JavaTM 2平台安全策略动态绑定机制研究与实现

JavaTM 2平台采用基于Principal的细粒度访问控制机制(即JAAS访问控制体系)和动态与静态相结合的安全策略绑定机制,可以让本地应用程序或远程Applet在运行时环境中动态地改变安全策略,进而重新确定程序的运行权限,这种动态绑定策略的方式也有利于在分布式环境中实现对权限的动态分配.应用这种策略绑定方式到应用程序中,加强了应用程序的安全性和灵活性.     

基于LSM的动态多策略研究与实现

安全需求多样化对操作系统提出支持大量广泛的安全策略灵活性要求.这些灵活性需要支持控制访问权限的转移,执行细粒度的访问控制和撤消之前许可的访问权限.传统操作系统把对安全策略的支持分散到系统相关功能模块中,难以满足这种需求.通过对操作系统中策略相关功能部件的研究,介绍并分析了一种基于通用访问控制框架LSM的动态多策略安全体系结构,阐述了如何把主流Flask体系结构和LSM合理有效的结合以及在Linux上的实现.     

基于访问控制列表机制的Android权限管控方案

Android采用基于权限的访问控制方式对系统资源进行保护,其权限管控存在管控力度过粗的问题。同时,部分恶意程序会在用户不知情的情况下,在隐私场景下偷偷地对资源进行访问,给用户隐私和系统资源带来一定的威胁。在原有权限管控的基础上引入了访问控制列表（ACL）机制,设计并实现了一个基于ACL机制的Android细粒度权限管控系统。所提系统能根据用户的策略动态地设置应用程序的访问权限,避免恶意代码的访问,保护系统资源。对该系统的兼容性、有效性的测试结果表明,该系统能够为应用程序提供稳定的环境。     

主动网络基于分散式角色激活管理的访问控制

可编程性使主动网络面临更严重的安全威胁，虽然已经提出了大量的安全策略和安全机制，但它们的实现多以静态为主，无法满足主动网络的动态需求。提出一种基于分散式角色激活管理的访问控制策略，包括身份认证、授权和权限验证，对动态约束提供了灵活有效的支持，比传统的基于角色的访问控制更适应主动网络的动态特性。最后在此基础上设计了主动节点的安全机制。     

RBAC在EAI中的应用研究

针对EAI中访问控制具有用户量大、权限关系复杂、访问控制必须满足企业的安全策略等特点，给出了RBAC在EAI中的应用模型，该模型通过RBAC提供访问控制策略实现EAI中各应用系统的统一访问控制。讨论了两个关键技术--RBAC在EAI中的授权管理和访问控制策略的实现     

动态安全模型中基于代理的访问控制

随着信息系统复杂性不断增强,许多大型应用系统都具有动态性,但是传统的访问控制机制不能提供动态权限分配。该文提出一个实现动态安全策略的访问控制模型,在RBAC模型基础上通过代理动态地决定访问权限,代理根据抽象角色定义和上下文信息规则,通过推导模块得到用户的实际角色,阐述模型的组成并将它应用于一个项目管理系统中。结果表明,该模型比传统的访问控制模型更加高效、安全。     

主动网络基于分散式角色激活管理的访问控制

可编程性使主动网络面临更严重的安全威胁,虽然已经提出了大量的安全策略和安全机制,但它们的实现多以静态为主,无法满足主动网络的动态需求。提出一种基于分散式角色激活管理的访问控制策略,包括身份认证、授权和权限验证,对动态约束提供了灵活有效的支持,比传统的基于角色的访问控制更适应主动网络的动态特性。最后在此基础上设计了主动节点的安全机制。     

安卓敏感数据和能力的访问控制增强机制研究

安卓设备中的敏感数据和感知能力面临严重安全威胁。现有的安全机制主要从应用层实施粗粒度访问控制,无法有效保护用户敏感数据和设备感知能力。为此,提出基于密码学和细粒度安全策略驱动的安卓敏感数据和能力访问控制增强机制。首先,结合密钥管理和细粒度加密策略,利用高强度对称加密算法对敏感数据进行加密,解决敏感数据的安全存储问题;其次,应用基于细粒度安全策略的访问控制机制,从安卓平台层控制感知能力的访问权限,实现感知数据保护的目的。通过原型系统和性能测试,提出的安卓敏感数据和能力的访问控制增强机制可以运行在当前安卓平台上,并且性能是可接受的。     

基于环境属性的访问控制系统设计与实现

目前研究的访问控制机制大多将访问策略与主客体相关联,访问权限相对固定,但在实际应用中,访问控制权限需要根据服务环境变化而实时调整。为此,构建一种基于环境属性的访问控制模型,在Linux系统下设计并实现基于该模型的访问控制系统。在访问控制的判定过程中增加环境属性因素,实现根据环境属性动态调整访问控制权限。测试结果表明,该模型对系统开销少,不会降低Linux平台的正常运行效率,能有效提升系统的安全性和可用性。     

动态访问控制技术的研究与应用

权限访问控制模块是每一个多功能管理信息系统所必有的最重要功能模块之一。通过权限访问控制可以增强应用系统的安全性，保护应用程序和后台数据。文中主要介绍了基于RBAC模型的动态访问控制机制，详细阐述了应用RBAc模型的设计思想和实现方法以及数据库设计，并且对RBAC模型的角色与角色、权限与权限之间的关系做了进一步扩展和细化，增强了RBAC模型的灵活性和安全性。文中提出的实现方案已成功应用于“黄陵县人事管理信息系统”中。     

普适计算环境下基于模糊ECA规则的访问控制方法

上下文信息是普适访问控制的关键因素,对主体授权和权限使用过程具有决定性影响。普适计算环境下,主体权限、资源访问控制强度和安全策略应随上下文的变化而动态自调节。已有访问控制模型均未考虑上下文对普适环境下访问控制的主动性影响,使得访问控制的主动性和自适应性较差。为了描述上下文对普适访问控制中主体权限、访问控制强度和安全策略的主动性影响,通过对传统ECA规则进行模糊扩展,设计了一种基于区间值模糊集合理论的模糊ECA规则模式,提出了基于模糊ECA规则模式的主动访问控制方法,使授权和访问控制自适应于普适计算环境。     

访问权限实时更新的模型与实现

为了保证在动态环境下信息系统的安全性，需要一个良好的访问控制模型，对访问控制策略的实时变化立即作出反映，并采取必要的措施。描述了一种支持访问权限实时更新的访问控制模型和实现，并进行了并发性分析。在这种模型中，访问权限实时更新的并发控制算法简单且易于实现。在并发环境中，多个主体读写数据和修改访问控制策略并互相影响时，可直接应用该模型与算法。     

OA系统中基于角色的访问控制

本文基于集成OA系统的实际安全性需求，研究了用基于角色的访问控制（RBAC）技术实现异构数据库中数据访问控制的机制，分析了OA系统实施中的一般安全策略和存在问题，实现了用户与访问权限的逻辑分离，以及最少权限原则和职责分离的原则。     

金融计算机网络系统的安全问题及安全策略

本文在分析了金融计算机网络系统存在的安全问题的基础上，提出了保障计算机网络系统 安全运行的主要安全策略：访问控制策略、信息加密策略、数据库存取控制策略、应用程序 存取控制策略、系统监控及安全审计策略、系统安全扫描策略、数据备份及恢复策略、灾难 备份策略、网络安全管理策略等。     

安全移动代理系统的访问控制策略

在移动代理系统的安全策略中，防止恶意移动代理攻击主机的有效手段是采取访问控制机制，限制移动代理对本地资源的访问。该文提出了一个简单安全的访问控制机制，可以有效地控制移动代理在本地主机的更新及创建权限。     

一个安全的移动代理系统的访问控制策略

在移动代理系统的安全策略中，防止恶意移动代理攻击主机的有效手段是采取访问控制机制，限制移动代理对本地资源的访问。提出了一个简单安全的访问控制机制，可以有效地控制移动代理在本地主机的更新及创建权限。     

SELinux安全机制和安全目的研究

SELinux在Linux中实现了高强度但又灵活的强制访问控制(MAC)体制，提供基于机密性和完整性的信息隔离．能对抗欺骗和试图旁路安全机制的威胁．限制了因恶意代码和应用程序缺陷造成的危害。SELinux支持多种安全策略模型，支持策略的灵活改变．使用类型裁决和基于角色的访问控制来配置系统。文章给出了SELinux体系结构和安全模型，表述了安全加强的Linux是如何支持策略的灵活性和如何配置访问控制策略来满足通用操作系统的安全要求．     

基于分层对象化RBAC的设计与实现

安全内核的功能是维护系统内部信息的安全.通常是根据不同的安全需求,在安全内核中实施不同的安全策略.RBAC是一种能够满足系统多方面安全需求的访问控制机制.传统RBAC在改变角色的操作集合时,易与外部应用程序发生冲突.通过把访问系统内部信息的操作对象化,并作为角色分派给应用程序,在对象化的操作和应用程序之间派生出一个角色权限检查对象,灵活地实施分层对象技术,能够克服传统RBAC的不足,使RBAC的安全策略能够任意改变.     

基于角色和规则的访问控制

分析了传统RBAC模型在应用中存在的不足,引入了上下文和规则的概念,并将权限分为使能型、激活型和限制型,提出了基于角色和规则的访问控制模型。通过在设计时定义安全策略,并在运行时捕获上下文信息来应用安全策略,从而能够为系统提供更细粒度的访问控制,同时也可以降低传统RBAC模型中角色权限分配的工作量。     

安全中间件WebST

清华得实的 WebST 是一个企业级的安全解决方案,提供包括身份认证、访问控制、数据保密性完整性、审计记录等一整套安全解决方案。基于角色的访问控制WebST 中的角色包括用户、用户组及其访问权限。定义安全策略时,角色定义可以根据职称、职务、部门等多种方式定义,可以灵活地反映安全管理的需求。访问控制机制可以预先定义和集中保存访问控制策略,然后根据应用对象选用不同的访问控制策略,也可以将某一部分的访问控制的管理进行授权委托,这一机制减轻了管理负担,加强了资源访问控制的一致性。对第三方授权服务的支持通过 K-BIT 标准,WebST 支持第三方授权服务。在WebST 的 ACL 权限中,有一项是“K”位,通过设置该位,WebST 各安全服务器将授权服务请求传递给指定的第三方授权服务器。