多级数据库安全模型

多级安全是指一种保护敏感级信息资源不被非法使用的控制策略，它将系统内的主体（如用户、进程、事务）与客体（如文件、设备、表、元组等）按需要分成不同的安全级，通过安全级来限制主体对客体的访问。数据库管理系统中的多级安全是指每个主体（直接或间接）仅能访问其有许可权的客体。作者研究出一个实现强制访问控制和自主访问控制的多级安全数据库模型，模型满足TCSEC的B1级安全要求。     

一种时间约束的强制访问控制模型

计算机系统中,安全机制的主要内容是访问控制.针对传统的强制访问控制(MAC)模型没有考虑到时间因素对访问控制的影响,分析了对客体访问许可的时间特性,在传统MAC模型基础上加入时间事件处理器,引入对主、客体的时间限制,定义了加入时间约束后的访问控制规则,提出了带时间特性的强制访问控制模型.模型具有良好的适应能力和描述能力,有效地解决了时间敏感活动的访问控制问题,提高了系统的安全性.     

在基于角色的安全系统中实现强制访问控制

本文讨论了在基于角色的安全系统中实现强制访问控制的问题。首先介绍了角色的基本概念及在安全系统中的应用和MAC（强制访问控制）的基本概念,然后给出了一个利用角色机制实现强制访问控制的方法。这种方法源于利用角色可以方便的访问某些特定的信息上下文,通过将每个角色上下文处理的为独立的安全级并施行非循环信息流要求,实现了强制访问控制,还提出了一个阻止特洛伊木马的方法。     

操作系统中基于安全封装的访问控制实现方法

针对敏感客体的访问控制问题,文章提出了操作系统中基于安全封装的访问控制实现方法。设计了针对敏感客体访问的统一访问接口,定义了相关接口,描述了访问接口的通信协商过程;提出了类C权限描述语言,给出了该语言的形式化描述及谓词含义;基于程序调用栈,实现了程序状态与权限调用的绑定。最终,实现了对系统中敏感客体的安全访问控制。     

信息系统中的访问控制技术研究

访问控制是信息系统安全的核心策略之一，它与信息加密、身份验证、安全审计、入侵检测等系统安全理论与技术有机结合，构成了信息系统中存储、处理和传输数据的安全基础设施。访问控制作为计算机信息保护中的重要环节，近年来得到了广泛的重视。文中讨论了自主访问控制、强制访问控制和基于角色的访问控制，给出了它们的形式化定义及基本规则，分析了它们各自的优缺点。经对基于角色的访问控制技术的讨论和分析，得出RBAC更加适合应用的需要。     

基于工作流状态的动态访问控制

访问控制是信息系统的一个重要安全保护机制。访问控制规定了主体对客体访问的限制，合法的用户可以访问数据项，非法的用户将被禁止，访问控制矩阵确定主体对客体的访问权利，主要讨论了工作流执行时的访问控制问题，提出了一种基于工作流状态的动态问控制机制。同时还给出了工作流的Petri网描述，在此基础上，证明了采用这种动态访问控制机制可以降低数据误用的危险性。     

针对RTOS的轻量级强制访问控制技术的研究与实现

强制访问控制技术可以控制系统中所有主体对客体的访问操作,是系统安全增强的有效措施之一。在实时操作系统中,增加强制访问控制机制可以有效地提高系统的安全性,使其通过较高安全等级的认证。针对实时操作系统资源少、开销小、实时性要求严格等特点,首先提出了一种针对RTOS的轻量级强制访问控制模型;然后提供了可配置的访问监控器,并提出了基于DTE的任务权限集安全模型,设计了轻量级安全策略;最后基于RTEMS系统实现了一个原型系统,并实现了安全策略配置工具。通过功能测试和性能测试验证了该轻量级强制访问控制模型的有效性和可行性。     

访问控制策略的研究

访问控制策略在软件系统中起着重要的作用，与软件系统的安全性和可靠性有着直接的联系。选取何种访问控制策略，如何对系统的访问控制权限进行规划，是摆在软件分析设计人员面前的一个复杂课题。介绍了自主访问控制、强制访问控制和基于角色的访问控制三种主流的访问控制策略，并进行了对比分析。基于角色的访问控制策略依据两个重要的安全原则，强化了对访问资源的安全访问控制，并且解决了具有大量用户和权限分配的系统中管理的复杂性问题，广泛应用于当前流行的数据管理系统。     

带时间特性的自主访问控制政策及其在Linux上的设计与实现

自主访问控制(DAC)政策是基于客体—主体的所属关系的访问控制，主体可自主地决定其他的哪些主体可以以何种方式来访问他拥有的客体。将系统时间看成一个基本的安全要素，提出了带时间特性的自主访问控制政策DAC_T，并将之形式化。DAC_T解决了主体可自主地决定其他的哪些主体可以在何时访问他拥有的客体。最后，将DAC_T应用于Linux，得到了一个原型，实验证明，该原型可以实现主体对客体的时间约束。     

一个多级信息访问控制系统的研究与设计

访问控制是实现多级信息安全的必要手段。对信息系统进行定义和描述,将其中的客体分为静态和动态两类,静态客体存储于资源服务器集中管理,以邮件作为主体之间传递动态客体的唯一载体,在邮件客户端和资源服务器两端分别部署监控机制实施访问控制。经过功能测试表明,该系统能够对主体访问客体的行为和主体之间的通信同时实施控制,保证敏感信息的安全性,防止产生泄密和非法访问。     

VideoAcM: a transitive and temporal access control mechanism for collaborative video database production applications

Access control models play an important role in database management systems. In general, there are three basic access control models: Discretionary Access Control (DAC), Mandatory Access Control (MAC), and Non-Discretionary Access Control (NAC). Currently, the majority of commercial DBMSs provide only DAC, and some temporal access control models have been derived based on either DAC or NAC. In the context of video database applications, since the structure of video data is complex in nature, it requires a specific and tailor-made access control mechanism which should include MAC as well as DAC and NAC. However, only few efforts have been put on access control models for video database systems. In this paper, a transitive and temporal access control mechanism for collaborative video database production applications has been proposed, which subsumes the properties of DAC, MAC, and NAC. Moreover, our proposed mechanism is integrated with the intellectual property concerns by constructing an access control hierarchy of video data with authorization rules. In particular, our mechanism can derive novel authorization rules not only on conventional client-data access control, but also on data–data access control. Besides video data, the proposed model is applicable to other data types which exhibit a hierarchical data structure.     

利用可装载内核模块加强操作系统访问控制的方法

在深入了解和剖析Solaris8的内核结构的基础上，该文利用可装载内核模块技术实现了根据用户的级别来确定其对文件、目录的访问权限，并实现了对进程的隐藏。加强了系统管理员对系统资源和用户的管理和控制，在一定程度上实现了Solaris8由自主访问控制向强制访问控制的过渡，有效地增强了系统的安全性。     

基于强制访问控制的安全Linux系统设计与实现

论文首先研究强制访问控制模型,分析了基于信息保密性的Bell-Lapadula模型与基于信息完整性的Biba模型。在此基础上提出了安全增强型Linux系统的体系结构,详细描述了安全系统的各功能组件及关键技术。安全系统对Linux系统资源实施强制访问控制,保护资源的机密性、完整性,系统具有入侵追踪功能,能够很好地抵御本地与网络入侵。     

Building hybrid access control by configuring RBAC and MAC features

ContextRole-Based Access Control (RBAC) and Mandatory Access Control (MAC) are widely used access control models. They are often used together in domains where both data integrity and information flow are concerned. However, there is little work on techniques for building hybrid access control of RBAC and MAC.ObjectiveIn this work, we present a systematic approach for developing a hybrid access control model using feature modeling with the aim of reducing development complexity and error-proneness.MethodIn the approach, RBAC and MAC are defined in terms of features based on partial inheritance. Features are then configured for specific access control requirements of an application. Configured features are composed homogeneously and heterogeneously to produce a hybrid access model for the application. The resulting hybrid model is then instantiated in the context of the application to produce an initial design model supporting both RBAC and MAC. We evaluate the approach using a hospital system and present its tool support.ResultsRBAC and MAC features that are specifically configured for the application are systematically incorporated into a design model. The heterogeneous features of RBAC and MAC are not only present in the resulting model, but also semantically composed for seamless integration of RBAC and MAC. Discharging the proof obligations of composition rules to the resulting model proves its correctness. The successful development of the prototype demonstrates its practicality.ConclusionFeatures in the access control domain are relatively small in size and are suitable to be defined as design building blocks. The formal definition of partial inheritance and composition methods in the presented approach enables precisely specifying access control features and feature configuration, which paves the way for systematic development of a hybrid access control model in an early development phase.     

新的太赫兹超高速无线网络媒体访问控制协议

针对现有无线网络媒体访问控制(MAC)协议难以在太赫兹（THz）载频条件下实现10Gbps级别超高速无线接入的问题,提出一种新的太赫兹超高速无线网络MAC协议——MAC-T。MAC-T设计了新的时分多路访问(TDMA)+载波侦听多路访问(CSMA)自适应混合MAC接入机制和一种新的超帧结构,并定义了对应于太赫兹通信的关键参数,从而使最大数据传输速率达到10Gbps以上。理论分析和仿真结果表明：MAC-T协议能够在太赫兹无线网络中正常运行,数据传输速率达到了18.3Gbps,是IEEE 802.15.3c标准定义的最大速率5.78Gbps的2.16倍,数据帧的平均接入时延约为0.0044s,性能相对于IEEE 802.15.3c标准提高了42.1%,从而在MAC协议方面为太赫兹超高速无线网络的研究和应用提供了有力支撑。     

石油化工信息系统Web权限管理的研究

对Web权限控制进行了研究分析和应用,首先分析了进行权限控制的必要性;介绍了进行要限控制的几种实现形式,包括利用Web Server本身权限管理工具,通过在ASP／PHP页面中嵌入权限认证代码,或是将二者结合;最后,基于Apache服务器开发了图形化的权限管理系统,并已将它应用在Internet石化信息服务系统中。该软件可以方便地完成增删改用户／组,为用户／组设定权限,限制某些IP对本系统的访问等功能,并可以方便地移植到其他类似系统中。     

基于角色的访问控制模型分析与系统实现

介绍了三种访问控制机制：自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）,并着重分析了RBAC的三种模型：RBAC96,EHRABC和ARBAC97。最后,给出了一个RBAC的实现模型。     

空间信息网络多址接入技术研究进展

空间信息网络具有高动态拓扑,大时空尺度、多样化业务和星上资源受限等特点。随着星间组网技术的日益成熟和航天活动的不断增加,航天器用户的动态多址接入问题已经成为影响网络性能的关键因素,得到了国内外研究机构的广泛关注。首先分析了典型多址接入技术的主要特点;然后在空间信息网络场景中,对基于竞争的分布式接入控制、基于无冲突的集中式接入控制以及多协议混合接入控制等三种多址接入技术进行了性能分析,对比剖析了三种多址接入方法的优势与不足。最后,分别提出了典型多址接入技术在未来空间信息网络中的典型应用场景和适应性改造方法。     

可扩展系统中基于RBAC模型的访问控制

可扩展信息系统的建设可运用领域工程需求方法,将领域对象从系统中分离出来形成领域对象向导,系统管理员可根据向导完成领域对象的建立,从而实现系统的动态可扩展功能,而扩展的系统应能实现对用户的安全访问控制。通过分析基于角色的访问控制（RBAC）模型,在Struts, Spring和Hibernate集成框架下,给出一种全方位可扩展的动态自定制信息系统中基于RBAC模型的访问控制模块的实现方法,论述模块的后台数据库设计和模块实现等关键技术。     

Access granularity control of multichannel random access in next-generation wireless LANs

As the next-generation Wireless LANs (WLANs) will provide the ubiquitous high-data-rate network coverage, the traditional contention-based Medium Access Control (MAC) scheme may be unable to fulfill the requirement of efficient channel access. To address this problem, several research works have proposed the random access systems combined with Orthogonal Frequency Division Multiplex Access (OFDMA) technology. Access granularity control is a crucial issue in this combination. Specifically, this issue focuses on how to tune the subchannel bandwidth and the number of accessible subchannels towards the maximum channel utilization. This paper analyzes access granularity control in an OFDMA system that adopts a multichannel Carrier Sensing Multiple Access (CSMA) MAC and resolves contention by the frequency-domain backoff. The theoretical analysis verifies the significance of access granularity control. In addition, the simulation experiments demonstrate that the proposed dynamic access granularity control algorithms notably outperform the traditional ones that divide channel band statically and adjust the number of accessible subchannels empirically.