一种基于多种证书的网格安全系统

与传统网络环境相比,网格环境提出了更高更广泛的安全需求.该文提出了一种新的基于多种证书的网格安全系统CertGSI.该系统通过灵活使用标识证书、属性证书、代理证书等多种不同用途的数字证书,不但可以满足网格环境下各种安全需求,而且还能提供具有良好可扩展性的灵活认证、授权及访问控制机制.详细探讨了CertGSI的安全策略、框架结构、多种证书、身份认证和访问控制.     

CNGrid GOS安全:设计与实现

分析了网格计算环境中的安全问题,并提出了针对中国国家网格系统软件(CNGrid GOS)的安全框架,即使用证书来处理相互的认证,利用虚拟组织层次的访问控制决策和资源层次的访问控制实施进行处理授权.通信安全是通过在传输层使用安全套接字标准(SSL)、在消息层使用Web服务安全(WS-security)标准实现的.此安全框架已在CNGrid GOS中实现,且在中国国家网格环境中部署.     

基于Logic SQL的B1级安全数据库的设计与实现

基于对B1级安全数据库的研究与分析,介绍了2个数据库安全模型:Bell-La Padula模型、基于角色的访问控制模型(RBAC); 结合LogicSQL数据库的研究,设计了其B1级安全模型.主要从LogicSQL的用户身份认证、自主访问控制、基于角色的访问控制、强制访问控制、安全标签和审计等几个方面进行了讨论.     

网格访问控制及对RBAC模型扩展的研究

访问控制是网格安全中的一个重要问题,其目的是要实现在异构、动态的网格环境下对资源的授权访问。讨论了现有各种访问控制技术及其应用,根据网格计算的特点,对传统的基于角色的访问控制(RBAC)方法进行了扩展,提出了一种基于角色的动态最小权限角色分配、跨域访问控制模型,达到了动态最小权限角色分配及支持跨域访问控制的目的。     

基于信任的网格动态角色访问控制模型

网格要达到资源共享和管理的目的,必须解决资源的访问控制问题。基于角色的访问控制(RBAC)是目前最具影响力的访问控制模型,然而由于网格环境的动态、异构、跨域等特点,标准的RBAC不能满足网格环境下计算的需求。针对网格环境的特点提出基于信任的动态角色访问控制(G-TRBAC),根据用户的行为和上下文信息动态的调整主体的角色,在用户的权限和上下文信息之间建立了关联,给出G-TRBAC模型的定义及实现流程。     

实现细粒度访问控制的元模型研究

从用户要求对数据对象达到细粒度访问控制的需求出发,借助元模型的概念,对基于OB4LAC的权限维度进行细粒度扩充,充分融合数据对象的时间期限、安全限制、上下文环境等属性特征,建立了关于数据对象和操作客体的细粒度元模型,并探讨了两者的粒度归并规则,提炼出功能权限集和功能菜单.由此为系统角色的界定和划分提供参照标准,更加方便了角色的统一管理,达到灵活的细粒度访问控制目标,有利于制定优化的访问控制策略.     

网格计算环境下基于角色的细粒度协作访问控制

针对网格中大量协作访问资源的需求,提出了一种基于角色的细粒度协作访问控制方案.该方案将基于角色的访问控制方法用于网格计算环境,并修改了其中的权限配置规则,添加了时空属性以及细粒度的协作访问属性,可以更好地适应网格计算环境下协作访问控制共有资源的要求.     

基于角色的访问控制理论研究

主要进行信息系统安全中基于角色的访问控制理论研究。首先对角色的关系进行扩展。引入了扩展角色、主体角色继承和扩展主体角色继承层次等概念，并证明了扩展主体角色继承具有偏序关系性质；然后对基于角色的访问控制模型进行扩展，引入客体角色概念，并给出了扩展客体角色的继承层次关系是一偏序关系的证明。为建立类似于传统RBAC（基于角色的访问控制模型）结构的新系统提供了手段。特别是在网格计算环境中存在着虚拟组织结构和跨域认证与操作，采用扩展角色与角色控制域概念可以体现这样的特征，为深入研究网格环境下的安全访问控制理论打下基础。最后讨论了进一步研究的问题。     

基于信任度的网格动态访问控制研究

针对网格环境下的访问控制技术需要解决与陌生实体建立动态信任关系等问题,提出了一种基于信任度的动态访问控制(TBDAC)模型.TBDAC模型综合了信任管理和RBAC模型的优势,首先通过自动信任协商为用户分配普通角色,从而有机结合了认证和访问控制.TBDAC模型将普通角色派生系列临时角色,为临时角色分配带有信任阈值的权限集,通过实时计算出的用户信任值激活临时角色,实现了细粒度和动态授权.TBDAC模型已投入测试,运行正常.     

基于物联网农田环境数据的安全访问控制

随着当前物联网边缘计算技术的发展,使得物联网数据安全访问的问题日益严峻,传统的基于用户权限的数据访问控制策略不能很好解决相关数据安全访问控制问题。为此,从用户身份认证和数据访问控制等方面研究物联网数据安全共享问题的解决方案。以物联网农田环境数据安全共享系统为应用背景,提出了一种基于用户属性和用户行为的数据安全访问控制模型,该模型以用户行为构建信任机制,并结合用户属性的设置与判定共同实现系统的数据安全访问控制。本文给出了模型的规则定义与构建、具体结构设计、数据处理控制流程以及用户信任度评价体系设计的详细过程及实例分析。通过分析结果表明,该模型设计具有较好的动态性和扩展性,能够实现物联网中用户对农田环境数据的安全访问,从而解决物联网数据安全共享问题。     

网格环境中资源发现与监测机制研究

网格资源发现与监测是网格计算的一个重要组成部件,为了对网格资源进行调度和分配,网格系统必须对动态的网格资源进行实时、准确地监测,以充分了解资源的当前状态。通过对网格资源发现与监测标准的分析,结合Agents的跨平台通讯和智能化的特性,给出了一种基于Agents的分层次的网格资源发现与监测模型,该模型以较小的系统代价,可以获取较好的系统性能。     

基于网格的智能答疑系统的研究与设计

讨论了网格和网格体系结构OGSA,并提出了构建基于网格的智能答疑系统的设计思想和方法.在远程教育系统中,由于互联网的异构性,导致了教育资源的分散和答疑系统的各自独立.而网格技术可以实现教育资源的透明共享,网格门户则提供了统一访问网格资源的手段,透明地访问来自不同地域的各种异构资源.     

组合公钥密码的网格身份认证机制

针对目前以PKI技术为基础的网格安全基础设施认证机制存在的用户规模小、效率低、依赖第三方机构在线运行等问题,提出了基于组合公钥密码的网格身份认证机制.该机制根据离散对数难题的数学原理构建公开密钥与私有密钥矩阵,生成数量庞大的由公开密钥与私有密钥组成的公私钥对,从而实现基于标识的超大规模的密钥生产与分发.通过在网格应用中实现该机制,和网格安全基础设施的认证效率进行了比较,验证了基于组合公钥密码的网格身份认证机制的可行性和高效性.     

四川电网灾变防治

四川-华中电网联网后,为了提高四川电网运行的安全稳定性,有效地防治灾难性事故的发生,进行了四川电网灾变防治策略的研究。在现有电网结构的基础上,应用先进的非线性励磁和非线性鲁棒调速控制技术提高发电厂的安全稳定水平。同时研究中采用了柔性交流输电技术与非线性控制技术结合,来改善和提高四川电网的动态品质和安全稳定性。另外还对四川电网的规划提出了合理化建议,以便合理分配电网潮流。通过计算机仿真,证明了提出的控制策略能明显改善四川电网的安全稳定水平,增强电网的抗扰动能力,真正起到灾变防治的作用。     

四川电网灾变防治

四川-华中电网联网后,为了提高四川电网运行的安全稳定性,有效地防治灾难性事故的发生,进行了四川电网灾变防治策略的研究。在现有电网结构的基础上,应用先进的非线性励磁和非线性鲁棒调速控制技术提高发电厂的安全稳定水平。同时研究中采用了柔性交流输电技术与非线性控制技术结合,来改善和提高四川电网的动态品质和安全稳定性。还对四川电网的规划提出了合理化建议,以便合理分配电网潮流。通过计算机仿真,证明了提出的控制策略能明显改善四川电网的安全稳定水平,增强电网的抗扰动能力,真正起到灾变防治的作用。     

基于角色的多级访问控制模型

在基于角色的访问控制（role-based access control,RBAC）模型的基础上提出了一种基于角色的多级访问控制模型RBMHAC（role-based multi-hierarchy access control）,该模型引入了“域”的概念来根据现实世界中的等级管理体制,通过对“域”用户的安全管理来有效地实现多级安全管理,RBHMAC模型能提供更加完善的访问控制策略,对角色的管理也更加方便高效。     

网格环境中的安全性问题研究

分析了网格环境下的安全性问题，即现有技术和安全协议的集成及扩展；不同主机环境协同工作的能力；相互影响的主机环境之间的信任关系。通过建立网格安全模型讨论了网格安全的服务特性，最后还讨论了网格安全解决方案的发展趋势，即将XML安全标准和Web服务的安全性规范融合到网格安全的体系结构中。     

基于NTRUSign的网格认证与委托

将NTRUSign运用到网格GSI中,给出了使用NTRUSign实现网格认证与委托的详细步骤,分析了认证与委托具有不可伪造性、可证实性、身份证实性、不可抵赖性、代理权限不可滥用性等安全性能.实验分析表明,提出的方法比RSA等方法具有较高的效率.