分布式信任证书存储与查找算法研究

在分布式环境中,信任管理是最常用的访问控制方法。信任管理包括形式化安全策略和安全凭证,决定是否特定的凭证集合可以满足相关的策略以及委托信任给第三方。在信任管理中一致性证明是关键,而证书链发现又是一致性证明的关键。证书链的发现是基于证书的格式与存储的。因此,对信任管理中证书的存储和查找算法进行了研究,并指出了信任证书存储和查找算法的发展方向。     

信任委托证书图搜索研究

分析了分布式信任管理的证书结构反证书授权模型，包括线性链式授权、门限授权、条件授权和复合证书授权等，探讨了不同模型下的证书表达与证书链处理机制．提出了基于有向无环图DAG的证书图结构，并对利用DAG表达证书图作出证明。在证书链的搜索算法中。通过对多重边的有向无环图用深度优先和广度优先算法结合实现对证书链的搜索，避免证书图中产生的环形链而导致低搜索效率问题。     

开放网络环境下后向信任链发现算法研究

信任链发现算法是信任管理的核心内容,目前已有的信任链发现算法存在以下不足:没有引入证书有效期的概念;没有对信任程度进行划分,不能对不良实体的请求进行屏蔽。针对上述问题,给出了一种带有时间域的LOTOV语言,并改进了后向信任链发现算法。仿真实验证明,提出的后向信任链发现算法有效实现了证书的回收、更新及对不诚信实体的访问抑制。     

一种带有时间域的证书链搜索算法

针对当前基于角色的信任管理语言RT0的不足,提出带有时间域的信任管理语言,在证书的结构中增加了证书的有效期和证书的版本号,并对交集表达式的长度进行了限制。实验表明,带有时间域的信任管理语言使证书链搜索过程变得更加迅速、有效。     

基于2D-CAN协议的信任凭证存储和查找算法

信任凭证的存储策略是信任管理领域中广受关注的一个研究内容,它直接影响到凭证的收集、撤销和凭证链的构造等问题。针对RT0信任管理模型,提出了一种基于2D-CAN网络（2-dimensions Content Addressable Network）的信任凭证存储策略,通过<发行者,主体>的二维信息,将信任凭证映射存储到二维CAN协议的对应节点上,从而实现凭证的分布式存储,并提供灵活地查询。同时,研究提出了一个基于凭证图双向生长的信任链发现算法。实验表明,基于2D-CAN协议的凭证存储算法,能达到较高的鲁棒性和查询效率。     

分布式的SPKI/SDSI2.0证书链搜索算法

信任管理是一种适用于大规模分布式网络的访问控制机制,SPKI/SDSl2.0是目前信任管理体系中最成熟、最普及的一个.可目前已有的SPKI/SDSl2.0证书链搜索算法都是集中式的,而SPKI/SDSl2.0系统是一种分布式系统,证书是以分布式方式分发和存储的,针对此问题,首先给出一种合理的SPKI/SDSl2.0分布式证书存储策略,其中的证书是对象方完全可追溯的(subject-traces-a11),在此基础上,提出了一种分布式的SPKI/SDSl2.O证书链搜索算法DCCDS,它是面向目标的(goal-directed).理论分析表明,算法具有较高的执行效率,而且可以实现对委托深度(delegation depth)的细粒度控制.     

网格中一种改进的代理证书链验证方案

网格为了满足单点登陆和受限代理需求,引入了代理证书.实际运用中,多个代理的产生将形成代理证书链.对该证书链,需要按照算法进行验证,以确保各代理之间信任委托关系的正确.对当前证书链验证算法进行了分析,表明在一定条件下可以简化代理的认证,从而提高检验效率,降低验证时间.基于分析结论,通过引入一个数据结构提出一种该类验证算法的改进方案,该方案在验证代理证书链签名和收集安全政策方面有改进.尤其对于代理证书链的签名验证,实验表明其验证时间明显减少,且随着签署证书的密钥长度增加,以及代理证书链的增长,验证时间减少得越明显.该方案对在网格环境下广泛应用代理证书、信任证实现委托权限、建立信任关系等起到推动作用.     

基于信任度的改进凭证链发现算法

有效防止不良实体访问本地资源是信任管理中的研究重点。目前主流的凭证链发现算法均未考虑实体间的信任程度,该文给出基于信任度的改进凭证链发现算法,通过信任度阈值从另一个角度对不良实体的请求进行屏蔽。例证结果显示,该算法对不诚信实体的访问进行了有效的抑制,符合开放式环境中实体之间信任关系的主观性、模糊性,使系统的安全性有很大提高。     

一种控制安全级别的链构建授权请求算法

分析了RT0信任管理语言及其语义,添加了凭证类型。RT0中证明授权请求是通过构建凭证链进行,通过对前后向链构建规则进行分析,总结并完善了凭证链构建时非线性结构的处理。提出了角色推论深度的概念,讨论了链构建时的推论深度控制机制,解决了对授权安全级别进行控制的问题。给出了使用栈管理待处理角色表达式的方案,使链构建有序进行。     

一个开放环境中信任链发现算法的设计与分析

信任管理是解决开放环境安全问题的新方法,而信任链发现算法是信任管理系统的核心内容,与其所处理凭证的存储方式及凭证所表达的授权形式有关.基于给定的与dRBAC基本一致的授权形式,给出了一个凭证存储于签发者的信任链发现算法.主要考虑到签发者能够方便地保存签发的凭证以及对其有效性负责,凭证存储于签发者,能避免凭证的分发以及有效性验证所产生的网络通信开销,并有效防止凭证所包含的敏感信息的泄露.与dRBAC系统比较,基于此算法实现的信任管理系统具有较为简单的结构.另外,实验结果表明该算法执行效率较高.     

一种基于时间域和信任度的分布式证书链搜索算法

在分布式系统中在分布式环境中,基于目标的分布式证书链搜索算法的提出,找到并检索出所需要的证书,但是目前得信任管理系统还存在以下不足：（1）委托深度没有得到控制;（2）证书的有效期没有得到体现。针对上述问题,提出了一种基于时间域和信任度的分布式证书链搜索算法,并结合具体的例子给出了该算法的使用。     

一种基于双向证书信任链的密钥管理方案

无线Ad Hoc网络已成为现今网络研究的热点,而网络安全问题一直是限制Ad Hoc网络发展的瓶颈,密钥管理对于实现安全通信起着至关重要的作用。对现有的无线Ad Hoc网络密钥管理方案进行分析,针对无线Ad Hoc网络的特点提出了一种基于双向证书信任链的自组织的密钥管理方案,该方案通过对节点问自组织的信任链进行有效的分布式管理,提高了整个系统的安全性、可控性,同时又具备良好的可扩展性。     

多主体系统中的信任管理

本文在前人工作的基础上提出一种改进方案来实现多主体系统的信任管理，即在多主体系统中建立安全服务器。安全服务器实现了基于X．509v3证书的主体身份鉴别，并根据主体X．509v3证书及相对应的属性证书和访问控制策略进行访问权限验证。安全服务器除实现目前广泛采用的访问控制类型之外，还实现了访问权限委派和委派链等访问控制
制类型。     

带有信任管理的漫游证书认证系统设计

利用漫游证书、私钥服务器和SSL协议构建了漫游证书认证系统，在客户浏览器上设计一个插件便可以使用现有的公钥基础没施PK1中的各种服务，没有VPN的复杂架构和高昂成本却可以到达到类似VPN的安全性。并在基于漫游证书认证系统的基础上增加了信任管理，解决安全系统中日益复杂的信任关系管理问题。     

对等网环境下信任管理语言及安全凭证链查找方法

从P2P网络开放性、分布性、动态性等特点出发,给出了P2P环境下基于信任值的信任管理语言,实现了信任关系的初始建立。针对安全凭证链的查找问题,结合P2P网络的特点,提出了使用结果安全凭证并结合基于最小安全凭证图的安全凭证链查找算法,提高了安全凭证链的查找效率。     

基于微服务的分布式数据安全整合应用系统

针对分布式数据安全整合应用中数据整合操作繁琐,实时性不足,数据应用共享困难的问题,设计并实现了基于微服务的分布式数据安全整合应用系统,包含有两个子系统：数据整合子系统与数据安全应用子系统。系统基于Spring Cloud微服务架构设计,服务模块功能单一,边界明确,服务之间相互解耦,便于便捷开发,快速部署,可扩展性强,拥有强大的负载均衡策略与容错机制。数据整合子系统中提出了一种轻量级的数据整合方案,可以进行可视化的数据便捷整合,具有较好的灵活性与实时性;数据安全应用子系统中通过数据分级与用户角色划分,实现了用户对数据的安全访问控制,同时,采用证书链模型,使用数据证书来认证用户身份,有效地解决了用户角色的管理问题与网络信任问题。     

证书撤销机制的分析与研究

数字证书是实现电子政务和电子商务中实体的信任及信任验证的关键元素.CA实际可能会根据不同的情况而导致证书的意外作废或撤销,那么应使要使用证书的用户尽可能获知最新的证书情况,这对于实现PKI系统的可信性至关重要.通过分析国内外通常采用的CRL和OCSP这两种基本的证书撤销、查询方法,总结了它们的优缺点以及在实际应用过程中遇到的难点.最后提出了相应的改进措施,使用户能及时获得最新的证书状况,为电子政务和电子商务提供更可靠的安全性.     

基于Hilbert曲线的许可证存储策略及查找算法

在分布式环境下,利用信任管理机制来实现存取控制已得到人们的一致认同.但是,许可证的存储策略一直是这个领域中一个尚未完全解决的重要问题,而且它直接影响到许可证链的查找等问题.提出了利用许可证的发布者和主体两维信息,采用分布哈希表和Hilbert曲线对许可证进行分布定位的新的许可证存储策略.这种存储策略不仅具有很好的负载平衡的特性,而且为许可证的查找提供了充分的灵活性.同时,利用Hilbert曲线生成时的递归特性及其所具有的局部保持性,实现了在分布式环境中基于部分关键字的许可证查找.在此基础上,提出一种许可证链查找算法,实现了在查询过程中构造最小的许可证图,从而大幅度减少网络中的信息传输量.