基于分组认证和协作的网格计算安全体系

介绍了目前主要几种网格计算体系结构的安全框架,在分析基于Globus的不同安全框架的优缺点基础上,根据目前国内所开展的研究现状,提出了一种多组认证和协作的安全体系结构,扩展了现有的网格安全体系,并详细介绍了系统结构图和协作机制。     

一种基于改进蚁群算法的网格任务调度算法

在网格计算中,任务调度是影响系统性能和服务质量的重要问题。文章在考虑截止时间和花费两项用户QoS需求的基础上,提出了一种基于蚁群算法的网格任务调度算法。该算法先采用GC（Greedy Cost-Time Distribution）算法求解,将所得解转化为蚁群算法的初始信息素分布,然后利用蚁群算法获得调度解。模拟实验结果表明：在网格环境下,该调度算法具有明显的优势。     

一种基于最短完成时间的网格计算任务调度算法的研究

资源调度技术是网格核心服务之一。良好的资源调度能有效地协调和分配网格资源,有效降低网格计算的总执行时间和总耗费量,从而使网格计算达到最佳性能。本文就网格计算中一种基于最短完成时间的任务调度算法进行研究和阐述。     

面向网格的协作式网络计算平台

互联网资源的利用率无论在时间上,还是空间上都存在极度的不均．在不干扰用户工作的前提下,充分利用互联网上闲置的资源,解决大规模的科学计算,具有极其重要的意义．文章在前期How U网格平台的网络计算组件的基础上,结合当前流行的网格技术和P2P技术,提出了一种协作式的网络计算平台,支持包括集群和单机两种类型的资源管理器和注册资源,通过资源管理器之间的协作和资源共享,实现了全球空闲资源管理的容错和负载平衡．该文提出了两种简单实用的协作式算法：空闲管理器申请应用算法以及过载管理器申请资源算法,并给出了性能分析。     

一种基于人工免疫的新的网格资源调度算法

由于广域网性能的巨大提高和功能强大且价格低廉的计算机不断增多,网格计算以一种极具有前途和吸引力的新范式出现。网格计算是集成地理位置分布,异构,多领域资源的一种平台,它提供透明、安全、同等、高性能资源共享。要获取计算网格中潜在的能量,设计一种有效和高效的网格资源调度算法很重要。网格独特的特点使得网格环境下的资源调度是相当复杂的。本文将重点设计一种新的基于免疫算法的网格资源调度算法。     

一种非线性的分布式网格资源调价算法

针对网格环境下分布式异步动态调价算法存在均衡价格收敛过程缓慢、调价效率较低的缺点,提出了一种基于市场机制的非线性调价算法.该算法结合了当前超额需求和过去超额需求对资源价格变化的影响,较真实地刻画了需求变化后资源价格的波动过程.实验证明,非线性的调价算法明显地提高了价格收敛速度,降低了调价次数.     

一种基于效用最优的计算网格资源调度算法

针对具有时间和费用约束的网格资源调度问题，通过分析任务的执行时间和执行费用与用户效用函数的关系，建立了效用函数模型，在此基础上提出了一种针对task farming应用程序模式的基于效用函数最优的启发式调度算法——效用最优调度算法。实验表明，与费用 时间均衡调度算法相比，本算法能给用户带来更高的效用。     

一种基于市场机制的网格资源调价算法

针对基于市场机制的网格资源调度中的资源调价问题,结合集中式同步调价算法速度快,以及分布式WALRAS算法可扩展性优点,提出一种分布分组调价算法．首先,描述了实现资源调价的系统框架：资源域Agent,资源组调价器;其次,阐述了分布分组调价算法：根据资源价格的相关性将资源分成若干资源组,当资源供需发生变化后,各资源组调价器分别根据供需均衡调整价格到均衡价格;最后,通过实验比较了分布式WALRAS算法和提出的分布分组调价算法的性能,实验结果表明提出的算法可以获得更好的性能．     

一种多信任域内的直接匿名证明方案

针对可信计算平台的原始直接匿名证明方案在多信任域的环境下存在的不足,提出了一种多信任域内的直接匿名证明方案.该方案扩展了原始的直接匿名证明方案,解决了可信计算平台在多信任域内的隐私性保护问题.利用理想系统/现实系统模型对该方案进行了安全性的分析和证明.分析表明,该方案满足匿名性和不可伪造性.最后分析方案的计算性能,实验验证了方案的有效性和可行性.     

一种基于PCA的远程匿名证明改进方案

远程证明是可信计算的关键技术之一,可以验证平台身份和配置信息的可信性,而现有远程证明方案存在一定的缺陷。本文在分析现有基于匿名属性证书的远程匿名证明方案的基础上,提出了改进方案。针对原方案中存在的在匿名属性证书申请过程中未验证证书颁发实体的问题,对证书申请方案进行了改进,采用会话密钥对PCA签名,保证了证书颁发实体的真实性;针对远程证明协议存在恶意用户接入的问题,在改进方案中引入假名机制,即保证了用户身份的匿名性,又防止了具有不良历史记录用户的非法接入。     

一种基于双线性映射的直接匿名证明方案

基于DDH(decision Diffie-Hellman)假设和q-SDH假设,给出了一种基于双线性映射的直接匿名证明(direct anonymous attestation,简称DAA)方案.与其他方案相比,该方案极大地缩短了签名长度,降低了签名过程中可信平台模块(trusted platform module,简称TPM)的计算量.同时,为基于椭圆曲线的TPM提供了可行的隐私性保护解决方案.利用理想系统/现实系统模型对该方案的安全性进行分析和证明,分析表明,该方案满足不可伪造性、可变匿名性和不可关联性.     

基于可信移动平台的直接匿名证明方案研究

可信平台模块(trusted platform module, TPM)采用的直接匿名证明(direct anonymous attestation, DAA)方法实现了对平台身份的匿名远程证明.然而对于具有匿名远程证明高需求的移动平台,目前仍然没有通用高效的DAA解决方案框架.针对上述问题,提出了一种适用于可信移动平台的DAA方案框架,框架充分考虑了移动应用背景,结合若干基于椭圆曲线的DAA(ECC-DAA)方案重新设计,首次提出匿名凭证嵌入和再次获取凭证功能,符合TPM 2.0技术和接口标准规范.给出了基于TrustZone安全技术和TPM Emulator实现的可信移动平台体系结构.对4种ECC-DAA方案和3种椭圆曲线进行了对比、实现和分析,实验表明,框架能够良好兼容DAA方案和曲线,具有较高的计算速度.     

一种基于信任的网格资源调度算法

介绍了信任关系量的化方法,然后根据任务的安全性要求设置任务的优先级,对已有的信任驱动的网格调度算法进行改进,改进算法在不增加时间复杂度的同时提高了调度的信任效益:最后通过仿真证明算法的有效性,并对仿真结果进行分析。     

适用于分布式DHR系统的可追溯直接匿名认证方案

作为拟态防御技术的基本实现模型, 动态异构冗余(Dynamic Heterogeneous Redundancy, DHR)系统在分布式场景下存在通信安全问题: 由于系统内缺乏对异构执行体的匿名保护措施以及诚实性度量方法, 异构执行体可能在未经察觉的情况下被攻击者入侵, 进而使得系统整体失效。将可信计算模块(Trusted Platform Module, TPM)引入分布式DHR系统可以缓解上述问题。然而, 现有TPM标准中使用的直接匿名认证(Direct Anonymous Attestation, DAA)方案会破坏分布式DHR系统的动态反馈机制, 因此无法直接应用于分布式DHR系统。为此,本文对DAA方案进行改进, 提出了一种适用于分布式DHR系统的可追溯直接匿名认证方案(Traceable Direct Anonymous Authentication Scheme, Tra-DAA)。本方案在维持系统内异构执行体对外匿名的同时, 为各异构执行体增加了内部追溯参数, 兼容了DHR系统的动态反馈性。此外, 我们引入了委托计算技术, 将TPM中的计算量降到了理论最低值。安全分析证明Tra-DAA在DL、DH、DBDH和LRSW假设下具备安全性, 即实现了匿名、证书不可伪造以及签名不可陷害。理论分析表明Tra-DAA相比多种代表性DAA方案在TPM运算量上具备显著优势。实验结果表明, Tra-DAA中新增的可追溯功能在整体耗时中仅占5%, 且Tra-DAA的整体效率相比TPM v2.0中的DAA方案有显著提升。具体来说, 在Join协议、伪名为空的Sign/Verifier协议, 以及伪名不为空的Sign/Verifier协议阶段, TPM的计算耗时分别缩短了33%、50%与70%。     

一种基于TPM匿名证书的信任协商方案

为促进分布式网络环境中跨安全域的信息共享与协作,需要一种合理有效的信任协商敏感信息保护机制.可信计算组织（Trusted Computing Group,TCG）专注于从计算平台体系结构上增强其安全性.基于可信计算的匿名证书机制提出一种新的信任协商方案：匿名证书信任协商 ACTN（anonymous credentials based trusted negotiation）,良好地解决了跨安全域的敏感信息保护的问题,可以有效地防止重放攻击、窜改攻击和替换攻击.使用一个硬件模块TPM进行隐私信息保护,并通过TPM模块提供可靠的匿名证书和平台认证.定义了ACTN的模型以及模型中的匿名证书,详细说明了匿名证书的基本参数以及匿名证书的创建方法,讨论了策略的安全性、委托机制以及证书链的发现机制,同时设计了协商节点的框架以及协商过程.通过实验并与TrustBuilder和COTN协商系统进行比较,表明系统具有良好的稳定性和可用性.最后指出相关的一些未来研究方向.     

直接匿名证言协议的性能估算新方法

性能问题是阻碍DAA推广和应用的首要问题.为了进一步优化该协议的性能,找出性能瓶颈,定量地分析和测量DAA中各个实体的性能负荷分布是一个十分重要且必须的工作.文中详细分析了DAA的协议流程,提出了以机器周期为基本性能单位的性能负荷分布测量方法——归一化统计法( Normalized Statistics,NS).该方法需要首先分析DAA协议中的各种复杂运算,针对不同的运算选用当前性能较好的算法,然后统计各个算法中大整数单精度乘法、单精度加法、读内存、写内存等基本运算的数目,最后通过汇总并转换得出DAA协议中各实体以机器周期为单位的性能负荷分布和总性能负荷.比较分析表明,该方法不仅能相对准确、精细、有效地定量计算出DAA协议中各实体的性能负荷和总的性能负荷,而且测出的性能负荷具有平台无关性.最后为了说明该方法的有效性,将NS方法应用于有关可信计算匿名证明的一个典型方案的性能负荷估算.     

一种安全性增强的Tor匿名通信系统

网络用户对自身隐私信息保护意识的增强,促进了Tor,Crowds,Anonymizer等匿名通信系统的发展及广泛应用,从而为用户提供了隐私和信息安全保护.随着对匿名通信系统的深入研究,发现部分系统存在安全性不足,为提高Tor匿名通信系统的安全性,基于可信计算技术提出一种安全性增强的Tor匿名通信系统,改进后的系统提高了目录服务器的安全性,并基于可信计算技术确保了用户及匿名通信链路的可信性;通过与Tor匿名通信系统的比较,改进系统在具有可信性的同时,具有更高的安全性及抗攻击能力,解决了Tor匿名通信系统所存在的安全隐患;通过仿真分析可知,改进后的系统能够满足用户的匿名性需求.