基于任务的计算网格访问控制模型研究

网格的安全性因其广泛的资源共享和动态、多域的异构环境而显得极为复杂.网格安全基础设施(GSI)可以解决身份鉴别、保密性和完整性问题,却难以有效解决访问控制问题,传统的访问控制模型也不能很好的满足网格的安全需求.本文在华中科技大学计算网格平台基础上,研究并提出了一种基于任务的计算网格访问控制模型,该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现.     

基于A-ACDS信任协商机制的网格鉴别

网格用户身份鉴别是网格安全中的一个至关重要的环节.通过分析现有网格鉴别中存在的不足,将信任协商的思想引入至网格鉴别中,提出了适用于网格鉴别的A-ACDS信任协商机制,并给出了基于A-ACDS信任协商机制的新型网格鉴别模式.详细描述了基于此新型网格鉴别模式下网格鉴别的具体过程,并给出了其简要的形式化描述.通过与传统网格鉴别模式进行比较,分析其性能,得出该新型网格鉴别模式比传统的网格鉴别具有更好的安全性与功效性.     

基于网格环境中的量化评估信任模型

网格计算系统是由地理上分布的,异构的计算机和资源组成,它是一个分布式的高性能计算机环境,通过网络连接,用户可以透明地共享这些资源.但其本身具有动态性和不确定性,给区域间网格实体的合作带来一系列安全问题.所以网格环境中的信任问题,成为当前网格研究的一个热点.在本文中,把信任划分为身份信任和行为信任,提出了一种新型的量化评估信任模型,来处理网格环境中实体之间的信任关系,从而更科学、有效地解决网格环境中存在的安全问题.     

基于信任域的网格安全研究

信任已成为网格安全的重要因素.信任一般具有模糊性,网格信任的模糊性是随时间和空间变化而变化的.本文基于动态和复杂的VOs信任域环境来研究解决网格系统的安全问题,设计了网格信任管理模式的安全体系结构,并提出了基于模糊逻辑的动态信任域作为安全的实施方案,以保证网格系统环境的安全性.     

基于零知识证明的跨域认证方案

针对基于PKI认证的有线网络与基于IBE认证的无线网络混合组网时,因安全策略、密码体制的不同而导致节点间身份认证困难的问题,设计了一种基于零知识证明的跨PKI/IBE域的身份认证方案,在两个异构信任域之间设置一个零知识证明承诺值代理节点,在此基础上,设计了一个异构信任域身份认证协议,实现域间实体的身份认证,并分析了该协议的正确性、安全性和效率,结果表明其可行有效.     

基于XACML的网格授权服务的设计与实现

为更好地解决网格环境下分布式跨域授权问题、增强授权功能的可扩展性和可复用性,构建了基于可扩展访问控制标记语言(extensible access control markup language,XACML)规范的网格授权框架.在该框架的基础上,依照Web服务资源框架和Web服务通知规范,设计实现了基于XACML策略引擎的网格授权服务.将复杂的模块交互调用封装在授权框架内,通过简单易用的服务接口实现域间互操作时的权限分配.实现结果表明,该框架更加灵活,适用于动态、异构的网格环境.     

一种新型的网格行为信任模型

网格计算系统是一个分布式的高性能计算机环境,由广域分布的异构的计算机和资源组成,旨在使用户可以透明地共享使用这些资源,而且彼此可以进行区域间的紧密合作。为了保证这种共享合作更加安全可靠、更具吸引力,在网格系统中提出了信任的概念,具体又可划分为身份信任与行为信任。其中身份信任主要负责身份验证以及用户权限等问题,而行为信任关注的是更广泛意义上的可信赖性问题,用户可根据过去相互间行为接触经验而及时动态地调整更新彼此间的信任关系。该文着重描述行为信任的含义和计算方法,并在此基础上提出了一种新型网格行为信任体系模型,最后通过举例具体讨论说明了它的应用过程。     

异构身份联盟中基于本地差分隐私的信任评估算法

面对海量异构的身份管理、跨网跨域信任服务和身份隐私保护需求，构建异构身份联盟体系是一种有效的解决方法。针对联盟体系内关于信任评估计算中所存在的隐私泄露问题展开详细的研究，并利用本地差分隐私技术设计具有隐私保护效果的信任评价算法，对其隐私信息进行有效的保护。从理论上证明了该算法满足本地差分隐私，并分析其估计结果的误差大小，进行的相关实验论证说明算法的可行性与有效性。     

基于P2P应用的身份认证

本文针对P2P应用中存在的节点信用难以确定的问胚,对P2P应用中的身份认证、信用评估体系进行了深入研究,设计了适用于P2P应用的认证模型,该模型具有防止伪造信用凭证、鉴别诋毁合谋等安全特性,实用性强.     

一种基于网格虚拟组织的跨域访问控制算法*

在网格中,主机存在于不同的信任域中,在主机间建立互信是实现资源共享、协同工作的前提,为资源的访问建立规则是实现资源安全的基础。网格中的访问控制算法旨在解决上述两个问题。结合安全数据库的访问控制策略,融入基于身份和基于行为的访问控制思想,实现了以任务发起者为中心的网格虚拟组织的跨域访问控制,并对其中建立互信的核心算法进行了BAN逻辑推理。     

可监管匿名认证方案

随着互联网中隐私保护技术的发展,身份认证已成为保护计算机系统和数据安全的一道重要屏障.然而,信息技术的快速发展使传统身份认证手段暴露出一些弊端,例如,区块链技术的兴起对身份认证提出了更高的要求,在认证身份的同时需要保护用户的身份隐私等.采用匿名认证技术可解决用户身份隐私泄露的问题,但目前大多数方案未考虑可监管的问题,一旦用户出现不诚信行为,很难进行追责,因此,需要在匿名认证过程中建立监管机制.针对以上问题和需求,主要设计了一种可监管的匿名认证方案,通过匿名证书的方式确定用户的资源访问权限和使用权限,同时,用户在出示证书时可选择性地出示属性,确保用户的隐私信息不过度暴露;此外,方案中引入监管机制,可信中心（CA）对匿名认证过程进行监管,一旦出现欺诈行为,可对相关责任人进行追责.该方案主要采用安全的密码学算法构建,并通过了安全性的分析证明,能够高效实现可监管的匿名身份认证,适宜在区块链（联盟链）和其他具有匿名认证需求和可监管需求的系统中使用.     

基于区块链的学历证书可信认证系统

学历造假不仅破坏了高等教育学历制度的公平性和严肃性,也极大地损害了社会风气。国内目前学历学位认证存在流程复杂、耗费时间长、认证收费高等问题,难以满足毕业生和用人单位快速、公正、准确地核实信息的需求。因此,研究一种高效可信的学历学位认证机制变得日益紧迫。文章提出一种基于区块链技术的学位证书可信认证系统,以可信学位认证为研究对象,以构建高效的、透明的、可溯源的认证机制为核心,以区块链基础架构和实现原理为基础,利用可信度量机制,构建一套完整的可溯源认证机制。     

一种云计算中的多重身份认证与授权方案

OpenID是一种广泛应用于云计算中的去中心化的身份认证技术。OpenID为用户以一个身份在多个云服务中通行提供了一种方式,也解决了因遗失在云提供商处注册的云身份凭证而不能登录的问题。但用户以OpenID身份登录云服务后,却不能访问该用户的云身份拥有的资源,且OpenID技术也没有对请求身份信息的云服务进行认证与细粒度授权。因此文章在OpenID技术和OAuth技术的基础上,设计了一种多重身份认证与授权方案来解决上述同一用户不同身份的资源不可访问问题,以及身份信息等资源访问流程中的细粒度授权问题。     

Dual-Stage Biometrics-Based Password Authentication Scheme Using Smart Cards

This paper proposes a dual-stage biometrics-based authentication mechanism using smart card. It is considered the improvement over the conventional single-stage biometrics-based authentication mechanism, which exploits only one server for authentication, whereas the proposed scheme exploits two servers. The user authentication is performed in one server and hence it is called an authentication server. The credentials of the authentication server are stored in the second server, called the master server. The master server facilitates the authentication by providing required credentials to the authentication server. Both the security analysis and complexity analysis are conducted between the proposed and the conventional schemes. The analysis results show that the proposed scheme is secure than the conventional schemes with negligible computational complexity.     

异构网络中高效切换认证算法研究*

提出了一种异构网络高效切换认证算法,包括目标切换网络的软预测机制和基于上下文传递的融合认证机制。该算法在集中式认证机制的基础上进行改进,先通过层次邻居图法来快速确定目标切换网络,然后协商、传递会话密钥和信任材料等相关上下文信息,尽可能减少移动终端与家乡网络的认证交互,提高了切换重认证的效率。     

基于SOAP协议的统一身份认证服务设计与实现

企业门户系统的目标是消除企业信息孤岛,无缝集成各种应用系统并实现统一身份认证。运用SOAP的消息机制和Web Services的核心概念及运行机制,提出了基于SOAP协议的统一身份认证系统架构,解决了集成新旧系统时出现的关键问题。采用.NET技术实现了原型系统,实现了用户统一身份认证,从而完成了在异构平台、异构数据库下的企业数据流、应用流的全面集成。     

云环境下基于签密的异构跨域身份认证方案

针对现有交互频繁的密码体制之间不能实现不同密码体制安全高效的跨域认证（公共密钥基础设施（PKI）↔无证书公钥密码体制（CLC））的问题,提出了一种云环境下基于签密的异构跨域身份认证的方法。该方法重新构建了异构系统跨域身份认证模型,设计了用户（U）与云服务提供商（CSP）两个不同的密码体制PKI↔CLC,去除所属域管理中心的跨域认证计算,引入了第三方云间认证中心（CA）来完成U和CSP的交互信息认证,采用签密算法对不同安全域内的U签密,完成了异构系统的双向实体跨域身份认证并降低了U的计算开销。实验结果表明,与匿名认证、代理重签名方法相比,所提跨域认证的效率分别提高了53.5%和23.2%。该方法实现了不同密码体制U身份的合法性、真实性、安全性,具有抵抗重放攻击、替换攻击和中间人攻击的功能。     

网络虚拟社会的有序活动依赖eID

eID是政府身份管理职能部门签发的、普适性的网络身份证件。本文通过对网络身份证件的需求分析及对国外网络身份管理建设的研究,指出了当前我国网络虚拟社会身份信任体系存在的问题,提出了借鉴我国居民身份证制度管理现实社会的成功经验、依托现有身份管理的行政体系尽早发行网络身份证件;并针对我国数字认证行业发展的状况,提出了对我国网络身份建设统筹规划的建议。     

一种基于公钥体制的双向认证及密钥协商方案

该文首先分析了目前常用的几种成熟的身份认证方案各自的优缺点,然后以公钥体制和挑战/应答认证机制为基础,设计了一种新的身份认证方案。该方案将静态口令机制和动态口令机制相结合,不仅能确保用户的身份安全,实现通信双方的相互认证,而且在认证同时能够完成双方会话密钥的协商。最后,文章对方案的安全性和有效性进行了分析。     

基于区块链的电网可信分布式身份认证系统

基于区块链的身份认证系统大多基于公有区块链平台,本质上仍是传统的中心式身份管理和验证方式,难以满足微电网中可信接入、细粒度访问控制等需求。因此,基于 FISCO BCOS 联盟区块链技术,设计了一个支持多中心的分布式身份认证系统,提出了基于 DID 的身份管理协议,实现了用户身份的自主控制;研究了微网中终端节点的分布式可信接入技术,设计了基于零知识证明的隐私保护凭证,为用户和上层应用构建一个公开透明可信的底层身份架构,满足了不同的隐私安全场景下用户身份的可信可验证的需求,实现了实体身份的自主控制、细粒度访问控制和可信数据交换。通过系统实验和性能分析证明了所设计系统的可用性和有效性。