数字校园中基于LDAP的统一用户身份管理技术研究

本文在简要介绍了LDAP及相关技术的基础上,提出了一套基于LDAP的统一用户身份管理解决方案并对其中涉及的关键技术进行了论述。方案实现了对数字校园中用户的统一身份认证、单点登录、集中鉴权以及对网络应,源的统一管理。     

基于WEB的目录服务管理系统的设计

目录服务已经成为Internet上的一种重要的服务，目录管理系统是目录服务的核心部分。但是现在通用的目录服务管理系统都不是基于WEB的，当利用LDAP目录服务为人们提供个性化服务的时候，提供一个基于WEB的管理接口是非常必要的。文中阐述了基于WEB的LDAP目录服务管理系统的设计思想和实现方法，通过使用标准的协议和常用的Internet技术的软件来构建系统，系统提供了一种通过一个统一的接口来管理多个LDAP服务器和目录项的机制。同时，笔者的设计和实现也考虑了系统中相关的安全问题。     

基于角色和目录服务的细粒度访问控制方法

分析常用的访问控制方法的不足，利用基于角色的访问控制技术，提供对特定被管理资源、特定操作的细粒度访问控制方案，并提出了针对用户和角色的管理方法。同时在OpenLDAP目录服务器的基础上，设计数据存储和访问模型，实现了一个精确、高效、快速的访问控制系统。     

基于WEB的目录服务管理系统的设计

目录服务已经成为Internet上的一种重要的服务,目录管理系统是目录服务的核心部分.但是现在通用的目录服务管理系统都不是基于WEB的,当利用LDAP目录服务为人们提供个性化服务的时候,提供一个基于WEB的管理接口是非常必要的.文中阐述了基于WEB的LDAP目录服务管理系统的设计思想和实现方法,通过使用标准的协议和常用的Intenret技术的软件来构建系统,系统提供了一种通过一个统一的接口来管理多个LDAP服务器和目录项的机制.同时,笔者的设计和实现也考虑了系统中相关的安全问题.     

强制访问控制在基于角色的保护系统中的实现

研究了通过对基于角色的访问控制（RBAC）进行定制实现强制访问控制（MAC）机制的方法。介绍了RBAC模型和MAC模型的基本概念,讨论了它们之间的相似性,给出了在不考虑角色上下文和考虑角色上下文两种情形下满足强制访问控制要求的RBAC系统的构造方法。从这两个构造中可以看出,强制访问控制只是基于角色的访问控制的一种特例,用户可以通过对RBAC系统进行定制实现一个多级安全系统。     

基于分布式合作cache的私有cache划分方法

当片上多处理器系统上运行多个不同程序时,如何给这些不同的应用程序分配适当的cache空间成为一个难题。Cache划分就是解决这一难题的有效方法,目前大部分的划分方法都是针对最后一级共享cache设计的。私有cache划分(private cache partitioning,PCP)方法采用一个分布式一致性引擎(DCE)把多个私有cache组织在一起,最后通过硬件信息提取单元获得多个程序在不同cache路上的命中分布情况,用于指导划分算法的执行,最后由每个DCE根据划分算法运行的结果对cache空间进行划分。实验结果表明PCP方法降低了失效率,提高了程序执行性能。     

基于动态目录树的权限管理模型的设计与实现

在分析了RBAC、TBAC等模型存在局限性的基础上,结合单点登录的高校综合信息管理系统的特点,提出了一种新的基于动态目录树,权限匹配码的权限管理模型,并在高校综合信息管理系统的安全管理中实现了基于动态目录树、权限匹配码的访问控制.实践结果表明,该模型能够有效地实现系统的安全管理和降低应用服务器用于权限管理的运行代价.     

基于角色的用户权力限制

基于角色提出并实现了一个用户权力限制模型.该模型通过角色授权控制,缺省不赋予登录用户任何特权.当用户操作或应用需要特权时,根据操作需求提升权限,并且一次有效;操作结束后,特权及时撤销.模型实现时,通过在用户与系统之间建立可信路径来防止权限提升过程中恶意程序进行篡改和窃取;通过改进访问控制列表检查算法减少了不必要的权限提升.用户权力限制模型能让用户更加安全、方便地控制系统,并有效地解决了用户权力最小化问题.     

基于LDAP的空管用户目录服务系统构建

为整合空管各个业务管理和应用系统以及行政办公系统,研究了构建用户目录服务系统以有效的解决系统统一身份管理问题.在分析目录服务关键技术LDAP的特点和优势基础上,提出了空管用户目录服务系统的构建规划,其中包括目录服务器的部署,目录服务结构规划和属性定义等.并对LDAP协议中的目录访问和更新机制进行了深入探讨和针对性改进,通过活动目录仿真环境讨论了设计的正确性.     

基于认证可信度的用户权限控制技术研究

认证可信度体现了用户身份的可信程度。本文基于用户认证可信度实施用户登录限制、用户角色获取限制及角色强制访问控制策略权限限制,提出了基于认证可信度的用户权限控制技术。将认证可信度与用户访问系统结合,要求用户访问系统必须具有相应的认证可信度,具有重要身份的用户必须通过重要的身份认证机制的认证。在角色定权中结合认证可信度,根据用户认证可信度确定用户可以激活的角色,确定角色被激活后的访问控制权限,并参与到各强制访问控制策略实施中,真正实现认证与访问授权的有机统一,解决权限的不当获取。最后指出了进一步研究的内容。     

计算网格下用户管理的研究

以实现计算网格中的用户管理为目的,论述了网格系统中用户管理存在的一些问题,针对这些问题提出了计算网格中用户管理的目标;提出了基于LDAP(轻量级目录访问协议)的用户管理模型的设计过程,并对模型中的用户进行分类和权限设置,阐述了用户登陆的实现流程。所研究的内容用于实验环境计算网格的用户管理中。     

XML数据库强制访问控制策略研究

本文提出了一种实施在本源XML数据库中的通用强制访问控制策略,它允许数据库系统安全员定义标签结构和标签访问规则,可以满足不同应用领域的安全需求。该策略基于XML模式技术,为电子商务等领域提供了技术支撑。最后讨论了在数据库中实现该策略的整体框架。     

基于用户身份标识的外设访问控制方法

针对现有设备访问控制方法控制粒度粗、控制方式单一的问题,提出一种基于用户身份标识的外设访问控制方法。该方法利用角色外设访问控制列表、用户组外设访问控制列表、用户外设访问控制列表实现了对外设的灵活、细粒度控制。结合Linux操作系统进行了结构设计和实现,通过设备特征数据库实现对各种外设的甄别,通过策略数据库实现对外设的角色、用户组和用户控制,通过访问仲裁实现对外设的灵活访问控制,并对所有操作进行审计。最后,通过功能测试验证了方法的有效性,分析了方法的特点。     

一种基于功率控制的无线传感器网络MAC协议

提出了一种基于功率控制的无线传感器网络MAC协议,根据节点接收阈值,计算出节点发送最优功率,在根本上减小发送功率从而节省节点能量。为了减少节点间的碰撞,引入了自适应调整竞争窗口和快速退避机制,减少节点空闲时间,从而进一步减少节点耗能。仿真结果显示在能量和吞吐量上都有显著提高。     

基于同态哈希的目录服务数据变化捕获方法

在研究常用的数据变化捕获策略和技术的基础上, 结合树型结构目录服务的特性, 提出一种基于同态哈希的目录服务数据变化捕获方法, 并对其总体构架与实现方案进行了描述。该方法综合运用了同态哈希函数与内存数据库技术的特殊影子表法, 依据同态哈希算法的同态性, 可以实现在数据变化率较小的情况下快速获取目录服务的变更数据。性能分析表明, 该方法具有可行性和高效性。     

基于NTFS大目录的文件创建方法

在已有文献中,由于不依赖Windows应用程序编程接口(API)调用的在新技术文件系统(NTFS)下的文件创建都是在小目录下实现的,因此将对在大目录下创建文件的方法进行研究。运用B+树遍历,找到索引缓冲区,通过判断所找的索引缓冲区是否存在索引节点,分别将创建好的索引项插入到指定的索引缓冲区位置,将插入索引项的索引缓冲区写入磁盘,完成在大目录下对文件的创建。通过实验,实现了在大目录下的文件创建,证明了方法在不依赖于Windows API而实现文件创建的正确性。     

基于指示信号方式实现跨时钟域数据传输的方法

随着片上系统(SoC)技术的发展,芯片内各个模块交流频繁。异步系统因功耗低、速度提升潜力大和抗干扰能力强而备受青睐,但是异步电路设计复杂,数据的跨时钟域传输是亟需解决的问题。国际上目前最流行的方式是FIFO,但随着SoC复杂度的提升,一个系统上集成上百个模块,利用FIFO将会占用大量的资源,产生很大的功耗。通过分析异步传输的特点,提出一种使用指示信号来实现跨时钟域数据传输的方法,该方法与FIFO相比,在性能不减的情况下大大降低了功耗及其复杂度。利用Verilog对两个模块(CPU和FPGA)的跨时钟域数据传输进行设计仿真,通过Xilinx公司的Vivado硬件验证了其可行性。最后通过与FIFO方式的设计进行对比,说明该方法比FIFO具有更好的应用价值。     

基于自适应更新的无线传感网络MAC协议

针对无线传感器网络节点能量受限问题,提出了一种新的自适应更新异步MAC协议——AU-MAC协议。该协议以睡眠与工作状态切换、异步方式和自适应更新相结合的办法有效延长了网络寿命,减少了节点能耗。AU-MAC协议通过采用发方监听、接方激活数据传输,提高了信道利用的有效性。并且,它以建立邻居节点信息表,引入自适应更新机制,来减少空闲监听。在NS2网络仿真平台对提出的AU-MAC协议的性能进行了仿真评估。仿真结果表明,AU-MAC协议在保持相当的吞吐量以及端—端延迟的基础上,使无线传感器网络的能量有效性得到了改善。     

多核Cache稀疏目录性能提升方法综述

受限于功耗,十多年前通用微处理器就停止追求更高的主频转而向集成更多处理器核的方向发展;同时,随着晶体管密度按摩尔定律不断提高,单片可集成的处理器核数成倍增长,片上多核、众核处理器已成为高性能微处理器发展的主流。未来千核级通用众核处理器支持共享存储编程模型是一种必然趋势,但传统的Cache一致性目录结构面临着查找延迟高、目录项替换频繁以及硬件代价和功耗可扩展性有限等问题。稀疏目录实现了传统目录结构硬件开销与一致性维护效率的折衷,被认为是众核处理器维护Cache一致性的一种高能效、可扩展结构。综述了近年来提高稀疏目录性能的相关研究与方法,并对其在面积、访问延迟、功耗和实现复杂性等方面进行分析,归纳出这些方法各自的优点和存在的不足,对创新设计未来高性能众核处理器共享存储体系结构具有一定的参考价值。     

Ad hoc网络中一种新的基于预约调度和MPR的媒体接入控制算法*

提出了一种新的适用于Ad hoc网络的媒体接入控制算法,该算法通过五次握手预约调度资源,利用节点底层的多包接收(MPR)能力,保证高概率的接入和提高并行传输率,从而提高网络吞吐率。对算法进行了理论分析和仿真,分析结果表明与FPRP相比,有效地提高了Ad hoc网络的吞吐率。