目前 ,國內(nèi)電子政務的計算機體系結(jié)構(gòu)、基礎(chǔ)操作系統(tǒng)以及數(shù)據(jù)庫都處于異構(gòu)狀態(tài) ,政務信息數(shù)據(jù)資源很難形成集成化的數(shù)據(jù)服務 ,難以滿足電子政務目錄體系和基礎(chǔ)信息資源庫的建設(shè)目標 。要解決這個問題 ,就應該有一個可將各種不同的計算機體系、不同的基礎(chǔ)操作系統(tǒng)和不同的數(shù)據(jù)庫集成起來的軟件技術(shù)。目錄服務正可以為解決以上問題提供關(guān)鍵的技術(shù)、產(chǎn)品和解決方案。它的跨平臺性可以解決各電子政務應用系統(tǒng)操作平臺異構(gòu)的問題。通過使用元目錄工具 ,可以從現(xiàn)有的分布在各數(shù)據(jù)庫異構(gòu)的政務信息基礎(chǔ)庫中進行元數(shù)據(jù)采集、整合 ,生成元數(shù)據(jù)視圖 ,將各專項元數(shù)據(jù)庫納入相應的專項目錄數(shù)據(jù)庫 ,從而在網(wǎng)絡(luò)中形成大型的、統(tǒng)一的政務信息基礎(chǔ)庫。

    本文研究的目的是期望利用 LDAP讀取速度快、擴展方便等特性 ,將用戶基本信息、用戶管理信息、電子政務目錄資源信息以及用戶對目錄資源的訪問權(quán)限等以目錄樹的形式加以組織存儲 ,從而實現(xiàn)對用戶的統(tǒng)一身份管理、統(tǒng)一身份認證、集中授權(quán)以及更好地提供政務信息資源的查詢、檢索和定位服務。對于信息系統(tǒng) ,由于人們對世界認知的不同導致對同一現(xiàn)象和描述會側(cè)重于對象不同的側(cè)面 ,形成語義異構(gòu)。所以 本文對 LDAP目錄管理系統(tǒng)和本體有機地結(jié)合到電子政務目錄服務系統(tǒng)構(gòu)架內(nèi)也作了一定的嘗試。

    1　LDAP目錄服務情況簡介
  　LDAP概況
    輕量級目錄訪問協(xié)議 LDAP(LightweightDirec2toryAccess Protocol)是從對 X. 500協(xié)議簡化的基礎(chǔ)上演變而來 ,所以稱為輕量級的目錄服務。LDAP從以下幾方面對 X. 500協(xié)議做了簡化和發(fā)展: (1)功能方面 ,縮減了 X. 500冗余的和使用頻率較小的功能 ,可以說以極低的代價完成了 X. 500協(xié)議 90%的功能。 (2)數(shù)據(jù)表示方面 ,統(tǒng)一采用文本字符串形式 ,避免數(shù)據(jù)解釋時可能導致的二義性。(3)編碼上 ,僅采用 X. 500協(xié)議的一個子集 ———簡單的編碼規(guī)則 BER,節(jié)約了空間 ,而且大大簡化了其實現(xiàn)。 (4)傳輸上 ,直接運行于傳輸層 TCP之上 ,減少了在 OSI通信協(xié)議中的高昂開銷 ,不但提高了性能 ,而且使目錄服務部署簡單了。
　LDAP目錄服務的特性
    目錄服務中的目錄對象可以代表管理系統(tǒng)中的組織信息、人員信息以及資源信息等。LDAP目錄幾乎可以存儲所有類型的數(shù)據(jù):電子郵件地址、DNS信息、NIS映射、安全性密鑰等。如果需要專門的組織單元或項 ,則可以根據(jù)具體實現(xiàn)來定制控制給定字段可以保存哪種信息的規(guī)則。
LDAP中目錄是按照樹型結(jié)構(gòu)組織 ,主要優(yōu)點如下:簡單而通用;普遍存在 ,LDAP已廣泛用于各種主流和非主流的計算平臺;LDAP目錄易于理解;
由于 LDAP高可靠性和良好性能 ,LDAP目錄服務能滿足絕大部分重要的目錄服務需求。如今 ,LDAP已經(jīng)成為目錄服務的事實上的標準。

    2　語義 Web和本體
     語義 Web是當前 Web的擴展 ,其中的信息被賦予定義良好的 (well2defined)含義 ,使計算機和用戶能夠更好地協(xié)作。本體是概念模型的明確的規(guī)范說明。通俗的講 ,本體就是用來描述某個領(lǐng)域 (領(lǐng)域本體 )甚至更廣范圍 (通用本體 )內(nèi)的概念以及概念之間的聯(lián)系 ,
使得這些概念和聯(lián)系在共享的范圍內(nèi)有著明確唯一的定義 ,達成一種共識。這樣 ,人、機器之間就可以進行交流。為了將目前無序的 Web改造成有序的計算機可理解的知識寶庫,語義 Web采用多層次的表示框架,本體位于從文檔描述到知識推理轉(zhuǎn)折的位置。因此,本體的構(gòu)建是實現(xiàn)語義 Web的關(guān)鍵環(huán)節(jié)。

     3　電子政務目錄服務系統(tǒng)模型及流程
    設(shè)計并實現(xiàn)一個電子政務目錄服務系統(tǒng) ,使其具有可擴展性、跨平臺性、安全性和超強的并行處理能力。整個系統(tǒng)包括三個部分:目錄服務網(wǎng)站、認證授權(quán)與管理子系統(tǒng)、用于集中存放用戶資料和目錄資源的 LDAP服務。其具體框架如圖 1所示。

    目錄服務網(wǎng)站負責用戶的登錄、以及 Web的應用等。LDAP服務是用戶資料、目錄資源集中存儲和管理的基礎(chǔ) ,用于規(guī)劃電子政務目錄信息和用戶管理信息;同時 ,利用 LDAP服務的訪問控制策略 ,實現(xiàn)對用戶的身份認證。角色認證和管理子系統(tǒng)在 LDAP服務的基礎(chǔ)上為系統(tǒng)提供負責用戶的認證和集中鑒權(quán);對用戶進行管理、授權(quán);對目錄資源進行管理。在系統(tǒng)管理中 ,通過 LDAP服務中對目錄資源信息的訪問控制
列表定義用戶的訪問控制策略。當一個用戶訪問目錄服務系統(tǒng)時 ,其各種應用流程如圖 2所示

    圖注:
     ①用戶使用登錄名及口令登錄電子政務目錄服務網(wǎng)站;    ②目錄服務網(wǎng)站向認證角色服務請求身份認證;
    ③認證角色服務產(chǎn)生一個統(tǒng)一登錄令牌,插入用戶瀏覽器,同時,認證角色服務通過 LDAP服務進行用戶身份認證;
    ④LDAP服務將身份認證信息及用戶被授權(quán)訪問的目錄服務應用信息返回給認證角色管理服務;
    ⑤認證角色服務將用戶令牌置為有效,并將用戶有權(quán)使用的相應功能及個性化定制內(nèi)容返回給電子政務服務網(wǎng)站;
    ⑥內(nèi)容通過網(wǎng)站展現(xiàn)給用戶瀏覽器;
    ⑦用戶從網(wǎng)站頁面點擊進入自己有權(quán)限進入的某個具體應用;
    ⑧用戶請求發(fā)送給 LDAP服務;
    ⑨LDAP服務將用戶有權(quán)限操作的內(nèi)容發(fā)送給網(wǎng)站;
    ⑩用戶通過自己的瀏覽器接收網(wǎng)站發(fā)送的內(nèi)容。
    當在目錄資源節(jié)點上注冊目錄信息時 ,用本地本體描述的元數(shù)據(jù)信息經(jīng)過本地本體到通用本體的轉(zhuǎn)換后 ,統(tǒng)一用通用本體描述 ,然后注冊到 LDAP元數(shù)據(jù)信息庫中。注冊過程分兩步完成:首先調(diào)用LDAP的查詢功能掃描目錄信息樹 ,確定被注冊的本體概念在信息樹中的位置;然后調(diào)用修改功能 ,根據(jù)注冊信息 ,填寫信息樹中相應條目的屬性值 ,完成注冊。這樣 ,來自不同節(jié)點的本體概念就以通用本體的形式被統(tǒng)一組織存儲到信息庫中 ,對用戶呈現(xiàn)出一個虛擬和單一的語義資源。用戶檢索數(shù)據(jù)時 ,首先通過檢索通用本體信息樹 ,命中后調(diào)用讀取功能 ,從目錄節(jié)點中獲取本體概念的狀態(tài)和地址 ,然后由地址和狀態(tài)從相應的節(jié)點中讀取數(shù)據(jù)返回給用戶。如農(nóng)業(yè)部門和林業(yè)部門 ,對亞熱帶丘陵山地的
分類 ,林業(yè)部門將其劃為宜林地 ,而農(nóng)業(yè)畜牧部門將其歸類為草山草坡。在對宜林地這個關(guān)鍵詞進行查詢時 ,通過先檢索通用本體目錄 ,然后檢索林業(yè)部門信息樹 ,同時檢索出農(nóng)業(yè)部門定義的草山草坡關(guān)鍵字的目錄。通過這種方式 ,能擴大用戶的搜索范圍和命中率 ,提高檢索速度 。
    4　LDAP服務模型設(shè)計與實現(xiàn)

　信息模型設(shè)計
    LDAP把對象類、屬性類型、語法和匹配規(guī)則統(tǒng)稱為 schema。這些系統(tǒng) schema在 LDAP標準中進行了規(guī)定 ,不同的應用領(lǐng)域也定義了各自不同的schema;同時 ,用戶在應用時可以根據(jù)需要自定義schema. RFC2798,定義了一個名為 Inetorgperson的常用信息。根據(jù)實際應用 ,已有的屬性所能表示的信息是不夠的 ,標準的屬性只是為記錄用戶信息的典型的目錄服務而提供的 ,要將其擴展到滿足更廣泛的對基礎(chǔ)信息的管理,就需要對 LDAP的 schema進行一些補充設(shè)計。本文運用 LDAP的模式擴展來定義用戶和角色、權(quán)限、目錄資源 (本地本體 )、通用本體。
    用戶信息類定義 ,類名: userPeople,包含屬性:uid,mail,password, roleId, userName;
    角色信息類定義 ,類名: role,包含屬性:roleId, roleName,powId;
    權(quán)限信息類定義 ,類名: action,包含屬性:actionId, actionName;
    目錄信息類定義 ,類名: catalog,包含屬性:Title, pubDate, abstract, orgName, beginDate,endDate, resId, metClass。
    通用本體類定義 ,類名: agrwood,包含屬性:name(本體名 ) , ID (本體標識符 ) , other(屬性列表 ) , state(本體概念狀態(tài) ) , source(本體地址 )。

   LDAP的目錄樹設(shè)計
    LDAP 上以目錄信息 (Directory InformationTree,簡稱 DIT)為存儲方式的樹型存儲結(jié)構(gòu) ,目錄信息樹及其相關(guān)概念構(gòu)成了 LDAP協(xié)議的信息模型。DIT由條目 (entry)構(gòu)成 ,每個條目具有若干個屬性 (attribute) ,每個屬性可以有多個值 (values)。條目由相對識別名 RDN (Relative DistinguishedName)來標識 ,RDN和它所有祖先節(jié)點的 RDN按從上到下的順序串連起來 ,就是它的識別名 DN (Dis2tinguished Name) ,DN用來唯一標識一個條目。電子政務目錄系統(tǒng)中的目錄信息包括兩個方面的信息:用戶信息和應用系統(tǒng)信息 ,每個合法用戶 ,對應著 LDAP目錄信息樹的一個節(jié)點。節(jié)點的屬性包括這個人的身份信息以及一些在認證機制中用到的控制信息。當每個用戶登錄時 ,根據(jù)這些信息決定用戶是否可以使用該服務 ,決定每個節(jié)點應具有哪些屬性 ,以及這些節(jié)點怎樣組織成一個結(jié)構(gòu)合理的目錄信息樹 ,是目錄設(shè)計的目標 ,也是該系統(tǒng)設(shè)計的關(guān)鍵。圖 3給出了系統(tǒng)的目錄樹設(shè)計。

     安全模型設(shè)計
    LDAP安全模型設(shè)計包括 LDAP認證與授權(quán)兩部分。
   　認證
     LDAP目錄是基于客戶 /服務器模式的。訪問目錄服務 ,LDAP客戶端必需告訴 LDAP服務器他的認證。例如在服務器上認證自己的身份 ,    一旦客戶端的身份確定了 ,服務器可以根據(jù)他的身份決定他可以訪問哪些資源、應用和服務等。這個過程被稱為授權(quán) ,或者訪問控制。因此實現(xiàn) LDAP的安全 ,認證和授權(quán)是兩個主要方面。此外 ,LDAP安全的其它方面是客戶端和服務端的通信方式。在 LDAP中 ,認證信息是通過“bind”操作提供的, bind操作的功能是在客戶端和服務端進行協(xié)議會話的初始化 ,并允許客戶端的認證信息到達客戶端 ,這個通信過程中也存在一些安全漏洞 ,需要加強安全措施。
  　授權(quán)
    授權(quán)就是對已認證用戶的訪問控制 ,由訪問控制列表 (access control list)決定訪問控制 ,通過不同的目錄服務器提供對訪問控制列表配置和實現(xiàn)。在目錄信息樹中維護 ACL,ACL中存儲了一系列的訪問控制指令 ,這些指令作為一種必備屬性加載到目錄信息樹對象上。這些屬性分為:只讀、寫 ,查詢 ,比較 ,寫自己 ,增加 ,刪除等 ,訪問控制指令是分層的 ,底層的訪問控制指令比高層的訪問控制指令具有更高的優(yōu)先級。
    安全設(shè)計
    在本文的設(shè)計中 ,對電子政務目錄資源信息的訪問控制通過權(quán)限、角色及用戶組與用戶關(guān)聯(lián)。其中 ,權(quán)限是對 LDAP中目錄資源進行訪問的許可 ,它定義了對一組目錄資源信息的訪問策略 ,用一個二元組來表示: (控制對象 ,訪問類型 )。用戶通過加入用戶組或被賦予一定的角色得到相應的權(quán)限 ,即對一組目錄資源信息的訪問策略。
    5　功能接口實現(xiàn)
    在功能實現(xiàn)方面 ,本文主要定義了三個接口。
    連接 LDAP服務接口
    它完成了 LDAP協(xié)議中定義的六種客戶端操作:用戶對 LDAP服務器的綁定 /認證、在目錄中查詢目錄項、讀取目錄項的屬性、向目錄中添加目錄、修改已存在的目錄以及刪除目錄。
  　權(quán)限認證接口
    主要根據(jù)對用戶、用戶組、角色、權(quán)限及目錄資源等邏輯對象 ,分為 userPeople, role, action、catalog等包。分別完成各個邏輯對象的各種方法的實現(xiàn)。
  　交互接口
    應用程序通過該接口處理前端傳來的參數(shù)變量 ,通過權(quán)限認證接口調(diào)用 LDAP連接接口實現(xiàn)目錄操作并分析和返回結(jié)果。
    6　結(jié)束語
    由于 LDAP所具有的查詢效率高、樹狀的信息管理模式和靈活的訪問控制 ,將 LDAP用于電子政務目錄管理可以大大提高訪問速度,同時增加了數(shù)據(jù)的可靠性和安全性。由于電子政務目錄服務系統(tǒng)在全國還沒有一個統(tǒng)一的標準 ,所以本系統(tǒng)的開發(fā)必將有很高的利用價值。