研 究 领 域

光纤传感技术：

自开展光纤传感技术研究以来，建立了具有国内领先水平的光纤传感技术研究团队和实验装备。围绕国家能源建设对先进传感器和智能化系统的迫切需求，承担了一批国家、省部级和省科学院重点科研项目以及横向科研课题，取得了一系列国内外领先的科研成果和自主知识产权，在煤矿、油井、非煤矿山、电力等能源领域的大型企业建立了示范工程。

研究内容：

1、全光纤煤矿安全综合信息系统：

研制开发适用于煤矿生产现场的光纤传感技术，进行煤矿井下安全生产的瓦斯浓度、温度、水压、应变、矿震、声发射传感监测，构建全光纤煤矿安全综合智能检测技术与装备，建立基于全光纤的新型煤矿安全综合信息系统示范工程。

2、光纤非煤矿山综合监测预警系统

研制开发基于先进光纤传感技术的非煤矿山综合监测预警系统，包括光纤冲击性地压监测系统、光纤尾矿库安全监测系统。进行多点分布式光纤位移和压力、微地震、声发射、 H2S 气体、光纤渗压、光纤水位等多参数实时监测，建立非煤矿山多参数数据库，研究各种应力参数与采空区冲击性灾害的相关性。

光纤尾矿库安全监测系统示意图光纤非煤矿山综合监测预警系统示意图

3、光纤智能油井监测系统：

针对提高油井产出率，特别是注高温高压蒸汽稠油井的过程检测和优化控制，开发达到国际水平的耐高温、高压光纤温度、压力、流量传感技术。

4、风力发电关键技术全光纤多参数综合监测系统

研究用于风力发电关键技术监测的光纤传感器技术，开展风速、风向、风场温度、转速、叶片健康监测等光纤传感器，构建多参数全光纤风场综合检测系统，并根据多种参数进行风场建模，实现风电预测预报功能，提高风力发电质量以及解决风电更稳定地并入电网。

无损检测技术：

二十多年来，一直致力于金属材料无损检测技术的研究和在线检测设备的开发，在国内处于领先地位。 2006 年与中科院金属研究所联合成立了山东省无损检测工程技术研究中心，具有一支高素质的无损检测专业研发队伍，已承担多项国家、省科技攻关项目。在成功研发大型数字化在线无损检测成套装备的基础上，瞄准具有国际领先水平的重大无损检测新技术——激光声磁技术开展检测方法研究和设备开发工作。

研究内容： 1 、大型数字化在线检测技术和成套设备针对冶金行业不同材料、不同工艺的检测需求，开展适应不同型号、不同应用领域的涡流、超声自动在线检测成套设备系列化技术的开发工作，形成了涡流、超声两大系列，直径覆盖 5 至 1000mm ，近 20 个型号的数字化自动在线检测成套装备，设备现在宝钢、攀钢等近 120 家钢铁企业得到了成功应用。

涡流检测设备超声检测设备

2 、激光声磁检测技术引进乌克兰激光声磁核心技术，进行消化吸收再创新，有计划地开展激光声磁技术在高温连铸坯在线检测、铁路钢轨在役高速检测、热轧中厚板在线检测等领域的应用研究工作，为国家创立一项具有世界先进水平的无损检测新技术。

激光红外测量技术：

主要研究内容包括铁路装备激光检测技术、地铁用红外光幕技术以及光机电一体化技术在锻压机床区域保护方面的应用。

智能化激光二维区域扫描系统示意图

数字化激光接触网检测设备

地铁屏蔽门光电安全保护装置示意图锻压机械光电安全保护装置示意图

AD实施：域管理手册

深圳市海格物流股份有限公司 操作主机与AD DB 管理 深圳市索信达实业有限公司 文档编号： SXD- HGWL-20150901-01 版 本： VERSION1.6 编 写： 索信达运维服务部 最后修订： 2015年09月22日

目录 第一章管理域中的操作主机角色 (3) (一)操作主机介绍 (3) (二)角色迁移 (4) (三)角色抢夺 (5) 第二章管理活动目录数据库 (7) (一)活动目录数据库介绍 (7) (二)活动目录数据库的移动 (8) (三)活动目录数据库的压缩 (10) (四)活动目录数据库的备份和还原 (12) (五)活动目录回收站 (12)

第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD DS中的五个操作主机角色分别是：架构主机（Schema Master）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC仿真器（PDC Emulator）、基础结构主机（Infrastructure Master） 架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。 架构主机（Schema Master） 宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构主机。 域命名主机（Domain Naming Master） 域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机。 RID主机（RID Master） RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器，每个域只有一个RID 操作主机角色，用于管理RID池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何

解决js跨域问题

JSONP(JSON With Padding)，就是打包在函数调用中的的JSON（或者包裹的JSON）。AJAX和JSONP在jQuery中的调用方式看起来极为相像，千万不要被这种现象迷惑，它们本质上有很大不同。AJAX是通过XMLHttpRequest对象获取非页面内容，而JSONP是动态的添加 3. 20. 21. 22. 23. 其中get.php的代码是

基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)-毕设论文

理工学院 毕业设计外文资料翻译 专业：通信工程 姓名： 学号： 11L0751156 外文出处： 2012 International Conference On Computer Science And Service System 附件： 1.外文资料翻译译文；2.外文原文。

附件1：外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构 (SOA) 摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放，基于属性的访问控制(ABAC)更多细粒度访问控制，更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中，安全域的与主题、对象属性、权力的环境属性访问决策的基础，消除集成基于SOA框架的约束RBAC，某种程度上提高了可伸缩性和可变更性的系统，解决了跨域访问控制的问题。 关键字：SOA，基于属性的访问控制(ABAC)，访问控制 1. 整体介绍 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求，松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题，比如安全保障，以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统，开放性，跨域访问安全性呈现给我们的是一个巨大的挑战。 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域，不适合跨域访问。基于主体统一服务认证系统[7]，使用不同的方法来处理访问跨域访问，它解决了这个问题在跨域访问企业信息集成一定程度上，但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题，本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统，该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 2.基于属性的访问控制(ABAC)

SSO单点登录解决方案

1 什么是单点登陆 单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部，一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务；人事系统为人事部门提供全公司人员的维护服务；各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作，来替代人力的手工劳动，提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来的，运行在不同的平台上；也许是由不同厂商开发，使用了各种不同的技术和标准。如果举例说国内一著名的IT公司（名字隐去），内部共有60多个业务系统，这些系统包括两个不同版本的SAP的ERP系统，12个不同类型和版本的数据库系统，8个不同类型和版本的操作系统，以及使用了3种不同的防火墙技术，还有数十种互相不能兼容的协议和标准，你相信吗？不要怀疑，这种情况其实非常普遍。每一个应用系统在运行了数年以后，都会成为不可替换的企业IT架构的一部分，如下图所示。 随着企业的发展，业务系统的数量在不断的增加，老的系统却不能轻易的替换，这会带来很多的开销。其一是管理上的开销，需要维护的系统越来越多。很多系统的数据是相互冗余和重复的，数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大，例如公司的计费系

统和财务系统，财务系统和人事系统之间都不可避免的有着密切的关系。 为了降低管理的消耗，最大限度的重用已有投资的系统，很多企业都在进行着企业应用集成（EAI）。企业应用集成可以在不同层面上进行：例如在数据存储层面上的“数据大集中”，在传输层面上的“通用数据交换平台”，在应用层面上的“业务流程整合”，和用户界面上的“通用企业门户”等等。事实上，还用一个层面上的集成变得越来越重要，那就是“身份认证”的整合，也就是“单点登录”。 通常来说，每个单独的系统都会有自己的安全体系和身份认证系统。整合以前，进入每个系统都需要进行登录，这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据： ?用户每天平均16分钟花在身份验证任务上- 资料来源：IDS ?频繁的IT用户平均有21个密码- 资料来源：NTA Monitor Password Survey ?49%的人写下了其密码，而67%的人很少改变它们 ?每79秒出现一起身份被窃事件- 资料来源：National Small Business Travel Assoc ?全球欺骗损失每年约12B - 资料来源：Comm Fraud Control Assoc ?到2007年，身份管理市场将成倍增长至$4.5B - 资料来源：IDS 使用“单点登录”整合后，只需要登录一次就可以进入多个系统，而不需要重新登录，这不仅仅带来了更好的用户体验，更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据： ?提高IT效率：对于每1000个受管用户，每用户可节省$70K ?帮助台呼叫减少至少1/3，对于10K员工的公司，每年可以节省每用户$75，或者合计$648K ?生产力提高：每个新员工可节省$1K，每个老员工可节省$350 - 资料来源：Giga ?ROI回报：7.5到13个月- 资料来源：Gartner 另外，使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中，服务和服务之间，程序和程序之间的通讯大量存在，服务之间的安全认证是SOA应用的难点之一，应此建立“单点登录” 的系统体系能够大大简化SOA的安全问题，提高服务之间的合作效率。

IBM跨域认证简单解决方案

跨域认证简单解决方案-使用第三方Cookie 概述 跨域认证，意味着用户在一个入口登录后可以无障碍的漫游到其它信任域。也就是所谓的单点登录(SSO)。对于大型的服务提供着，常用的方法有：使用安全断言标记语言(SAML)、基于公开密钥技术(PKI-Pubic Key Infrastructure)的Kerberos网络认证协议或者使用Windows采用的认证方案LanManager认证(称为LM协议-对于NT 安装Service Pack4以后采用NTLM v2版本)。这些认证方式需要单独的认证服务器，对于普通的使用者来说，既难已实现，也不太可能搭建单独的服务器。有没有一种简单又安全的认证方式呢？ 本文的目标 使用Cookie和SHA1结合实现简单又安全的认证，如用户在https://www.wendangku.net/doc/3a9774258.html,中登录后，无需再次登录就可以 直接使用https://www.wendangku.net/doc/3a9774258.html,中提供的服务。 Cookie是什么 Cookie 是由Web 站点创建的小文本文件，存储在您的计算机上。这样，当您下一次访问该站点时，它可以自动获取有关您的信息，例如浏览喜好，或您的姓名、地址及电话号码。 关键词 SSO(Single Sign-On）-单点登录 SAML(Security Assertions Markup Language)-安全断言标记语言 Cross-Realm Authentication -跨域认证 PKI(Pubic Key Infrastructure)-公开密钥技术 SHA1(Secure Hash Algorithm 1)-安全哈希算法1 P3P(The Platform for Privacy Preferences)隐私参数选择平台 单一认证模型 1、用户使用a_logon.aspx登录服务器https://www.wendangku.net/doc/3a9774258.html, 2、在a_logon.aspx中自动嵌入iframe其src指向https://www.wendangku.net/doc/3a9774258.html,的b_auth.php 3、https://www.wendangku.net/doc/3a9774258.html,认证成功后在客户端写入Cookie，通过iframe调用b_auth.php 传递认证参数(经过SHA1后) 4、b_auth.php认证成功后在客户端写入认证Cookie 5、完成https://www.wendangku.net/doc/3a9774258.html,和https://www.wendangku.net/doc/3a9774258.html,的统一认证 问题： 上面提到的过程如果使用FireFox浏览器b_auth.php能够成功写入Cookie,如果使用IE6.0及 以上版本b_auth.php写入Cookie失败。 原因： IE 6.0支持P3P,IE 6的缺省隐私等级设置为"中"——即"阻止没有合同隐私策略的第三方 cookie"。而在用户浏览a_logon.aspx时https://www.wendangku.net/doc/3a9774258.html,写入的为第一方Cookie,其嵌入的iframe指向 b_auth.php 这时https://www.wendangku.net/doc/3a9774258.html,写入的就为第三方Cookie了，所以它是被IE当在了大门外。 解决方法： 让用户改变IE安全策略，允许第三方Cookie,这似乎很简单，可是用户会听你的吗？另一种 解决方法使用P3P，在b_auth.php中添加P3P头。网上google一下好像很多，本着不求甚解的原则 Copy来就是了。如下： header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"') 实现代码

实施域管理手册

实施域管理手册文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

深圳市海格物流股份有限公司 操作主机与AD DB 管理 深圳市索信达实业有限公司 目录 第一章 管理域中的操作主机角色 (一) 操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS 数据库中出现冲突的项目的可能性。 文档编号： SXD- HGWL--01 版 本： 编 写： 索信达运维服务部 最后修订： 2015年09月22日

AD DS中的五个操作主机角色分别是：架构主机（Schema Master）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC仿真器（PDC Emulator）、基础结构主机（Infrastructure Master） 架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。 架构主机（Schema Master） 宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构主机。 域命名主机（Domain Naming Master） 域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机。 RID主机（RID Master） RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控

CORS(跨域资源共享) 的配置

兼容情况： 各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和Android浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现跨根域发送请求，需要服务端配置 nginx增加类似如下配置： [html]view plaincopy 1.server { 2. location / { 3. if ($request_method = 'OPTIONS') { 4. add_header 'Access-Control-Allow-Origin' '*'; 5. add_header 'Access-Control-Allow-Credentials' 'true'; 6. add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; 7. add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep- Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Ty pe'; 8. # add_header 'Access-Control-Max-Age' 1728000; 9. add_header 'Content-Type' 'text/plain charset=UTF-8'; 10. add_header 'Content-Length' 0; 11. return 200; 12. } 13.} 如果没有nginx转发，java需要如下代码： [html]view plaincopy 1.rundata.getResponse().addHeader("Access-Control-Allow-Origin", "*"); 2.rundata.getResponse().addHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS"); 3.rundata.getResponse().addHeader("Access-Control-Allow-Headers", "Origin, No- Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Con trol, Expires, Content-Type, X-E4M-With");

统一用户认证和单点登录解决方案

统一用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码， 大 和标识了不同的个体。 ．向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性，各应用系统可以选择本系统所需要的部分或全部属性。 ．应用系统对用户基本信息的增加、修改、删除和查询等请求由处理。 ．应用系统保留用户管理功能，如用户分组、用户授权等功能。 ．应具有完善的日志功能，详细记录各应用系统对的操作。

统一用户认证是以为基础，对所有应用系统提供统一的认证方式和认证策略，以识别用户身份的合法性。统一用户认证应支持以下几种认证方式: .匿名认证方式: 用户不需要任何认证，可以匿名的方式登录系统。 .用户名密码认证:这是最基本的认证方式。 数字证书认证:通过数字证书的方式认证用户的身份。 地址认证:用户只能从指定的地址或者地址段访问系统。 （ 保证了数据在传输过程中的机密性（不被非法授权者偷看）、完整性（不能被非法篡改）和有效性（数据不能被签发者否认）。 数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。 完整的系统应具有权威认证机构（）、证书注册系统（）、密钥管理中

心（）、证书发布查询系统和备份恢复系统。是的核心，负责所有数字证书的签发和注销；接受用户的证书申请或证书注销、恢复等申请，并对其进行审核；负责加密密钥的产生、存贮、管理、备份以及恢复；证书发布查询系统通常采用（，在线证书状态协议）协议提供查询用户证书的服务，用来验证用户签名的合法性; 备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。 单点登录（，）是一种方便用户访问多个系统的技术，用户只需在登录 的知识参看链接）。 用户认证中心实际上就是将以上所有功能、所有概念形成一个整体，为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下功能: . 统一用户管理。实现用户信息的集中管理，并提供标准接口。 . 统一认证。用户认证是集中统一的，支持、用户名密码、和等多种身份

《域管理》教程

?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。 在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。 你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来