GSI安全策略与GridPort login实现

介绍了网格环境下GSI(grid security infrastructure)安全策略及其认证方式,在此基础上详细分析了GridPort login的实现原理及其与GSI安全策略的融合,并提出了一种GridPort login的实现方法.最后简单阐述了该方法所面临的问题,并对未来提出了展望.

Security Considerations Based on PKI/CA in Manufacturing Grid

In the manufacturing grid environment, the span of the consideration of security issues is more extensive, and the solutions for them are more complex, therefore these problems in manufacturing grid can＇t longer be addressed by existing security technologies. In order to solve this problem, the paper first puts forward the security architecture of manufacturing grid on the basis of the proposal of the security strategies for manufacturing grid; then the paper introduces key technologies based on public key infrastructure-certificate authority （PKI/CA） to ensure the security of manufacturing grid, such as single sign-on, security proxy, independent authentication and so on. Schemes discussed in the paper have some values to settle security problems in the manufacturing grid environment.

Secure Communication Networks in the Advanced Metering Infrastructure of Smart Grid

In this paper, a security protocol for the advanced metering infrastructure （AMI） in smart grid is proposed. Through the AMI, customers and the service provider achieve two-way communication. Real-time monitoring and demand response can be applied because of the information exchanged. Since the information contains much privacy of the customer, and the control messages need to be authenticated, security needs to be ensured for the communication in the AM1. Due to the complicated network structure of the AMI, the asymmetric communications, and various security requirements, existing security protocols for other networks can hardly be applied into the AMI directly. Therefore, a security protocol specifically for the AMI to meet the security requirements is proposed. Our proposed security protocol includes initial authentication, secure uplink data aggregation, secure downlink data transmission, and domain secrets update. Compared with existing researches in related areas, our proposed security protocol takes the asymmetric communications of the AMI and various security requirements in smart grid into consideration.

网格安全体系结构及GSI安全策略研究

描述了网格系统的理想体系结构,分析网格安全需求和安全目标,并提出了一个5层安全体系结构。最后,通过分析GSI安全策略,对主要的GSI安全问题进行讨论并提出了设计算法。

GSI的信息栅格授权服务策略

GSI授权机制过于简单,作为对GSI授权机制补充的社区授权服务(CAS)又过于中心化,不适应情报网格信息流授权机制的要求。为此,提出了基于角色访问控制(RBAC)的虚拟组织授权服务(VOAS)策略,允许给用户分配VO角色来支持角色分层和限制。通过将VO角色映射为本地数据库角色,以及对本地角色委派细粒度权限等工作,既实现VO间用户与访问权限的逻辑分离,又杜绝了角色联合权限的方式,使VO间的授权管理比较简单灵活。解决了现有信息栅格中CAS授权粒度不够细化、可扩展性差等问题。仿真实验表明,该授权策略在不影响系统运行效率的前提下,简化了系统授权和管理的复杂度。

基于GSI的网格安全改进授权模型设计与实现

一种面向数据库资源的网格安全基础架构:Database Grid Security Infrastructure(DGSI)模型。这种模型是一个基于GSI验证机制前提,针对数据库资源,面向网格环境的信息保护与共享安全的基础架构。该模型可为解决网格环境下的数据库资源授权、验证、信任等问题的设计与实现提供参考。

智能电网AMI领域IDS研究综述

高级计量基础设施(Advanced Metering Infrastructure,AMI)作为智能电网的关键组件,有效支撑了智能电网实时交互分布式能源发电和存储等重要环节。AMI中网络的接入也使得智能电网面临着愈发严峻的安全风险。在AMI的安全领域中,入侵检测系统(Intrusion Detection System,IDS)凭借着其主动检测攻击的能力而被广泛应用。文章通过介绍智能电网关键组件AMI的架构,分析确定了AMI面对异常访问的安全薄弱点。在此基础上,文章调研了面向连接和面向设备的IDS研究现状,详述了近年来IDS在AMI领域中的应用与发展,归纳分析了IDS在AMI领域中仍存在的问题,并给出了层次化展望。

计及多端互联通信的智能电网AMI新型密钥管理方案

针对智能电网高级量测体系(advanced metering infrastructure,AMI)中智能电表与配电自动化系统、分布式电源监控系统等通信过程中可能存在的信息安全问题,提出了一种计及多端互联通信的智能电网AMI新型密钥管理方案.首先基于电力系统IEC 61850标准建立了智能电表量测信息交互模型,然后根据AMI在电力系统中的密钥实际管理需要,提出了一种适用于AMI环境下的密钥管理架构,并采用数据-密钥双向动态更新策略,降低了网络密钥分发耗损与泄漏风险.通过算法安全性和性能测试可知,该新型密钥管理方法符合电力系统数据量测的安全需要,能够有效保障智能电网AMI中多端互联通信过程中的信息安全.

基于身份的网格安全体系结构研究

为了克服PKI证书机制对GSI规模化发展的制约,在分析GSI中证书机制局限性的基础上,将HIBC引入到GSI中,使用HIBC签名方案代替GSI中的PKI数字签名并进行扩展,提出一种基于身份的网格安全体系结构IBGSI(ID-based GSI),进而给出了结合HIBC方案改进TLS握手协议的方法,并通过一组协议控制下的实体交互过程定义IBGSI的协议结构。从分层身份结构、认证结构和协议结构三个方面对IBGSI进行了研究,研究结果表明IBGSI融合了GSI与IBC的优势,能够重用GSI的安全服务且便于部署,并获得IBC轻量、高效的优点。

基于分层身份的电子政务网格认证模型研究

在网格环境中,PKI公钥管理方式对GSI认证效率产生一定的制约,而基于IBC的认证机制轻量、高效,密钥管理较为简便,改进了TLS握手协议,在此基础上提出一种适用于电子政务网格的基于HIBC的认证模型HIAM(Hierarchical ID-based Authentication Model),该模型克服了基于PKI的证书认证机制效率方面的缺点,通过与GSI的结合,重用GSI提供的安全服务,同时便于部署。

对网格安全技术的讨论

在分析网格环境安全特点和需求的基础上,本文讨论了现有的主要安全技术并从功能角度着重分析了GSI的安全实现,最后结合现状给出了网格安全发展的前景。

一种面向方面的网格安全模型研究

通过引入面向方面的核心思想,分析了网格安全实现方案GSI中存在的结构复杂和耦合度过高问题。在传统网格安全模型的基础上,利用方面机制来实现网格安全,提出了一种新的面向方面的网格安全模型（AOGSM）,并对该模型进行了详细描述。仿真实验表明,面向方面的网格安全模型通过对网格安全横切特性的分离,降低了网格安全机制的复杂度和模块间的耦合度。

电力调度证书系统的特点及应用

分析了电力二次系统所面临的风险;简要阐述了电力二次系统安全防护相关规定;介绍了在我国电力调度系统内专用的证书服务系统;说明了证书服务系统签发的数字证书的几种典型应用。文中介绍的基于公钥基础设施(publickeyinfrastructure,PKI)技术的电力调度证书服务系统是一款由中国电力科学研究院开发的、基于PKI技术的分布式证书管理系统,符合我国电力调度系统的具体情况,在结构上与传统的证书颁发机构不同。该系统签发的数字证书已经在我国电力调度系统内广泛应用。

基于网格环境的可信计算平台共享模型

提出了一种基于网格环境的可信计算平台共享模型以提高可信与非可信节点混合环境下的整体安全性.模型允许非可信网格节点借用可信节点的可信平台模块及其核心服务以提高自身参与网络协同的可信程度,有助于提高当前网格环境中可信应用的范围.在模型中同时设计了远程协商协议、密钥迁移协议、验证和证明协议来解决共享过程中的交互问题.分析表明使用本模型可以平衡网格的安全性与代价,降低可信计算应用的门槛.

网格计算环境中的应用安全模型设计与实现

网格计算是近年来兴起的一个研究热点。它的出现和发展使得解决高性能计算领域的问题和挑战成为可能。而安全问题是网格计算成败的关键,因此,分析了当前网格计算环境的安全需求和网格安全基础设施(GSI)以及数字证书在GSI中的应用,并针对其存在的不足,设计了一种新型的网格应用安全模型,并基于网格计算环境实现了该模型。

网格环境下的隐私保护计算研究

提出了一种适用于网格环境下的隐私保护计算模型.针对当前网格安全研究中对数据隐私性保护的不足,将GSI(网格安全基础件)与同态加密技术、安全点积协议以及数据扰乱算法等多种安全技术相结合,实现在一个互不信任的网格环境中,对各参与节点隐私性数据进行保护,成功避免了传统的隐私保护计算中繁琐的一对多(多对多)的交互式加密,当节点动态变化时,恢复计算仅涉及到构成隐私保护模块的三个节点.安全及动态性分析结果表明:该模型及相关应用算法既提供了数据的隐私性保护,又能良好地适应节点数目众多和动态变化频繁的网格环境.同时给出了基于G2PC模型的具体隐私保护算法——网格环境下的隐私保护方差计算.

网格计算与安全策略

介绍网格计算的概念和发展历程,简析网络计算所面临的安全问题,给出Globus的网格安全解决方案,并描述了网格计算的发展前景。

基于多级单向哈希链的网格代理证书管理

代理证书是网格安全基础设施(GSI)中关键机制之一,用户需要通过代理证书访问网格服务,但目前的GSI方案中缺乏有效的代理证书管理机制。针对代理证书的生命周期控制不灵活、证书容易受到攻击等问题,该文提出一种基于多级单向哈希链的网格代理证书管理方案。多级单向哈希链由2层或2层以上哈希链构成,每个代理证书都由一个哈希值保护,其有效时间能够得到自适应控制,增强了网格代理证书管理的安全性和任务成功率。实验表明网格环境下该方案计算和通信开销较小。

一个具有强授权特性的网格安全框架

网格安全技术主要解决网格环境中实体之间的认证和授权问题。Globus网格项目中的GSI(GridSecurityInfrastructure)主要基于X. 509技术实现身份认证以及数据的机密性、完整性和抗否认性,重点解决了认证和消息保护问题,然而在授权问题上缺乏必要的技术支撑。在分析现有安全技术的基础上,提出了将基于X. 509的PKI技术和PMI技术相结合的网格安全框架,旨在实现基于安全认证基础之上网格用户和虚拟群组实体间的安全授权机制,从而构建强认证、强授权的网格安全基础设施。

GT的安全机制及实现方法的演进

分析了典型的网格计算应用模型G lobus Toolk it(GT)的发展历程,研究网格的安全机制及其实现方法。早期版本GT2,是通过网格安全基础设施(GSI)来保障网格计算环境的安全。GT3则采用基于开放网格服务(OGSA)的安全机制,保留了GT2中的GSI部分结构。随着网格计算与W eb技术的不断融合,即将发布的GT4将采用网格服务资源框架(W SRF),以W S鉴定授权完全取代GSI。