PKI安全认证体系的研究

PKI作为一种安全基础设施,可为不同的用户按不同的安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、安全时间戳和存取控制等服务。而安全认证服务融合了上述服务中所采用的主要技术,逐渐成为保证网络信息安全的主要手段。在对现有的PKI认证体系分析的基础上,着重研究了PKI安全认证体系模型,最后提出了适合于国家级的PKI安全认证体系。

网格安全互操作及其应用研究

网格计算为地理分布资源的聚合以及大规模计算问题的解决提供了技术途径,国内外大型网格项目都是基于某种网格平台构建,通过这些平台管理着本领域的资源/服务,为了聚合不同网格平台管理的资源/服务,需要实现异构网格平台的互操作.由于不同网格平台的安全机制不同,安全互操作是网格互操作中需要解决的一个关键问题.通过分析,当前网格平台通常具有网格全局用户身份以及虚拟组织层次结构的公共特征,基于网格平台的主体类型研究网格平台互操作映射策略,并提出一种通用的安全互操作流程.CGSP和GOS是国内两大知名的网格中间件,分别管理了大量的教育和科技资源,以CGSP和GOS的安全互操作为例,阐述了安全互操作策略映射机制及安全互操作流程的具体实现,并分析了网格平台间的授权及其一致性、映射策略的灵活性以及互操作流程的安全性.最后,对CGSP和GOS的安全互操作的性能进行了测试分析.

网格化制造模式中面向联盟协同的安全体系及技术

安全网际协议、安全套接层协议、安全简单对象访问协议和记录级等多层次的安全通信协议及基于公钥基础设施,建立了网格化制造模式下面向联盟协同的安全体系架构。通过基于安全网际协议的虚拟专用网技术、安全的电子商务交易与协作、软件或单据的签名加密、安全电子邮件等实现技术与方法,为联盟企业合作伙伴开展网格化制造模式下的商务协同、设计协同、制造协同和供应链协同提供了全面的安全保障。

网格计算系统的安全体系结构模型研究

文章首先分析了网格计算系统涉及的安全问题,阐述了对其安全机制的考虑。经过剖析当今典型系统Globus实现的网格安全架构解决方案GSI(Grid Security Infrastructure),在借鉴其长处的基础上,以资源映射与管理为切入点提出了较为灵活全面的网格计算系统安全体系结构模型。然后基于该安全体系结构模型在Globus环境下设计和实现了一个安全方案。文章最后介绍了将要开展的工作。

基于代理的网格安全体系结构设计与分析

网格环境下的新特性,引出其独特的安全需求。本文提出一组安全策略,构建了相应的安全体系结构模型,并从一次典型网格计算过程的角度来详细分析该模型,解决了诸如单点登录、身份映射等问题。

轻量级可移交CA的MANET网络认证体系

为解决移动自组网(Mobile Ad Hoc Network,MANET)网络信道开放、节点灵活多变且资源受限以及难以部署复杂认证机制的问题,结合轻量级CA思想,构造出一种适用于生存周期短、拓扑结构高度动态变化的MANET的认证体系结构即轻量级可移交认证中心(Lightweight and Shifted Certification Authority,LSCA)。LSCA结构简化了传统基于证书CA机制的公钥产生及验证的复杂性,无需证书管理;同时以移交CA角色的方式工作,不需预先配置节点及预知网络拓扑结构,使系统在不采用门限机制的情况下具备一定的容侵能力。性能分析及仿真实验表明:LSCA对DoS攻击表现出较强的健壮性,在通信、计算及存储代价方面均优于分布式CA及门限机制CA,适用于动态多变、生存周期较短的MANET网络应用。

网格服务系统安全体系的研究与设计

网格将分散的资源聚合在一起,形成更高层次的分布式资源共享环境,安全问题一直以来都是网格环境中考虑的一个重要问题。研究并设计了网格服务系统的安全体系结构,分析了网格服务系统的特点及面临的安全问题,讨论了安全体系中涉及的技术手段,通过本地及域级用户映射机制和资源自描述的安全方案,实现了较为灵活的网格服务系统安全体系。

一种基于LDAP的证书发布服务器

目录服务在PKI中的主要功能是在一定网络领域内提供一个快速、方便的访问安全认证所需信息的途径。实现了基于LDAP的证书发布服务器。通过在PKI系统中应用LDAP目录服务,实现了证书和证书撤消列表统一,方便的管理;证书和证书撤消列表的存储和动态发布;有效证书的快速查询。

多域结盟环境下基于角色的访问控制

本文讨论了域间动态角色映射问题,引入了多域结盟环境下安全虚拟域(SVD)的概念,给出了SVD构造方法以及动态修改规则,并对其安全性进行了分析,最后指出了需要进一步研究的问题。

基于国防部体系架构(DODAF)的美军信息支持计划(ISP)

为了解决美军在联合作战中出现的有关作战协同、信息支持问题,美国防部和参联会主席发布了一系列的指令,以推行信息技术和国家安全系统(IT&NSS)的协同及支持能力认证。其中的重点是:IT&NSS必须编制信息支持计划(ISP)文档并通过审查和测试验证,方可纳入美国防部的采购计划。本文详细介绍了ISP文档的内容、所使用的国防部体系架构(DODAF)设计方法、ISP在美军中的应用情况、ISP对我国的启示等,以期对我军的信息化建设有所启迪。

网格计算安全构架及其实现

网格要实现分布资源的共享,必须构建新的安全体系,制定更高要求的安全机制。通过分析网格计算的安全特性和安全策略,研究了网格计算的安全体系结构,讨论了结构中的主要技术和用户任务的安全认证过程。介绍了Globus Toolkit3(GT3)中安全机制的实现,探讨了Globus Toolkit3为体现OGSA思想对安全机制和任务分配流程的改进。

电子商务中的安全技术研究

论述电子商务现在所面临的安全性问题及电子商务的安全需求,在分析网络安全技术和交易安全技术的基础上,给出了一种保证电子商务安全的体系结构。

基于SOM的多层Web安全审计模型及其实现

随着 Internet 的普及,Web 应用系统安全问题日益严重,而安全审计是保障信息系统安全的重要措施。可视化安全审计作为一种新的安全审计手段,有助于安全管理员充分理解主体行为,但在 Web 系统中却因运行效率等原因导致应用受到限制。本文定义了多层用户行为模型,以此模型作为 Web 安全审计的基础,并针对该行为模型提出了基于 SOM 的可视化算法。该算法将 Web 审计数据转换为形象的可视化信息,并且允许安全管理员对可视信息进行交互操作,进一步探索 Web 审计数据的内在关联,从而在保证可视化效果的同时,还可大幅提高安全审计的效率。

可信网络架构与认证体系研究

针对可信网络存在的问题,首先介绍了互联网络的发展现状及国内外在可信网络上进行的一些研究,然后指出了可信网络理论与技术工作中存在的不足,在此基础上提出了可信网络安全认证体系理论,实现了基于访问控制的可信网络体系架构。可信网络体系可为系统提供全面的网络安全保障,研究可信网络架构和认证体系,有十分重要的理论意义和实际作用。

Arm PSA-Certified IoT Chip Security: A Case Study

With the large scale adoption of Internet of Things(IoT)applications in people’s lives and industrial manufacturing processes,IoT security has become an important problem today.IoT security significantly relies on the security of the underlying hardware chip,which often contains critical information,such as encryption key.To understand existing IoT chip security,this study analyzes the security of an IoT security chip that has obtained an Arm Platform Security Architecture(PSA)Level 2 certification.Our analysis shows that the chip leaks part of the encryption key and presents a considerable security risk.Specifically,we use commodity equipment to collect electromagnetic traces of the chip.Using a statistical T-test,we find that the target chip has physical leakage during the AES encryption process.We further use correlation analysis to locate the detailed encryption interval in the collected electromagnetic trace for the Advanced Encryption Standard(AES)encryption operation.On the basis of the intermediate value correlation analysis,we recover half of the 16-byte AES encryption key.We repeat the process for three different tests;in all the tests,we obtain the same result,and we recover around 8 bytes of the 16-byte AES encryption key.Therefore,experimental results indicate that despite the Arm PSA Level 2 certification,the target security chip still suffers from physical leakage.Upper layer application developers should impose strong security mechanisms in addition to those of the chip itself to ensure IoT application security.

数字家庭的信息安全架构研究

互联网技术的快速发展,在促进家庭生活面迈向数字化、智能化的同时,也给智能家庭的发展带来了安全问题和威胁,这些威胁需要提前防范并尽快解决。文章从这些安全威胁入手,分析具体的安全需求,提出在Internet环境下适用的基于数字证书的具有保密性、可认证性、可授权、数据完整性的一体化安全机制。在安全机制基础上,定义安全体系中的各部分功能。最后,对安全体系中的一些关键技术进行分析。文章的一些观点,可为运营商在智能家庭等业务应用、信息化建设及其他相关行业提供借鉴和参考。

PKI体系下的地图按需出版CA模型研究

针对传统地图出版流程中所存在的问题,本研究提出地图按需出版机制,并为保证地图按需出版的数据安全,结合公钥基础设施(PKI)体系,将地图按需出版体系划分为多个信任域,根据每个信任域的组织结构特点,设计了与之相对应的域内认证中心(CA)模型,同时根据地图按需出版各个角色业务逻辑关系,设计了地图按需出版串桥CA模型,完成了对整个地图按需出版机制总体CA模型的构建,同时分析了模型的安全性与灵活性。本研究提出的模型为地图按需出版安全机制的实施提供了一定的参考。

基于SAML和X.509的跨安全域信任关系构建机制

在对企业的各个应用系统集成到门户的过程中,信任关系的构建是解决不同安全域之间统一身份认证的有效方法。在分析和研究统一身份认证关键技术SAML和X.509数字证书特点的基础上,提出了跨不同安全域的信任关系构建机制。并从保证网络安全的角度,对该机制进行了深入探讨和改进。最后运用基于SAML规范的开源实现openSAML进行了简单的测试和验证。

无线电子通讯技术的应用安全

当前,无线电子通讯技术为人类的生产生活提供了很多便利,但无线电子通讯技术在应用方面还存在一些问题,尤其是无线电子通讯技术应用安全性成为关注的焦点。论文首先说明了无线电子通讯技术的类型,然后分析了无线电子通讯技术的安全问题,最后详细阐述了无线电子通讯技术的应用安全策略。

职业院校校园基础网络建设改造分析研究

随着各个高校的的数字化建设的快速发展,智能化技术和产品也在各个高校获得广泛的开发和利用。但条件需求的不同,导致各个高校,尤其是职业院校在智慧化校园建设各不相同。通过考察和研究多所职业院校的数字化校园的建设情况,对比在各种条件背景下,总结出基本的2类3套的网络架构模式及在运行效能、认证计费、运维方面特点与限制,再根据各校网络使用效果,结合工作实践,提出校园网建设框架性思路。