随着网络技术的飞速发展,各种网络应用系统层出不穷。不同的应用系统通常都使用自己的用户身份认证系统和数据,如使用在Windows Server 2003系统上的Kerbems认证、使用在VPN服务上的CA认证等。用户在使用这些方便快捷服务的同时,也面临一个问题,就是各应用系统使用不同的用户身份信息,用户需要记忆在各系统中的账号和口令,更有甚者当用户信息变更,需要同时修改所有系统的身份信息。从而给用户使用这些网络服务带来巨大的不便。为了解决这一问题,很多国内外研究者都提出过一些办法,但大多都有一定的局限性。目录访问协议的出现给解决上述问题提供了理想的模型,但目录访问协议还不够完善,本身还存在不足,尤其是在用户认证安全方面考虑不够完善。本文详细研究了目录访问协议X.500和LDAP,尤其是轻量级目录访问协议LDAPv3,详细论述了目录数据库与关系数据库的不同,认真研究了LDAPv3中的安全模型,仔细分析了该模型存在的不足,着重阐述了口令存放问题和部分认证机制的存在的问题。以OpenLDAP为研究对象,重新定义了LDAPv3的安全认证模型SASL,提出了基于公钥的摘要认证机制。最后,结合校园网络的特点和其它国内外研究机构的经验,给出了基于LDAP协议的统一的身份认证模型。利用改进后的目录服务OpenLDAP软件包,完成了Linux下基于OpenLDAP的统一的身份认证系统、SASL认证、TLS安全、FTP服务、Web服务等身份认证实验系统,并开发了基于PHP的Web用户管理平台。给网络统一的身份认证提供了参考。