基于几何方法的双服务器口令认证与密钥协商

为了在保持口令认证系统代价低、易于使用等特点的同时,克服其单点失效、易受字典攻击等缺陷,提高其安全性,提出了基于几何方法的双服务器口令认证与密钥协商.用户口令分解为两个具有随机分布特性的子口令交付于两个服务器,由两个服务器共同完成口令认证,并同步协商会话密钥.口令认证协议中消息的形成与交换,采用几何方法代替基于离散对数难题等公钥技术.分析表明,用户口令、会话密钥是安全的;协议中只含模加与模乘运算,运算简单、快速.     

基于可变权限集的广义虚拟企业信任交互方案

提出了一个基于可变权限集的广义虚拟企业信任交互方案,该方案能够根据虚拟企业的不同组织模式灵活设置成员权限集,并在成员结构发生变化时,对其进行动态调整.通过设计相应的虚拟认证中心来创建和颁发虚拟认证中心证书,在成员增减阶段变更参与方协议,有效解决了虚拟企业在各种组织模式下的信任交互问题.此外,该方案还实现了基于Pedersen可验证秘密共享技术的分布式密钥生成,既防止了密钥分发和更新过程中成员的不诚实行为,又克服了盟主单独行使密钥分发权利所带来的安全隐患.分析表明,该方案不但安全性大大增强,而且能够更好地适应虚拟企业复杂多变的动态环境.     

基于自认证的分簇式MANET网络密钥管理方案

MANET网是一种不依赖于任何固定基础设施、没有中心控制节点.计算资源受限的新型无线移动网络。本文基于自认证公钥,结合分簇的网络结构提出一种新的适合于Ad Hoc网络的密钥管理方案。新的密钥管理方案不需要公钥证书的存在,有效地降低了用户终端计算、存储能力的需求和系统密钥管理的通信开销。基于分簇的结构将网上节点分成一些相对独立的自治域,既提高了安全服务的可用性和可扩充性,也便于对某些紧急情况快速做出反应。     

制造网格环境下无证书密钥协商方案

为解决网格技术中证书管理的复杂性问题,提出了无证书两方密钥协商新方案。新方案使用了显示认证方法,在随机预言模型下新方案的安全性得到了证明。只要每方至少有一个未泄露的秘密值,那么新方案就是安全的。新方案适合制造网格多信任域环境需求。与其他制造网格环境下密钥协商协议比较,新方案在计算效率上占优。     

抗联盟攻击的虚拟企业安全交互认证方案

针对现有虚拟企业交互认证方案中存在的安全问题,提出了一个抗联盟攻击的广义虚拟企业交互信任方案.该方案通过赋予虚拟企业盟主关于私钥的一个决定因子,使得虚拟认证中心的私钥生成和证书颁发必须有盟主的参与,并保持了信任权限可灵活分配的优点,同时完善了虚拟企业信任交互方案的安全性.分析表明,该方案可以防范那些已退出联盟的恶意成员对系统的联盟攻击,适合复杂动态的虚拟企业环境.     

测量网格中资源组织与定位机制研究

针对网络化测量中跨地域、跨组织的工业测量协作,测量资源互联以及测量资源透明访问等新要求,提出了利用网格技术解决网络化测量问题的新模式.基于网格技术开放式架构、分布式并行服务,以及实现跨地域资源共享和协同工作的特点,提出了基于域网格和子网格的开放式层次化资源组织模型,研究了模型中测量资源的映射算法、映射描述及定位机制.所提出的模型通过资源封装对广域异构测量资源进行屏蔽,实现了异构测量资源访问的标准化,保证了广域测量协作及测量资源访问的透明.最后,给出一个基于多实验室协作的应用实例.     

基于角色映射的跨平台授权研究

为解决网络化制造平台联邦集成中的跨平台授权问题,提出了一种基于角色映射的跨平台授权方式.独立自治的管理域之间通过角色映射,建立起合同性质的授权关系,并讨论了集成系统信任模型和跨平台访问控制过程.针对基于角色的访问控制模型,定义了包括四种映射关系和三种授权关系的形式化授权模型.为保证跨管理域授权的安全性和角色映射的合理性,提出了基于合同约束、静态约束和动态约束的风险控制机制.最后给出了集成系统授权服务器的体系结构及应用示例.     

ASP平台安全认证技术的研究与实现

为满足应用服务提供商平台集成多种异构应用系统的实际需求,提出了一种采用统一安全认证技术进行轻量级应用集成的解决方案。该方案采用目录服务数据库,统一存储用户身份和权限信息,使用会话令牌保证用户身份的持久有效性,通过策略代理保护应用服务资源的安全,并对用户的访问进行统一授权和控制。为实现用户在平台和应用系统之间的单点登录,提出了令牌和代理相结合进行身份信息传递与验证的实现方案,尤其是解决了跨域单点登录的难题。该方案已成功应用于上海电信理想商务应用服务提供商平台。     

基于资源观的虚拟企业组建决策支持系统的构架

分析了虚拟企业的资源特性,指出资源观是联系虚拟企业组建各过程的纽带;以资源观为主线,采用三段式序贯决策描述虚拟企业组建过程,具体包括资源配置-伙伴标准决策、伙伴预选决策和伙伴协商决策;在分析资源多面性的基础上,为解决跨领域决策带来的弊端,提出了领域组织群决策思想。基于MVC思想和J2EE/JavaBean/EJB的可重用性组件技术,采用B/S软件结构实现了决策支持系统。     

基于多代理系统与Web服务的虚拟企业信息系统研究

为给虚拟企业的全局协同运作提供良好的信息基础环境,针对虚拟企业的组织结构和信息资源异质异构性的特点,采用协议分层和逻辑域划分的思想,提出了一个基于多代理系统和Web服务的虚拟企业信息系统基础架构。讨论了基于组织结构的域模型建模方法,分析了代理间的交互机制和共享本体论,以及Web服务在信息集成方面的优势。最后,给出了一个基于上述框架和方法构建的原型系统。研究表明,此种系统架构能实现分布式请求/应答类型的异步信息交换,完成复杂的信息交互活动。     

基于指纹认证与混合加密的网络身份认证协议的设计与实现

认证协议是身份认证系统最关键的部分.研究和设计系统认证协议,是保证网络安全通信的必要条件.设计了一种基于指纹认证与混合加密的网络身份认证协议,该协议的特点是通过使用公钥密码与私钥密码相结合的方法,并启用会话密钥来保证用户在网络上能够安全地操作自己的账户,同时还可以有效地防止黑客的攻击和内部人员的作案,从而绝对保障用户的合法权益.     

身份认证机制的对比与研究

身份认证是实现网络安全的重要机制之一.对当前身份认证机制做了分析,包括基于口令的传统认证、基于Kerberos的认证、基于公共密钥的认证、基于挑战/应答(Challenge/Response)的认证机制,并阐述了其安全性,以便选择认证方式.     

基于指纹认证与混合加密的网络身份认证协议的设计与实现

认证协议是身份认证系统最关键的部分。研究和设计系统认证协议,是保证网络安全通信l的必要条件。设计了一种基于指纹认证与混合加密的网络身份认证协议,该协议的特点是通过使用公钥密码与私钥密码相结合的方法,并启用会话密钥来保证用户在网络上能够安全地操作自己的账户,同时还可以有效地防止黑客的攻击和内部人员的作案,从而绝对保障用户的合法权益。     

制造网格环境下基于身份的认证协议研究

为提高制造网格环境下认证协议的安全性和性能,构建了标准模型下基于身份的认证协议.该协议紧密结合制造网格环境,可在托管模式、无托管模式和不同信任域模式下工作.通过引入伪随机函数集,新认证协议在标准模型下实现了显式双向认证,与其他标准模型下基于身份的认证协议比较,该协议的计算复杂度较低,适用于资源受限的制造网格环境.最后,基于困难性假设,在标准模型下证明了新认证协议的安全性.     

面向网络化制造的用户认证模型及访问控制研究

针对应用服务提供商模式的网络化制造系统的特点,设计了面向多用户的认证模型,将不同应用系统的认证功能和账号管理功能加以集成,用单点登录方式实现系统对用户的认证,分别采用单一口令认证、一次性口令认证和Kerberos协议认证,对不同等级的用户进行身份验证。对基于角色的访问控制模型进行时间约束扩展,在传统的静态主体和客体保护之上加入时间约束,使之能够随着时间的变化进行动态的授权保护。对于多会话时间约束,提出了用层次分析法计算各会话权重,根据会话的加权因子进行时间分配的算法,为应用服务提供商用户访问应用程序提供了安全保障。     

协同商务与设计环境中的安全体系与技术研究

为了解决相应的多域、异构和多变等复杂的安全问题,提出了协同商务与设计环境的安全策略,构建了协同商务与设计环境的安全体系,应用用户代理和资源代理提供资源的访问和安全控制,在不改变协同商务与设计环境各安全个体域的访问控制机制的情况下,实现跨异构域的安全资源访问,为协同商务与设计活动提供有效的安全保障,同时为用户提供方便的资源访问手段。最后,给出了支持协同商务与设计环境安全体系的关键技术框架结构。     

网络化制造外协加工过程技术信息安全管控支持系统

针对网络化外协加工过程中技术信息传输、数据共享、身份认证及访问控制方面的安全隐患,提出以网络安全协议、公钥基础设施技术和密码技术为基础的安全管控支持系统,从交易协议、安全认证和加密控制三个层次综合管控技术信息文件存储、传递到使用的各个环节。系统中交易协议层根据企业的信任度不同分别使用安全网际协议和安全套接层协议,安全认证层通过CA认证中心颁发的数字证书进行身份认证和加密密钥,加密控制层通过随机产出的会话密钥加密技术信息文件。最后通过应用实例验证了该支持系统的可行性和有效性。     

基于多智能体协商的虚拟企业调度研究

针对虚拟企业制造环境的分布性、不确定性和动态性,运用多智能体技术,构建了虚拟企业生产调度系统体系结构。通过多属性效用函数进行调度过程中的协商决策,改进合同网协商协议提高协商效率来实现敏捷调度,并提出了基于多智能体协商的调度算法来实现虚拟企业任务调度。     

支持Windows集成身份验证的分布式监测终端的研制

针对现有的远程监测终端直接与Internet相连存在IP资源浪费和运行成本较高的问题,提出基于ISA Server防火墙的分布式信息远程传输方案.基于ISA Server防火墙的Browser/Server(B/S)通信架构和Windows集成身份验证原理,解析出嵌入式设备通过ISA Server防火墙实现远程通信的流程;在ARM7处理器上实现简化的超文本传输协议和3DES加密算法,研制出支持Windows集成身份验证的分布式监测终端.实际应用表明,该终端支持ISA Server防火墙进行跨局域网通信,满足大规模、远程化监测的要求.     

移动边缘计算环境下基于信任模型的可靠多重计算卸载策略

移动边缘计算环境下的计算卸载技术有助于解决移动终端在资源存储、计算性能等方面的不足。然而,在拥有大量计算资源的移动边缘计算环境中,边缘服务器、移动终端以及网络通信链路的不可靠性不可避免,而应用任务的执行失败对工作流任务调度将造成极大的影响。针对上述问题,首先借鉴社会学中的人际关系模型,同时考虑移动边缘计算环境下应用任务执行的特点,利用Bayes方法对移动终端、边缘服务器和云服务器的可信度分别进行评估,构建了移动边缘计算环境下各类计算资源之间的信任关系模型。其次,结合信任模型和基于多重计算卸载策略的时间开销计算方法,设计了评价计算卸载策略可靠性以及时间开销的适应度计算方法,提出了基于信任模型的可卸载边缘服务器选择算法。最后,结合工作流管理系统提出了移动边缘计算环境下基于信任模型的可靠多重计算卸载策略。通过仿真实验,证明了所提出的基于信任模型的可靠多重计算卸载策略算法能够以较小的时间开销为代价,有效提升应用任务的执行成功率。