实现分布式仿真应用安全的JAAS技术探究

随着分布式应用的不断发展,其安全应用研究越来越多。本文简单介绍了J2EE技术和JAAS技术,并且基于JAAS设计实现了分布式仿真应用中用户认证和授权。     

基于JAAS和Struts的MIS安全性的实现方法研究

描述了基于Java认证与授权服务和Struts程序开发框架的企业MIS系统安全性的分析与实现过程;提出了一种三层结构的安全模型;采用将数据库管理系统和Web容器的角色权限体系相统一的方法,分别在浏览器层、Web容器层和数据库层采用协同的安全策略,实现了基于角色访问控制的MIS系统安全性。结果表明结合Java认证与授权服务与Struts框架较好地满足了MIS系统安全性的各种要求,不仅降低了系统运行期安全性维护的难度,而且提高了Web应用程序开发的效率。     

ASP.NET应用程序安全性研究

重点研究了基于ASP.NET的Web应用程序的安全问题。分析了ASP.NET的安全架构,从应用角度,给出了保证Web应用程序安全的4个层次:身份验证、授权、机密性和数据完整性。详细论述在Web应用程序开发中如何实现Windows验证、表单验证、URL授权和数据加密。     

基于ARM的群认证方案的研究与实现

目前,企业或公司内部普遍存在数据或文件权限访问的安全问题,尤其美国斯诺登事件以后,针对内部安全的需求十分迫切.本文研究基于ARM处理器的群认证系统,通过对文件的群授权操作来完成对机密文件的权限.系统使用的群认证方案包括身份认证和群授权模块.首先采用自制的USBKey作为硬件加密卡设备,利用AES密钥算法来实现用户身份认证.然后利用VS2010和SDK环境设计实现在ARM平台上的认证客户端,在USBKey和客户端之间传输的验证信息中,通过使用时间戳保证授权的实时可靠.通过时间戳的验证,以确保每次授权都是实时可靠的.该系统的群认证过程,不仅可以增加用户信息的安全性,而且还可以保证内部机密文件的安全.     

基于Acegi的Web系统安全架构的设计与实现

分析了Acegi安全框架,讨论了Acegi安全访问控制粒度问题,以及认证与授权过程.通过应用Acegi设计实现了一个实际网站的安全系统,并验证了Acegi框架对保护Web应用程序安全、有效、可行.     

一种基于容器的自组织存储模型

针对互联网Web应用特别是Web2.0应用的特殊存储需求,提出一种基于容器的自组织存储模型(CSS-M).CSS-M使用容器管理存储空间,聚簇存放用户文件,提高用户数据备份、迁移和恢复效率.一方面模型通过文件唯一标识提供文件的快速访问,另一方面它采用文件集来组织用户文件成树状,提供灵活的文件管理功能.模型使用容器作为数据定位和复制的基本单元,并利用对等覆盖网络技术自组织地维护容器元数据.另外,主从容器复制技术和基于容器状态的容器恢复技术保证了数据的可靠性和一致性.利用CSS-M实现了一个存储系统原型,初步的实验结果表明,CSS-M提供良好的性能和可扩展性,能够满足互联网WEB应用的存储需求.     

基于Web Service的分布式网管系统的安全机制

介绍了Web service在分布式网管系统中的应用,引入了WS-security(Web service security)安全性规范.设计了一个涵括通信层和消息层的安全机制,其中通信层的安全使用了HTTP基本验证和安全套接字层(SSL)等传统技术,消息层的安全由XML加密、XML数字签名以及身份验证技术来提供保证.所设计的安全机制能满足网管系统安全性所需要的授权与验证、保密性、完整性、安全日志等要求.     

Web服务中的跨应用单点登录

针对目前在多个Web应用服务系统中,对每个系统独立的进行身份验证和授权,从而形成信息孤岛的问题,提出了Web服务中单点登录的研究与设计。通过分析安全断言标记语言(SAML)的结构、工作原理和特点,实现了一个基于SAML的Web服务单点登录系统。测试结果表明,该系统只需一次主动身份验证就可以访问不同Web服务系统中的授权资源,简化了传统单点登录过程,具有较高的安全性能,管理起来也更加便利。     

基于Web Service的分布式网管系统的安全机制研究

介绍了Web Service在分布式网管系统中的应用，引入了WS-Security（Web Service Security）安全性规范。设计了一个涵括通信层和消息层的安全机制，其中通信层的安全使用了HTTP基本验证和安全套接字层（SSL，Secure socket layer）等传统技术，消息层的安全由XML加密、XML数字签名以及身份验证技术来提供保证。所设计的安全机制能够满足网管系统安全性所需要的授权与验证、保密性、完整性、安全日志等要求。     

基于SAML面向服务架构安全模型研究

为了解决目前主流的基于WS-security的面向服务安全框架中的安全脆弱性问题,保证面向服务架构中Web服务的安全,通过采用将安全语句封装在SAML断言语句块中,创建SAMI认证声明及进行SAML授权等为服务响应模块提供安全断言,并通过网络层和服务层的安全实现来保证Web服务的安全和实现用户的单点登录等.     

基于用户访问兴趣的Web站点路径聚类研究

用户对Web站点的访问代表了用户对Web站点上页面的访问兴趣。这种兴趣程度可以通过用户对Web站点上页面的浏览顺序表现出来。Web站点的访问日志记录了用户访问页面的详细信息。在对Web站点的访问日志进行事务识别后,按照访问兴趣对群体用户对Web站点的访问顺序进行聚类分析,则每一个聚类集反映出该聚类集中的全体用户具有相似的访问兴趣。文中在用户访问兴趣度量中综合考虑用户访问路径、网页内容、在此页面的驻留时间、此页面浏览频度因素,提出了一种基于用户访问兴趣的路径聚类算法。最后通过实验来验证这种算法的有效性。     

基于AOP的Web应用程序的安全会话管理

为降低Web应用程序中合法用户身份被非法窃取的风险,同时提高应用系统机密性及完整性,提出了一种基于AOP的安全会话管理方法。该方法关联远程IP地址与会话标识符（SessionID）,通过对访问请求的关联性分析验证合法用户身份,从而应对Web应用程序中常见的失效身份验证与会话管理问题。通过方面（Aspect）封装的应用程序接口（API）具有较好的可扩展性,经编织后的Web应用程序无需修改原业务逻辑代码,就能有效提升自身会话管理机制的安全性及可靠性,保障用户数据不遭受未授权访问。     

5G移动终端认证状态漫游和传递方法

移动通信系统通过接入认证和密钥协商在网络与移动终端间建立信任关系,确保通信安全。5G中移动终端在移动过程中可能跨越多种接入方式,需要反复与网络进行认证和协商;物联网应用中存在大量功能相同、行为一致的成组终端,逐一与网络进行认证和协商对网络构成巨大压力。移动终端成功接入网络后,可由网络为其颁发认证状态标识,持该标识的设备可直接通过其他接入方式接入网或将该标识传递给组内成员。该方法可以实现认证状态的漫游,避免成组移动终端与网络逐一认证,从而提高接入效率,避免资源浪费,确保网络安全。     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

B/S架构的单点登录系统模型

为了满足企业的具体应用集成需求,提出了一种B/S架构的单点登录模型,并讨论了密码同步的解决方案。该模型采用活动目录、ActiveX插件和Kerberos认证,将传统的C/S遗留应用(包括标准Windows应用、 FTP 和Telnet等)和Web应用集成到B/S模式下,用户通过IE浏览器调用具体的应用,提高了企业应用的可用性和可管理性,增强了用户访问的安全性.     

基于802.1x的无线安全网关用户访问控制的探讨

本文以无线安全网关为基础,分析了当前无线局域网所面临的用户访问控制问题.根据网络端口访问控制标准IEEE802.1x的用户认证协议,提出了无线用户访问控制方案.该方案采用双向认证协议EAP-TLS,设计了用户与网络之间的双向认证.最后,本文分析了在有效结合RADIUS认证服务器时,无线安全网关上的用户访问的端口控制.     

异构无线网络融合方案及其接入认证机制研究

异构无线网络融合方案及其安全问题一直是目前的研究热点。文章首先对比分析了具有代表性的网络融合方案;然后从融合网络安全需求角度出发,根据网络实体功能的差异,将异构无线融合网络划分为4个域：归属域、服务域、接入域和用户域;并在区域划分的基础上,提出了一种无冗余标识方案和统一的通用可信接入认证机制,较好地解决了接入认证中的身份信息冗余问题及安全防护能力的短板效应。