LDAP目录服务的研究及其在Intemet上的实现

轻量级目录访问协议（LDAP）是一个运行在TCP/IP上有目录取协议，存取目录采用的是客户机/服务器的模式，最初作为X.500目录服务协议的前端程序，用于独立的或其它类型的目录服务器之中。因此在介绍LDAP目录服务器的定义、背景和原理的基础上，通过实例介绍了如何在linux下建立、配置和操作OPENLDAP软件来提供目录服务的问题。     

LDAP目录服务安全及研究现状

LDAP目录服务在分布式环境中正在得到日益广泛的应用.鉴于这些应用对LDAP服务器的安全都提出了一定程度的要求,文章在介绍LDAP的背景知识和基础理论的基础上,对其可能受到的安全性威胁进行了简单分类,并着重对LDAP v2和v3中实施的认证和授权机制进行了研究并详细阐述了某些机制的实施及应用,另外,LDAP服务器和客户端之间的安全通信对其服务的安全性而言也是至关重要的.     

LDAP性能测试分析与优化

LDAP在分布式目录服务中正在得到日益广泛的应用，这些应用包括用户身份认证管理，IP电话的地址解析等等。本文描述了一项测试计划，分析了它的测试结果并对其进行了优化，即在某种访问模式下研究了LDAP目录服务器的性能及其扩展性。同时，对服务器及客户端的独立模块进行了测试，以了解其对整个系统性能的影响并进行了相应的优化以提高服务器的整体性能。另外，还有一些因素包括后端数据库的高速缓存，目录大小，entry大小等也可能影响到LDAP服务器性能的可扩展性。     

使用LDAP实现构件访问权限控制

轻型目录访问协议(LDAP Lightweight Directory AcceSS Protocol)是用于存取目录服务的一种工业标准,在目录中可以存放权限控制的信息.通过对分布式环境下构件访问权限控制所面临的问题以及LDAP目录在数据存取方面所具优势的分析,提出了使用LDAP实现构件访问的权限控制新的解决方案.内容涉及分布式计算、LDAP和权限控制等.     

Location-aware mobile applications based on directory services

Location-aware applications are becoming increasingly attractive due to the widespread dissemination of wireless networks and the emergence of small and cheap locating technologies. We developed a location information server that simplifies and speeds up the development of these applications by offering a set of generic location retrieval and notification services to the application. The data model and the access protocols of these services are based on the X.500 directory service and the lightweight directory access protocol LDAP since these are becoming the standard attribute-value-pair retrieval mechanisms for Internet and Intranet environments. This approach establishes a smooth migration path from conventional to location-aware applications. The paper presents the location information server concepts, defines its directory data model and access services, and discusses the implementation options of the location information server. This revised version was published online in June 2006 with corrections to the Cover Date.     

Measurement and Analysis of LDAP Performance

The Lightweight Directory Access Protocol (LDAP) is being used for an increasing number of distributed directory applications. We describe a tool to analyze the performance of LDAP directories, and study the performance of a LDAP directory under a variety of access patterns. In the experiments, we use a LDAP schema proposed for the administration of Service Level Specifications (SLSs) in a differentiated services network. Individual modules in the server and client code are instrumented to obtain a detailed profile of their contributions to the overall system latency and throughput. We first study the performance under our default experiment setup. We then study the importance of the factors in determining scalability, namely front-end versus back-end processes, CPU capability, and available memory. At high loads, the connection management latency increases sharply to dominate the response in most cases. The TCP Nagle algorithm is found to introduce a very large additional latency, and it appears beneficial to disable it in the LDAP server. The CPU capability is found to be significant in limiting the performance of the LDAP server, and for larger directories, which cannot be kept in memory, data transfer from the disk also plays a major role. The scaling of server performance with the number of directory entries is determined by the increase in back-end search latency, and scaling with directory entry size is limited by the front-end encoding of search results, and, for out-of-memory directories, by the disk access latency. We investigate different mechanisms to improve the server performance.     

基于LDAP的Web身份认证机制的研究与实现

介绍了LDAP协议和目录服务,并详细阐述了基于LDAP的认证机制和认证方式。对基于LDAP的4种认证方式的认证原理和实现过程进行了分析,并对认证过程进行了详细的阐述,最后给出了LDAP在Web应用系统中认证方式的实现。     

一种基于Web Service的虚拟化目录服务

给出了一种虚拟化目录服务结构,利用轻量级目录访问协议构建分布式目录服务,形成一体化的逻辑视图,通过访问控制策略在保持信息节点自治性的同时提供安全保障。文中基于Web Service封装目录服务,提供目录查询和管理的API,实现了跨平台和松耦合的资源访问方式。     

安全电子邮件系统的设计与实现

电子邮件的安全问题是目前实际网络应用中被广泛关注的热点问题之一.文章分析了当前电子邮件在安全方面的隐患,设计了一种实现内联网端到端的安全电子邮件系统,并详细介绍了安全电子邮件系统中签名加密、轻量目录访问协议(LDAP)证书库、目录等部分的设计思路.文章还给出了把安全电子邮件系统扩展应用在大企业Intranet中的方案.     

Supporting network management through distributed directory service

Directory systems have become a field of interest within the context of open systems. This is due to the various requirements raised by the scale of currently interconnected networks. The paper addresses several issues related to applying the X.500 directory service to network management. These include a comparison between the management information base (MIB) for management systems and the directory information base (DIB) for the directory services, a specification of how certain management information is incorporated into the underlying data model of the directory and an information exchange model for ensuring information accessibility to management activities. Some interesting benefits can be realized through integrating the X.500 directory into management systems. A concrete example of using a distributed directory service (DDS) in management illustrates the proposal     

主动网络安全原型的设计

提出利用可插入模块方式设计主动网络动态可扩展的安全原型,实现了加密与数字签名、授权、验证和代码撤消等方面的安全.加密与数字签名解决了主动代码的完整性和机密性问题;使用解码绑定方式,实现了可扩展的系统加密方法.系统采用基于证书的验证方式,专门设计证书中心,负责颁发X.509格式的证书,使用目录服务器(LDAP)对证书进行管理.用主动权来描述任何可以表示的授权策略,系统既可以使用默认的某种策略,也可以根据用户需要更换策略.代码撤消部分的设计保证主动代码执行的有效性,同时根据数据库对代码的跟踪记录,进行安全预警.     

一种改进的基于移动Agent的网格资源组织与发现方法

网格资源的组织与发现是网格计算的关键问题。为了有效地组织和发现资源,在LDAP目录服务的基础上,利用移动Agent技术和分块索引技术,提出一种改进的基于移动Agent的网格资源组织与发现方法,较好地解决了资源的组织与快速发现问题。     

基于LDAP协议与Kerberos认证机制的统一认证

为开发一个企业级的用户身份认证体系,依据目录服务理论,将LDAP协议和Kerberos认证技术相结合,应用于身份认证服务器的结构设计,进行用户统一身份认证和授权,并进一步分析了系统的安全性。     

PKI-X.509公钥证书及其CA的研究进展

CA及公钥证书是目前Internet上各类安全应用系统的主要密钥管理方式。本文首先描述了用于在Internet分布式网络环境下管理公钥的PKIX.509证书管理模型及其研究进展,全面分析了构造PKI的主要协议,X.500目录协议和X.509基于证书的认证协议,并对证书存取协议及其最新发展进行了描述。     

采用目录服务Kerberos认证实现统一身份认证

计算机安全系统所需要的是一种具备适应性,稳健性和自治性的技术。针对其适应性和自治性,在开发一个企业级的用户身份认证体系同时,依据目录服务理论,将轻量级目录访问协议和Kerberos认证技术相结合来解决密码安全和身份验证,并且应用于身份认证服务器的结构设计,进行用户统一身份认证和授权,使得整个系统的安全性有了进一步的提高。     

电子军务系统中T-RBAC访问控制组件的设计与应用

电子军务信息系统虽然运行于相对安全的军队内联网中,但仍面临多种不安全因素。 针对其中破坏认证、破坏访问控制两种主要的威胁,提出结合部队编制、人员职务、角色分 工和业务工作流,以任务为中心进行认证与访问控制,从而保护业务系统操作和数据安全的 思想。利用公开密钥基础设施(PKI)和轻量级目录访问协议(LADP)设施实现了基于数字证书 的统一认证以及任务与角色结合的T-RBAC 访问控制组件。在司政后多种业务系统中的实际应用结果显示,该安全组件能够对用户访问 和操作权限进行严格、规范和灵活地控制,有效保证系统、工作流和数据的安全。     

LDAP认证实现与性能分析

针对有效管理各种资源信息能便于检索和查询,并且可以保证网络信息安全。LDAP目录服务技术就是一种管理资源信息技术,同时它作为认证服务得到广泛应用。文中研究了LDAP认证实现原理,模拟了LDAP目录存储及认证过程,展示了LDAP的优势。通过实验,测试出影响LDAP认证性能的因素,并对其加以分析,进一步优化了LDAP认证。     

基于LDAP与Kerberos的认证系统研究与设计——广东非物质文化遗产信息管理系统设计

为了解决现有非物质文化遗产网络资源分散管理系统各自独立,网络用户信息凌乱并严重重复不能得到有效访问控制等问题。通过对现有网络情况、用户使用需求以及网络服务技术进行分析,设计基于LDAP目录服务与Kerberos认证机制相结合的统一认证系统,提出目录管理与跨域访问认证的模式。集中管理系统资源和用户信息,提高了资源利用率和网络系统资源的安全性。     

PMI授权管理目录体系的设计与优化

授权管理基础设施（PMI）作为信息安全基础设施的重要组成部分,能够为各种应用提供统一的授权管理服务。目录体系是PMI系统的关键部分之一,其查询性能直接影响着整个PMI系统的性能。论文结合PMI体系设计,通过对LDAP查询性能的研究和分析,针对应用中普遍存在的查询性能不高的问题提出了一套改进方案。     

二层设备终端安全接入的设计与实现

可信网络连接规范从终端安全着手,通过一个开放的体系架构解决终端安全接入问题。但它只是一个框架性的概念,要想在二层设备上实现终端安全接入就必须通过802.1X协议来实现,而802.1X协议又是借助负载于二层的标准基于局域网的扩展论证协议（EAPOL）进行认证的。现通过扩展标准EAPOL,并将这种扩展应用于可信网络连接框架中,提出了一种实现二层设备安全接入的方法,同时该方法在某个接入系统中得到了实现。