基于Web服务的数字化校园统一身份认证系统研究

通过对数字化校园网络应用传统统一身份认证和资源访问控制机制不足之处的分析,提出了一种基于Web服务的统一身份认证系统模型,并采用基于票据的集中式架构,以跨域Cookie共享为核心来完成用户的登录、认证和权限控制。实例证明,此方案可以方便的将分散网络节点加入认证体系,完成网络节点单点登录和资源访问控制问题。     

一种基于多域安全信任的访问控制模型

访问控制是一种可同时服务于用户与资源的安全机制。安全域通过使用访问控制机制为用户访问资源提供方便,同时亦对用户行为进行监视与控制。然而,由于P2P网络缺乏集中控制,现有的访问控制技术无法对P2P网络的网络节点进行控制,特别是网络中节点行为缺乏指导和约束。基于当前P2P网络访问控制中存在的不足,提出一种基于多域安全信任的访问控制模型：MDTBAC。MDTBAC模型通过扩展多级安全机制来实现访问控制,将信任算法计算所得的节点信任度作为访问级别划分标准,根据各个节点的信任度来分配相应的访问控制级别,不同的访问控制级别拥有不同的权限。     

基于RBAC的P2P网络环境信任模型研究

P2P网络的匿名性和动态性带来了许多安全问题,传统的分布式访问控制模型以及信任管理模型并不能很好地适应对等网络环境.本文提出了一种信任管理加权限控制的双重验证方法来实现P2P网络环境中的节点协作和资源访问等安全互操作.节点用户通过本文中的轻量级身份证书,不仅可以验证其合法身份,同时也可以通过该证书中用户的相关角色信息来获取对资源的访问控制权限.而且通过证书中的信任度字段,系统可以吊销低信任度的节点的证书,能有效地遏制恶意节点的非法行为.本文重点介绍了用户信任度的计算,以及用户节点身份证书的获取以及权限验证.最后,通过相关的实验,验证了本方法在效率上要优于传统的信任管理模型.     

多域环境下基于信任的P2P访问控制模型

有效的访问控制机制是P2P网络的研究热点之一,然而传统的访问控制机制并不能适用于P2P网络这样的分布式管理系统。针对该问题,给出了一种多域环境下的P2P网络访问控制模型（TMAC）。它采用了社会网络的基本原理,将系统节点划分成若干个不同的域,通过扩展多级安全机制来实现访问控制。节点之间进行交互时,主体节点将根据目标节点关于请求资源类别的信任等级授予不同的访问权限,以达到系统安全的目标。通过仿真实验验证了该访问控制模型的有效性。     

社交网络中具有可传递性的细粒度访问控制方案

针对社交网络中隐私保护的需求,基于属性基加密(ABE)算法,提出了一种权限可传递性的细粒度访问控制方案。在方案中通过属性的设置实现了社交网络成员不同粒度的刻画,为细粒度加密和访问提供了基础;同时在方案中引入了代理服务器,对非授权成员与授权成员之间的关系进行分析,从而判定非授权成员的访问权限。若该成员可以获得访问权限,密钥生成中心依据授权成员的属性为其生成解密密钥,进而实现访问权限的传递性。与其他基于访问控制或加密技术的隐私保护方案相比,所提方案将对数据的访问控制和加密保护相统一,在实现数据加密的同时,提供细粒度的访问控制;并结合社交网络的特点实现了访问权限的传递性。     

基于权限验证图的Web应用访问控制漏洞检测

针对Web应用中的访问控制漏洞缺乏有效检测手段的问题，提出了一种基于权限验证图的检测算法。首先，在程序控制流图（CFG）的基础上，识别权限验证节点和资源节点，通过T和F边将节点连成权限验证图。然后，遍历资源节点对应的所有权限验证路径，计算路径验证权限，与资源节点访问权限比较，检测是否存在访问控制漏洞。实验结果表明，在7个Web应用中，发现了8个已知和未知漏洞，相比较于已有的访问控制漏洞检测算法，该算法可以有效检测4种访问控制漏洞，扩大了漏洞检测范围。     

一种对等社区网络多层次可靠访问控制机制

在P2P计算环境中进行资源的可靠共享需要解决分散于各个节点上的资源的访问控制问题.当前的各种访问控制模型及策略不能很好地适用于P2P计算环境.提出了一种适用于对等社区网络的多层次可靠访问控制机制,可根据节点间关系、资源类别和自身当前策略等因素来灵活设置符合当前需要的访问权限,从而更可靠地实现P2P计算环境中各种资源的充分共享.详细描述了对等社区网络多层次可靠访问控制机制的体系结构、功能模块、工作流程以及相应的实验系统.文中的研究成果为设计更加可靠的P2P软件平台和应用提供了有益的参考.     

基于模糊逻辑的物联网访问控制框架研究

访问控制协议是网络中资源安全访问与共享的重要研究内容,为了提高物联网中访问控制协议的可扩展性和能源利用率,提出了一种基于模糊逻辑的访问控制协议;首先通过模糊的信任值对设备间的访问控制权限进行定义;其次,基于经验、知识和推荐的语言模型及其成员函数定义进行信任值的计算;最后提出了一种物联网访问控制框架;通过模拟实验表明,随着网络节点个数的增加,平均能量消耗逐渐增大,提出的方法在相同的网络环境下其平均能量消耗小于经典的访问控制方法,而且提出的方法在节点规模增大的情况下,平均能量消耗的增加率逐渐减小,这些表明了提出的方法与传统的访问控制协议相比,可扩展性好,能量利用率高,因而更适用于物联网环境下的访问控制.     

P2P中基于信任和属性的访问控制

P2P具有无集中控制节点、节点对等自治和网络动态的特点,这些特点为实施访问控制带来很大的挑战,传统的访问控制技术不能很好地适应对等网环境。首先对现有的对等网环境中的访问控制技术进行研究,然后在基于信任模型的角色访问控制的基础上,针对无法区分通过信任模型计算出相同结果的用户的问题,提出了基于信任和属性的访问控制。基于信任和属性的访问控制引入资源属性和用户属性来分别描述资源和用户,依据用户属性、信任模型计算出的数值、环境属性和授权策略来建立用户角色指派关系,依据资源属性和授权策略来建立角色权限指派关系,从而解决基于信任模型的角色访问控制存在的问题。     

支持权限管理的高效属性撤销机制

针对基于属性的访问控制模型中存在属性撤销后权限确定的问题,本文提出一种支持权限管理的高效属性撤销机制。该方案通过在访问控制机制中引入基于密文策略的属性加密机制CP-ABE来实现密文访问控制,将访问树用主析取范式来表示,主析取范式的每个子集即为访问主体访问资源所需满足的限定条件最小属性集。因此,当属性撤销时,通过判断最小属性集与被撤销属性的关系,来确定被撤销属性对主体的访问是否有影响,进而确定主体的访问权限。性能分析表明,该方案具有较高的安全性,不仅能够实现属性撤销后权限的确定,而且能够抵抗共谋攻击等。     

基于内容管理的资源访问控制技术研究

本文从内容资源安全管理的必要性入手,首先介绍了目前广泛应用于企业级应用系统的访问控制模型,即基于角色的访问控制（RBAC）模型。在此基础上提出了内容资源访问控制机制的理论原理,并结合RBAC模型定义了针对内容资源的访问控制策略,详细分析了内容资源访问控制的具体实现,描述了一个内容资源权限管理系统的总体设计方案。     

高效可撤销的雾协同云访问控制方案

密文策略属性加密技术在实现基于云存储的物联网系统中数据细粒度访问控制的同时,也带来了用户与属性的撤销问题。然而,在现有的访问控制方案中,基于时间的方案往往撤销并不即时,基于第三方的方案通常需要大量重加密密文,效率较低且开销较大。为此,基于RSA密钥管理机制提出了一种高效的支持用户与属性即时撤销的访问控制方案,固定了密钥与密文的长度,借助雾节点实现了用户撤销,同时将部分加解密工作从用户端卸载到临近的雾节点,降低了用户端的计算负担。基于aMSE-DDH假设的安全性分析结果表明,方案能够抵抗选择密文攻击。通过理论分析和实验仿真表明,所提方案能够为用户属性变更频繁且资源有限的应用场景提供高效的访问控制。     

一个安全的移动代理系统的访问控制策略

在移动代理系统的安全策略中，防止恶意移动代理攻击主机的有效手段是采取访问控制机制，限制移动代理对本地资源的访问。提出了一个简单安全的访问控制机制，可以有效地控制移动代理在本地主机的更新及创建权限。     

安全移动代理系统的访问控制策略

在移动代理系统的安全策略中，防止恶意移动代理攻击主机的有效手段是采取访问控制机制，限制移动代理对本地资源的访问。该文提出了一个简单安全的访问控制机制，可以有效地控制移动代理在本地主机的更新及创建权限。     

雾计算中支持计算外包的访问控制方案

在雾计算中,基于密文策略属性加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）技术被广泛用于解决数据的细粒度访问控制问题,然而其中的加解密计算给资源有限的物联网设备带来沉重的负担。提出一种改进的支持计算外包的多授权CP-ABE访问控制方案,将部分加解密计算从物联网设备外包给临近的雾节点,在实现数据细粒度访问控制的同时减少物联网设备的计算开销,适用于实际的物联网应用场景。从理论和实验两方面对所提方案的效率与功能进行分析,分析结果表明所提方案具有较高的系统效率和实用价值。     

An effective authentication mechanism for ubiquitous collaboration in heterogeneous computing environment

With the advent of new generation of mobile access devices such as smartphone and tablet PC, there is coming a need for ubiquitous collaboration which allows people to access information systems with their disparate access devices and to communicate with others in anytime and in anywhere. As the number of collaborators with a large number of disparate access devices increases in ubiquitous collaboration environment, the difficulties for protecting secured resources from unauthorized users as well as unsecured access devices will increase since the resources can be compromised by inadequately secured human and devices. Therfore, authentication mechanism for access of legitimate participants is essential in ubiquitous collaboration environment. In this paper we present an efficient authentication mechanism in ubiquitous collaboration environment. We show that proposed scheme is secure through security analysis and is efficient through the experimental results obtained from the practical evaluation of the scheme in ubiquitous collaboration environment.     

企业资源信息安全动态访问控制的状态转换控制模型研究

通常的信息安全访问控制机制是静态的,它们很少随着时间而改变,而企业资源的访问是随时间动态变化的,对企业资源的访问控制也需要动态变化.本文提出了基于状态转换控制的动态资源访问控制机制,说明如何使得访问机制根据工作流而动态变化,根据工作流的状态分配访问权限.通过静态访问控制机制与动态访问控制机制的对比,可以看到动态权限需要比静态机制更小的权限分配,这满足了信息安全的最小权限分配原则.     

基于角色的访问控制系统的研究与实现

介绍了基于角色的访问控制理论和Spring的框架,给出了一个以角色为基础、基于Spring的访问控制系统框架及实现。设计方案将各种资源抽象成URL和MODTHOD,采用Filter技术集中管理,从而实现应用逻辑与安全逻辑分离的目的。     

LTE系统中M2M业务随机接入优化方案

针对LTE系统中海量M2M终端同时接入引起的频繁碰撞问题, 提出一种基于分组的解决方案。将同一小区内的M2M终端划分成组并引入组长节点, 由组长代表本组发起接入请求, 基站根据当前负荷情况分配接入资源并通过组寻呼触发组员节点的随机接入过程。理论分析和系统级仿真实验结果表明, 相比LTE系统, 现有的随机接入策略新方案在终端数量较多时能够有效减少碰撞次数, 提高首次接入的成功概率。     

基于XACML区分服务策略控制的研究

XACML是描述访问控制的策略语言,论文首先分析了XACML的优点,并对XACML的基本概念做了介绍,然后在扩展XACML的策略基础上,提出了大型网中基于XACML的区分服务策略网络管理方案,以实现不同网络用户对网络资源访问的QoS的动态管理控制。