基于SOA的网格安全技术研究

随着网格技术的不断发展以及对网格研究的不断深入,对网格安全的需求不提高,面向服务的体系结构研究成果为分布式、可扩展性、可跨域管理以及软件的重用与集成提供了一个最佳的解决方案。本文将网格所涉及的安全需求做成服务的形式,设计了一个面向服务的网格安全体系结构,并以网格认证服务为实例,探讨了网格安全服务的设计与重用,它集成了多种常用的认证技术,实现网格安全服务的跨域互操作。     

基于圆性质的加密算法

原有对称加密算法采用置换与替换技术。该文提出一种基于圆性质的对称密钥加密算法,采用随机数技术与密码学杂凑函数,使加密后的密文随机分布于n维几何空间,实现了抗密码分析攻击,而穷举攻击在计算上是不可行的。该算法适用于带时间戳加密、短明文加密等应用环境,实验结果验证了其可行性。     

多重门限密钥共享机制与应用

针对密钥管理机制的需求,将共享密钥K,采用 Shamir(t,n)门限分解为n个密钥份额,对所产生的n个密钥份额,再次使用(t,n)门限进行分解,分别形成下一级的密钥份额,以此类推,形成经过多重门限所分解的密钥份额,由此推广了 Shamir(t,n)门限密钥共享机制,提出了更一般的多重门限密钥共享机制,并给出了多重门限机制针对招投标系统在各种不同需求下的应用解决方案.     

一种基于CAS的网格按需授权模型

提出一种按需网格授权模型,在安装了GLOBUS的环境中部署CAS,让CAS来完成宏观上的静态访问控制与授权。由用户编写"作业描述"表示对资源的需求,由访问控制与授权系统解析用户的权限需要,分配给用户适当的权限来完成本次的作业,从而实现按需的、动态的授权。该模型通过对每次作业所需权限的描述,为本次作业分配恰当的权限,减少多余权限授权带来的风险,可实现网格访问控制的最小权限原则。     

多自治域协同的数据库访问控制

多自治域的协同工作领域中,资源拥有者应该对数据库资源的操作方式及粒度有最终决定权;用户域对用户的职能作明确规定。显然角色直接映射权限的RBAC模型在多自治域协作环境中是不合理的。针对多自治域协同的数据库访问,提出基于角色的四层访问控制模型及其设计,资源域定义资源角色与权限的映射,用户域与资源域协商来映射用户角色与资源角色。该方案简单合理,分清职责,符合数据访问安全需求。