基于PKI/PMI的Web解决方案在校园网中的应用

文章利用PKI/PMI技术,设计了一个Web应用安全整体方案,实现身份认证和访问控制功能,采用基于角色的访问控制思想,将属性证书分为角色分配证书和角色规范证书,分别用来表示用户的角色和角色对应的权限,并通过在校园网中的应用来说明具体身份认证和安全访问控制的实现方法。     

基于属性证书的跨域访问技术设计与实现

首先,在基于传统访问控制策略的基础上,针对当前互联网环境中存在的跨域访问安全问题,提出一种基于属性证书的访问控制策略。然后,给出属性证书的结构模型和管理方式,并对采用属性证书访问的优势进行分析。指出不同于传统的访问控制,基于属性证书的访问控制其本质是基于属性的访问控制。最后,给出属性证书在跨域访问控制中的应用。在单应用域或跨域访问时均可采用属性证书的验证方式,其能够针对不同应用域中用户的访问需求,动态实施资源管理和访问控制。     

认证网关在电子政务专网中的应用

认证网关是用户进入CA（认证中心）证书认证服务的网络信任域和电子政务专网应用服务系统前的接入和访问控制设备。它具有用户身份认证代理的功能,能够和证书认证服务系统交互,完成用户身份认证,根据认证结果核对该用户的可信网络访问权限,完成网络接入的鉴权控制。     

信息中心网络中授权视频访问控制

信息中心网络(ICN)能够极大地提高视频内容的传输效率,然而ICN中内网缓存机制也给授权视频的访问控制带来了严峻的挑战。授权视频访问控制的目的是保证只有已授权用户才能观看授权视频,防止授权视频被非法观看和使用。在ICN中,当授权视频被缓存在路由器上后,便不受视频发布者的控制,任何人都能够从路由器上获取授权视频。目前存在的方案不能很好地解决这个问题,提出了一种基于分割和数字水印的访问控制方案,将授权视频分割成PCB(public content block,公开内容块)和CKB(content key block,内容密钥块)两部分,其中PCB一般比较大,对所有用户都是相同的,而CKB一般比较小,并且采用数字水印技术实现不同的用户对应不同的CKB,用户必须收到PCB和CKB之后才能观看视频。通过分析,提出的授权视频访问控制方案在安全性和网络资源优化两个方面具有很好的性能。     

基于属性加密的云存储方案研究

云存储中往往采用属性加密方案来实现细粒度的访问控制,为了进一步保护访问控制策略中的敏感信息,并解决授权中心单独为用户生成密钥而产生的密钥托管问题。该文对访问控制策略中的属性进行重新映射,以实现其隐私性。另外在密钥生成算法中设计一个双方计算协议,由用户产生密钥的部分组件,与授权中心共同生成密钥以解决密钥托管问题。最后在标准模型下对方案进行了安全证明,并进行了性能分析与实验验证,实验结果表明,与已有相关方案相比,虽然为了实现访问控制策略隐藏并且解决密钥托管问题增加了额外的计算负载, 但是由于该文将大部分解密工作授权给云存储中心来执行,因此数据访问者的计算负载较小。     

电子政务中实现授权及访问控制的研究

在对PMI体系进行介绍和分析的基础上,提出了一种适用于职责相对稳定、用户规模大、安全性高的电子政务环境中的访问控制策略。最后使用此策略构造了一个基于属性证书的授权和访问控制模型,能够灵活方便地实现电子政务中的安全访问控制。     

路由器的特殊访问控制表

路由器的访问控制表是网络防御的前沿阵地,访问控制表提供了一种机制,可以控制通过路由器不同接口的信息流。这种机制允许用户使用访问表来管理信息流,以制定内网的相关策略。这些策略可以描述网络的安全功能,并且反映流量的优先级别。传统的访问控制表有两种类型：标准访问控制表和扩展访问控制表。标准的访问控制表是基于网络地址的信息流,只允许过滤源地址,     

浅谈ACL在校园网中的应用

ACL在校园网中能对学生上网权限的控制,对教师的流量进行限制,对各部门之间的访问控制,还能封闭特定端口来防范病毒等,提高了校园网的网络安全性,也大大提高了网络中心的管理工作效率。在路由器或三层交换机上,通过使用访问控制列表（ACL）来执行数据包过滤。访问控制列表可用来控制网络上数据包的传递、限制虚拟终端的通信量或者控制路由选择更新,限制网络访问特定的用户和设备。下面我们就来简单谈谈它的应用。     

把握ACL配置的七个关节点

在路由器或三层交换机上,可以通过使用访问控制列表（ACL,Access Control List）来执行数据包过滤。访问控制列表可用来控制网络上数据包的传递、限制虚拟终端的通信量或者控制路由选择更新,限制网络访问特定的用户和设备。细节决定成败,我们在配置访问控制列表时往往因忽视一些细节,导致访问控制列表不起作用。为充分发挥访问控制列表强大功能,提高运行效率,在配置过程中应着重把握以下几个关节点。     

雾计算中细粒度属性更新的外包计算访问控制方案

针对基于密文策略的属性加密(CP-ABE)在低时延需求较高的雾计算环境中,存在加解密开销大、属性更新效率低的问题,提出了一种雾计算中细粒度属性更新的外包计算访问控制方案,使用模加法一致性秘密(密钥)分享技术构建访问控制树,将加解密计算操作外包给雾节点,降低用户加解密开销;结合重加密机制,在雾节点建立组密钥二叉树对密文进行重加密,实现对用户属性的灵活更新。安全性分析表明,所提方案在决策双线性Diffie-Hellman假设下是安全的。仿真实验结果表明,所提方案中用户加解密时间开销相比其他方案更小,属性更新效率更高。     

基于数字证书认证机制的应用研究

在计算机技术迅速发展的今天,网络和信息系统已经渗透到社会的各个领域。企业在享受网络带来的便捷的同时,也承受着伪造身份、信息窃取等网络攻击带来的巨大损失。PKI（Public Key Infrastructure）技术的出现,提供了一种全新的认证机制——证书认证机制,该机制支持双向认证,且认证过程没有敏感信息的传输,在企业内应用可以有效降低网络应用的安全风险。本文在详细阐述证书认证机制的基础上,研究了该机制在企业网络接入认证与业务系统SSL访问等方面的应用理论与技术实现,为企业实现安全的网络应用提供参考。     

Kubernetes容器云平台多租户方案研究与设计

在容器云平台中,租户共享底层的计算、存储、网络等资源,存在租户容器运行和数据安全问题。分析了 Kubernetes 访问控制和资源隔离实现方案基础上,提出了一种基于多租户访问控制模型的容器云平台多租户方案,涵盖多租户管理模型、多租户访问控制、计算资源隔离和网络资源隔离等,可切实提升基于Kubernetes的容器云平台的资源隔离能力,有效降低数据安全隐患。     

一种基于文件共享的P2P节点认证方案

身份认证是P2P（peertopeer）网络安全的重要组成部分,但传统的PKI（金钥基础设施）认证方式因为具有静态的集中化控制和固定的证书内容等特点,不能很好地满足P2P网络安全认证的需要,且在公钥的分发过程中容易遭受中间人攻击。为此,提出了一种新型的公钥管理架构和身份认证方案,每个节点可以自己产生并分发公私钥,认证服务器仅在节点加入网络时参与完成公钥的分发。超级节点负责管理本组内全部节点的公钥,节点在相互认证时无需认证服务器的参与,仅通过超级节点来完成。分析结果表明,这种认证方案可以有效地抵抗中间人攻击,在保持高效率的基础上又保证了认证的安全性。     

A localized certificate revocation scheme for mobile ad hoc networks

The issue of certificate revocation in mobile ad hoc networks (MANETs) where there are no on-line access to trusted authorities, is a challenging problem. In wired network environments, when certificates are to be revoked, certificate authorities (CAs) add the information regarding the certificates in question to certificate revocation lists (CRLs) and post the CRLs on accessible repositories or distribute them to relevant entities. In purely ad hoc networks, there are typically no access to centralized repositories or trusted authorities; therefore the conventional method of certificate revocation is not applicable.In this paper, we present a decentralized certificate revocation scheme that allows the nodes within a MANET to revoke the certificates of malicious entities. The scheme is fully contained and it does not rely on inputs from centralized or external entities.     

无线实时数据通信对等网络构架方案

基于移动通信网络的P2P流媒体共享系统，能实现网络中任意用户可以搜索到并且快速共享其所需要的流媒体资源，这对于网络信息交流和高效合理地利用网络资源有着重要的意义。文章提出了一种基于移动通信网络的对等流媒体覆盖网络方案，阐述了对等流媒体覆盖网络的可实现性和有效运行的一些必要条件，最后提出了基于提高服务质量的系统优化思路。     

A Lottery-based pricing scheme for peer-to-peer networks

Users in Peer-to-Peer (P2P) networks tend to exploit the maximum resources they are able to obtain, offering minimum resources in response. This behavior undermines the goal of P2P systems in spreading files through the network and imposes the concept of free-riding. In this paper we propose a Lottery-based pricing mechanism to enhance the sharing level in P2P networks and help increase the number of objects disseminated. The scheme is an extension of the traditional micropayment mechanism. Our scheme provides higher payoff for peers who contribute to the P2P network and higher cost for peers who act selfishly and choose not to share resources. We present simulation results to demonstrate the performance of the proposed mechanism.     

一种改进的基于PKI/ECC的IKE协议设计

IKE协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsec VPN安全传输的先决条件和保证.文章在研究现有IKE协议的基础上,将公钥基础设施PKI体系引入其中,提出将ECC技术、X 509数字证书、访问控制技术同IKE协议相结合,设计了一个基于PKI身份认证和访问控制的增强型IKE协议,从而提高了IPsec VPN网关的安全性和可扩展性,有效保护了VPN网络资源的安全.最后给出了基于最新Linux2.6内核的实现方案,并对由此构建的IPsec VPN安全网关原型系统的工作过程作了说明.     

Resource-Cardinality Based Scheme to Reduce Resource Lookup Cost in Structured P2P Networks

A P2P (peer-to-peer) network is a distributed system dependent on the IP-based networks, where independent nodes join and leave the network at their drive. The files (resource) are shared in distributed manner and each participating node ought to share its resources. Some files in P2P networks are accessed frequently by many users and such files are called popular files. Replication of popular files at different nodes in structured P2P networks provides significant reduction in resource lookup cost. Most of the schemes for resource access in the structured P2P networks are governed by DHT (Distributed Hash Table) or DHT-based protocols like Chord. Chord protocol is well accepted protocol among structured P2P networks due to its simple notion and robust characteristics. But Chord or other resource access protocols in structured P2P networks do not consider the cardinality of replicated files to enhance the lookup performance of replicated files. In this paper, we have exploited the cardinality of the replicated files and proposed a resource cardinality-based scheme to enhance the resource lookup performance in the structured P2P networks. We have also proposed the notion of trustworthiness factor to judge the reliability of a donor node. The analytical modelling and simulation analysis indicate that the proposed scheme performs better than the existing Chord and PCache protocols.

     

基于资源路由表的P2P资源查找机制研究

对等网络使用户共享和访问网络中的大量资源，但随着网络规模的扩大，原有的资源查找机制已不能满足P2P环境下查找效率与网络负载的要求。文中结合P2P相邻节点的路径选择与Internet中的路由器选路具有的相似性．给出了一种新的资源查找方法——资源路由表查找法，并以此为基础构造了一个二层P2P资源查找模型，对其中的关键问题和方法给予了详细描述．并分析了该模型的性能。