基于PKI／PMI的数字化校园安全认证系统的应用研究

结合PKI和PMI各自的优点,借助RBAC模型中的角色概念,设计了一个基于PKI／PMI的联合认证系统方案,并应用于数字化校园中。该方案由PKI、PMI及访问控制三大子系统组成,利用公钥证书和属性证书分别实现用户的身份鉴别和权限授予。介绍了访问控制子系统的详细设计。采用实证方法研究了基于角色的访问控制,实现了身份统一认证与授权管理。     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题,讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略,利用公钥证书实现对用户的身份认证,结合角色证书实现对用户的授权访问。     

面向推荐系统数据安全的无证书门限解密方案

推荐系统是解决信息过载问题和满足用户个性化需求的有效途径之一。然而,由于推荐系统需要用户提供不同程度的个性化信息来提升推荐的准确度,因此各种数据的安全问题成为阻碍其发展的重要因素。在基于分布式体系结构的推荐系统中,门限解密技术是抵抗数据安全攻击、保护推荐系统用户隐私的有效方法之一。在无证书公钥密码体制下研究门限解密技术,既避免了传统公钥密码体制中昂贵的证书管理问题,又解决了基于身份密钥体制中固有的密钥托管问题。给出了无证书门限解密系统的形式化定义与安全模型,构建了一个新的无证书门限解密方案,并在随机预言模型下证明了该方案在适应性选择密文攻击下是安全的。与已有的方案相比,该方案的计算代价更小,传输速率更高,主密钥和公钥长度更短,用户之间需要传播的信息量更小。所提方案既能提高推荐系统的信息传输效率,又能有效地保证分布式推荐系统中用户隐私的安全性和可靠性。     

一种新的异构系统集成方法、框架与实现

本文为解决分布式异构系统集成时常见的紧耦合问题,实现可扩展、易配置和实时性的集成要求,提出了一种新的分布式系统集成方法和框架,并利用C++语言进行了实现。该框架主要采取先集中后分发的总体思路,利用数据传输只依赖数据大小而与数据内容无关的特性将与子系统紧密相关的业务数据转换为传输数据,从而使软件通过配置能柔性适应多种应用场景。基于该框架的软件实现已应用于某型飞机分队战术模拟训练系统,取得了较好的应用效果。     

基于PKI/PMI的多域单点登录研究

本文提出了一种基于公钥基础设施PKI和授权管理基础设施PMI的多域单点登录模型,该模型使用公钥证书进行身份认证,通过属性证书支持基于角色的访问控制。并采用分布式认证方法,支持用户跨域访问应用服务器,有效实现了多域环境下的单点登录。最后,讨论了与原有应用系统的无缝融合技术。     

采用消息队列实现数据一致性方法

针对构建分布式微服务中数据一致性问题,本文总结了在处理分布式计算中数据一致性问题遵循原则,分析实现微服务的幂等性设计重要性,提出了一种采用事务型消息队列解决分布式微服务典型应用场景中数据一致性问题的方法,并给出RocketMQ实现方式及原理,实验表明事务型消息可以较好解决分布式数据一致性问题,最后分析了上述方法的优缺点,本文提出的在分布式微服务构建中数据一致性处理方法应用中具有一定的借鉴作用.     

基于SIP协议的网络电话安全方案及实现

以基于身份的非对称加密技术为核心,引入身份证书和更具灵活性的XML格式属性证书,解决用户身份认证、私钥分发和安全实现增值服务问题。与话者在通话时,利用证书向PKDC进行身份认证,获取私钥,用于加密传输会话密钥。在信令协商过程中,CPL服务器通过验证用户的属性证书提取用户属性,更加便捷地实现增值服务。     

基于SaaS模式下的系统数据安全策略研究

SaaS(软件即服务)是一种通过Internet提供服务的应用模式。如何保证用户数据的安全性是用户普遍关注的问题,也是SaaS应用系统设计中必须重点考虑的一个方面。分析了SaaS模式面临的系统数据安全隐患,并详细阐述了基于SaaS模式下的系统数据安全策略的具体实施方案。     

基于J2EE Web服务的统一用户身份认证系统的研究与设计

通过研究和探讨J2EE Web服务技术,并结合单点登录、SSL等技术,建立了中小企业信息化服务平台中的统一用户身份认证系统。利用基于MVC的Struts技术实现了系统的架构;通过采用基于Session的用户会话跟踪技术,实现了统一认证服务的认证令牌;采用基于SSL的安全机制,保护了数据在传输时的完整性;另外,还研究了使用Web服务技术来进行各应用子系统的集成,实现了各应用子系统统一用户身份的认证。     

基于云计算的广域级视频监控综合业务平台

针对目前广域级的视频监控项目遇到的各种问题,设计了一种基于SOA架构和云计算技术的视频监控综合业务平台.采用云计算中的虚拟化技术对平台底层中多种异构软硬件资源进行整合管理,采用HDFS分布式文件系统和HBase分布式存储系统对海量视频数据进行高效的分布式存储管理,采用MapReduce分布式编程框架实现用户业务的分布式并行处理与资源调度.在此基础上,众多用户业务最终实现为云服务并在SOA架构下部署成为分布式系统,有效实现业务流程的整合及融合.     

资源整合中访问控制的研究与实现

当前政府机构和大型的企业组织在对已有的孤立系统进行资源整合中,需要一种大规模应用环境下具有高安全性和一定开放性的访问控制体系.PKI通过发放公钥证书对用户身份进行鉴别,PMI使用属性证书对用户的权限进行管理,RBAC提供了一种更加灵活的用户与权限的关联方式.通过采用PKI、PMI和RBAC三项技术,对访问控制过程和策略管理进行重点研究,提出了一种基于角色和双证书的访问控制机制,并在税务系统的资源整合项目中得到了应用.     

基于微服务架构B/S系统的性能分析

传统的单体应用架构系统,随着用户需求和系统功能的变动,出现了单体应用功能模块边界模糊、部署效率低、扩展困难、技术更迭代价高等缺点,尤其是单个模块修改部署效率低的问题.因此,微服务技术得到关注和应用,微服务架构的业务边界确定服务边界,具有高内聚性,易于开发与维护、局部修改部署、技术选择不受限等优势.本文研究微服务应用系统的架构优势,设计了一B/S应用系统进行测试分析.实验设计测试指标为线程响应时间、吞吐量以及部署时间的实验方案,并使用Jmeter性能测试工具进行测试,分析了20个和50个并发用户的测试数据.实验结果表明微服务在响应时间、吞吐量等指标有明显的效率和性能优势.     

实时异构集成数据自适应模板解析算法

工业中实时监控系统的实时异构集成数据在解析存储时需要适应用户需求多样性和可变性的特点,因此集成数据的解析成为一个难点。以环境在线监控系统为应用背景,提出了针对实时异构集成数据的自适应模板数据解析思想。数据解析前,根据集成数据,以用户需求为基础设计的用户表以及定义的模板构建规则,构造描述集成数据与用户表映射关系的自适应模板。解析算法根据模板对集成数据进行解析分类。该算法只根据模板的描述对数据进行解释,具有良好的通用性以及可拓展性。通过实际数据进行测试,结果表明提出的自适应模板解析算法具有良好的性能,能够很好地适应用户需求多样性和可变性的特点。     

基于Java租赁服务器计费系统——数据采集与整合

租赁服务器,即开放实验室,可以降低中小企业成本,阻以往的租赁服务器计费系统不能为用户提供实时处理的服务。为了适应市场变化,随着交换机技术的发展,各种通信协议标准的形成,一种联机实时采集计费系统已成为主流,能够为用户提供实时的处理服务。基于Java设计的租赁服务器计费系统数据采集与整合子系统,该子系统对数据处理的灵活方式能够满足用户短期租机、实时查询、实时处理、临时出账、及时决策的租赁服务器需求,很好地解决了以往计费系统的不足,友好的人机交互界面使操作更加简洁、直观,可以提高租赁服务器企业的市场竞争力。     

基于IPSec VPN的手机安全系统研究

移动网络环境存在诸多安全威胁,为保证信息传输的安全性,该文讨论了移动环境下的安全威胁,实现了一个在移动环境下建立IPSec VPN连接的终端系统。该系统利用NDIS实现防火墙穿越,以保证IPSec数据包的正常传输。同时利用安全智能卡存储X．509证书,用于身份验证,防止非法用户的入侵。     

基于PMI访问控制系统的设计

为了解决网络应用系统的安全问题,需要对应用系统进行一定的改造,文章所出的访问控制方案是基于PKI和PMI的技术体系。使用公钥证书实现对用户的身份认证,使用属性证书实现对用户的授权访问,可以方便灵活地实现网络资源的安全访问访问控制。     

大规模网络安全态势分析与预测系统YHSAS

YHSAS系统面向国家骨干网络安全以及大型网络运营商、大型企事业单位等大规模网络环境,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。文章对YHSAS系统的系统架构以及其中的关键技术,包括分布异构网络安全数据集成技术、面向重大网络安全事件发现的关联分析技术、基于数据流和多维分析的网络安全数据实时分析技术、网络安全态势预测技术等。性能测试显示,YHSAS系统在态势分析和预测方面均具有较高的实时性和精度,满足了大规模网络安全态势分析与预测的需求。     

云环境下基于混合密码体系的跨域控制方案

针对当前云环境下用户跨域控制方案不能满足不同密码体系之间的相互跨域访问的需求,借鉴PKI（public key infrastructure）认证体系的思想构造了一种基于混合密码体系的跨域控制方案。该方案以PKI认证体系为不同密码体系安全域的管理框架,以CA（certificate authority）为不同安全域用户的公共跨域认证中心,对不同安全域的用户进行认证,并根据验证结果为其分配公共跨域身份和身份控制标签。它不仅实现了对不同密码体系之间的相互访问,并且根据签发的身份控制标签完成用户的实时控制,一旦发现恶意用户便撤销用户公共跨域身份,并对恶意用户的实名身份进行标注。分析结果表明,新方案在满足正确性、不可伪造性、高安全性的同时可以抵抗重放攻击、替换攻击和中间人攻击,并且降低了计算开销。     

基于VPN实现PKI系统安全远程通信

PKI作为密码基础设施之一,越来越广泛地用于信息网络安全中,它自身的安全直接关系着上层各类证书应用系统的安全,PKI系统各组成部分之间的通信所包含的用户身份信息、密钥信息都是敏感的,需要安全保护。本文提出了一种利用VPN技术在PKI系统的CA、RA之间搭建经验证的安全通道的方法,可以有效地保护公钥系统内部的通信安全。     

基于MD5的单点登录设计

针对异构条件下多系统、多帐户应用环境,提出了一种在系统集成中的单点登录模型。分析各系统的用户角色和权限的分配机制,进行共性提取,建立一个中央用户管理模块,实现对集成系统的用户统一管理。采用二次登录策略,使用MD5加密技术生成令牌,通过令牌验证机制,实现了异构环境下单点登录功能,并提高系统的安全性。文章以一个具体的示例――海南农业信息系统为例说明了单点登录在系统集成中的实际应用,并给出了具体的设计过程。