换一批
项目年度编号
0800040052
中图分类号
TP393.0
成果公布年份
2006
成果简介
1、主要研究内容:随着IPv4地址的迅速枯竭,向以IPv6为标志的下一代互联网的过渡已成必然。全世界都已经对下一代互联网进行了大规模的研究与开发建设,并建成了许多基于IPv6的下一代互联网络。世界上规模最大的纯Ipv6国家主干网CERNET2已经在中国教育和科研计算机网开通并试运行。为下一代互联网的研究开发提供了坚实的物质基础与实验环境。为网络计算提供了更大的容量、更快的速度和更多的参与者。 在下一代互联网络计算环境中,资源或服务使用者和提供者之间的信任关系是安全通信的前提。由于网络计算环境的分布特性和动态特性,像传统计算(比如C/S计算模型)那样预先建立所有的信任关系是不可行的。如何在一个跨域的、动态的服务环境中建立和管理实体之间的信任关系,是网络计算必须研究的内容之一。该课题主要从下述几个方面研究网络计算中的信任关系。下一代互联网络计算环境下的信任关系模型。研究下一代互联网络计算环境中实体的信任属性的定义、信任的发展变化、信任的传递过程;在下一代互联网络跨域的环境中,实体的信任策略和信任管理机制,包括信任关系的建立、变化和撤销过程。一代互联网络中的信任服务和信用评估体系。在认证、授权和审计等服务的基础上,基于实体的历史行为建立实体的信用评估体系,并向网络应用提供信任服务,为跨域的访问控制决策提供参考依据。2、主要研究目标:通过该课题的研究,可以为下一代互联网络环境下的科学活动提供一个标准的安全服务规范和安全可靠的网络环境。针对下一代互联网络的大规模网络计算环境中异构性、动态性和变化性等特点,研究安全互操作技术、安全信息的共享与控制,以保障科学活动环境中的信息安全性;针对网络计算环境中各种已有系统采用的不同的安全机制,需要研究出一套集成框架实现现有安全资源的集成,最大限度维护已有的安全投资。综合起来说,该课题研究目标及其作用主要体现在以下几方面:通过对群组通信特征的研究,建立下一代互联网络计算环境下多用户、多资源组成的动态信任关系及其管理机制;基于信任策略、映射策略和授权策略研究对网格安全框架GSI的兼容和扩展,并提供用户和其它实体自主确定安全策略以及策略协商的机制;分析安全策略的一致性,并给出策略冲突的检测和解决机制。3、拟解决的关键问题针对下一代互联网络中大规模网络计算环境的特点以及现代科学活动对安全的需求,需要解决以下关键问题:安全策略的表达,充分表达群组、安全域和个体等不同类型实体的特征及其相互关系,同时表达各种不同的策略类型特征,以及采用一种智能的语言,便于实体双方安全交互的策略理解;策略的发布和组织:在网络计算环境下提供一种有效的策略发布机制便于其它实体的及时感知,通过有效的策略组织方式维护策略发布系统的鲁棒性、可扩展性;安全策略的评估:提供一套良好的策略评估机制和算法来评估策略实施后的执行效果并确认策略正确性与响应的有效性;安全策略的协商:跨域的两个实体如何根据双方的安全策略进行协商,并能基于协商策略保证正确有效的实施;策略的一致性:保障实体安全策略的建立,并在实施过程中检测并解决策略的冲突;4、拟采取的研究方案和技术路线 该课题研究本着“有所为,有所不为”的思想,充分利用现有技术,尤其是研究单位已有的技术成果,不做重复开发,研究侧重于新技术、新概念,充分体现该研究的创新性特点。同时,该研究不是单纯的理论探讨,而是理论和实践相结合,把理论研究应用到实际的系统中。由于下一代互联网络计算环境具有动态性、异构性、自组织性等特性,属于网格计算的范畴。因此,可结合国内外成熟的网格技术和网络计算环境下科学计算活动的安全需求,对该课题进行深入研究。充分分析网络计算环境综合试验平台的结构,以安全作为其支撑模块,提供独立的安全服务支持。充分分析GT3已有的安全认证和CAS授权策略,结合Web Services安全模型,开展该研究工作。此外,在安全实施时需要与综合试验平台其他子课题进行充分交流,协商定义调用接口,保证该研究工作的可实施性。5、预期成果(1)提出下一代互联网络多域环境中的证书服务接口标准,并实现一个分布式的证书服务系统,为下一代互联网络计算提供公钥证书服务和基本的信任关系;(2)建立下一代互联网络多域环境中实体的信用评估体系,并实现一个信用服务系统,为下一代互联网络计算中的授权与访问控制提供决策支持。信用评估体系将支持信用的动态更新和基于SOAP协议的访问;(3)提出下一代互联网络计算环境的安全保障体系,实现一个分布式的下一代互联网络计算安全监控服务系统,支持不同安全域的访问和灵活的访问控制政策。
完成单位
清华大学博士后流动站
完成人
学术成果认领
- 浏览0
- 被引0
- 下载0
相似文献
- 中文期刊
- 外文期刊
- 学位论文
- 会议论文
