网格服务中基于XACML和SAML的安全访问控制

为了解决网格环境下资源访问控制存在的安全性问题,通过分析可扩展访问标记语言XACML、安全声明标记语言SAML及其相关技术,提出了一个基于XACML和SAML的访问控制模型。模型采用可扩展访问标记语言XACML描述访问控制的授权策略,以SAML声明为载体传递用户认证和授权信息,提供安全、细粒度的访问控制,具有较高的灵活性和可扩展性。     

电子政务内门户单点登录系统的实现

介绍了一个电子政务内网门户单点登录系统的实现.系统基于凭证映射的方法,把用户的主认证身份同后台应用中的凭证相对应,应用端的认证由系统自动完成,并采用LDAP目录服务对门户用户进行统一管理和访问控制.它无缝集成采用标准认证机制的原有web政务应用系统,为公务员提供统一的信息资源认证访问入口,提高了政务效率效能和信息系统的安全性.     

一种分布式系统的用户认证授权机制及其应用*

针对用户认证和授权问题提出了一种对用户集中认证、分散授权的解决方案。通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。     

基于可信度的访问控制模型的设计与分析

针对CAS授权模型的局限性,提出了一种基于认证可信度的访问控制模型。在CAS授权模型中,虚拟组织中的成员通过向服务器添加访问策略达到访问控制的目的。在开放式环境下,由于节点频繁加入或退出,导致服务器开销增大。在基于可信度的访问控制模型中,资源提供方通过向服务器注册信任阎值和信任权重代替访问控制策略,达到控制用户访问的目的。模型既运用了认证机制,同时还考虑到用户的信任度,因而模型具有灵活性和可靠性两个特点。     

RBAC模型时间约束的OCL描述

基于角色的访问控制模型以其灵活性、方便性和安全性在许多系统的权限管理中得到普遍应用,而引入时间约束后的角色访问控制更能增强系统的安全性和模型的描述能力。该文使用对象约束语言OCL来描述模型中的时间约束,使模型更加直观和精确。     

组播用户安全管理系统设计与实现

为了克服IP组播模型的开放性,使得在现有互联网条件下能够为组播管理者提供用户对频道的访问控制,在原有安全组播模型的基础上,提出了一种基于IPv6网络环境的组播用户安全管理系统模型的设计方案。该方案采用钩子(hook)机制在接入路由器上挂载了认证与访问控制模块,任何想要监听组播流的用户,都要通过该模块进行身份认证与频道访问权限的判定,从而实现了基于频道的组播用户安全管理。并在教育科研骨干网中实验验证了该系统的身份认证和访问控制功能。     

一种灵活的Web服务访问控制解决方案

本文首先分析了基于Web服务的企业应用集成框架中跨域的认证和授权存在的问题,接着提出一种基于RBAC的灵活的Web服务访问控制解决方案.在该方案中,可信任的企业信息门户认证远程用户身份,生成和Web服务提供者域中访问控制机制关联的远程角色信息,并结合基于WS-Security数字签名和加密机制,由Web服务提供者和请求者双方的机制实现松散耦合的访问控制.     

单点登录在电子政务内网门户中的应用研究

介绍一种基于PKI的电子政务内网门户单点登录系统,它使用数字证书对用户进行身份认证,通过基于角色的访问控制进行授权,并使用cookie和服务访问票据在多个Web应用系统间进行跨域认证和会话维持;同时对构建单点登录系统的安全性进行了分析,并提出改进方法;最后介绍如何对Web应用系统进行改造,并与内网门户集成以进行单点登录.     

基于XACML的Web服务安全访问控制

Web服务一个显著的特点是能够被互联网上的用户方便地访问,但这种方便性却带有安全隐患。本文提出了基于XACML的Web服务安全访问控制架构,并给出了一个基于策略服务器的访问控制模型。     

基于CAS的代码访问控制研究与实现

对于以组件为中心的软件世界,其安全模型不同于现有的基于用户的安全访问.文章针对网络环境下代码安全问题,阐述了.NET环境下安全的实现机理,研究和分析了CAS和属性的原理,设计了通用授权访问控制模型,实现了基于自定义属性的代码层授权访问控制,保证了应用系统的安全性和灵活性.     

利用规则RBAC模型实现门户的安全访问控制

基于角色的访问控制(Role—Based Access Control,RBAC)是一种安全、高效的访问控制机制,并不能满足门户中根据用户特征的动态改变而动态地改变用户角色的需要。结合RBAC模型思想和门户的需要提出一个基于规则的RBAC模型,在用户和角色之间增加规则,并通过定义规则表达式实现了动态的用户角色分配,克服了标准的基于角色访问控制模型应用于门户的缺陷。讨论了以规则RBAC模型为基础的门户中资源访问控制的实现,有效地解决了门户中的安全访问控制问题。     

角色管理自动化的访问控制

基于角色的访问控制是简化企业信息系统访问控制的一个有效策略。近年来规则已经被用于支持用户角色的自动管理。该文引入职能控制集的概念，结合角色和规则的优点，提出了一种新的适合于大型企业的安全访问控制方案，实现角色分解和权限细粒度控制的目的，根据企业的安全管理策略和用户的属性，自动管理用户-角色的分配，还引入否定授权策略，增强了客体权限分配的灵活性和安全性。     

开放网络环境中基于属性的通用访问控制框架

针对传统访问控制模型在新一代可信互联网环境应用中存在用户角色赋值效率不高、跨域访问控制实现困难等局限性,提出了基于属性的通用访问控制框架。该框架对用户、资源、操作和上下文四类对象的属性信息进行统一的描述和处理,简化了传统RBAC及其他访问控制系统复杂的权限判定方式,从而增强了访问控制系统的通用性和灵活性;同时,对于跨域的访问应用了基于属性证书的验证方式并给出了相应的策略评估方案和评估算法,能够针对不同应用域中用户的访问需求动态实施资源管理和访问控制;另外,框架中引入的运行上下文对象机制,进一步提升了该框架对复杂、动态互联网环境的适应能力。     

协作环境下的时空约束强制访问控制模型

安全的信息共享对信息系统而言至关重要。协作环境下的关键应用对信息共享和信息安全提出了更高的要求。已有的基于BLP模型的强制访问控制模型均无法满足协作环境下关键应用的访问控制需求。因此提出一种协作环境下的具有时空约束的强制访问控制模型,将任务、时间、空间等要素进行综合考虑,从而将逻辑安全和物理位置相结合,既增强了访问控制模型的安全性,又满足了协作环境下访问控制的灵活性。采用无干扰理论对所提模型的安全性进行了证明。     

无线宽带路由器尽在掌握——Gigabyte GN-B48G

无线网络的安全性是一个永远不会过时的话题．尤其对于企业用户来说，除了无线信号的加密外，网络用户的认证，权限管理也是非常重要的。WEP、WPA无线加密技术使得外来用户无法轻易连接进你的无线网络．而用户认证、访问控制等技术则是合理规划网络资源所必备的功能。     

基于Portal的统一身份认证与系统集成研究

门户技术在数字化校园建设领域得到了广泛应用,统一身份认证和应用系统集成是其中的核心技术,单点登录是实现统一身份认证的途径,提出一种利用Cookie令牌和访问控制程序来实现跨域访问控制的单点登录方案,并使用LDAP用户数据库来完成统一的用户的登录、认证和权限管理。按照校园各种网络应用系统的不同类型,提出了四种满足不同集成需求的系统集成方式,并在此基础上实现了基于门户的数字校园架构。     

基于属性加密的气象云数据访问控制策略研究

随着气象业务水平的不断提高,气象数据的云存储和即时共享问题也日益突出。针对云计算环境下气象数据存储与共享面临的身份认证和访问控制问题,提出了一种基于多方授权的属性加密的访问控制模型。该模型采用一种适合云环境下大数据的属性加密方案,解决了气象部门用户多类性情况下的资料细粒度访问控制问题,同时引入全局ID概念和多方授权机制,解决了不同机构用户在气象部门各资料存储机构间的访问权限问题。系统具有较高的安全性和良好的实用价值。     

基于IEEE802.1X的端口认证解析

IEEE802.1x协议是基于Client/Server的访问控制和认证协议。提供对集中式用户标识、身份验证、动态密钥管理和计帐的支持来提高安全性。在企业局域网的组建中可以在接入层和汇聚层布署认证方案,为企业局域网的安全管理提供了有效的技术支持。     

基于Cookie的门户系统单点登录模型*

针对门户系统的特点提出了基于Cookie的门户系统单点登录模型,详细介绍了该模型的认证过程,对模型中的安全性进行了分析。门户系统单点登录模型的提出能够解决门户系统中分布式资源站点之间的统一身份认证问题,实现单点登录,从而方便用户对资源的使用、增强用户访问站点的安全性、减轻管理员的负担。     

MPLS VPN:打通内网“羊肠小道”

对企业来说,MPLS VPN利用公用骨干网络广泛而强大的传输能力,降低了企业内部网络/Internet的建设成本,极大地提高了用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、带宽、方便性的需要