Under the Environment of Grid Security Suthentication Mode

网络安全认证技术应用最广泛的是Kerberos认证机制和基于X.509证书的认证机制,两种机制都无法直接单一地应用在网格环境下,设计一种层次域的认证模型,将网格环境分为3个层次信任域.主要解决如何将X.509证书转化为Kerberos票据的问题,提出一种协议密钥独立于用户口令的密钥生成方式,最后通过实验和理论分析,来验证改进的方案安全性.     

网格安全认证模型的研究

结合网格发展的需要,分析了当前广泛采用的Kerberos身份认证机制,研究了不同网格环境下GSI方案和KX.509方案.在此基础上,借鉴KX.509的代理思想,在Globus环境下提出了一种采用web登陆模块构建的网格身份认证模型,为校园网格用户提供透明的证书生成、使用和管理.在用户注册和认证过程中,web登陆模块自动为用户产生数字代理证书,使用户不需拥有自己的数字证书.     

网格安全模型中认证策略的研究

对网格安全模型中常用的认证策略Kerberos认证和X.509认证的原理进行了详细分析.针对网格环境下用户和资源数量巨大所带来的管理困难、系统单点失效以及可扩展性差等问题,提出了一种基于自治系统的多级网格安全管理模型(MGSM-AS),最后给出了该模型中认证策略的实现方案,包括证书的申请及审核和代理证书机制.通过对网格用户进行区域划分,使得这些用户不需要与虚拟组织管理者直接进行交互,而是接收自治系统的组织和管理,这样简化了认证过程.     

Kerberos票据与X.509证书转换机制研究

本文分析了网格认证的特点,描述了将Kerberos票据转换为x.509证书的KX.509方案的认证过程,总结了该方案的不足,并给出了一种支持双向转换的TGSCA方案。     

网格安全模型中认证策略的研究

对网格安全模型中常用的认证策略Kerberos认证和X．509认证的原理进行了详细分析。针对网格环境下用户和资源数量巨大所带来的管理困难、系统单点失效以及可扩展性差等问题,提出了一种基于自治系统的多级网格安全管理模型（MGSM—AS）,最后给出了该模型中认证策略的实现方案,包括证书的申请及审核和代理证书机制。通过对网格用户进行区域划分,使得这些用户不需要与虚拟组织管理者直接进行交互,而是接收自治系统的组织和管理,这样简化了认证过程。     

无证书密钥协商协议对跨域Kerberos的改进

针对Kerberos域间认证方案中存在的密钥数量庞大和系统安全性脆弱等问题,提出一种可认证的无证书密钥协商协议。该协议通过无证书密码学理论弥补原Kerberos域间认证的缺陷,只需一轮消息交换即可建立安全的域间会话密钥,并提供完善的前向安全性。安全性分析结果表明,改进的协议可以有效解决密钥的管理问题及第三方无举证窃听。     

公钥Kerberos的跨域认证研究与性能分析

Kerberos是目前广泛被采用的成熟的认证协议,跨域认证是Kerberos在网络中的应用,实现远距离网络认证功能.传统的Kerberos基于对称密钥加密技术,为了使网络认证更加安全有效,在Kerberos认证过程中采用公钥加密.对kerberos集成公钥跨域认证进行深入研究,并对集成公钥后的Kerberos跨域过程进行模拟环境测试和性能分析.     

网格环境下安全认证模型的研究

在分析了当前广泛采用的身份认证机制的基础上,结合网格发展的需要,研究了不同网格环境下GSI方案和 KX.509方案.借鉴 KX.509的代理思想,在 Globus 环境下提出了一种采用 Wen 登陆模块构建的网格身份认证模型,为校园网格用户提供透明的证书生成,使用和管理.用户在注册和认证过程中,Web登陆模块自动为用户产生数字代理证书,使用户无须拥有自己的数字证书.     

基于Globus的网格安全认证模型的研究与实现

在分析了当前广泛采用的身份认证机制的基础上,结合网格发展的需要,研究了不同网格环境下GSI方案和KX.509方案.借鉴KX.509的代理思想,在Globus环境下提出了一种采用Web登陆模块构建的网格身份认证模型,并加以实现,为校园网格用户提供透明的证书生成、使用和管理.用户在注册和认证过程中,Web登陆模块自动为用户产生数字代理证书,使用户不需拥有自己的数字证书.     

基于公钥证书的HTTP认证机制

提出了一种基于X．509证书的HTTP认证机制（Cert-X．509认证方法）,给出了Cert-X．509认证方法详细定义和实现结构,并对其安全性进行了分析。     

基于TCP/IP应用层密码认证协议的研究

认证是获得系统服务所必需的第一道关卡,对系统认证协议进行研究和分析是保证网络安全通信的必要条件。文章简要描述了用户口令认证协议（PAP）、询问握手协议（CHAP）、Kerberos认证协议和X.509协议的基本思想,从系统的实用性、扩展性和管理性方面进行综合对比,并给出其使用的环境,重点对Kerberos认证协议进行详细地讨论,提出对其改进的认证协议设计思想。     

一个具有强授权特性的网格安全框架

网格安全技术主要解决网格环境中实体之间的认证和授权问题。Globus网格项目中的GSI(Grid Secudty Infrastmcture)主要基于X．509技术实现身份认证以及数据的机密性、完整性和抗否认性,重点解决了认证和消息保护问题,然而在授权问题上缺乏必要的技术支撑。在分析现有安全技术的基础上,提出了将基于X．509的PKI技术和PMI技术相结合的网格安全框架,旨在实现基于安全认证基础之上网格用户和虚拟群组实体间的安全授权机制,从而构建强认证、强授权的网格安全基础设施。     

网格环境中认证模型的研究

针对目前PKI系统建设和维护成本过高,对网格规模有一定限制的问题。研究了公钥基础设施PKI的体系结构,以及基于身份的PKI(ID-PKI)的认证框架,并分析了两种设施的优缺点。提出了一个PKI和ID-PKI相结合的网格认证框架,并对其结构、工作思想作了描述,进一步分析了它的安全性和效率。该认证框架比传统的基于X.509证书的PKI认证系统结构简单、灵活,因而较大地提高了认证效率,降低了系统成本,其安全性也是可以保证的。     

基于公钥密码体制的Kerberos协议的改进

随着计算机网络的发展,网络安全问题已变得日益重要,而身份认证在安全系统中的地位极其关键,是最基本的安全服务。Kerberos协议是基于私钥密码系统的身份认证协议。文中首先对Kerberos协议的认证原理进行分析;然后基于公钥体制的加密技术和Kerberos协议,提出了一个安全性更高的身份认证协议;最后分析了两种协议的异同。     

安全消息中间件的设计

为提高消息中间件的安全性,分析了消息中间件的特点和Kerberos协议的认证过程,考虑到Kerberos认证模型的安全缺陷,采用公钥密码体制和椭圆曲线的Diffie-Hellman算法改进Kerberos认证模型。该模型引入了可信的第三方CA,有效地防止了口令猜测攻击和重放攻击。采用椭圆曲线的Diffie-Hellman算法,密钥由通信双方共同决定,防止了Kerberos本身进行攻击。将改进后的Kerberos认证模型运用到消息中间件当中,在一定程度上增强了消息中间件的安全性。     

Kerberos协议及其授权扩展的研究与设计

尽管Kerberos协议被证明是一种在分布式网络环境下最理想的身份认证系统,却存在一些安全缺陷和协议结构自身的局限性。虽然大部分得到了有效改进,问题依然存在。在深刻理解Kerberos协议思想的基础上,提出了一种基于Ker-beros认证协议的授权扩展系统。该系统在不改变原Kerberos认证流程的情况下,充分利用票据机制加载基于角色的访问控制信息,成功实现了Kerberos认证与授权功能的无缝集成。     

基于SAML和X.509的跨安全域信任关系构建机制

在对企业的各个应用系统集成到门户的过程中,信任关系的构建是解决不同安全域之间统一身份认证的有效方法。在分析和研究统一身份认证关键技术SAML和X.509数字证书特点的基础上,提出了跨不同安全域的信任关系构建机制。并从保证网络安全的角度,对该机制进行了深入探讨和改进。最后运用基于SAML规范的开源实现openSAML进行了简单的测试和验证。     

Windows 2000认证机制分析与应用

Windows 2000是目前应用广泛的操作系统，核心技术之一是它的认证机制。分析了Windows 2000认证的体系结构，着重研究了Kerberos认证机制，根据Kerberos原理设计并实现了一个多应用环境下单点登录模型。模型已经成功应用于某企业的信息系统中，解决了企业信息系统单点登录问题。