校园网络数据资源分层访问策略

分析了校园ＭＩＳ及数据资源的特征,针对校园信息资源范围广、关联复杂的状况,提出了数据资源统一访问策略——分层访问．数据访问分为七层,各层完成数据访问独立性的特定功能,使不同的访问软件能透明访问全部数据资源．为保证传统应用能基于网络计算访问统一数据资源,又提出了“数据访问管道”和数据库访问服务器的技术．文章分析了以应用服务器为基础的Ｎ－Ｔｉｅｒｓ计算的弊端,设计了“虚拟应用服务器”ＷＵＶ－ＡＰＰＳ,将数据访问对象构造成数据对象组件．     

基于可信计算平台的统一认证系统模型

将数字证书技术、认证代理技术和可信计算技术相结合,针对园区网环境,提出了一种基于可信计算平台的统一认证系统模型,该模型通过在计算终端引入可信平台模块、对用户身份统一认证、对计算平台进行身份及完整性验证等方法,解决了存在多个应用系统时口令容易混淆、访问效率低下和终端的可信性难以保证的问题.系统的安全性分析和测试结果表明,用户只需一次认证,即可访问其拥有权限的多个应用系统,效率和安全性得到了很大的提升,而且可以保证终端的可信性.     

基于可信代理的访问控制模型

基于Agent技术,通过引入可信平台模块(TPM)并扩展系统信任链,提出一种新的层次化可信系统架构,在不可信的服务器与不可信的用户之间建立信任关系,实现了两者之间安全可靠的互操作.在TPM的支持下,从保密性和完整性两个维度以及能力和属性两个方面对数据访问操作的主客体进行量化评级,确定访问规则,实现了保密性与完整性相统一的安全访问策略,降低了用户与服务器被攻击的风险,保障了系统的可信运行,与现有的访问控制策略相比具有更高的安全性.     

一种基于Kerberos扩展的Web服务安全框架

Web服务安全问题集中表现在信任建立、端到端消息安全保障以及资源访问控制等方面.传统的Web安全框架如Atlassian Seraph和Apache Shiro无法同时解决消息安全保护和跨域访问控制的问题.本文提出并实现一种基于Kerberos的Web服务安全框架——KBW2SF,它包括用户认证、消息安全通信、服务访问控制三个核心功能.用户认证使用Kerberos作为底层协议在服务请求发和提供方之间建立信任关系;安全通信使用WSSecurity规范及Kerberos票据中的密钥保证消息端到端的完整性和机密性;服务访问控制基于Kerberos票据中的用户角色信息,由服务提供方对来访用户进行角色映射(跨域访问)和权限鉴定,以此保护服务资源不被非法或者低权限用户访问.同时,KBW2SF引入缓存管理机制提高应用效率,降低安全机制对Web服务应用的影响程度.通过应用场景的实验分析,该框架不但能够有效解决Web服务消息的安全性以及跨域访问控制问题,而且具有较高的效率,具备一定的实际应用价值.     

一种云格环境下可计算资源与服务高效调配机制

为实现海量大数据的高效访问与处理,在资源与服务发现的基础上,探讨了一种云格环境下使用网络距离预测的方法来完成计算资源服务节点的选择机制.并从提高系统性能的角度,针对用户偏好,提出了一种可计算资源与服务的高效调配模型,来实现密集型数据的高性能计算;最后实验验证了本调配模型具有的可行性与针对性.     

基于复合网关的网络互联策略实现

通过对VPN和NAT技术原理及实用性的研究与分析,在将两者进行有效结合的基础上,提出集VPN和NAT技术于一体的复合网关网络互联策略,实现了异地局域网可通过Internet进行有效互联,解决了远程用户登陆局域网访问内部资源的问题.测试结果表明：该复合策略具有良好的稳定性和可靠性,且易于实现.     

云格环境下基于P2P的动态资源发现机制

为在云计算平台上实现大数据的高效并行处理与访问,针对动态增长的异构资源所具有的集成与共享所形成的超强计算力结合网格计算,从基于服务计算的角度分析了云计算与网格计算2个不同框架体系的集成问题,探讨了一种资源与服务的统一描述机制,提出了云格体系下的一种分组生成树的P2P网络动态资源与服务发现算法,可实现海量数据的高效处理与访问.实验表明该算法具有一定的可行性与针对性.     

一种基于可信第三方的CP-ABE云存储访问控制

分析了CP-ABE算法应用问题,提出一种新机制TBCCSAC(trustee-based CP-ABE cloud storageaccess control),通过使用可信第三方管理用户属性证书,动态生成资源访问密钥SK,引入访问控制令牌机制,有效地解决了云存储中用户属性知识管理维护量大、密钥分发与管理负担重,以及写权限鉴别缺失等问题.对TB-CCSAC进行的安全性分析表明,该机制的设计达到了安全性目标;仿真实验结果表明,与CCSAC(使用CP-ABE算法实现云存储访问控制)相比,TBCCSAC需要更少的存储空间.     

通用数字图书馆的仓储管理方案研究

在数字图书馆时代,如何保证数字资源的长期可用性和服务的稳定性,对数字资源进行有效的管理和服务,是当前数字图书馆研究中的一个热点前沿话题.在研究分析了国外数字图书馆仓储管理的几种典型解决方案后,提出了一种基于数字对象的通用数字图书馆仓储管理方案.结果表明:该方案实现了统一存储各种属性不同的数字资源,并提供了很好的资源管理和访问接口.     

基于联邦数据服务的企业级信息处理服务

针对当前企业级信息处理业务中普遍存在的问题,结合数据网格技术,提出一种新型的联邦数据服务FDSS。FDSS建立了联邦数据服务模型FDSM,提供对广域分布环境下异构企业信息的高效处理和透明管理,并通过本域数据服务和多域联邦数据服务实现信息资源的统一访问和跨域共享。FDSS适用     

基于图书馆2.0的数字图书馆服务模式探讨

用语义Web技术对图书馆异构数字资源进行整合,形成逻辑资源体,并用Web服务技术来构造数字资源访问接口和主动服务系统,同时结合Web2.0技术和服务理念,提出了一种新型的图书馆2.0服务模式.该服务模式是以用户为中心的主动服务模式,能为用户主动提供全方位、立体式和不间断的专题服务和个性化服务.     

基于应用程序块的智能客户端水文应用架构设计与实现

本文以微软的企业程序库中包含的应用程序块(Microsoft Application Blocks)为智能客户端水文应用架构设计策略,基于这些可重用和可扩展的应用程序块开源代码的指导,通过在可扩展点"插入"自己的代码或修改源代码来定制自己的离线、智能更新、安全、数据访问等应用程序,以达到最大限度的资源重用,加快了智能客户端水文应用架构设计与实现的开发速度,提高产品质量,为我们实现应用提供了有益的实践经验和有效帮助.     

用户行为选择参与的五层十五级瓦片缓存置换策略研究

FIFO、LRU、LFU、GDLVF等传统瓦片缓存置换算法侧重于瓦片访问时间和频率、瓦片大小、空间位置关系,不适合具有多源、异构特点的五层十五级瓦片数据,在五层十五级瓦片数据缓存的应用上存在局限性.提出了用户行为参与的缓存置换算法UPBA（User Preference Based Tile Cache Replacement Algorithm）,并从用户行为、瓦片访问的时间和频率、瓦片大小、空间位置关系等方面分析了UPBA算法,提出了提高置换效率的方法.并对最高分辨率为100和250 m、生产时间为2014年11月、2015年1~3月的高分一号、高分二号、资源三号影像数据集进行日志驱动仿真实验.结果表明：相较传统的缓存置换算法,UPBA提高了瓦片请求的命中率和字节命中率,降低了客户端流量消耗和服务器端负载.     

多应用安全智能卡结构的研究

为克服现有的智能卡及其芯片操作系统所存在的安全缺陷，提出了一种支持一卡多用和用户下载程序的新型安全智能卡结构，增加了硬件中断、操作标志，以及内存地址比较寄存器、程序地址比较寄存器和数据地址比较寄存器，从硬件上为实现多应用的隔离、确保用户程序和数据的安全提供了保证．新型安全智能卡在CPU中增加若干新指令，将操作模式分为系统模式和用户模式，由特殊的状态标志位来决定是用户模式还是系统模式，以实现系统模式和用户模式间的相互转换．指令区分为普遍指令和特殊指令，只有系统程序可以使用特殊指令，并增加硬件中断以防止用户程序访问地址比较寄存器范围以外的地址空间．最后给出了新型安全智能卡的应用实例．     

基于环境可信的关键档案保护系统的设计与实现

提出并实现了基于windOWS NTFS和FAT32文件系统的关键档案保护系统.该系统采用权限验证、环境可信验证,数据完整性验证和透明加解密等技术手段,对系统的环境信息进行检测并生成环境可信证书保存于USBKEY中.通过权限认证的可信用户只能访问相应权限的档案;木马和病毒无法对关键档案进行访问;脱离可信环境的档案由于无法进行认证将无法使用,从而实现了对关键档案的保护.测试结果表明,该系统能够很好地满足关键档案机密性、完整性以及防泄漏等需求,具有较好的可行性和实用性.     

一种基于手机令牌和NFC技术的身份认证系统

针对目前Web站点的身份认证安全问题,提出了一种基于手机令牌和近距离无线通信(NFC,near field communication)技术的身份认证方法,并在Android平台上实现了该系统.该系统利用手机使用手机令牌实现了USBKey的主要功能,当用户访问站点进行注册时,将获得惟一的手机令牌并存于带有加解密功能的手机中.在下次访问站点进行身份认证时,用户可通过手机直接在Web站点进行身份认证,也可通过NFC技术将手机令牌传于PC机,使得用户可在PC机上利用手机进行身份认证.该系统将手机作为类USBKey设备,在增强Web站点身份认证安全的同时,省去了为用户颁发USBKey的流程和成本,具有较强的实用价值.     

Windows 200O下数据采集软件中端口及物理内存资源访问的原理和实现

Window2000作为基于NT内核的新一代操作系统。全面禁止了用户模式对I／O端口和物理内存的直接存取，对于数据采集系统的开发人员，须通过设备驱动程序来突破这个限制．本文对windows2000操作系统下对硬件端口及内存的访问机理作了简单的描述，并给出了具体的实现方法与应用实例．     

一种多源空间数据统一访问模型的实现

空间数据通常以栅格与矢量两种数据模型进行表达,但由于各自的不同特性,一般采用不同的访问方式.如何采用一致的方式进行多源空间数据访问是当前空间数据共享和互操作的难点之一.基于OGC SFS规范,从实现层次上考虑提出按几何与属性要素组织为几何-属性矢量数据模型（GAFeature model）,同时融入了扩展栅格数据模型,通过借鉴设计模式中的提供者模式和桥接模式,提供了一个较为完整的矢量栅格一体化访问管理模型,并进行了实现,使其能支持本地文件类型数据以及WCS、WFS空间信息服务.实验结果表明具备多源空间数据统一访问的能力.     

基于Web的图书馆管理系统访问控制策略

针对基于Web的图书馆管理系统资源访问控制的动态性问题，提出了一种基于角色的访问控制策略描述方案．通过对基于Web的图书馆管理系统访问控制管理影响因素和访问控制需求的分析，结合NIST基于角色的访问控制统一模型标准，构造了一种基于角色的访问控制元模型．并在这一元模型的基础上，提出了一种紧凑的基于角色的访问控制XML策略描述语言框架．结果表明该访问控制策略描述语言框架适合表述动态环境下对图书馆资源的访问策略，提高了基于Web的图书馆管理系统资源访问的安全性．     

一种基于用户意愿的数据保护模型

基于最小特权原理，从分析进程的访问权限出发，提出了一种防御恶意程序攻击的数据保护模型．该模型对DAC访问控制机制进行了增强，当进程实际访问用户数据时，进程必须先获得操作用户的意愿，用户根据进程的任务赋予进程访问系统最小必需数据集的权限，使进程无法访问任务之外的数据集，防止进程因权限过大破坏用户数据．测试结果表明，该模型可以有效地阻止进程的非法访问而确保数据不被窃取或破坏．