基于策略的软件人授权模型研究*

扩展了大多数现有Agent平台所依赖的Java授权语义,总结出包括正向授权在内的五种授权机制,并且设计了适应软件人应用场景的新的权限类型,通过对比优选出适合软件人策略表示的方案,最后提出了一种具有高扩展性和灵活性的基于策略的软件人授权模型。     

基于策略的软件人授权模型研究

扩展了大多数现有Agent平台所依赖的Java授权语义，总结出包括正向授权在内的五种授权机制，并且设计了适应软件人应用场景的新的权限类型，通过对比优选出适合软件人策略表示的方案，最后提出了一种具有高扩展性和灵活性的基于策略的软件人授权模型。     

一种面向云存储的动态授权访问控制机制

云存储是一种新型的数据存储体系结构,云存储中数据的安全性、易管理性等也面临着新的挑战.首先,云存储系统需要为用户提供安全可靠的数据访问服务,并确保云端数据的安全性.为此,研究者们针对云存储中数据结构复杂、数据存储量大等特点提出了属性加密(attribute-based encryption,ABE)方案,为云储存系统提供细粒度的密文访问控制机制.在该机制中,数据所有者使用访问策略表示数据的访问权限并对数据进行加密.但数据的访问权限常会因各种原因发生改变,从而导致云中存储密文的频繁更新,进而影响数据的易管理性.为避免访问权限管理造成大量的计算和通信开销,提出了一种高效、安全、易管理的云存储体系结构:利用ABE加密机制实现对密文的访问控制,通过高效的动态授权方法实现访问权限的管理,并提出了不同形式的访问策略之间的转换方法,使得动态授权方法更为通用,不依赖于特定的访问策略形式;针对授权执行者的不同,制定了更新授权、代理授权和临时授权3种动态授权形式,使得动态授权更为灵活、快捷;特别地,在该动态授权方法中,授权执行者根据访问策略的更改计算出最小增量集合,并根据该增量集合更新密文以降低密文更新代价.理论分析和实验结果表明,该动态授权方法能减小资源的耗费、优化系统执行效率、提高访问控制机制灵活性.     

一种高效的SPKI/SDSI2.0策略分析算法

信任管理方法提供了一种新的思路,弥补了传统授权机制应用于分布式系统的不足.SPKI/SDSI2.0是目前较普及的信任管理系统,系统中的每个主体都可以发放证书.在一个特定的系统状态中,系统管理员需要知道关于系统的一些"特性",如某一主体是否有权访问被保护资源、一个本地名有哪些成员等.当证书数量庞大时,这些问题需要借助一定的工具才能回答.但以前的算法均集中于对授权问题的讨论,没有考虑与名字相关的系统策略分析,且分析效率偏低.提出了一种基于逻辑的SPKI/SDSI2.0策略分析算法EPAAS,从本质上拓宽了策略分析的领域,利用它不仅可以分析SPKI/SDSI2.0的授权问题及名字问题,还可以将这两类问题结合起来对系统策略进行综合查询;此外,EPAAS将策略分析的时间复杂度由原先算法的O(n<'3>/l)降至O(n),提高了分析效率.EPAAS用标准的Datalog程序表示SPKI/SDSI2.0的系统状态,以Datalog程序的最小Herbrand模型作为它的语义,证明了该语义的可靠性.     

XML访问控制技术研究

可扩展标记语言XML(extensible markup language)是Internet上描述结构化信息和内容的一种极有前途的标准.当XML成为Web应用程序广泛使用的数据形式时,保证XML文档信息的安全性显得非常重要.因为XML文档能按照信息的敏感程度的不同来表示信息,所以有必要发展一种访问控制机制来定义对XML文档的某个部分的访问控制策略.本文讨论了一种临时授权模型,它为XML提供了精细的访问控制机制.在此临时授权模型基础之上,我们详细讨论了XML访问控制的若干技术问题.     

基于日志分析的数据资源授权策略评估

高效可靠的授权策略是实现对数据资源有效管控的关键,但目前如何对其效率和可靠性进行测试评估尚无系统研究.首先,提出了一种量化开销计算方法(QCC,Quantitative Cost Calculation Method),通过区分错误授权判定和错误拒绝授权判定的方式改进了传统的开销评估方法,进而提出了一种以量化开销为决策依据的策略评估机制,给出了该机制运行流程的形式化描述.最后,通过对某综合网管系统日志数据的分析评估,验证了该机制的有效性.     

面向用户角色的细粒度自主访问控制机制

基于访问控制表(ACL)的细粒度自主访问控制机制可以实现针对单个用户或用户组的访问授权,但是在实际使用中可能造成不适当授权或权限撤销不及时的缺陷.基于可信Kylin操作系统的角色定权(RBA)机制,在自主授权中引入了用户角色约束,提出了一种面向用户角色的细粒度自主访问控制机制,实现了针对单个用户在承担特定角色时的访问授权,一旦用户不再承担该角色,访问授权可以及时撤销,有效解决了ACL不适当授权的问题.     

RSA数字签名算法在软件加密中的应用

为避免软件的非授权使用,需要对软件进行加密.本文提出一种使用数字签名算法将软件绑定到特定计算机的方法.软件开发商根据主机序号等信息生成一个数字签名,作为对用户的授权.软件运行时,通过验证数字签名来确定软件使用的合法性.将数字签名技术应用到软件加密中,能够在不依赖任何特殊硬件的情况下实现软件保护.     

支持动态授权的网格授权机制

针对网格环境下动态授权需求,提出一种支持动态授权的网格授权机制。在对授权策略进行分类并形式化描述的基础上,定义了支持静、动态授权的授权规则。该规则支持组件级、功能级和参数级3种粒度的授权,可满足不同粒度授权的需求并提供协商授权功能。设计了基于静、动态授权规则和授权转换规则的策略匹配算法,并结合该算法给出了可支持静、动态授权的应用实例,应用结果表明了授权机制的可行性和有效性。     

基于Spring的Acegi安全框架认证与授权的分析及扩展

分析了基于Spring的Acegi的构架,并讨论了如何利用Acegi进行Web资源的认证和授权.通过一个实例阐述了Acegi7项重要组件的作用,并详细说明了Acegi安全框架认证与授权的过程.透过上述分析,可以了解Acegi安全系统机制运行步骤与原理.由于在运行期间用户可能会提出动态改变权限分配的需求,Acegi默认的配置文件策略略显不足.对此总结出一种基于数据库的策略,来对Acegi资源配置进行动态扩展.     

一种基于硬件特征和动态许可证的服务器端软件授权认证模型

软件版权保护是知识产权保护体系中的重要组成部分。针对目前传统的服务器端软件授权方式无法完全满足EULA要求的问题,基于硬件特征和独立授权管理服务器的架构,提出了支持动态许可证的分布式服务器端软件授权认证模型。该模型通过"强制特征验证和原子授权"的机制解决了软件版权保护、软件迁移的重新认证授权等问题,在可行性、安全性和完备性等方面均达到了EULA协议的要求。     

基于RSA算法的云资源管理平台授权机制

云计算平台提供商部署和实施云资源平台时,需要对该平台软件的使用进行管理与控制.针对云资源管理平台授权模式缺乏的现状,在项目搭建云资源管理系统的过程中,设计了一套基于RSA算法的平台软件授权机制.实践证明该授权机制通过对平台底层云资源合法有效的监督与控制,从而解决云资源管理平台软件的授权问题,并可作为云资源管理平台授权的解决方案进行推广.     

一种面向空间数据库矢量数据的授权模型与实现方法

空间数据库的广泛应用给人们的生活带来极大便利的同时,也带来了严重的安全威胁.空间应用要求授权系统支持灵活的细粒度授权策略以及否定策略,提供高效的授权实现技术.针对这些安全需求,提出一种基于谓词的矢量数据授权模型,并依据空间数据库管理系统在实现上的特征,采用谓词改写的方法实现对矢量数据的有效授权.和现有工作相比,该模型利用授权谓词表示授权区域,具有更灵活的表达能力,且支持否定授权;所提出的谓词改写的方式不仅避免授权判定时额外增加的一次空间查询,而且可以保证与空间数据库管理系统的低耦合度,还有利于空间谓词的优化,减少空间谓词的冗余.实验证明,该授权模型和实现方法能够满足空间应用的安全需求,实现对空间数据库矢量数据的访问控制和有效授权.     

基于角色访问控制的权限管理系统

介绍了一种基于角色的权限管理系统的架构.该架构使用X.509属性证书来存储用户角色.授权管理基础设施(PMI)具有权限的分配、委派、发布功能及访问控制请求的处理与决策功能,为整个系统提供统一的授权管理和访问控制服务,实现全系统统一的授权的访问控制策略与机制.     

访问控制技术研究

可扩展标记语言XML(extensible markup language)是Internet上描述结构化信息和内容的一种极有前途的标准。当XML成为Web应用程序广泛使用的数据形式时,保证XML文档信息的安全性显得非常重要。因为XML文档能按照信息的敏感程度的不同来表示信息,所以有必要发展一种访问控制机制来定义对XML文档的某个部分的访问控制策略。本文讨论了一种临时授权模型,它为XML提供了精细的访问控制机制。在此临时授权模型基础之上,我们详细讨论了XML访问控制的若干技术问题。     

基于动态许可证的信任版权安全认证协议

信任软件版权管理是数字版权体系中专门针对软件版权控制的一项重要研究内容.针对当前版权许可软件措施在安全性、有效性方面无法完全满足国际通用的最终用户许可协议(EULA)要求的问题,基于第三方可信中心提出了一种动态许可证支持的信任版权动态分布式安全认证协议.该协议将软件实体、软件运行环境以及版权状态联合考虑,通过"特征关联,原子授权,强制收权"的机制有效解决了"软件版权的安全保护,软件资源的任意迁移和软件内容的完整保持"这3方面的问题.协议交互中通过加密和数字签名保证分布式环境下数据的安全性和完整性,而实现上以代码随机验证签名实现反跟踪.分析证明,所提出的方案在可行性、安全性以及完备性方面均达到了ELUA协议的要求.与已有的方案相比,协议认证机制安全可靠,成本低且易于实施,为软件版权保护提供了一种全新的视野.     

基于描述逻辑的策略系统建模方法研究

采用基于策略的方法对安全管理,服务质量等进行监管,已经得到广泛应用.描述逻辑是一种基于对象的知识表示形式.本文提供了一种基于描述逻辑的策略系统建模方式,将策略定义为两种类型,即授权策略和义务策略.根据其性质特点建立主体、客体、角色、动作、事件、约束条件等概念,结合概念之间的关系,最终得到基于描述逻辑的策略系统模型.借助描述逻辑的推理技术,可以对策略系统模型进行分析.并举例说明了这种基于描述逻辑的策略规格方法.     

面向版权授权交易的区块链共识机制

为实现安全高效的版权授权交易,使原创版权作品得到有效保护。针对区块链技术中的共识机制加以改进,提出一种适应可信版权登记与授权交易场景的DPOS共识机制改进方法。基于信用值和币龄进行设计,采用CES生产函数模型对节点可信程度进行衡量,减少作恶节点当选代表节点的概率;通过基于混合同余算法的随机出块策略和新型区块合法性验证策略,实现区块可信的产生与验证过程,增强共识算法安全性;增加基于出块时间的信用值奖惩机制,增大网络带宽与节点性能更好的节点成为出块节点的概率,提升系统效率。实验结果表明,改进方案可以全面提升区块链系统的安全性和效率,有效应用在版权交易领域,实现可信的版权授权交易。     

一种基于中间件的授权管理体系结构

近年来，授权策略的研究取得诸多进展。但是，在应用系统中实施这些策略还需大量具有共性和挑战性的工作。本文将对象中间件技术同信任管理技术有机地结合起来，定义了面向中间件的授权策略框架MPF，然后提出一种通用中间件授权管理体系结构StarNumen。StarNumen将授权同应用组件分离，以策略驱动或透明的方式为应用系统提供授权策略描述、策略存储、会话管理等多种具有通用性的授权机制。模拟测试结果说明了StarNumen的可行性和有效性。     

一种应用于PUSH系统终端的处理高速海量数据的软件策略

Push系统是一种新型的数字电视业务系统.它以推技术为基础,利用空闲的广播信道,在不妨碍电视用户正常收看电视节目的前提下,将各种数据文件(视频/音频文件)自动"推送"到用户终端自带的本地硬盘中.为了加快系统终端的下载速度及降低丢包率,本文提出了一种应用于终端的高级软件策略,包括缓存、多线程和断点续传机制.通过对比实验,证明了这种软件策略的优越性.