采用统一身份认证构建党务验证信息库

　　为了保证用户认证信息的安全性和易用性，实现各电子党务系统的资源整合，我们利用轻型目录访问协议构建高校电子党务验证信息库，实现统一身份认证，既方便管理，又提高安全性。

　　轻型目录访问协议简介

　　国外对目录服务的研究始于1988年OSI模型的建立，和HTTP、FTP等协议一样，目录服务使用的协议，即目录访问协议，是网络应用的标准协议。从技术上说，LDAP（Lightweight Directory Access Protocol）是一个访问X.500的目录服务（OSI目录服务）的目录访问协议，OPENLDAP是轻型目录访问协议（LDAP）的自由和开源的实现，在其OPENLDAP许可证下发行，并已经被包含在众多流行的Linux发行版中。LDAP目录通常被描述为一种特殊的数据库，它服务于各种应用程序，专门服务于大量数据检索请求而很少进行数据更新维护请求的场合。目录服务专门为读信息而进行特殊优化，LDAP目录提供了一种经济的方式，实现大型分布式环境下的数据存取，比关系型数据库管理系统更容易实现互操作，具有更高的数据吞吐量。

　　高校电子党务信息库设计

　　电子党务信息库构建基于开源软件OPENLDAP2.3开发，运行于Centos5.3操作系统。考虑到认证系统要求极高的稳定性，我们采用了LDAP特有的master-slave服务模式。随着认证服务的不断增加，slave服务器个数可以动态地增加。

　　电子党务信息库采用二叉树拓扑管理认证数据。根节点分为左右两个子树：左子树根节点表示人员：ou=people。在这个节点下，保存所有的用户数据，该节点每一个条目（entry）代表一个用户，存储用户认证基本信息。右子树根节点表示组织：o=organization，在这个节点下，保存所有的组织结构信息，在每个最下级节点内，保存一个属于这个节点的用户信息(uid)，维护这个节点的主要用途是便于自上而下遍历整个组织结构，便于分机授权管理和子系统同步组织结构。由于LDAP自带的标准模式（schema）不能满足我们需要表示的一些对象类及类的属性，我们定义了一个扩展模式，把新增对象类、属性类型及相关的语法和匹配规则定义在该模式中。目前电子党务信息库采用架构是可复制的目录服务，即所有用户认证信息在写入主电子党务信息库时，会自动复制给从电子党务信息库。校园网用户访问各种电子党务资源时首先必须通过主（或从）电子党务信息库的认证，通过认证的用户即可访问其所授权级别对应的所有党务资源（见图1）。

　　我校的校园统一身份认证也是采用轻型目录访问协议开发的，依据《高校基本信息条目汇编》的要求和目录信息的特点，目前已经建立标准的高校目录信息基本库，网络基础服务（如邮件服务、VPN服务、无线上网）都已经采用统一身份认证，经过2年多的运行，效果非常好。由于轻型目录访问协议支持大型分布式操作，电子党务资源信息库将作为一个子库加入到整个校园统一身份认证平台中，从而实现高校电子党务、电子政务基本信息共享互用，消除信息孤岛。