基于两阶段规划模型的跨域服务流程动态构造方法

为了应对来自网络计算环境下业务流程跨越协同过程中层出不穷的业务需求,提出一种基于两阶段规划模型的跨域服务流程动态构造方法.第一阶段,利用跨域服务协同语义模型,基于层次任务网络规划方法,构建满足用户业务需求的跨域抽象业务流程;第二阶段,在各城内部对抽象业务流程确定的候选服务集应用图规划数据流验证模型,构建最终的跨域可执行服务流程.方法在保证了业务需求与跨域服务流程逻辑结构的语义一致性的同时,满足了跨域服务流程中数据流的一致性,为网络计算环境下管理域间的业务协同和互操作提供了更为实际可用的可执行服务流程.原型系统实验及实例验证说明该方法的正确性和有效性.     

基于Xen的域间切换方法研究

为解决开源虚拟化系统的桌面切换问题,提出一种基于Xen的域间切换方法。利用Xen虚拟化支持Intel VT-x的硬件,使用RFB协议根据配置文件连接到VNC Server端,以显示虚拟机桌面,通过加密切换指令验证信息,从而完成域间切换。实验结果表明,该方法能实现Windows域和Linux域的桌面切换。     

一种多域环境中角色映射的安全检测机制

支持多自治域的安全通信是大规模分布式应用的基础,多域间的安全交互成为一个热点问题。基于角色的访问控制技术被应用到多域环境中,以提高多域间交互的安全性。但多域间的动态角色映射很容易引起违反职责分离的问题。因此,提出了一种安全检测机制。     

基于标签的数据交换云关键技术及实现研究

实现数据交换云的关键是将数据交换平台虚拟化.针对目前ESB数据交换平台只能为一个信息共享和业务协同应用提供信息交换服务,不同应用需要不同交换平台的问题,提出了一种基于标签的数据交换云的设计思想,并探讨了交换云的结构模型、消息格式、交换接入系统虚拟化和交换传输系统虚拟化等关键技术,提出了一种基于新模式交换云的实现方式.实践证明,该技术融合云计算理念,能将一个数据交换平台虚拟成多个交换子平台,即交换域,实现数据安全高效交换和交换域间的隔离.基于标签的数据交换云可满足多项应用的信息交换需求,避免交换平台重复建设,实现IT资源的充分利用.     

域间路由策略的协同管理问题

互联网由多个自治域互联组成,自治域之间按照各自的域间路由策略交换路由信息和转发流量。由于管理自治域的ISP各自为政,独立配置和管理自己的路由策略,缺少协同机制,容易引起路由震荡、热土豆路由、异常路由等问题。本文提倡采用协同的方式管理域间路由策略,通过列举一些典型的域间路由策略问题,提出一套域间路由策略的多方协同控制与管理体系,并重点讨论了协同管理的基础性问题--安全比较协议。该协议可以被应用在互联网域间路由策略的管理中,对于分布式故障检测、分布式网络性能能测量等相关应用,也具有较好的参考价值。     

一种基于信任度的跨异构域动态认证机制

为了适应大规模网络环境下异构域认证机制不一致、域间信任关系动态变化的特点,提出了一种基于信任度的跨异构域的动态认证方法,该方法根据交易双方的满意度打分来计算信任值,动态地建立域间信任关系。应用实例表明,该方法能够有效解决跨域认证中域间信任关系的建立问题。     

一种新的Hypervisor逻辑域通道设计

UltraSparc T1/T2处理器采用硬件辅助的虚拟化技术,其平台固件Hypervisor实现了虚拟机管理的主要功能。逻辑域通道(Logical Domain Channel)是Hypervisor实现的支持虚拟机间以及虚拟机与Hypervisor间通信的一种机制,其实现简单,但缺乏足够的灵活性。同时,基于逻辑域通道的数据传输需要对传输数据进行拷贝,极大地影响了数据传输性能。本文介绍了一种新的逻辑域通道技术,采用基于描述符的直接数据传递方法,数据经过逻辑域通道时不需要拷贝,其长度也不受逻辑域通道缓冲区大小的限制,实现了虚拟机间灵活高效的数据传递。     

网格环境下银河系化学演化研究

许多计算或数据密集型的科学应用要求一种共享和协同使用分布异构资源的机制,作为其复杂的问题求解过程的一部分.网格环境下银河系化学演化研究是中国虚拟天文台应用系统的一个重要部分.详细描述了该演化研究的设计和实现.通过这个范例,提出一种共享和协同使用资源的机制.该机制通过在网格环境中集成网格服务和网格服务工作流,能够有效地支持e-Science应用.该机制对于建模和管理实验研究、数据积累和科研成果的消化吸收这样的科研过程是有益的.     

Xen虚拟化设备驱动前后端通信机制研究

在Xen虚拟化中已存在基于共享内存的域间通信机制,为了简化Xen虚拟化驱动的编写工作和提高稳定性,提出一种基于消息队列的域间通信机制.申请一块内存来存放消息队列,并通过授权表在所有的域间共享此段内存.在上述共享内存中创建消息队列,并将消息队列的起始地址存放到Xenstore中,从而使得所有的域都可以使用该消息队列收发信息.结果CPU的吞吐量降低38.3％,传输速率降低38.2％,同时响应时间增加64.3％.该模型有效简化编写分离设备驱动程序的复杂性,并使得驱动程序的可靠性得到了显著地提高.     

基于生灭过程的域间路由系统相继故障模型

大规模BGP-LDoS（Low-rate DoS attack against BGP sessions）攻击是造成域间路由系统大范围相继故障的一种典型且有效的技术手段。在分析BGP-LDoS攻击技术及特性的基础上，提出一种基于生灭过程理论的相继故障模型。将域间路由系统的所有节点视为一个单种群，将BGP-LDoS攻击下的路由节点故障传播过程视为种群的生灭过程，即各个节点在正常态和故障态之间的迁移。通过构建的故障传播主方程，形式化描述节点故障在域间路由系统中的级联传播。理论分析和实验结果都验证了该模型能够有效描述BGP-LDoS攻击导致的域间路由系统节点故障传播过程，可为域间路由系统相继故障预防与控制技术的研究提供理论支持。     

普适环境下基于域模型的跨域资源控制机制

重点研究普适计算环境下资源管理中的跨域问题,聚焦在跨域资源访问,跨域用户漫游和跨域事务转移的机制方面,提出了评估方法并对提出的机制进行了实验分析,验证了在大规模无缝的普适计算环境下,所基于的域管理模型和研究的跨域机制能获得更高的运行效率。     

结合信任机制的移动IPv6网络快速跨域认证方法

在移动IPv6(MIPv6)网络中,当移动用户从外地域接入网络时,家乡域和接入域需要协作实现对移动用户的身份认证,各管理域之间存在域问信任关系是域间协作实现用户身份认证的基础,现有MIPv6网络快速认证方法在实施域间认证的过程中忽略了域间信任关系,由于缺乏域问信任而造成的认证失败在整个认证流程结束以后才能被检测到,提出一种结合信任机制的MIPv6网络快速跨域认证方法,其中在预切换阶段考虑移动用户家乡域和接入域之问的信任关系,通过移动用户和接入网络的一次交互实现用户和接入域的有效双向认证,并设计了域间信任关系的动态维护机制,基于组合公钥(CPK)算法设计了网络实体的身份签名和验证方案,用于加速双向认证过程,理论分析和数值分析结果表明,提出的方案比现有方案在减少总认证切换延时和信令开销方面更有效,同时基于CPK算法的安全性,提出的方案在有效实现用户和网络的双向认证的同时可造性.     

网络环境下跨域信任调度模型

针对跨域资源调度过程中不同域之间信任度评价差异,域与域之间实体信任度无法比较的现象,提出了一个域间信任度计算模型,并由域代理完成不同信任机制的相互转换。通过对不同域之间资源调度历史记录以及推荐信任度进行综合评价,把域间信任度进行规范化,使域之间的信任度有了可比性;给出了跨域信任体系结构;提出了实现跨域调度的算法。实验表明,提出的信任模型和调度算法在跨域范围内选择了信任度高的资源,提高了任务满足率和调度成功率。     

ITIE:一种改进的域间出口选择算法

一般的域间出口选择算法,如经典的热土豆算法只是根据域内事件来调整路由,故少量网络拓扑事件的变化就可导致BGP路由的大量变化;虽然TIE算法改进了对域内事件的敏感性,使其能对域间出口的选择进行调节,减轻路由的动荡性,但未给出阈值参数T的计算方法,且T也不能随负载的变化而变化。域间邻居事件的影响也对域间出口的选择产生重要影响。该文提出一种自适应的可调域间出口选择算法——ITIE算法,能够针对TIE算法的不足,通过对参数的动态自调整来适应当前网络负载和域间通信能力的改变,更好地满足流量工程和网络健壮性要求。模拟实验表明,ITIE算法能够在域间协同性以及随负载变化的流量自适应性上达到合理的折中。     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。     

一种基于可信等级的安全互操作模型

传统的访问控制方式已不能满足多域环境下的资源共享和跨域访问的安全需求,建立安全互操作模型是进行安全互操作的有效途径。针对现有域间安全互操作模型未考虑用户平台的问题,提出了一种基于可信等级的域间安全互操作(TLRBAC)模型。该模型引入了用户可信等级、平台可信等级和域可信等级,制定了域间安全互操作方法。分析表明该模型既保证了用户的可信接入,又能有效地控制因平台环境而引起的安全风险问题。     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

基于知识库的域间路由监测系统

域间路由系统是互联网的基础设施。但由于域间路由系统自身的脆弱性,导致域间路由系统面临越来越多的挑战。本文从域间路由监测的角度,设计基于知识库的域间路由监测系统。该监测系统以及时准确的知识库为基础,利用异常路由威胁评估模型与方法对异常路由数据进行进一步评估处理。介绍系统的部署环境,证明系统的有效性。     

互联网自治域间IP源地址验证技术综述

当前互联网是基于目的地址转发,对源地址不做验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.本文对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,本文分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义.其次,本文从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因.最后,本文提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供参考.     

普适环境下的一种跨域认证机制

由于普适计算的高度移动性,通信的双方经常位于不同的区域,为了保证服务的合法访问以及消息的安全传输,需要进行跨域认证以及安全会话密钥建立。提出了一种新的跨域认证与密钥建立协议,该协议采用生物加密技术省去了证书管理的负担,合理设计了通信双方及其各自服务器之间的交互,完成了跨域双向认证,并采用签密技术为通信双方派生密钥。对协议进行了安全及性能的分析,并用经典的SVO逻辑证明了其正确性。