基于CP-ABE的多云存储系统中访问控制模型的研究

针对将单个云内基于密文策略属性基加密(CP-ABE)的访问控制机制应用到多云存储系统中时遇到的策略冲突问题,设计了一个属性映射机制,通过扩展CP-ABE机制,提出了一个适用于多云存储系统的访问控制模型。这里的映射机制主要针对CP-ABE的树形访问结构以及其支持的属性值类型。最后,详细描述了该模型的框架及工作流程,通过构建一个简单的原型系统验证了该模型的有效性,同时对该原型系统进行了性能分析。该模型的提出对于多云存储系统的访问控制研究具有理论价值和实际意义。     

SOA架构下的强制访问控制模型研究与实现

采用Web Service技术,以TOMCAT为平台构建了一个包含服务提供者、服务使用者及服务注册中心的SOA原型系统。基于BLP模型提出了一种SOA架构下的强制访问控制模型,使用多级安全策略,结合XML加密/解密、SOAP扩展等安全技术,提出并设计了客户端安全代理和XML安全代理网关两个功能模块,将系统的控制点前移,对服务资源及使用者进行细粒度的访问控制,能够很好地满足SOA的安全特性。     

网络化制造系统访问控制框架

建立SDACM对象模型的基础上,提出一个网络化制造系统的访问控制框架,研究了访问控制框架的工作流程以及框架与系统其他安全部件的关系。基于该框架开发的网络化制造原型系统在某企业应用中表明该框架能够满足网络化制造系统需求。     

一种基于云的SaaS分布式多租户数据库研究

给出一种基于云平台的Saa S分布式多租户数据库架构,探索了Saa S多租户应用面临的租户自定义数据访问控制和租户海量数据存储两大挑战的解决方法。使用云平台虚拟机作为局部存储节点,借助数据切分和读写分离,实现了可用性和扩展性强的租户海量数据的存储。采用灵活的键值对模型存储租户自定义数据,提出了基于元数据的租户自定义数据访问控制方法,并设计了访问控制算法。将典型应用TPC-W转换为多租户模式并进行原型实验分析,结果表明该架构是有效和可行的。     

安全DBMS的数据字典设计与实现

本文介绍了我们在设计一个安全实时DBMS原型系统时所采用的一些基本安全策略,包括了基于角色的自主访问控制、强制访问控制和审计;并设计实现了相应的数据字典,对传统的数据字典进行了圈套的扩展。     

基于云存储的电力系统访问控制方案设计

电力系统是一个由多个子系统构成的综合性系统,作为一个能够实现海量数据处理同时具有高实时性、高可靠性的管理控制平台,需要电力系统能够实现对所辖多个子系统进行复杂、细密、大范围的访问控制,这些条件要求能够设计出合理有效的访问控制模型;为了实现安全、可靠、高效的电力系统访问控制提出了将传统电力系统同云存储平台相结合的访问控制方案,通过云存储平台对数据进行存取可以达到大数据量、均衡负载、安全可靠的目的;通过添加可信度因子构建访问控制模型,根据不同用户的可行度计算值分配给以不同的权限,匹配其可操作的资源,实现了对于用户操作对象的细化识别。     

基于自治Agent技术的分布式防火墙

运用代理技术的防火墙系统是一种新的多计算机系统访问控制架构体系。在本文中,我们将提出基于代理的分布式防火墙,它通过自治代理技术协调控制网络通信流量。这个系统允许控制者和代理者合作提供一个完整的系统,保证访问控制的分布式和复杂管理任务的自动化。我们设计了一个原型并进行了实验。     

平台无关的访问控制框架研究与实现

为了使开发的访问控制模块可以在不同的平台上实施,通过总结不同平台异同点以及现有安全系统中访问控制实现方法,抽象出访问控制机制对平台的依赖,设计了一个平台无关灵活的访问控制框架PIFAC,且已经被实施在Windows、Linux以及Rtems系统上。     

基于主机的网络层访问控制机制设计与实现

目前大部分访问控制机制实施于网络边缘,无法解决网络内部的安全问题。文章提出了一种基于主机的网络层访问控制机制,它由密钥协商协议和报文检测协议组成,对主机的网络行为和报文传递提供安全控制,适合在局域网等小范围网络实施,能够解决网络内部的假冒、篡改等安全问题。在局域网环境下实现了基于Linux平台的访问控制系统,对系统总体设计方案、开发平台、关键机制的实现方法及相关技术进行了详细叙述。并对实现的原型系统进行简单测试和分析。     

一种面向SSL VPN的新型应用层访问控制模型

利用虚拟私有网（VPN：Virtual Private Network）来实现安全跨越Internet访问远端服务群的技术是目前网络安全研究的一个重要组成部分。但是，由于虚拟私有网的隧道技术能够绕过防火墙，使得基于VPN服务器攻击内部服务群成为可能。因此，本文提出了一种面向VPN的新型访问控制模型——应用层集中式信息访问控制模型。它综合了目前主流访问控制模型的控制特点、反病毒和入侵检测的工作机制。并针对VPN通信流的特点，将访问控制与VPN隧道、转发机制紧耦合，从而增强网络安全性。同时，本文给出了该模型的一个实现原型。     

Implementation of traceability using a distributed RFID-based mechanism

Suppliers, manufacturers, distributors and retailers are typically interconnected within networks and it is for this reason that the relationships among all of them are represented as supply networks. Having enough information about the supply network in which an organization is involved can be useful in planning strategies or in assuring product quality. In this work, we propose a mechanism for automatically obtaining the supply network associated to a specific product using the EPCglobal Network. This mechanism is integrated within the Discovery Services (DS) component, which is currently being developed. Recently, there have been several proposals for the implementation of the DS based on centralized mechanisms. In this work we are going to develop a DS prototype based on Distributed Hash Tables (DHT) and an access control service to be integrated within the DS prototype. Finally, the mechanism to reconstruct supply networks will be integrated within the DS prototype.     

To lock, or not to lock: That is the question

Mechanisms to control concurrent access over project artefacts are needed to execute the software development process in an organized way. These mechanisms are implemented by concurrency control policies in version control systems that may inhibit (i.e. ‘to lock’) or allow (i.e., ‘not to lock’) parallel development. This work presents a novel approach named Orion that analyzes the project's historical changes and suggests the most appropriate concurrency control policy for each software element. This suggestion aims at minimizing conflict situations and thus improving the productivity of the development team. In addition, it identifies critical elements that do not work well with any of these policies and are candidates to refactoring. We evaluated Orion through two experimental studies and the results, which indicated it was effective, led us to a prototype implementation. Apart from the Orion approach this paper also presents the planning, execution, and analysis stages of the evaluation, and details of prototype internals.     

Flexible Access Control to JPEG 2000 Image Code-Streams

JPEG 2000 is an international standard for still image compression in the 21st century. Part 8 of the standard, named JPSEC, is concerned with all the security aspects, in particular to access control and authentication. This paper presents a novel access control scheme for JPEG 2000 image code-streams. The proposed scheme is secure against collusion attacks and highly efficient. The scheme is also very flexible, allowing access control to JPEG 2000 image code-streams according to any combination of resolution, quality layer and region of interest. The "encrypt once, decrypt many ways" property of our scheme is designed to work seamlessly with the "compress once, decompress many ways" feature of the JPEG 2000 image code-streams. Our prototype implementation shows that the scheme is practical and is completely compatible with the core part of the JPEG 2000 standard.     

网络准入控制中的策略自动部署系统设计

为应对身份认证及权限控制等安全问题,构建可信的网络环境,完备、高性能的网络准入控制系统,通过分析准入控制系统的研究现状,结合实际工作中对于网络资源的优化分配、网络行为的全局控制以及网络的自动配置等高级目标的需求,提出了一种可行的系统架构,并以此为基础设计实现了一种新的网络策略自动部署系统.重点阐述了网络拓扑表示与策略展示流程,以及相关接口设计.已完成的原型系统表明,该系统具有良好的功能实现性.     

主动网络节点操作系统中安全管理的设计

讨沦了主动节点的安全州题及采用基于授权的方法解决这些问题的思路,介绍了节点操作系统（NodeOS）中安全管理子系统的没计与实现方法,即利用策略管理、信任状管理及包有效性检查实现对主体的授权管理和对节点的访问控制。     

一种工作流管理系统中的访问控制模型

在RBAC96模型的基础上，提出了应用于工作流管理系统的权限管理和访问控制模型Wf-RBAC，以使得工作流系统中的访问控制管理更加有效而灵活。提出了一种该模型的三层控制策略，并通过一个实例来说明该模型和策略的实现机制。     

企业间工作流系统中访问控制机制的研究设计

针对企业全球化合作的信息共享和协同工作,对企业间工作流管理系统中的访问控制需求和机制进行了分析和研究,设计了一个包含基于角色的访问控制、细粒度的任务相关的访问控制、工作流级和企业级安全配置的分离、动态职责分离的支持等技术的实施企业间工作流管理系统访问控制的安全机制。     

URABC——一种新的访问控制模型及其应用

从RBAC96的提出开始,出现了众多的基于角色访问控制模型,这些模型各具特色。但运用在实际系统中的时候,往往效果不尽如人意,使得系统最终只能回归到用户-用户组的简单访问控制上去。本文吸收了多个优秀访问控制模型的优点,并加以改进,最终提出了UARBAC模型,并将其运用于文件访问控制系统中。实现了一个UARBAC访问控制系统的原型。     

URABC—一种新的访问控制模型及其应用

从RBAC96的提出开始,出现了众多的基于角色访问控制模型,这些模型各具特色.但运用在实际系统中的时候,往往效果不尽如人意,使得系统最终只能回归到用户-用户组的简单访问控制上去.本文吸收了多个优秀访问控制模型的优点,并加以改进,最终提出了UARBAC模型,并将其运用于文件访问控制系统中.实现了一个UARBAC访问控制系统的原型.     

Pulse-signaling algorithm: a non-device-based robotics control and communication

A pulse-signaling algorithm (PSA) is proposed for robotics control and communication. Using the PSA, an operator can send control signals directly to control a robot or a group of robots. No extra equipment is needed in PSA because the pulse signal can be generated easily from the operator. Three aspects of the algorithm are considered in this paper: communication protocol, hardware prototype and software implementation. The PSA protocol is composed of three parts, i.e. command code, operand code and address code, in order to control the desired robot to do the desired work. A PSA prototype circuit is designed and developed, and PSA software is programmed on the designed prototype circuit to realize the algorithm. Some experiments are performed to test and evaluate the proposed algorithm.