大规模分布虚拟环境的分级兴趣管理

大规模分布虚拟环境中 ,兴趣管理技术使其中的实体只向对它感兴趣的实体发送数据 ,大幅度减少了系统的网络通信开销及计算开销 .然而由于参与分布交互仿真的实体兴趣域的巨大差异 ,可能导致网络通信负载的极度不平衡 ,由此提出了分级兴趣管理技术 .分级兴趣管理技术把兴趣域内实体根据兴趣度分级 ,在此基础上 ,对低兴趣度实体提出了高效的状态数据包压缩、还原算法 ,并提出多阈值 DR技术 ,以减少通信频率 .

KSEFS:支持加密共享的服务器加密文件系统

针对电子数据的存储安全和交换安全问题,本文提出了加密共享保险箱技术。加密共享保险箱是网络用户在服务器上的基本加密存储实体,除了提供透明加解密功能外,能够灵活实现网络用户间的数据加密共享功能。在加密共享保险箱技术基础上,本文给出了麒麟服务器加密文件系统（KSEFS）的系统结构。最后对KSEFS进行了性能测试,结果表明KSEFS提供的加密文件服务性能与普通文件服务相比,性能只降低3%－18%。

分布式虚拟现实仿真环境中的数据过滤技术研究

减少网络通讯负载一直是分布交互仿真环境致力解决的问题。本文针对分布式虚拟现实仿真环境DVSE2 0 0 0遇到的拨号网络通讯瓶颈问题 ,讨论了基于数据转发器的实体状态数据包压缩技术及静态实体数据包传送技术。另外本文还基于大规模分布交互仿真环境介绍了兴趣管理技术 ,并提出了多阈值DR技术的思想。

多阈值推算定位技术研究

推算定位技术是分布交互仿真系统缓解通信量及实时性问题的重要手段 ,但目前的推算定位算法采用统一的阈值 ,没有区别对待远距离实体与近距离实体 ,造成通信资源的浪费 .提出多阈值推算定位技术 ,根据实体的兴趣度把责任域划分成若干子责任域 ,同时本地实体进行多级推算 ,每级推算对应不同的子责任域及阈值 .多阈值推算定位技术很好地解决了近距离实体的行为失真与系统通信量之间的矛盾 。

数据并行语言编译系统的并行循环迭代分布算法

讨论大规模并行机数据并行语言编译技术中的并行循环迭代分布算法。数据并行语言的数据分布方式有BLOCK、BLOCK（1）、BLOCK（N）和：4种，而循环迭代分布是与数据分布对准的。文中给出与这些分布方式对应的循环送代分布算法。算法允许确定数据分布方式的对准数组的下标可以是任意系数的一阶线性表达式；并行循环的循环增量可以为任意非零整数。

六边形网格细分法实现二阈值推算定位

推算定位技术是大规模分布交互仿真系统缓解网络传输延时及减少网络通讯量的传统方法。以往的推算定位技术在设定推算阈值时 ,总因为顾及近距离实体的精确度需求而设置较小的阈值 ,这样无可避免地增加了远距离实体的数据接收频率 ,增加了网络通讯开销。为此本文提出了多阈值推算定位技术 ,针对不同距离的接收实体对应不同的误差容许阈值进行推算 ,针对 DIS系统给出了一种基于六边形网络细分的二阈值推算定位技术的实现方法。该方法实现简单 。

数据并行语言编译系统的处理机分配算法

处理机分配是数据并行语言编译系统的一项重要技术，原因是高效使用大规模并行计算机的关键在于将程序中的计算尽可能均匀地分布到各个处理机上去执行，并且将程序中的数据按照使通信量尽可能少的原则分布存放在各个节点上，而处理机分配直接影响着数据分布和并行循环这代分布的效果。文章讨论处理机分配的原则，给出了一个高效的处理机分配算法。

一种基于RBAC模型的角色管理方法

基于角色的访问控制具有管理简单、安全灵活、可用性强等特点,近年来得到了广泛的研究与发展.但是对于角色的管理方法还存在一些不足.针对现有的角色管理方法中关键角色可被赋予多个用户可能导致冲突以及缺乏角色移交机制的问题,设计并实现了一种灵活的关键角色管理方法KRMM,把角色划分为关键角色与非关键角色,限制关联关键角色的用户数量,确保关键权限不被滥用,同时支持关键角色的移交,使用户能够将自己关联的关键角色移交给其他用户,确保系统任何时候都不会缺少关键角色.在麒麟安全操作系统中实现了KRMM,使角色的管理更加灵活与安全.

基于eCryptfs的多用户加密文件系统设计和实现

加密文件系统eCryptfs能有效防止存储介质在丢失或失窃情况下导致的信息泄露隐患。它的不足在于:不支持多用户环境下的联机数据保护,即一个用户一旦成功授权访问加密文件系统中的数据,则系统中的其他用户都可以访问加密文件系统中的数据。提出了以密钥为权能的加密文件系统访问控制机制,并基于eCryptfs设计和实现了多用户加密文件系统,确保只有拥有合法密钥的用户才能访问密文数据。

无线局域网的信息安全保障

目前大部分无线传输系统采用WEP机制解决无线局域网的安全问题 ,然而WEP在身份认证、加密算法、密钥管理、信息认证等方面存在严重缺陷 ,无法满足安全需求。针对无线局域网信息传输系统设计存在的安全问题 ,提出一个无线局域网信息传输系统的安全设计方案。

动态浓烟建模与实时绘制技术研究

基于气体动力学和粒子系统理论 ,本文给出了一种实时生成动态浓烟的方法。算法以球为基本粒子对烟进行造型 ,采用动态纹理映射技术和透明度扰动方法 ,来模拟烟的浓淡变化 ,采用简化物理方法 ,来描述浓烟的运动。与传统的粒子系统和随机湍流运动模型相比 ,该算法既正确模拟了烟的行为 ,又降低了计算复杂性 ,真实再现了动态浓烟的视觉效果。

面向用户角色的细粒度自主访问控制机制

基于访问控制表(ACL)的细粒度自主访问控制机制可以实现针对单个用户或用户组的访问授权,但是在实际使用中可能造成不适当授权或权限撤销不及时的缺陷。基于可信Kylin操作系统的角色定权(RBA)机制,在自主授权中引入了用户角色约束,提出了一种面向用户角色的细粒度自主访问控制机制,实现了针对单个用户在承担特定角色时的访问授权,一旦用户不再承担该角色,访问授权可以及时撤销,有效解决了ACL不适当授权的问题。

一种恶意代码防护方法及其实现

提出了一种恶意代码防护方法,该方法能够限制来自不可信源(如网络、可移动磁盘等)的数据和执行代码的使用方式和行为,从而达到系统防护的目的。实验结果表明,这种方法不但能够防护各种已知的恶意代码,对新出现的恶意代码也能有效防护。它同时也是一种实时的恶意代码防护方法。

海量小文件系统的可移植操作系统接口兼容技术

基于Hadoop分布式文件系统（HDFS）研发的海量小文件系统（SMDFS）遗留了HDFS不兼容可移植操作系统接口（POSIX）约束的问题，为解决SMDFS的这一问题，提出基于本地缓存的POSIX兼容技术和基于数据暂存区的元数据高效管理技术。首先，通过设置数据暂存区来实现读写模式文件流的重定向，然后建立异步线程池模型，实现数据暂存区镜像文件的同步，从而完成用户层到存储层的所有POSIX相关的文件操作。此外，借助跳表结构的元数据缓存实现List目录等元数据操作效率优化。测试表明，相较于HDFS的Linux客户端，基于技术成果实现的SMDFS3．0的随机读性能有10倍以上的性能提升，顺序读和顺序写性能有约3～4倍的提升，随机写性能可以达到本地文件系统的20％，基于目录的元数据缓存的设计使目录的List操作效率提升近10倍。但是，由于用户空间文件系统（FUSE）挂栽的客户端会引入额外的内核态和用户态切换等带来的开销，因此SMDFS3．0的Linux客户端相对于系统的Java接口会有大约50％的性能损耗。

基于认证可信度的用户权限控制技术研究

认证可信度体现了用户身份的可信程度。本文基于用户认证可信度实施用户登录限制、用户角色获取限制及角色强制访问控制策略权限限制,提出了基于认证可信度的用户权限控制技术。将认证可信度与用户访问系统结合,要求用户访问系统必须具有相应的认证可信度,具有重要身份的用户必须通过重要的身份认证机制的认证。在角色定权中结合认证可信度,根据用户认证可信度确定用户可以激活的角色,确定角色被激活后的访问控制权限,并参与到各强制访问控制策略实施中,真正实现认证与访问授权的有机统一,解决权限的不当获取。最后指出了进一步研究的内容。

基于角色的用户权力限制

基于角色提出并实现了一个用户权力限制模型。该模型通过角色授权控制,缺省不赋予登录用户任何特权。当用户操作或应用需要特权时,根据操作需求提升权限,并且一次有效;操作结束后,特权及时撤销。模型实现时,通过在用户与系统之间建立可信路径来防止权限提升过程中恶意程序进行篡改和窃取;通过改进访问控制列表检查算法减少了不必要的权限提升。用户权力限制模型能让用户更加安全、方便地控制系统,并有效地解决了用户权力最小化问题。

基于优化合并准则的团划分算法

图论中的团划分算法 ,对于高级综合中的分配有重要意义 ,目前高级综合中广泛采用的是C .J.Tseng等提出的近似算法 .文中通过分析完全点和二分点的情况 ,提出了两个合并准则 ,指导改进了目前的团划分算法 .经模拟测试表明 。

在角色定权框架下实现能力机制

本文基于Kylin操作系统的角色定权框架完整地设计实现了遵循Posix1003.1e规范的能力机制,并且引入角色能力和用户能力的概念。利用该机制,我们可以在系统上有效地实施最小特权,包括分权、控制setuid和setgid程序、限制守护程序等。这样,系统中不再存在超级用户,其功能被划分到多个管理员用户之中;系统中每个进程都仅仅具有完成其任务所必需的特权,有效地阻止了滥用特权,大大提高了系统的安全。

可信授权技术的研究和实现

针对认证和授权脱离，给系统留下了缓冲区溢出攻击导致认证机制被旁路的安全隐患问题．提出了可信授权的思想，将用户的认证可信度作为授权的基础，使用户获得的授权是真正可信的，从而避免认证机制被旁路造成的危害，并且能真正实现管理员分权．同时本文基于Kylin操作系统安全版的角色定权框架，给出了可信授权的实现技术和途径．

KESS元数据处理一致性协议

在麒麟分布式加密存储系统中,分布式元数据处理在系统发生异常时会出现不一致的情况。为了解决这一问题,提出了元数据处理一致性协议2PC-MP。该协议引入事务序号,保证日志记录和消息交互的一致性;增加悬挂队列,避免参与者进程因网络异常而阻塞;增加回退队列,解决用户登录session失效后无法回退的问题;通过分布式日志保证系统故障后的快速恢复。结果表明,2PC-MP协议能够保证元数据处理的一致性和提高系统的性能。