目前 ,國內電子政務的計算機體系結構、基礎操作系統以及數據庫都處于異構狀態 ,政務信息數據資源很難形成集成化的數據服務 ,難以滿足電子政務目錄體系和基礎信息資源庫的建設目標 。要解決這個問題 ,就應該有一個可將各種不同的計算機體系、不同的基礎操作系統和不同的數據庫集成起來的軟件技術。目錄服務正可以為解決以上問題提供關鍵的技術、產品和解決方案。它的跨平臺性可以解決各電子政務應用系統操作平臺異構的問題。通過使用元目錄工具 ,可以從現有的分布在各數據庫異構的政務信息基礎庫中進行元數據采集、整合 ,生成元數據視圖 ,將各專項元數據庫納入相應的專項目錄數據庫 ,從而在網絡中形成大型的、統一的政務信息基礎庫。

    本文研究的目的是期望利用 LDAP讀取速度快、擴展方便等特性 ,將用戶基本信息、用戶管理信息、電子政務目錄資源信息以及用戶對目錄資源的訪問權限等以目錄樹的形式加以組織存儲 ,從而實現對用戶的統一身份管理、統一身份認證、集中授權以及更好地提供政務信息資源的查詢、檢索和定位服務。對于信息系統 ,由于人們對世界認知的不同導致對同一現象和描述會側重于對象不同的側面 ,形成語義異構。所以 本文對 LDAP目錄管理系統和本體有機地結合到電子政務目錄服務系統構架內也作了一定的嘗試。

    1　LDAP目錄服務情況簡介
  　LDAP概況
    輕量級目錄訪問協議 LDAP(LightweightDirec2toryAccess Protocol)是從對 X. 500協議簡化的基礎上演變而來 ,所以稱為輕量級的目錄服務。LDAP從以下幾方面對 X. 500協議做了簡化和發展: (1)功能方面 ,縮減了 X. 500冗余的和使用頻率較小的功能 ,可以說以極低的代價完成了 X. 500協議 90%的功能。 (2)數據表示方面 ,統一采用文本字符串形式 ,避免數據解釋時可能導致的二義性。(3)編碼上 ,僅采用 X. 500協議的一個子集 ———簡單的編碼規則 BER,節約了空間 ,而且大大簡化了其實現。 (4)傳輸上 ,直接運行于傳輸層 TCP之上 ,減少了在 OSI通信協議中的高昂開銷 ,不但提高了性能 ,而且使目錄服務部署簡單了。
　LDAP目錄服務的特性
    目錄服務中的目錄對象可以代表管理系統中的組織信息、人員信息以及資源信息等。LDAP目錄幾乎可以存儲所有類型的數據:電子郵件地址、DNS信息、NIS映射、安全性密鑰等。如果需要專門的組織單元或項 ,則可以根據具體實現來定制控制給定字段可以保存哪種信息的規則。
LDAP中目錄是按照樹型結構組織 ,主要優點如下:簡單而通用;普遍存在 ,LDAP已廣泛用于各種主流和非主流的計算平臺;LDAP目錄易于理解;
由于 LDAP高可靠性和良好性能 ,LDAP目錄服務能滿足絕大部分重要的目錄服務需求。如今 ,LDAP已經成為目錄服務的事實上的標準。

    2　語義 Web和本體
     語義 Web是當前 Web的擴展 ,其中的信息被賦予定義良好的 (well2defined)含義 ,使計算機和用戶能夠更好地協作。本體是概念模型的明確的規范說明。通俗的講 ,本體就是用來描述某個領域 (領域本體 )甚至更廣范圍 (通用本體 )內的概念以及概念之間的聯系 ,
使得這些概念和聯系在共享的范圍內有著明確唯一的定義 ,達成一種共識。這樣 ,人、機器之間就可以進行交流。為了將目前無序的 Web改造成有序的計算機可理解的知識寶庫,語義 Web采用多層次的表示框架,本體位于從文檔描述到知識推理轉折的位置。因此,本體的構建是實現語義 Web的關鍵環節。

     3　電子政務目錄服務系統模型及流程
    設計并實現一個電子政務目錄服務系統 ,使其具有可擴展性、跨平臺性、安全性和超強的并行處理能力。整個系統包括三個部分:目錄服務網站、認證授權與管理子系統、用于集中存放用戶資料和目錄資源的 LDAP服務。其具體框架如圖 1所示。

    目錄服務網站負責用戶的登錄、以及 Web的應用等。LDAP服務是用戶資料、目錄資源集中存儲和管理的基礎 ,用于規劃電子政務目錄信息和用戶管理信息;同時 ,利用 LDAP服務的訪問控制策略 ,實現對用戶的身份認證。角色認證和管理子系統在 LDAP服務的基礎上為系統提供負責用戶的認證和集中鑒權;對用戶進行管理、授權;對目錄資源進行管理。在系統管理中 ,通過 LDAP服務中對目錄資源信息的訪問控制
列表定義用戶的訪問控制策略。當一個用戶訪問目錄服務系統時 ,其各種應用流程如圖 2所示

    圖注:
     ①用戶使用登錄名及口令登錄電子政務目錄服務網站;    ②目錄服務網站向認證角色服務請求身份認證;
    ③認證角色服務產生一個統一登錄令牌,插入用戶瀏覽器,同時,認證角色服務通過 LDAP服務進行用戶身份認證;
    ④LDAP服務將身份認證信息及用戶被授權訪問的目錄服務應用信息返回給認證角色管理服務;
    ⑤認證角色服務將用戶令牌置為有效,并將用戶有權使用的相應功能及個性化定制內容返回給電子政務服務網站;
    ⑥內容通過網站展現給用戶瀏覽器;
    ⑦用戶從網站頁面點擊進入自己有權限進入的某個具體應用;
    ⑧用戶請求發送給 LDAP服務;
    ⑨LDAP服務將用戶有權限操作的內容發送給網站;
    ⑩用戶通過自己的瀏覽器接收網站發送的內容。
    當在目錄資源節點上注冊目錄信息時 ,用本地本體描述的元數據信息經過本地本體到通用本體的轉換后 ,統一用通用本體描述 ,然后注冊到 LDAP元數據信息庫中。注冊過程分兩步完成:首先調用LDAP的查詢功能掃描目錄信息樹 ,確定被注冊的本體概念在信息樹中的位置;然后調用修改功能 ,根據注冊信息 ,填寫信息樹中相應條目的屬性值 ,完成注冊。這樣 ,來自不同節點的本體概念就以通用本體的形式被統一組織存儲到信息庫中 ,對用戶呈現出一個虛擬和單一的語義資源。用戶檢索數據時 ,首先通過檢索通用本體信息樹 ,命中后調用讀取功能 ,從目錄節點中獲取本體概念的狀態和地址 ,然后由地址和狀態從相應的節點中讀取數據返回給用戶。如農業部門和林業部門 ,對亞熱帶丘陵山地的
分類 ,林業部門將其劃為宜林地 ,而農業畜牧部門將其歸類為草山草坡。在對宜林地這個關鍵詞進行查詢時 ,通過先檢索通用本體目錄 ,然后檢索林業部門信息樹 ,同時檢索出農業部門定義的草山草坡關鍵字的目錄。通過這種方式 ,能擴大用戶的搜索范圍和命中率 ,提高檢索速度 。
    4　LDAP服務模型設計與實現

　信息模型設計
    LDAP把對象類、屬性類型、語法和匹配規則統稱為 schema。這些系統 schema在 LDAP標準中進行了規定 ,不同的應用領域也定義了各自不同的schema;同時 ,用戶在應用時可以根據需要自定義schema. RFC2798,定義了一個名為 Inetorgperson的常用信息。根據實際應用 ,已有的屬性所能表示的信息是不夠的 ,標準的屬性只是為記錄用戶信息的典型的目錄服務而提供的 ,要將其擴展到滿足更廣泛的對基礎信息的管理,就需要對 LDAP的 schema進行一些補充設計。本文運用 LDAP的模式擴展來定義用戶和角色、權限、目錄資源 (本地本體 )、通用本體。
    用戶信息類定義 ,類名: userPeople,包含屬性:uid,mail,password, roleId, userName;
    角色信息類定義 ,類名: role,包含屬性:roleId, roleName,powId;
    權限信息類定義 ,類名: action,包含屬性:actionId, actionName;
    目錄信息類定義 ,類名: catalog,包含屬性:Title, pubDate, abstract, orgName, beginDate,endDate, resId, metClass。
    通用本體類定義 ,類名: agrwood,包含屬性:name(本體名 ) , ID (本體標識符 ) , other(屬性列表 ) , state(本體概念狀態 ) , source(本體地址 )。

   LDAP的目錄樹設計
    LDAP 上以目錄信息 (Directory InformationTree,簡稱 DIT)為存儲方式的樹型存儲結構 ,目錄信息樹及其相關概念構成了 LDAP協議的信息模型。DIT由條目 (entry)構成 ,每個條目具有若干個屬性 (attribute) ,每個屬性可以有多個值 (values)。條目由相對識別名 RDN (Relative DistinguishedName)來標識 ,RDN和它所有祖先節點的 RDN按從上到下的順序串連起來 ,就是它的識別名 DN (Dis2tinguished Name) ,DN用來唯一標識一個條目。電子政務目錄系統中的目錄信息包括兩個方面的信息:用戶信息和應用系統信息 ,每個合法用戶 ,對應著 LDAP目錄信息樹的一個節點。節點的屬性包括這個人的身份信息以及一些在認證機制中用到的控制信息。當每個用戶登錄時 ,根據這些信息決定用戶是否可以使用該服務 ,決定每個節點應具有哪些屬性 ,以及這些節點怎樣組織成一個結構合理的目錄信息樹 ,是目錄設計的目標 ,也是該系統設計的關鍵。圖 3給出了系統的目錄樹設計。

     安全模型設計
    LDAP安全模型設計包括 LDAP認證與授權兩部分。
   　認證
     LDAP目錄是基于客戶 /服務器模式的。訪問目錄服務 ,LDAP客戶端必需告訴 LDAP服務器他的認證。例如在服務器上認證自己的身份 ,    一旦客戶端的身份確定了 ,服務器可以根據他的身份決定他可以訪問哪些資源、應用和服務等。這個過程被稱為授權 ,或者訪問控制。因此實現 LDAP的安全 ,認證和授權是兩個主要方面。此外 ,LDAP安全的其它方面是客戶端和服務端的通信方式。在 LDAP中 ,認證信息是通過“bind”操作提供的, bind操作的功能是在客戶端和服務端進行協議會話的初始化 ,并允許客戶端的認證信息到達客戶端 ,這個通信過程中也存在一些安全漏洞 ,需要加強安全措施。
  　授權
    授權就是對已認證用戶的訪問控制 ,由訪問控制列表 (access control list)決定訪問控制 ,通過不同的目錄服務器提供對訪問控制列表配置和實現。在目錄信息樹中維護 ACL,ACL中存儲了一系列的訪問控制指令 ,這些指令作為一種必備屬性加載到目錄信息樹對象上。這些屬性分為:只讀、寫 ,查詢 ,比較 ,寫自己 ,增加 ,刪除等 ,訪問控制指令是分層的 ,底層的訪問控制指令比高層的訪問控制指令具有更高的優先級。
    安全設計
    在本文的設計中 ,對電子政務目錄資源信息的訪問控制通過權限、角色及用戶組與用戶關聯。其中 ,權限是對 LDAP中目錄資源進行訪問的許可 ,它定義了對一組目錄資源信息的訪問策略 ,用一個二元組來表示: (控制對象 ,訪問類型 )。用戶通過加入用戶組或被賦予一定的角色得到相應的權限 ,即對一組目錄資源信息的訪問策略。
    5　功能接口實現
    在功能實現方面 ,本文主要定義了三個接口。
    連接 LDAP服務接口
    它完成了 LDAP協議中定義的六種客戶端操作:用戶對 LDAP服務器的綁定 /認證、在目錄中查詢目錄項、讀取目錄項的屬性、向目錄中添加目錄、修改已存在的目錄以及刪除目錄。
  　權限認證接口
    主要根據對用戶、用戶組、角色、權限及目錄資源等邏輯對象 ,分為 userPeople, role, action、catalog等包。分別完成各個邏輯對象的各種方法的實現。
  　交互接口
    應用程序通過該接口處理前端傳來的參數變量 ,通過權限認證接口調用 LDAP連接接口實現目錄操作并分析和返回結果。
    6　結束語
    由于 LDAP所具有的查詢效率高、樹狀的信息管理模式和靈活的訪問控制 ,將 LDAP用于電子政務目錄管理可以大大提高訪問速度,同時增加了數據的可靠性和安全性。由于電子政務目錄服務系統在全國還沒有一個統一的標準 ,所以本系統的開發必將有很高的利用價值。