基于LDAPV3控制操作的目录认证实现方法

摘要

本发明提供一种基于LDAPV3控制操作的目录认证实现方法，此方法包含：在目录认证请求中，加入符合LDAPV3协议要求的控制操作，在控制操作中添加附加内容，实现更复杂的目录认证。本发明具有的优点和积极效果是：使目录服务方通过控制操作支持更高级的认证操作，完成额外的认证，从而提高目录的安全性。

说明书

技术领域

本发明属于目录服务系统领域，尤其是涉及一种基于LDAPV3控制操作 的目录认证实现方法。

背景技术

随着互联网的发展，对各种数据资源的标准化管理和高效存取的要求变 得十分迫切,目录服务技术就是在这样的背景下产生并迅速发展的新技术。 目录服务系统是用于网络数据资源的分布式存储和快速查询的新型专用数 据库系统，是专门为那些检索频率大大高于数据更新频率的信息服务而设计 的。比如图书馆图书索引系统、网络资源管理系统、组织人员管理系统、单 点登录系统等。

目录服务系统一般都遵循轻型目录访问协议LDAPv3，从而能够保持应用 的标准性和独立性。该协议中规定了目录的数据单元-条目，并且规定了操 作条目数据的九个基本操作，包括绑定，添加，修改，删除，搜索，比较， 解绑定等操作。控制和扩展也是LDAPV3协议的组成部分，目的是在基本操 作基础上，增加目录的扩展能力。控制不是独立的操作，只能依附在九个基 本操作之中，实现附加的功能。。

每个控制操作由唯一的OID(object identifer,对象标志符)来标记， 不同的OID代表不同的控制操作，除了OID，控制操作的参数还有具体的数 据，每个操作可以对数据进行单独的定义和解析。

目录访问的服务方，简称服务方；

目录访问的客户方，简称客户方；

客户方为了认证到服务方，如图1所示，需要执行如下过程：

步骤101，服务方在指定的端口监听连接；

步骤102，客户方连接到指定的ip和端口；

步骤103，客户方执行认证操作(用户名、密码)；

步骤104，服务方处理认证请求，返回认证结果；

步骤105，客户方处理认证结果，然后执行后续操作。

由以上操作可以看出，客户方和服务方只能通过基本的认证操作，实现 有限的目录用户认证，对于这种方式目录的安全性不佳。

发明内容

本发明要解决的问题是提供一种基于LDAPV3控制操作的目录认证实现 方法，尤其适合于安全性要求较高的场合，即需要使用数字证书，包括软证 书，以及UKEY证书等认证到目录的场合。

为解决上述技术问题，本发明采用的技术方案是：

一种基于LDAPV3控制操作的目录认证实现方法，此方法包含：在目录 认证请求中，加入符合LDAPV3协议要求的控制操作，在控制操作中添加附 加内容，实现更复杂的目录认证。

进一步的，包括如下步骤：

步骤1，客户方设置认证控制，包括OID号及附加的数据；

步骤2，客户方执行认证控制操作；

步骤3，服务方解析并处理认证操作，如果有认证控制则处理该控制；

步骤4，服务方生成认证返回结果给客户方；以及

步骤5，客户方处理认证结果，根据结果决定下一步操作。

进一步的，步骤2中还包括客户方需在执行认证前指定控制操作，有2 种方式，一是使用全局的服务端控制设置，二是在认证操作中指定约束，约 束中指定用于认证的控制。

进一步的，如果服务方有引用配置，或者目录中有引用条目，客户方还 需指定全局的认证回调函数，在该函数里执行带控制的认证，实现当服务方 使用引用，把客户方请求引用到其它目录前，也能够对其它目录执行带控制 的认证。

本发明具有的优点和积极效果是：

使目录服务方通过控制操作支持更高级的认证操作，完成额外的认证， 从而提高目录的安全性。

附图说明

图1为现有的LDAPV3协议下的目录认证流程图；

图2为本发明LDAPS协议下的目录认证流程图；

图3为本发明LDAPS协议下的目录连接和认证流程图。

具体实施方式

下面结合附图2、3对本发明的具体实施例做详细说明。因为目录访问 协议LDAPv3中的控制操作是附加在基本的数据操作之中的，不是独立的操 作，如果设置成严格的，则服务方不支持会返回错误，否则将忽略该控制， 继续执行相关的操作。LDAPv3协议规定了两种加密通道方式为LDAPS和 startTLS，由于控制中的数据属于敏感数据，因此在具体实施例中，使用 LDAPS协议实现客户方和服务方的加密连接，然后再执行认证操作，保证认 证数据不被第三者获取。

本发明采用的设计思想是：使用加密通道实现认证和后续操作的私密 性，采用控制的方式实现附加认证过程，从而实现对用户访问的进一步控制， 完成基于LDAPV3控制操作的目录认证实现方法。

如图2所示，本发明提供的一种基于LDAPV3控制操作的目录认证实现 方法，此方法包含如下步骤：

步骤201，客户方设置认证控制，包括OID号及附加的数据；

步骤202，客户方执行认证操作；

步骤203，服务方解析并处理认证操作，如果有认证控制则处理该控制；

步骤204，服务方生成认证返回结果给客户方；

步骤205，客户方处理认证结果，根据结果决定下一步操作。

如图3所示，本发明的一个实施例的服务方和客户方的整个连接和认证 过程包括如下步骤：

步骤301，服务方启动并在加密端口监听客户方连接；

步骤302，客户方初始化加密连接参数；

步骤303，客户方使用指定的ip和端口号加密连接到服务方；

步骤304，客户方发出符合LDAPV3控制操作的目录认证请求；

步骤305，服务方解析出控制，处理并返回认证结果给客户方；

步骤306，客户方处理认证结果，根据结果做后持续处理。

本发明一优选实施例中，上述步骤202中还包括客户方需在执行认证前 指定控制操作，有2种方式，一是使用全局的服务端控制设置，二是在认证 操作中指定约束，约束中指定用于认证的控制。

本发明一优选实施例中，如果服务方有引用配置，或者目录中有引用条 目，客户方还需指定全局的认证回调函数，在该函数里执行带控制的认证， 实现当服务方使用引用，把客户方请求引用到其它目录前，也能够对其它目 录执行带控制的认证。

实现本发明基于LDAPV3控制操作的目录认证实现方法的具体程序实现 过程中，首先根据目录访问协议LDAPv3中的控制操作的定义方法，对此认 证的控制操作进行定义，例如定义：

新增的认证控制操作的OID为："1.3.6.1.4.1.12900.1.3.1"。

服务方程序的具体实现方法是：

1)在目录中加入认证控制操作OID的定义；且将认证控制操作根据 LDAPv3的协议要求发布到目录的rootDSE中，供客户方在获取可用的扩展和 控制时查询；

2)在目录控制模块中增加认证控制的实现方法，包括内容的解析及逻 辑的处理；增加控制的获取模块：如果有该控制，则调用认证控制的实现方 法，否则根据控制请求中的critical(严格检查)标记决定是忽略还是返回 给客户方错误；

客户方程序的实现方法是：

1)使用LDAPS协议连接到目录服务方；

2)生成控制，并在连接中设置控制，以便在认证时使用；

3)发出基于LDAPV3控制操作的认证请求；

4)得到认证结果，并根据结果继续处理。

以上对本发明的实施例进行了详细说明，但所述内容仅为本发明的较佳 实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作 的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。