朱亚兵毕业论文.docVIP

工学硕士学位论文 基于LDAP的统一授权管理系统 的设计和实现 朱亚兵 北京工业大学 2006年5月  分 类 号： TP393 单位代码：10005 学 号：S200307075 密 级：公开 北京工业大学硕士学位论文 题 目 基于LDAP的统一授权管理系统的设计和实现 英文并列 Design and Implementation of Uniform 题 目 Authorization Management System Based on LDAP 研究生姓名： 朱亚兵 专 业： 计算机应用技术 研究方向： 计算机网络技术及其应用 导师姓名： 蔡永泉 职 称： 副教授 论文报告提交日期 2006年 5 月 学位授予日期 2006年6月 授予单位名称和地址 北京工业大学 北京市朝阳区平乐园100号 独 创 性 声 明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 签名： 日期： 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。 （保密的论文在解密后应遵守此规定） 签名： 导师签名： 日期： 摘 要 授权管理基础设施（Privilege Management InfrastructurePMI）的目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制。目前，国内的PMI研究刚起步，通过对该技术进行研究，开发自己的PMI产品已经刻不容缓。PMI、LDAP（Light Directory Access Protocol，轻量级目录访问协议）在国内外研究现状，分析了PMI的系统结构和LDAP基本原理。 其次，针对如何设计统一授权管理系统进行阐述。该系统主要包括属性证书管理、权限分配和访问控制。系统把用户信息、资源信息、角色信息等用于访问控制的信息统一管理起来，使用属性证书管理用户的访问权限。 属性证书管理主要用于实现对属性证书整个生命周期包括生成、发布、更新、撤销、查询等操作的管理。通过管理属性证书的生命周期实现对权限生命周期的管理，从而实现对资源访问权限的分配和管理。 在权限分配中注册用户、资源信息和创建角色，并设定角色的权限。用户与访问权限之间借助角色联系起来，根据用户的责任和资格分配角色，使用属性证书表示和容纳权限信息，通过它定义用户拥有的角色信息，管理用户的访问权限，以属性证书作为权限授权与审核对象，实现了用户授权的灵活性，并为系统制定访问策略，发布到LDAP目录服务器中。 用户访问目标资源时，通过用户的属性证书获取该用户拥有的角色，根据角色所拥有的权限确定用户是否有权访问目标资源，从而达到对用户的访问控制。 任何用户要对资源进行访问,都不能为之建立一条绕过统一授权管理系统的通道，保证了敏感资源的安全。为了确保在复杂的网络应用环境下实现易于扩展的属性证书及用户、资源、角色管理机制，系统使用了目录服务技术来减轻在用户访问控制信息的查找及管理等方面的负担。 最后，总结了统一授权管理系统的特点，并给出了今后的研究方向和需要进一步完善的工作。 关键词 PMI；属性证书；LDAP Abstract The target of Privilege Management Infrastructure is to supply users and applications with privilege management service, to supply mapping function from identity of users to p