）組成，條目相當于關系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（Distinguised Name）的屬性（Attribute）集合。LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復制方法等。目錄采用樹狀的層次模型，是目錄中存儲的對象信息在用戶面前表現(xiàn)為一個有序的整體，在一定程度上簡化了網(wǎng)絡信息和資源的集中管理。目錄不同于一般的關系

33、數(shù)據(jù)庫，它并不是處理頻繁的數(shù)據(jù)更新與表達復雜的對象聯(lián)系。相反，在對目錄的操作請求中，查找請求的頻率要遠高于更新請求頻率，因此目錄一般都被設計為針對查找進行優(yōu)化，以大量存儲相對靜態(tài)的數(shù)據(jù)。適合該系統(tǒng)大量對用戶注冊信息的讀取、查找。LDAP協(xié)議既是跨平臺的也是基于標準的、互聯(lián)網(wǎng)上的各種應用無論是運行在Unix或Windows下，都可以通過TCP/IP訪問LDAP Server上的目錄服務信息，無論什么服務器操作系統(tǒng)、文件系統(tǒng)或平臺對于客戶機都是無關緊要的。LDAP是基于TCP/IP的應用層協(xié)議，LDAP服務是典型的C/S模式，需要讀寫目錄信息的應用并不直接訪問目錄，它通過調(diào)用函數(shù)或API接口將消息

34、傳遞給另一個進程，第二個進程作為該用用的代理來訪問目錄的信息，然后將得到的結果返回給該應用。因此對用戶直接訪問和基于LDAP的應用開發(fā)都是有標準規(guī)的。便于系統(tǒng)的升級、開發(fā)，適用于該系統(tǒng)網(wǎng)絡訪問。在起初選擇用戶注冊信息存儲方式時，對比過目錄存儲和關系型數(shù)據(jù)庫存儲的優(yōu)缺點，總結LDAP目錄存儲在如下方面具有更好優(yōu)勢： 大量需要頻繁讀取但修改較少的數(shù)據(jù)管理方面分層次系統(tǒng)地存儲信息方面信息管理與信息檢索的集中化采用樹狀結構，非常方便的可擴展性采用跨平臺標準協(xié)議，適用于各種系統(tǒng)平臺結合如上優(yōu)點，本文決定采用目錄結構存儲用戶注冊信息，提出如下三種解決方案：(1) Windows 平臺需求：Windows

35、2000 sever或以上的服務器版本Active Directory 是Windows 2000 server與其更高版本的集成服務，大部分的Win Server 服務如DNS,授權服務，組策略，分布式文件系統(tǒng)，集群服務器，遠程安裝等。僅配置一臺win server服務器即可實現(xiàn)。(2) GNU/Linux平臺Redhat Linux,或Fodora coreRedhat Linux帶有OpenLDAP安裝軟件包OpenLDAP開放源代碼，易于理解系統(tǒng)架構技術細節(jié)，也能在社區(qū)與時同核心開發(fā)人員取得聯(lián)系。一種靈活支持所有授權方式的產(chǎn)品。(3) 商業(yè)UNIX系列平臺Sun Solaris 8以上

36、版本Sun Open Network Environment Directory Server與其周邊產(chǎn)品性能優(yōu)越，穩(wěn)定性高，適合企業(yè)級服務本文中的系統(tǒng)完成之后將用于校園網(wǎng)用戶注冊信息的存儲，需要在安全性、穩(wěn)定性、可靠性等各方面提出更高要求，綜合考慮之后，本文選擇第三種方案。因為，Solaris操作系統(tǒng)在穩(wěn)定性、安全性等方面是經(jīng)得住考驗的，商業(yè)的目錄服務經(jīng)過了商業(yè)的考驗更加可靠和穩(wěn)定。為了使目錄服務能夠更加可靠更加靈活的完成用戶認證信息的存儲任務，必須重新設計目錄的結構。上一代目錄以服務為基礎。而新的目錄將以信息為基礎。本文系統(tǒng)采用以服務為輔助的方式進行設計。先開發(fā)存儲，再開發(fā)應用。針對本文系

37、統(tǒng)為高校校園網(wǎng)用戶統(tǒng)一身份認證系統(tǒng)，本文根據(jù)目前高校身份認證的需要，將用戶注冊信息保存節(jié)點設計如下表3.1所示：表3.1目錄節(jié)點設計表目錄節(jié)點含義注釋UID用戶名英文字母或數(shù)字注冊UserPassword密碼SSHA加密CNSN學號/職工號GivenName號Mail用于找回密碼DisplayName昵稱OU類別Student/Teacher本文系統(tǒng)主要用于存儲和管理各應用系統(tǒng)的用戶名和密碼，唯一用于區(qū)分用戶身份的節(jié)點就是OU，通過判斷OU=Student、OU=Teacher或者OU=VIP來判斷是學生、教師或者其它身份，至于用戶在各個系統(tǒng)中的身份、角色、權限，完全由應用系統(tǒng)中存儲的該用的信

38、息來決定。Sun One Directory Server目錄在節(jié)點上的設置有個很大的優(yōu)點，默認情況下，目錄本身就定義了100多個節(jié)點，可以根據(jù)自己的需要隨意擴充，本文就采用了使用SN表示學號，GiverName表示號，這樣就可以根據(jù)用戶對目錄節(jié)點的需要，適當?shù)倪M行增加節(jié)點數(shù)量，以此滿足了用戶對系統(tǒng)擴充的需要。3.1.2 Sun One Directory Server目錄存儲Sun One Directory Server的目錄服務采用LDAP協(xié)議，LDAP協(xié)議的查詢效率很高，即使是上百萬用戶，查詢速度也極快；目錄采用節(jié)點結構，Sun 目錄本身已經(jīng)自定義了100多個節(jié)點，便于用戶系統(tǒng)的使用和

39、擴充；該目錄服務，作為一個整體來講更具優(yōu)勢，它采用分布式結構，更加開放，形成的客戶資料全部由用戶系統(tǒng)自己掌握，增加了安全性；在項目實施過程中，Sun One Directory Server給人印象最深的就是開放性，它在管理上的伸縮性優(yōu)于其他同類產(chǎn)品。本文系統(tǒng)的Sun One Directory Server 安裝在Sun的280R Sparc服務器的Solaris9.0操作系統(tǒng)上，從服務器選擇、操作系統(tǒng)選擇、目錄存儲軟件選擇完全采用Sun公司的產(chǎn)品，在系統(tǒng)穩(wěn)定性，安全性，可靠性上都得到了最大限度的保障。關于目錄存儲，因為這是一個完善的商業(yè)軟件，本文系統(tǒng)對于它的使用只是冰山一角，本文現(xiàn)在只是采

40、用了它的存儲功能，對于Sun公司的這個強大系統(tǒng)，本文不多做介紹，下面針對在安裝、配置方面使用的一些用法、配置介紹如下：本文介紹安裝的服務器是Sun 280R，操作系統(tǒng)選擇Solaris9.0 Sparc，操作系統(tǒng)安裝完畢之后，配置SSH遠程連接，F(xiàn)tp服務，關閉一些不使用的服務諸如Sendmail，Nfs等之后可以參照Sun公司提供的Sun One Diretory Server 5.2安裝配置指南，進行安裝，具體安裝如下：1從Sun官方下載Directory Server安裝文件，下載路徑：wwws.sun./software/download 在下載時，會需要你在Sun的官方注冊用戶，然后

41、就可以免費使用，本文選擇的是Sun One Directory Server5.2版本。本文除了下載了針對Solaris版本的目錄安裝文件，同時下載了基于Windows版本的安裝文件，Solaris版本安裝在服務器端，通過在Windows系統(tǒng)下安裝Sun One目錄客戶端，可以遠程調(diào)用服務器端，如同在服務器端操作。2安裝之初，需要準備如下表3.2容所示：表3.2 Sun One Directory Server安裝準備資料列表名稱用途參考容管理域設置節(jié)點DCZ固定Ip地址提供固定服務0域名遠程客戶端訪問必須L目錄管理員ID目錄管理員Admin（默認）目錄管理員口令123

42、456目錄管理員DN目錄超級用戶cn=Directory Manager目錄管理員DN口令12345678（最少八位）Directory Server端口號提供調(diào)用/遠程訪問389/Ldap 390/SSL服務器后綴確定dcdc=zzti,dc=edu,dc=cn目錄服務ID目錄名稱Ldap安裝路徑Solaris安裝路徑/var/Sun/mps/serverroot3建議在安裝Sun One 目錄之初，將Solaris 9.0的系統(tǒng)補丁升級至最新；4如果Solaris9.0系統(tǒng)是5.9版本，安裝目錄相對簡單，超級管理員登陸之后：root# Tar xvf /zc/sun-directory-s

43、erver-sparc.tarroot# ./setup5在安裝過程中，將提前準備的信息一一寫入，完成安裝。6簡單一些管理路徑和命令： root# Serverroot/slapd-serverID/start-slapd 啟動目錄服務root# Serverroot/slapd-serverID/stop-slapd 停止目錄服務root# ./Serverroot/start-admin 啟動目錄管理root# ./Serverroot/stop-admin 停止目錄管理root# ./Serverroot/startconsole 啟動客戶端管理界面當服務器端solaris版本安裝完畢之

44、后，建議安裝一個windows版本的客戶端，便于遠程管理，windows版本的客戶端安裝相對簡單，這樣可以通過客戶端連接對目錄服務進行操作。1.運行客戶端管理程序之后，如下圖3.1所示：圖3.1安裝Sun ONE 基于Windows版本2.登陸客戶端之后，用戶將看到如下界面，圖3.2： 圖3.2 Sun One Server 客戶端界面其中，Administration Server提供桌面方式的服務器管理，比如停止服務器、重新啟動服務器、配置Administration Server等等。本文系統(tǒng)主要操作的是Directory Server（ldap），所有目錄服務的管理、配置都可以在Sun

45、提供的客戶端管理模式進行。3雙擊Directory Server（ldap）之后，進入對目錄的管理操作，圖3.3：圖3.3 客戶端Sun One Directory Server界面針對上圖，可以看到，Sun One Directory Server 功能十分強大，在目錄存儲方面，很多管理都可以在客戶端完成，下面針對各個不同功能介紹如下：Tasks選擇下，可以啟動、停止、重啟Directory Server；可以直接采用Sun One提供的備份、恢復工具完成對目錄的備份恢復工作，安全、可靠、方便、簡單；關于LDIF的導入、導出可以用于批量用戶的導入，關于這點本文開發(fā)了一個小程序，用于將系統(tǒng)的用

46、戶批量導入到統(tǒng)一身份認證系統(tǒng)中：針對高校的應用，從Sun One Directory Server導出到LDIF的結構如下:dn: uid=lihongkai,ou=accounts,dc=zzti,dc=edu,dc=cnuid: lihongkaicn: 5p2O5rSq5YevgivenName: 7sn: 3mail: xiaokai159163.displayName: 6Zu244Op6Led6Zuiou: ou=student,cn=groups,dc=zzti,dc=edu,dc=cnobjectClass: inetorgpersonobjectClass: organiza

47、tionalPersonobjectClass: personobjectClass: topuserPassword: SSHAxMUdztK4VA88cLa86W0WwcpZRq9Td5gZXRdBFg=creatorsname:=directory managermodifiersname:=directory managercreatetimestamp: 927Zmodifytimestamp: 927Znsuniqueid: 79c7a581-bc0011da-80c1bc96-74d65f61parentid: 10entryid: 15977entrydn: uid=lihon

48、gkai,ou=accounts,dc=zzti,dc=edu,dc=cnhassubordinates: FALSEnumsubordinates: 0subschemasubentry:=schema同樣可以采用這種方式對目錄數(shù)據(jù)進行備份和恢復，本文批量導入用戶的方法，就是采用將用戶根據(jù)上述節(jié)點要求，用自己開發(fā)的程序，將用戶相關信息寫成LDIF能夠識別的格式，然后采用LDIF導入，即實現(xiàn)了用戶的批量導入，同樣道理，Sun One Directory Server可以實現(xiàn)用戶的批量導出。LDIF導入，圖3.4：圖3.4 客戶端目錄導入圖可以選擇只添加。LDIF導出，圖3.5：圖3.5客戶端目

49、錄導出圖選擇目錄，將看到Sun One Directory Server的目錄存儲結構，本文所有的用戶信息都保存在dc=zzti,dc=edu,dc=cn下的accounts里，圖3.6：圖3.6 用戶信息存儲目錄結構在客戶端或者服務器端都可以對用戶進行添加、編輯、刪除等管理操作，因為有一些節(jié)點，不是默認設置的，而本文開發(fā)的web Services 調(diào)用的卻是統(tǒng)一的節(jié)點操作，所以，對于單個用戶的操作管理，本文都是通過Web進行管理。3.2調(diào)用接口程序該系統(tǒng)使用ASP.NET創(chuàng)建一個XML Web Services 提供統(tǒng)一認證接口，實現(xiàn)對目錄的訪問操作，其他應用系統(tǒng)只要調(diào)用Web Servic

50、es即可完成對目錄的訪問。該系統(tǒng)接口支持數(shù)據(jù)結構的動態(tài)改變，當?shù)讓拥哪夸浄瞻l(fā)生變化時，可以通過修改xml保存的字段映射庫來更改映射信息，當目錄的連接發(fā)生變化時，可以通過修改xml保存的連接映射庫來更改連接信息。為了考慮到系統(tǒng)以后的擴容和應用程序調(diào)用的方便和易實現(xiàn)，本文采用兩級調(diào)用的方式，首先自定義一個LdapClasses.dll類庫，通過這個類庫可以對目錄進行操作，類庫建好之后，自己開發(fā)的系統(tǒng)可以直接調(diào)用類庫對Sun One Directory Server進行讀寫操作，然后通過建立Web Services來調(diào)用類庫，使得Web Services同樣可以訪問目錄服務，這樣其他應用系統(tǒng)可以通

51、過各種方法調(diào)用Web Services即可實現(xiàn)對目錄服務的操作。3.2.1訪問目錄接口類庫統(tǒng)一身份認證系統(tǒng)需要為多種WEB服務器提供相應的代理接口，系統(tǒng)開發(fā)之初考慮到對目錄的操作和訪問，不會局限于自主開發(fā)的系統(tǒng)，肯定會有學校其他老師開發(fā)，或者商業(yè)性軟件，那么讓別的用戶針對該系統(tǒng)，直接訪問目錄存儲，就不太現(xiàn)實，所以，本文就設計了這個通過接口類庫來訪問目錄的方法，首先，這種方法具有如下優(yōu)點：1易擴展隨著以后的發(fā)展，學校的目錄結構肯定會擴充，節(jié)點數(shù)量會有所增加，如果采用應用系統(tǒng)直接對目錄進行操作，一旦目錄結構發(fā)生變化，則所有調(diào)用目錄的應用系統(tǒng)都需要做二次開發(fā)?，F(xiàn)在采用接口類操作的形式，一旦目錄結構變

52、化，無需更改目錄結構，只需將接口類庫替換一下即可，實現(xiàn)了系統(tǒng)的易擴展性。2易操作如果每個應用系統(tǒng)都要直接對目錄進行操作，則不同開發(fā)模式的系統(tǒng)都需要研究對目錄的操作方法，增加開發(fā)的難度，現(xiàn)在用戶在建設.net應用程序或者web程序時，只需添加引用即能夠使用對目錄的調(diào)用方法，簡單、方便，減少了開發(fā)難度3易轉移當用戶對目錄訪問時，需要確定目錄機器的ip或者域名，一旦發(fā)生更改，則所有的應用系統(tǒng)都需要重新編譯才能訪問，現(xiàn)在采用類接口訪問的方法，對寫有訪問路徑xml的存儲文件訪問，一旦發(fā)生變化，直接更改xml存儲文件即可。目錄接口類庫是采用微軟.Net技術開發(fā)了一個LdapClasses項目，編譯生成的L

53、dapClasses.dll類庫，該類主要用于為Web Services提供操作接口，同時也為本地配置程序提供接口，總之所有對目錄的訪問操作都是通過該類庫來實現(xiàn)的，這樣就實現(xiàn)了調(diào)用本文自定義的函數(shù)和方法，增加程序代碼的可重復利用性，減少用戶的重復開發(fā)。下面將詳細介紹LdapClass類庫的原理和調(diào)用方法，從名稱上也可以看出，顧名思義，這個類庫就是用來操作ldap目錄的，下面介紹一下類庫操作的流程：通過UserManager的構造函數(shù)，獲得所有連接和字段的映射信息，所有的數(shù)據(jù)操作都調(diào)用FillField方法，通過FillFiled方法就會依次讀取m_cFields的DataSource數(shù)據(jù)連接類

54、型，并為不同的連接建立不同的FieldAccess的派生類，然后返回所有建立好的FieldAccess的派生類的集合。然后不同的操作就可以枚舉并調(diào)用基類不同的方法，基類會自動找到其派生類的函數(shù)，從而實現(xiàn)所有操作。下面簡要介紹一下其中的類和函數(shù)：(1) User類，用于表示一個用戶/用于存儲虛擬字段信息的集合private Field m_field;/以虛擬字段為參數(shù)的構造函數(shù)/主要用于初始化User的虛擬字段public User(Field field)；/m_field字段的外部屬性接口public Field Field/得到屬性字段的個數(shù)public int Count/索引器，用于返回指定字段名的虛擬字段public Field thisstring s/索引器，用于返回第n個虛擬字段public Field thisint i/返回各虛擬字段的字段名的集合public string FieldNames(2) Field類：用于記錄字段信息，進行字段映射/虛擬字段名XmlAttribute(m_s