一种高效的制造网格认证模型设计

针对制造网格的组织结构和工作流程复杂,传统的基于Globus的GSI认证机制在制造网格中的认证效率低下,从而降低整个网格资源的利用率的问题;提出一种改进的GSI认证模型,将用户证书和代理证书申请和签署集成在网格Portal上,在原有网格Portal服务器上部署CA认证模块,并增加MyProxy服务器,存储用户的个人证书和用户映射表,在其上部署代理证书签署模块;用户通过认证后即可提交任务、访问跨域资源,提高了制造网格的认证效率.     

一种面向方面的网格安全模型研究*

通过引入面向方面的核心思想,分析了网格安全实现方案GSI中存在的结构复杂和耦合度过高问题。在传统网格安全模型的基础上,利用方面机制来实现网格安全,提出了一种新的面向方面的网格安全模型(AOGSM),并对该模型进行了详细描述。仿真实验表明,面向方面的网格安全模型通过对网格安全横切特性的分离,降低了网格安全机制的复杂度和模块间的耦合度。     

证书和私钥漫游系统的设计方案

阐述了PKI应用系统中数字证书和私钥漫游的必要性和可行性，给出了数字证书和私钥漫游系统的设计方案。该方案提出了证书和私钥漫游系统的两种运行模式：作为独立的系统运行，可以为多个CA颁发的证书和私钥提供漫游服务；与CA认证系统结合在一起，只对本CA所颁发的证书和私钥提供漫游服务。方案详细描述了用户注册、证书和私钥的上传、下载流程以及安全方面的设计。     

网格安全模型中认证策略的研究

对网格安全模型中常用的认证策略Kerberos认证和X．509认证的原理进行了详细分析。针对网格环境下用户和资源数量巨大所带来的管理困难、系统单点失效以及可扩展性差等问题,提出了一种基于自治系统的多级网格安全管理模型（MGSM—AS）,最后给出了该模型中认证策略的实现方案,包括证书的申请及审核和代理证书机制。通过对网格用户进行区域划分,使得这些用户不需要与虚拟组织管理者直接进行交互,而是接收自治系统的组织和管理,这样简化了认证过程。     

网格安全模型中认证策略的研究

对网格安全模型中常用的认证策略Kerberos认证和X.509认证的原理进行了详细分析.针对网格环境下用户和资源数量巨大所带来的管理困难、系统单点失效以及可扩展性差等问题,提出了一种基于自治系统的多级网格安全管理模型(MGSM-AS),最后给出了该模型中认证策略的实现方案,包括证书的申请及审核和代理证书机制.通过对网格用户进行区域划分,使得这些用户不需要与虚拟组织管理者直接进行交互,而是接收自治系统的组织和管理,这样简化了认证过程.     

证书模板可定制的CA的研究与实现

为了解决传统CA及其颁发的证书不能与应用紧密结合的局限性,提出一种证书模板可定制的CA解决方案。同时定义了一个通用的证书模板,用户可以通过定制证书模板来定义证书可以包含的扩展项,从而使证书带有更多关于证书持有者的信息。通过该方案,使CA能更好地面对应用,实现与应用无缝结合。     

可定制证书的CA系统研究

为了解决传统CA及其颁发的证书不能与应用紧密结合的局限性,本文提出了一种证书模板可定制的CA解决方案。同时,本文定义了一个通用的证书模板,用户可以通过定制证书模板来定义证书可以包含的扩展项,从而使证书带有更多关于证书持有者的信息。通过这个方案,使CA能更好地面对应用,实现与应用无缝结合。     

基于多级单向哈希链的网格代理证书管理

代理证书是网格安全基础设施(GSI)中关键机制之一,用户需要通过代理证书访问网格服务,但目前的GSI方案中缺乏有效的代理证书管理机制。针对代理证书的生命周期控制不灵活、证书容易受到攻击等问题,该文提出一种基于多级单向哈希链的网格代理证书管理方案。多级单向哈希链由2层或2层以上哈希链构成,每个代理证书都由一个哈希值保护,其有效时间能够得到自适应控制,增强了网格代理证书管理的安全性和任务成功率。实验表明网格环境下该方案计算和通信开销较小。     

网格中一种改进的代理证书链验证方案

网格为了满足单点登陆和受限代理需求,引入了代理证书.实际运用中,多个代理的产生将形成代理证书链.对该证书链,需要按照算法进行验证,以确保各代理之间信任委托关系的正确.对当前证书链验证算法进行了分析,表明在一定条件下可以简化代理的认证,从而提高检验效率,降低验证时间.基于分析结论,通过引入一个数据结构提出一种该类验证算法的改进方案,该方案在验证代理证书链签名和收集安全政策方面有改进.尤其对于代理证书链的签名验证,实验表明其验证时间明显减少,且随着签署证书的密钥长度增加,以及代理证书链的增长,验证时间减少得越明显.该方案对在网格环境下广泛应用代理证书、信任证实现委托权限、建立信任关系等起到推动作用.     

基于安全体系网格计费系统的设计

与传统网络环境相比,网格计算环境提出更高更广泛的安全需求。本文通过对现有网络计费系统进行了分析和设计,提出了一种基于安全体系的网格计费系统的设计方案,该方案不仅能够满足网格环境下各种基本安全需求,而且还能提供具有良好可扩展性的灵活的认证、授权及访问控制机制。本文讨论了一个具体的模型及其实现策略,分析了该计费系统中的一些关键问题和难点,最后对该系统的性能作了简要评测。     

公钥证书与属性证书的结合——融合证书*

介绍了一种新的证书撤销方案——NewPKI证书撤销方案,运用这种新的撤销机制解决公钥证书与属性证书不能简单合并的问题。定义了一类新的属性——NewPKI属性,并且将NewPKI属性与X.509公钥证书相结合,从而提出一类新的证书——融合证书。融合证书保留与X.509 v3证书相同的证书格式,且能够将属性加到X.509身份证书中,它能够作为一个理想的机制来携带属性信息而不需要属性证书,在很多情况下十分有用。     

Ad Hoc网络中的新型分布式证书撤销方案

分析Ad Hoc网络中一些证书撤销方案的优缺点,提出一种新的分布式证书撤销方案,节点证书的有效性由节点的权值控制,使用单向哈希链认证控诉消息,利用自恢复区域方法广播控诉消息。不依赖于任何集中式或外部节点即可有效地撤销恶意节点的证书、防止合法节点证书的误撤销。定量分析了方案的可靠性。     

车载Ad Hoc网络中证书快速撤销机制研究

证书撤销是保障车载Ad Hoc网络安全的难点问题之一,但传统的CRL发布方式由于网络规模大,车辆机动性强等原因并不适用。结合车载Ad Hoc网络中节点移动规律和速度等特性,在提出降解CRL规模的方法的基础上,进一步提出一种基于车辆速度证书快速撤销方案。分析表明在证书有效期较短的情况下,该方案要优于传统方案。     

一种集成化的PKI数字证书验证安全增强方案

近年来,PKI数字证书服务出现了多次安全事件：CA机构由于攻击等原因签发虚假的TLS服务器数字证书,将攻击者的公钥绑定在被攻击网站的域名上。因此,研究人员提出了多种PKI数字证书验证安全增强方案,用于消除虚假数字证书的影响,现有各种方案在安全性和效率上各有优劣。提出了一种集成化的PKI数字证书验证安全增强方案,以Pinning方案为基础,利用其他方案来改进Pinning方案的缺陷。当浏览器面临TLS服务器数字证书的三种Pinning方案不同状态（初始化、正常使用、更新）,兼顾安全性和执行效率、分别综合使用不同的安全增强方案,整体上达到了最优的安全性和执行效率。完成的集成化PKI数字证书验证安全增强方案能够有效解决虚假数字证书的攻击威胁。     

证书吊销的线索二叉排序Hash树解决方案

提出了公钥基础设施(publickeyinfrastructure,简称PKI)中证书吊销问题的一个新的解决方案--线索二叉排序Hash树(certificaterevocationthreadedbinarysortedhashtree,简称CRTBSHT)解决方案.目前关于证书吊销问题的主要解决方案有X.509证书系统的证书吊销列表(certificaterevocationlist,简称CRL)、Micali的证书吊销系统(certificaterevocationsystem,简称CRS)、Kocher的证书吊销树(certificaterevocationtree,简称CRT)及Naor-Nissm的2-3证书吊销树(2-3CRT),这些方案均不完善.在CRT系统思想的基础上,利用线索化二叉排序树及Hash树给出的新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.新方案对工程实现具有一定的参考价值.     

一种适用于Ad Hoc网络的高效证书撤销机制

由于Ad hoe网络的特殊性，基于数字证书的安全机制在其中的应用面临很多困难，其中最大的挑战是：在网络节点无法在线访问CA的情况下，如何实现证书的撤销。在对Adhoe网络环境下现存的证书撤销机制进行分析后，提出了一种基于单向哈希函数的证书撤销机制，这种机制具有执行效率高、节约网络带宽、计算开销低：等优点，非常适用于Adhoe网络环境。     

Ad Hoc网络中基于分簇的安全撤销方案

基于分簇结构提出一种Ad Hoc网络安全撤销方案。采用基于身份的密码算法,不需要公钥证书的存在,使用Beta信誉模型为网络中节点预测簇内其他节点的行为提供理论完善的基础。结合门限机制实现节点的撤销,避免簇头撤销权力的集中,可解决节点簇间漫游的安全隐患,增强网络的安全性。     

基于区块链和动态累加器的跨域认证方案

基于区块链的跨域认证利用区块链代替传统的CA机构颁发区块链证书,借助区块链的去中心化和透明性,实现了信任的去中心化;针对现有基于区块链的跨域认证存在着跨域认证效率不高,没有完整的证书管理功能、区块链存储证书开销大的问题,提出了基于区块链和动态累加器的跨域认证方案,设计了区块链证书格式,描述了跨域认证协议,将区块链证书信息映射为累加值,提升了验证效率,通过在智能合约中构建动态累加器,实现证书的注册,撤销和查询功能;实验结果表明,该方案能够有效降低区块链证书存储成本,提升跨域认证效率.     

一种支持属性撤销的密文策略属性基加密方案

针对传统属性基加密方案中单授权中心计算开销大以及安全性较差等问题,通过引入多个授权中心以及安全两方计算协议等技术,提出一种支持细粒度属性级撤销和用户级撤销的密文策略属性基加密方案。引入多个属性授权中心以颁发并更新属性版本秘钥,同时秘钥生成中心与云存储服务器之间进行安全两方计算等操作,生成并更新用户密钥,从而进行细粒度属性级撤销。在云存储服务器中,对用户列表中的用户唯一秘值及唯一身份值进行操作以实现用户级撤销,同时通过多个授权中心抵抗合谋攻击,并将部分计算工作外包给云端。分析结果表明,与基于AND、访问树和LSSS策略的方案相比,该方案有效增强了系统的安全功能,同时显著降低了系统的计算复杂度。     

On development of an efficient parallel loop self-scheduling for grid computing environments

The approaches to deal with scheduling and load balancing on PC-based cluster systems are famous and well-known. Self-scheduling schemes, which are suitable for parallel loops with independent iterations on cluster computer system, they have been designed in the past. In this paper, we propose a new scheme that can adjust the scheduling parameter dynamically on an extremely heterogeneous PC-based cluster and Grid computing environments in order to improve system performance. A Grid computing environment consists of multiple PC-based clusters is constructed using Globus Toolkit and MPICH-G2 middleware. The experimental results show that our scheduling can result in higher performance than other similar schemes on Grid computing environments.