基于LDAP的校園統一身份認證系統的研究與實現

劉斌

（溫州大學 物理與電子信息工程學院，浙江 溫州 325035）

隨著校園數字化的迅速發展，大量的應用系統應運而生。但是，由于傳統開發模式的局限性，這些應用系統大多使用各自獨立的數據庫進行身份認證，導致各個系統之間的認證信息不能互通，并由此產生了若干信息孤島[1]。用戶如果要使用這些系統提供的服務就要申請多個賬戶，這樣不但給用戶帶來極大的不便，而且大大增加了管理員的負擔。因此，如何安全有效地整合和管理校園數字化資源、消除應用系統信息孤島、實現統一的身份認證，是當前數字化校園建設[2]的熱點話題之一。

1 技術簡介

LDAP（Lightweight Directory Access Protocol）是輕量目錄訪問協議。它提供了一種對目錄服務訪問的方式，在信息的讀操作方面有很大優勢，可以實現快速的查詢操作。LDAP是基于X.500標準的一種協議，相對于X.500而言，LDAP協議簡單許多，它可以直接在TCP/IP協議上實現目錄服務[3]。由于它簡化了X.500的實現方法，所以被稱為輕量級的目錄服務協議。

通過LDAP可以將各個應用系統的用戶或組織信息以一定的層次結構加以存儲和管理。LDAP是一個比關系數據庫抽象層次更高的存貯概念。不同于其他以存儲和操作為主要目的的數據庫，LDAP對查詢進行了優化。與寫性能相比，LDAP的讀性能要強很多，它的查詢速度比普通數據庫要高出一個數量級，這正符合高校大信息量的特點。另外，LDAP也支持TCP/IP協議，因此利用LDAP設計出的系統具有良好的跨平臺性。同時，LDAP也是一個相對安全的協議，它可以根據使用者的需要設計訪問控制列表ACL，以此來控制不同用戶對服務器的讀寫操作權限[4]。當用戶的信息被放在LDAP服務器上統一保存時，再也無需分開管理，通過對一臺服務器進行安全監控，就能有效實現對信息安全性的大幅度提高。

2 認證過程

本文采用統一認證的簡要思想如下：

1）用戶使用在統一認證服務系統注冊的用戶名和密碼登錄一個應用系統A；

2）該應用系統A，將用戶名和密碼連同應用系統的標識一起轉發給統一認證服務器；

3）統一認證服務器核查自己的應用系統注冊庫，審查該應用系統是否為統一認證服務的用戶系統，同時在用戶注冊庫中核查由該應用系統轉發過來的用戶名和密碼。待核查完畢后，統一認證服務響應應用系統。

4）如果登陸成功，應用系統自己創建一個Session并將令牌返回給用戶，以后用戶端可以通過這個權限令牌持續訪問該應用系統，直至用戶退出系統或會話超時[5]。如圖1所示。

圖1 LDAP認證過程（非SSO）Fig.1 The authentication process of LDAP（Not a SSO）

根據PHP提供的擴展函數，認證過程可表述為：

1）調用LDAP_CONNECT（）和LDAP服務器進行連接，連接成功后LDAP服務器則會返回會話句柄；

2）利用LDAP_BIND（）和服務器進行綁定；

3）使用LDAP_SEARCH（）函數遍歷LDAP目錄樹，返回條目信息，并且驗證提交信息是否和條目信息一致。如果一致則驗證成功，不一致則認證失敗；

4）利用LDAP_UNBIND（）解除綁定[6]。如圖2所示。

圖2 查詢認證過程Fig.2 The process of query authentication

3 統一身份認證系統的設計與實現

3.1 系統設計目標

統一身份認證系統功能在于建立一個可以為校園網中各種應用系統提供身份認證的機制。每個應用系統都可以通過該系統來進行系統用戶的身份認證。各個應用系統不再使用自己的數據庫來識別用戶身份，而應該和認證服務器實現盡可能的無縫銜接，從而有效地整合各種服務資源，如圖3所示。

根據上述設計目標，可設計出如圖4所示的系統構架。

3.2 關鍵問題

結合我校實際情況設計出的目錄信息樹結構如圖5所示。

圖3 整合后的校園網絡資源Fig.3 The campus network resources after integration

圖4 統一身份認證系統系統構架Fig.4 The system frame of unified identity authentication system

圖5 目錄信息樹Fig.5 Directory information tree

針對目錄樹中Uid必須唯一，且LDAP沒有提供自動遞增的功能的問題，可在根下添加一個wzuId字段作為新加入用戶的Uid，該字段為整型數，當系統成功添加一個用戶時，該字段的值就會被加一。同理，當再次添加新用戶時，直接讀出該值，添加成功后再次對其加一即可。由此就可以解決Uid唯一但LDAP本身不提供自動遞增功能的問題。

現如今大多數高校LDAP統一身份認證的實現方式無非有以下兩種，一種是只利用LDAP服務器進行簡單的用戶名和密碼認證，其余權限交給各自的應用系統單獨控制。另一種是將各個應用系統的控制身份認證規則分別寫在LDAP服務器上，這就給LDAP服務器添加了許多負擔，讓本來簡單的查詢變得復雜。

綜合考慮以上兩種實現方式的利弊，為了更加簡便地實現各個應用系統與統一身份認證服務器之間的低耦合銜接，在設計LDAP目錄樹時為其添加了一個wzuService字段，該字段為數組結構，存放了用戶能夠使用的應用服務名稱以及對應的權限。以校園郵件服務為例，如果用戶開啟了郵件服務，則可以在該用戶對應的條目里搜索到wzuService=mail_user這個條件，如該用戶為郵箱系統管理員，則對應的條件表示為wzuService=mail_admin；反之，如果搜索不到關于郵件服務的條件，則表明該郵件服務系統沒有對當前用戶開放。wzuService字段的引入不僅實現了對用戶身份的認證，還實現了對用戶權限的控制。

該部分設計的擴展模式代碼：

4 結束語

隨著LDAP協議本身的不斷發展和完善，隨著數字化概念的深入人心和人們對信息化建設的重視，LDAP的優勢也進一步凸顯。相信LDAP在網絡的發展過程中必然會占據更為重要的位置。統一身份認證系統本身的實現就是一項復雜的工作，如何和各種復雜網絡環境結合，還需要根據具體情況具體研究，以確保發揮最優作用。

[1]張明.基于LDAP的單點登錄技術的研究與實現[D].湖北：武漢理工大學，2007.

[2]賀超波，陳啟買，歐陽輝.數字化校園門戶平臺統一身份認證的實現[J].現代計算機，2008（12）:25-28.HE Chao-bo，CHEN Qi-mai，OUYANG Hui.Implement of unified identity authentication in digital campus portal[J].Modern Computer，2008（12）:25-28.

[3]賀玉明.LDAP在數字校園中的研究與應用[D].北京：北方工業大學，2011.

[4]趙曦.基于LDAP的統一認證系統的研究與實現[D].陜西：西安電子科技大學，2009.

[5]李翔，晁愛農，劉孟強.LDAP的研究及其在統一身份認證系統中的應用[J].計算機應用，2008（S1）:98-100.LI Xiang，CHAO Ai-nong，LIU Meng-qiang.Research and application of LDAP in uniform identity authentication[J].Journal of Computer Applications，2008（S1）:98-100.

[6]王源.LDAP認證實現與性能分析 [J].電子科技，2010（12）:76-79.WANG Yuan.The implementation and analysis of LDAP authentication[J].Electronic Science and Technology，2010（12）:76-79.