面向应用系统的授权服务平台研究

针对网络中应用系统授权缺乏统一管理、人员和权限信息不一致、开发投入高等问题,文章提出了一种基于公钥基础设施、证书认证、Webservice和LDAP技术的面向应用系统的授权服务平台方案,并重点描述了该平台的系统架构和应用集成模型。最后,结合业务呼叫安全服务平台给出了一个如何使用授权服务平台的应用实例。     

LDAP目录服务安全及研究现状

LDAP目录服务在分布式环境中正在得到日益广泛的应用.鉴于这些应用对LDAP服务器的安全都提出了一定程度的要求,文章在介绍LDAP的背景知识和基础理论的基础上,对其可能受到的安全性威胁进行了简单分类,并着重对LDAP v2和v3中实施的认证和授权机制进行了研究并详细阐述了某些机制的实施及应用,另外,LDAP服务器和客户端之间的安全通信对其服务的安全性而言也是至关重要的.     

基于ASP模式下UD_RBAC模型的研究与实现

随着应用服务提供商(ASP)模式的发展,为解决集成了越来越多应用服务的ASP平台与用户之间复杂的管理需求,提出了一种ASP模式下用户授权代理机制的角色访问控制(UD-RBAc)模型.文中对UD_RBAC模型形式化描述,细致地分析了其构成要素、用户授权代理管理模式和实施策略.采用LDAP目录访问协议统一存储用户身份和权限信息,通过代理策略保护应用服务资源,实现对用户的访问进行分级授权和控制.     

基于策略的RBAC统一授权模型研究

现有的授权方式难以满足多种应用要求。提出一种基于策略的RBAC统一授权模型,并给出其实现方案。该模型以策略为基本构成要素,实现了根据多种属性的角色自动授予、角色冲突检测等功能。利用该模型能够以细粒度、灵活及与具体应用无关的方式授予用户权限,解决了大规模、海量用户系统难以自动授权的问题。基于该模型实现的统一授权与访问系统验汪了模型的有效性,可用在多种类型的应用系统上。     

ERDM-增强的基于角色的委托授权模型

基于角色的委托授权模型是基于角色访问控制研究的一个热点。文章对现有的几种典型的委托授权模型进行分析,指出了其在办公自动化应用方面存在的不足,提出了适合分布式应用环境的,增强的基于角色的权限委托模型ERDM,并分析了其权限委托和撤销规则等相关特性。     

基于.NET的身份验证和角色授权模型的研究与实现

为了提高用户身份认证和授权管理的灵活性，从Web应用系统的安全性角度出发，讨论了一种在．NET Framework下保证应用程序安全性的身份验证和授权模型，并给出了模型的具体实现方法。该模型利用Forms身份验证方法对用户的身份进行鉴别。在授权处理上，模型结合统一资源定位（Uniform Resource Locator，URL）授权模式和用户所具有的系统角色，分别从页面级和页面操作级对用户的访问进行控制。该模型在企业局域网环境内能够提供比较灵活的身份认证和基于角色的授权服务。实际应用表明，基于该模型的Web应用系统能够对用户的访问进行有效的控制，从而保证了系统的安全性。     

一种扩展的TBAC访问控制模型研究

基于任务访问控制模型(TBAC)与传统的访问控制模型不同,它不是将访问许可与角色或用户联系起来,而是将许可与任务联系。本文在基于任务的访问控制对象建模的基础上,为使不同的异质的工作流系统下的任务可以安全地迁移,授权的紧密性得到保证,引入了授权单元的概念,并在工作流系统中讨论了授权单元的应用,将授权与工作流紧密结合,强调上下文联系,最后就实际解决TBAC模型中存在的授权原子性和事件触发等问题讨论了解决方案。     

基于LDAP的Web身份认证机制的研究与实现

介绍了LDAP协议和目录服务,并详细阐述了基于LDAP的认证机制和认证方式。对基于LDAP的4种认证方式的认证原理和实现过程进行了分析,并对认证过程进行了详细的阐述,最后给出了LDAP在Web应用系统中认证方式的实现。     

基于PMI的校园网格访问控制研究与应用

针对目前高校信息共享和协作中所面临的信息安全问题,提出一种基于PMI的访问控制模型。模型基于委托方式支持分布式授权;并通过委托约束和临时委托角色,支持角色委托和部分授权,遵循"最小特权"原则,并避免权限冲突和越权。     

一种基于角色的使用控制授权模型

综合基于角色的访问控制RBAC模型和使用控制UCON模型各自的优势,提出了一种基于角色的使用控制授权模型.该模型基于属性分配角色,通过授权规则、上下文信息约束和属性更新机制来实现动态授权并能有效降低授权管理的规模.对该模型的基本元素进行了形式化描述,并用动作时态逻辑TLA来分析该模型的动态性和安全性,最后分析了该模型的特点.     

基于移动Agent的网格资源管理研究

在对网格进行分簇的基础上,提出了一种将网格资源被动发现与主动查找相结合的基于移动Agent的网格资源管理模型．通过使用移动Agent技术进行网格资源信息的初步收集,将收集到的资源信息保存到当前簇内的LDAP目录服务器中,并将当前簇的资源信息的摘要保存到邻簇的LDAP目录服务器中,在对资源进行主动查找和调度时采用之前保存的摘要信息作为资源查找算法的启发因子,从而加快网格资源的发现速度,进而提高网格使用效率．仿真实验验证了该模型中关键算法的有效性,论证了模型的可用性．     

LDAP基本模型在数据持久层中的应用

数据存储是大多数应用软件开发的基本环节之一。结合LDAP协议中提出的基本模型,提出了一种新的数据持久层实现。通过这个数据持久层,数据将作为一个信息节点存储到目录中。对比传统的数据持久层,他对数据的组织更加清晰,更加符合我们的认识习惯。开发者通过配置XML文件,自动实现业务实体到数据存储的转换,将持久层中的信息树存储到数据库中。总之,新的构架有助于优化数据组织,快捷开发和易于维护,将会有助于基于数据库的应用开发。     

X.500 and LDAP security: a comparative overview

We give a comparative overview of the X.500 and LDAPv3 Directory security features. X.500 is a commonly used name for a series of joint ISO/IEC and ITU-T standards specifying a distributed directory service. It assumes the existence of an underlying OSI protocol stack. LDAP is an Internet alternative to the X.500 Directory Access Protocol (X.511 DAP). Since its first version LDAP has undergone significant changes, and many of them concern security. It was originally planned to use LDAP only to access the X.500 directory via an LDAP gateway. In the meantime, LDAP functionality was extended, which enables LDAPv3 to be used for both the server model and the client read and update access protocol     

基于LDAP的统一用户管理系统的设计和实现

统一的用户管理是电子政务信息基础架构的重要部分.文章讨论了基于LDAP目录服务的统一用户管理系统的设计和实现.通过利用LDAP的树状信息结构、快速响应大容量访问和广泛复制的能力，可以充分提高统一用户管理系统的可扩展性、可靠性和可伸缩性。     

使用LDAP实现构件访问权限控制

轻型目录访问协议(LDAP Lightweight Directory AcceSS Protocol)是用于存取目录服务的一种工业标准,在目录中可以存放权限控制的信息.通过对分布式环境下构件访问权限控制所面临的问题以及LDAP目录在数据存取方面所具优势的分析,提出了使用LDAP实现构件访问的权限控制新的解决方案.内容涉及分布式计算、LDAP和权限控制等.     

Location-aware mobile applications based on directory services

Location-aware applications are becoming increasingly attractive due to the widespread dissemination of wireless networks and the emergence of small and cheap locating technologies. We developed a location information server that simplifies and speeds up the development of these applications by offering a set of generic location retrieval and notification services to the application. The data model and the access protocols of these services are based on the X.500 directory service and the lightweight directory access protocol LDAP since these are becoming the standard attribute-value-pair retrieval mechanisms for Internet and Intranet environments. This approach establishes a smooth migration path from conventional to location-aware applications. The paper presents the location information server concepts, defines its directory data model and access services, and discusses the implementation options of the location information server. This revised version was published online in June 2006 with corrections to the Cover Date.     

一种基于LDAP Schema的SLA表示方法

分析了规范的SLA表示方法的需求及当前的各种SLA表示方法存在的不足之处，提出了一种基于LDAP Schema的SLA表示方法。基于提出的SLA表示方法，给出了一个SLA的实例。     

分布式虚拟环境资源管理系统的设计与实现

随着网络技术的发展,AFS(Anderw File System)成为网络资源定位和网络管理的有效实现技术。在大规模分布式虚拟环境中存在大量的仿真模型和动态数据,如何对他们进行有效的管理是构建分布式虚拟环境的关键技术之一。在LDAP(Light Directory Access Protocol,轻量目录访问协议)目录服务技术的基础上,使用AFS文件系统实现面向分布式虚拟环境的数据管理系统。首先分析其体系结构,然后介绍系统如何实现仿真模型及动态数据的统一命名、定位、安全操作和数据一致性。