LDAP作为一种目录信息的轻量级访问协议，提供了简易、高效、可定制的目录服务。其良好的跨平台性、高效的数据读取性能及业界的广泛认可，使LDAP在企业公共信息服务、计算机网络信息管理、数字证书服务等一系列应用中得到了广泛应用。由于大量敏感信息的涉及，LDAP自身的安全性对于LDAP目录服务至关重要。 许多文献对LDAP的安全性进行了分析和探讨，但通常只涉及其中一部分内容，全面、系统、深入的分析还比较少。本文在总结LDAP基本概念、发展历程和安全现状的基础上，试图从LDAP的可认证性、机密性、完整性以及访问控制等四个方面入手，逐一进行深入的分析和比较。 身份认证是LDAP最基础的安全机制，本文根据系统结构将现有的认证机制分为E2E型和TTP型，并分别加以分析。E2E型认证机制只涉及认证双方，认证流程简单快速，但容易遭受攻击；TTP型认证机制通过引入可信任第三方(TTP)来提高安全性，但实现相对较复杂。通过全面的分析、归纳和对比，表明LDAP需要引入更为安全、可靠、高效的认证机制。 数据通信的机密性和完整性保护对LDAP目录服务具有重要意义，通常采用数据加密和消息摘要技术来实现，LDAP自身对此的支持还不太完善。由本文分析可见，密钥交换协议的安全性直接影响到数据机密性和完整性。现有的密钥交换和完整性支持方案存在许多缺陷，需要进一步的改进。 LDAP授权与访问控制用于控制合法用户对LDAP目录信息的访问权限。随着LDAP应用的广泛与深入，访问控制机制越加重要。LDAP中对此并未规定具体方案，各厂商都分别实现了自己的访问控制机制，导致不同产品在兼容性和互操作性上存在问题。本文以主流LDAP产品的不同实现为讨论对象，对访问控制进行了细致的分析和总结。 为解决现存多方面的缺陷，本文给出了一种针对LDAP的安全改进方案。它采用新兴的ID-based密码技术，以无可信任第三方的认证协议为核心。此方案结合E2E型和TTP型认证机制的优点，通过互补达到简洁安全的特性。在安全双向认证和会话密钥交换的基础上，将身份认证、机密性和完整性有机融合到一起。此外还探讨了如何通过SASL框架将此方案应用于LDAP中，更具有实用性。