LDAP在校园网统一身份认证中的应用

摘要

随着Internet的飞速发展和应用服务的不断增加，使得网络管理变得越来越复杂，安全问题越来越突出，在互联网上部署应用的潜在风险得到了广泛的认识。作为一种整合、分类、集成和访问校园网信息的方法，校园网门户为学校的学生、教职员工提供了一个获取校园网内部信息的统一平台。在这个平台中，建立一个统一的身份认证和用户管理单点登录系统，对各个应用系统的用户实现统一的认证和统一的管理是校园网信息安全系统建设中的重要环节。 用户统一身份认证系统要研究开发一套企业级的用户身份认证平台，提供一个完整的用户身份认证体系。基于目录服务的统一身份认证系统，采用了LDAP标准协议，利用了目录服务的分布式特性，将分布在各个应用系统中的用户和资源信息组织到一个逻辑目录树中，很大程度上简化了认证服务中心和各应用系统之间的通信，降低了系统实现的难度。目录服务系统将LDAP服务器作为身份管理的核心数据库，存储用户身份信息、角色和访问控制信息，对整个系统用户进行统一管理的用户管理服务，执行管理员制定的策略的授权服务。与数据库为中心的分布式网络系统相比，这实现方法具有良好的可扩展性和集中管理功能，灵活性强、实现简单的特点。 本系统采用基于可信任第三方的Kerberos认证协议。提出一种LDAP协议和Kerberos认证技术相结合的设计策略，实现了认证服务器的设计。通过AS认证服务和TGS授权服务两大功能模块，实现对用户身份统一认证和授权。运用“票据”的概念，实现了一次签发的机制，方便了用户和管理人员。系统支持双方认证，提高了系统的安全系数。系统支持单点登录方式，通过一次身份验证，可以透明登录到所有授权的应用。实现了通过单点登录把原来分散的用户管理集中起来，自动完成用户对应用的登录，减少用户登录的等待时间。

目录

文摘

英文文摘

声明

第1章绪论

1.1 研究背景和意义

1.2国内外研究现状

1.3 存在的问题

1.4研究的内容与论文的结构安排

第2章LDAP协议与LDAP统一身份认证系统架构方案

2.1 LDAP协议

2.1.1 目录服务的概念

2.1.2 LDAP目录服务的特性

2.1.3 目录服务的标准与协议

2.1.4 LDAP目录服务系统的建立

2.2统一身份认证系统的需求

2.2.1 统一身份认证主要的建设内容

2.2.2技术路线

2.3统一身份认证系统的构架

2.3.1系统实现目标

2.3.2系统功能模块

2.3.3 LDAP目录结构

第3章安全架构研究

3.1 安全基础

3.1.1 消息摘要

3.1.2单钥密码体制

3.1.3公用密钥体制

3.1.4数字签名

3.1.5 SSL

3.2基于数字证书的认证X.509／PKI

3.2.1 PKI体系

3.2.2 PKI组成

3.2.3 X.509证书格式

3.3 WEB服务的安全性

3.3.1 SOAP

3.3.2 WSDL

3.3.3 UDDI

3.4 Kerberos认证机制

3.4.1 认证技术

3.4.2 Kerberos认证系统

3.4.3 Kerberos协议分析

3.5系统的认证模型

3.5.1 基于LDAP的认证模型

3.5.2基本认证过程

第4章系统的实现与应用

4.1 统一身份认证系统的各部分的设计

4.1.1 统一身份管理系统与门户平台

4.1.2单点登陆系统

4.1.3 认证接口系统

4.1.4客户端登录

4.2 LDAP目录服务系统

4.2.1 ldap服务器的安装

4.2.2 LDAP目录服务系统的详细设计

4.3 认证服务的设计

4.3.1 认证服务

4.3.2消息格式的定义

4.4 AS与TGS等模块的实现

4.4.1 AS模块

4.4.2 TGS模块

4.4.3 Kerberos密钥管理模块

4.4.4 Kerberos加密／解密函数的设计

4.5基于LDAP的VPN应用接口的设计与开发

4.5.1 基于LDAP的IPSec VPN身份认证模式

4.5.2 LDAP服务器与VPN网关的相关配置

4.6基于LDAP的一卡通与邮件等应用接口的开发

4.6.1 一卡通的应用接口

4.6.2 电子邮件的应用接口

第5章结论与展望

参考文献

附录1 slapd.conf

致谢

攻读学位期间参加的科研项目和成果