网格身份认证和细粒度访问控制模型的研究与设计

网格是继因特网(Internet)、万维网(Web)之后,互联网发展的第三个里程碑。网格系统具有数据量大、地理上分布、数据库结构异构、其应用环境网络化、用户人数众多、分散的特点。开放的网络环境对信息的传输没有足够的安全保证。网格系统的安全问题已经成为网格研究的热点问题,国内外研究机构正在对网格安全问题进行广泛的研究。身份认证和访问控制机制是网格安全的重要研究方面,产生了集中式层次认证模型、混合交叉认证模型等网络安全认证模型。这些方法都存在各种各样的缺陷,如证书管理复杂,路经选择困难,不能进行细粒度的访问控制等。探讨在网格环境中跨域身份认证和细粒度访问控制系统方面,提出了基于多种认证组合和资源代理的网格身份认证及访问控制模型,通过混合身份认证和票据交换达到身份认证的及时性、有效性和细粒度资源控制,在用户数量大、更新频繁的情况下,达到系统响应速度快的要求。     

CNGrid GOS批作业系统的易用性研究与实现

从功能、稳定性及性能3个方面,对中国国家网格系统软件(CNGrid GOS)的批作业系统WebHPC(高性能网络计算平台软件)的易用性进行了研究.改进和完善了与批作业相关的作业管理、文件传输以及作业记账的功能;通过控制作业请求的流量、改进作业工作目录为层次式结构、减小内存泄漏以及改用vfork方式调用批作业脚本,极大地提升了软件运行的稳定性.另外,通过控制作业提交速率以及对临界资源的调用保护,明显提升了系统的性能.     

基于CNGrid的科研协同平台多学科网格应用

阐述了一种基于中国国家网格(CNGrid)的科研协同平台及其多学科网格应用.该科研协同平台包括核心服务、资源集成服务和网格应用开发框架.基于该平台提供的服务和应用开发框架,针对地学、高能物理、天文学和生物能源等学科领域在CNGrid上的科研协同工作方面的需求,研究解决了计算资源集成、数据高速传输、海量数据挖掘和科研流程控制等关键技术,研发了相关网格应用系统,为科研人员提供基于CNGrid的科研协同服务.     

基于角色的访问控制理论研究

主要进行信息系统安全中基于角色的访问控制理论研究。首先对角色的关系进行扩展。引入了扩展角色、主体角色继承和扩展主体角色继承层次等概念，并证明了扩展主体角色继承具有偏序关系性质；然后对基于角色的访问控制模型进行扩展，引入客体角色概念，并给出了扩展客体角色的继承层次关系是一偏序关系的证明。为建立类似于传统RBAC（基于角色的访问控制模型）结构的新系统提供了手段。特别是在网格计算环境中存在着虚拟组织结构和跨域认证与操作，采用扩展角色与角色控制域概念可以体现这样的特征，为深入研究网格环境下的安全访问控制理论打下基础。最后讨论了进一步研究的问题。     

网格环境下期权定价BSDE模型的并行实现

提出了一种在CNGrid网格服务环境下解决期权定价问题的并行应用方法.这种方法基于BSDE(backward stochastic differential equation)模型.根据异构计算资源的特点,使用CUDA和MPI分别在GPU计算节点和CPU计算节点上实现并行算法,比较不同编程在异构计算节点上的实现效率.通过监控计算节点上计算任务的负载状况,利用CNGrid所提供的计算服务,灵活地在异构计算节点上完成期权定价计算任务.     

面向服务的学习评价网格安全体系

安全问题是网格系统中一个极具挑战性的问题。为了解决面向e-L earn ing的学习评价网格(LAG rid)中的安全问题,该文提出了一种面向服务的网格安全体系。该体系基于对称密钥基础设施,实现了单次登录方式的系统用户认证和基于角色的访问控制,以及一种安全令牌发行服务,并在此基础上进一步实现了网格节点认证和基于W eb服务安全规范的消息加密和签名。这种安全体系已被成功用于构建LAG rid系统,实现了一种安全、透明的基于W eb的用户环境,支持广域资源共享和跨组织的大规模协同工作。     

空间知识网格安全体系结构模型研究

阐述空间知识网格环境中的安全需求以及现有安全技术的不足,研究空间知识网格安全策略,建立空间知识网格安全体系结构模型.该模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,充分利用Web服务技术,集成权限管理基础设施和XACML,使自身适合空间知识网格的需求,可支持基于角色的访问控制,具有灵活性、适应性、可伸性和可扩展性等特点.     

基于信任的网格动态角色访问控制模型

网格要达到资源共享和管理的目的,必须解决资源的访问控制问题。基于角色的访问控制(RBAC)是目前最具影响力的访问控制模型,然而由于网格环境的动态、异构、跨域等特点,标准的RBAC不能满足网格环境下计算的需求。针对网格环境的特点提出基于信任的动态角色访问控制(G-TRBAC),根据用户的行为和上下文信息动态的调整主体的角色,在用户的权限和上下文信息之间建立了关联,给出G-TRBAC模型的定义及实现流程。     

基于OGSA的数据库网格化封装方法

以空间信息网格项目(SIG)为例,在比较了传统数据库远程连接方式的基础上,讨论了利用开放网格服务架构(OGSA)对数据库进行网格化的封装、构造网格环境下的数据库访问接口;实现了利用数据管理服务(DMS)对网络环境下数据库资源的有效封装与集成,以及对空间元数据的检索、查询和访问控制;指出了序列化方法是空间信息网格(SIG)中对数据库返回结果集进行处理的一种比较好的实现方式．     

GT的安全机制及实现方法的演进

分析了典型的网格计算应用模型G lobus Toolk it(GT)的发展历程,研究网格的安全机制及其实现方法。早期版本GT2,是通过网格安全基础设施(GSI)来保障网格计算环境的安全。GT3则采用基于开放网格服务(OGSA)的安全机制,保留了GT2中的GSI部分结构。随着网格计算与W eb技术的不断融合,即将发布的GT4将采用网格服务资源框架(W SRF),以W S鉴定授权完全取代GSI。     

An Improved Grid Security Infrastructure by Trusted Computing

Current delegation mechanism of grid security infrastructure （GSI） can＇t satisfy the requirement of dynamic, distributed and practical security in grid virtual organization. To improve this situation, a TC-enabled GSI is discussed in this paper. With TC-enabled GSI, a practical delegation solution is proposed in this paper through enforcing fine granularity policy over distributed platforms with the emerging trusted computing technologies. Here trusted platform module is treated as a tamper-resistance module to improve grid security infrastructure. With the implement of Project Daonity, it is demonstrated that the solution could gain dynamic and distributed security in grid environment.     

网格计算中的安全分析与实现

该文分析了网格计算中的安全问题与策略,并介绍了网格环境下典型的安全解决途径——GSI所涉及到的安全技术。     

网格信任模型的研究

研究如何在网格中建立基于行为的信任模型,排除内部恶意节点,提高系统的安全可靠程度.提出一种新型的基于行为的信任计算模型来处理网格环境中实体间的信任关系,该模型对域内信任关系和域间信任关系分别采取不同的方法进行处理,能够评估实体与实体间的信任关系,从而解决网格环境中存在的某些安全问题.     

基于虚拟机的网格计算模型

基于对网络计算中安全因素及实现环节的考虑,提出一种基于虚拟机和中间件的网格计算模型。该虚拟机是传统操作系统进程(虚拟机监视程序)和文件(虚拟机状态)的合并,对该模型做出了定性的讨论,并且从性能的角度作出了相应的可行性分析。最后,还叙述了该方法和虚拟机上网格计算架构所带来的中间件的竞争。     

基于计算池模型的网格性能分析

简要分析了传统网格计算中存在的不足之处,并对当前比较实用的一种网格计算模型(网格计算池模型)用排队论的方法进行了系统的研究,定量分析了网格计算池模型的特性,对网格计算能起到一定的指导作用,并且对组成网格计算池的高性能计算机数量的选择给出了一些指导性的意见。     

Security Considerations Based on PKI/CA in Manufacturing Grid

In the manufacturing grid environment, the span of the consideration of security issues is more extensive, and the solutions for them are more complex, therefore these problems in manufacturing grid can＇t longer be addressed by existing security technologies. In order to solve this problem, the paper first puts forward the security architecture of manufacturing grid on the basis of the proposal of the security strategies for manufacturing grid; then the paper introduces key technologies based on public key infrastructure-certificate authority （PKI/CA） to ensure the security of manufacturing grid, such as single sign-on, security proxy, independent authentication and so on. Schemes discussed in the paper have some values to settle security problems in the manufacturing grid environment.     

基于OGSA的应用网格及其关键技术研究

文章介绍了网格计算技术的发展与研究现状,从网格体系结构等方面对网格计算技术进行探讨,着重剖析了网格系统的五层沙漏结构和最新的开放网格服务体系结构OGSA,并提出了网格计算技术中应重点关注的关键技术与问题。     

大规模电力网格体系结构

大规模电力系统往往需要跨多个具有自治性的子网,是典型的网格系统.根据电力系统的实际需要,将网格计算技术应用于电力系统之中,为电力系统提供先进的方法和平台.提出了基于网格的大规模电力系统体系结构,对各层进行了详尽的讨论,设计和分析了电力网格中间件（PGM）,并给出了基于电力网格中间件技术进行在线安全评估的应用示范.实验结果显示,基于提出的体系结构进行DSA应用耗时较短.     

组合公钥密码的网格身份认证机制

针对目前以PKI技术为基础的网格安全基础设施认证机制存在的用户规模小、效率低、依赖第三方机构在线运行等问题,提出了基于组合公钥密码的网格身份认证机制.该机制根据离散对数难题的数学原理构建公开密钥与私有密钥矩阵,生成数量庞大的由公开密钥与私有密钥组成的公私钥对,从而实现基于标识的超大规模的密钥生产与分发.通过在网格应用中实现该机制,和网格安全基础设施的认证效率进行了比较,验证了基于组合公钥密码的网格身份认证机制的可行性和高效性.