基于图像的信息隐秘检测系统的设计

传统的网络访问控制机制大多与身份认证机制分开设计,针对其安全性差、效率低等问题,受人体免疫系统能自动识别并排斥非自体物质原理启发,该文提出了一种基于家族基因的网络访问控制模型(FBAC),给出了模型中网络家族、家族基因、基因证书等定义,建立了基因指派、制定族规、基因签名等用于生成基因证书的机制,描述了网络家族构造和基于家族基因的访问控制等算法.解决了入侵者绕过身份认证机制而存取网络资源的安全问题,克服了X.509数字证书认证效率低、证书主体信息不明确的缺陷,具有安全、高效等特点,是保障网络安全的一种有效新途径.     

基于家族基因的网络身份认证模型

为克服传统网络身份认证方法安全性不高、效率低等不足,受人类自然信任原理启发,提出了一种基于家族基因的身份认证模型(FBNA).给出了模型中网络家族、家族成员及成员基因等定义,建立了基因指派、基因签名等仿生机制,描述了网络家族构造、基因证书生成,以及基于家族基因的身份认证等算法.解决了静态口令认证安全性差、动态口令认证复杂等问题,同时克服了数字证书认证计算量大、证书主体信息不明确等缺陷.理论分析和实验结果表明该方法是鉴别网络实体身份的一种有效新途径.     

基于PKI的IPsec-VPN安全网关设计和研究

部署大型VPN网络的同时也意味着复杂度的增加，只有建立了有效的身份认证和授权机制才能有效地解决这个难题。文中阐述了如何在IPsec-VPN中将PKI证书机制同VPN安全技术结合起来，实现强身份认证和访问控制机制。基于PKI数字证书的身份认证具有良好的安全性和可扩展性、可部署性，对于大型VPN网络，采用PKI证书认证机制作为身份认证技术可能是惟一的选择。     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题，讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略，利用公钥证书实现对用户的身份认证，结合角色证书实现对用户的授权访问。     

一种基于基因证书的身份鉴别方法*

针对传统数字证书认证技术中证书主体信息不明确、通信量大等问题,提出了一种基于基因证书的身份鉴别方法（GCUA）。GCUA按照开放式网络服务架构及网络拓扑,构造真实网络的家族演化图谱;然后通过基因指派、基因签名等途径给网络实体签发惟一的基因证书,并通过验证签名信息鉴别身份。实验结果表明该方法是鉴别用户身份的一种有效新途径。     

基于属性证书的Web Services访问控制模型

Web Services的安全性已成为Web Services广泛应用的主要障碍，Web Services需要解决的安全问题包括：机密性，完整性，抗抵赖性，身份认证，授权和访问控制等。该文针对Web Services的授权和访问控制中存在的问题，提出了一种基于属性证书的Web Services授权机制并分析了利用属性证书实现Web Services角色访问控制的特点。     

基于PKI的IPsec-VPN安全网关设计和研究

部署大型VPN网络的同时也意味着复杂度的增加,只有建立了有效的身份认证和授权机制才能有效地解决这个难题.文中阐述了如何在IPsec-VPN中将PKI证书机制同VPN安全技术结合起来,实现强身份认证和访问控制机制.基于PKI数字证书的身份认证具有良好的安全性和可扩展性、可部署性,对于大型VPN网络,采用PKI证书认证机制作为身份认证技术可能是惟一的选择.     

基于划分和规则访问控制授权模型的研究

针对基于划分和规则访问控制授权方式中仍存在证书的有效撤销问题,提出了一种非公钥证书方式的用户授权模型,实现信息域的安全访问控制.该模型基于X.509 v4的clearance结构,完成授权信任机构、授权证书、证书存储三个主要功能,实现了异构平台之间的信息交互,并和其它身份认证方式一起构成应用对目标资源的安全访问.     

基于Web服务的数字化校园统一身份认证系统研究

通过对数字化校园网络应用传统统一身份认证和资源访问控制机制不足之处的分析,提出了一种基于Web服务的统一身份认证系统模型,并采用基于票据的集中式架构,以跨域Cookie共享为核心来完成用户的登录、认证和权限控制。实例证明,此方案可以方便的将分散网络节点加入认证体系,完成网络节点单点登录和资源访问控制问题。     

电子政务安全建设中的访问控制研究

针对电子政务安全建设过程中的访问控制问题，在重点介绍X．509V4(2000)版属性证书的基础上，提出了一个基于公钥证书身份认证和基于属性证书授权访问的双证书访控模型，并对其进行了分析。     

The functionality-based application confinement model

This paper presents the functionality-based application confinement (FBAC) access control model. FBAC is an application-oriented access control model, intended to restrict processes to the behaviour that is authorised by end users, administrators, and processes, in order to limit the damage that can be caused by malicious code, due to software vulnerabilities or malware. FBAC is unique in its ability to limit applications to finely grained access control rules based on high-level easy-to-understand reusable policy abstractions, its ability to simultaneously enforce application-oriented security goals of administrators, programs, and end users, its ability to perform dynamic activation and deactivation of logically grouped portions of a process’s authority, its approach to process invocation history and intersection-based privilege propagation, its suitability to policy automation techniques, and in the resulting usability benefits. Central to the model are ‘functionalities’, hierarchical and parameterised policy abstractions, which can represent features that applications provide; ‘confinements’, which can model simultaneous enforcement of multiple sets of policies to enforce a diverse range of types of application restrictions; and ‘applications’, which represent the processes to be confined. The paper defines the model in terms of structure (which is described in five components) and function, and serves as a culmination of our work thus far, reviewing the evaluation of the model that has been conducted to date.     

对等网络安全访问控制方案

提出一个安全对等访问控制方案,该方案采用两层访问控制策略：一层主要对成员资格进行审核,屏蔽一些不符合对等网络安全要求的成员;另一层基于可信值的访问控制策略,对进入对等网络后的成员行为进行评估,根据评估的可信值来决定赋予该成员访问网络资源的权限。当发现恶意成员时,网络能废除这些成员,实现对等网络的安全访问控制。     

RBAC和FBAC的适用条件与集成

用集合论的方法分析了模型选取的4个决定因素：需要授权的用户数量，功能权限集的基数，角色的权限变化情况，用户的角色变化情况。对RBAC和FBAC的适用情况进行了划分。论证了在复杂的大型系统中，综合采用多种访问控制模型，对权限进行分割合并，区分出公共权限和专门权限，并引入多级授权机制，才能够克服单一模型的不足。     

基于主机的网络层访问控制机制设计与实现

目前大部分访问控制机制实施于网络边缘,无法解决网络内部的安全问题。文章提出了一种基于主机的网络层访问控制机制,它由密钥协商协议和报文检测协议组成,对主机的网络行为和报文传递提供安全控制,适合在局域网等小范围网络实施,能够解决网络内部的假冒、篡改等安全问题。在局域网环境下实现了基于Linux平台的访问控制系统,对系统总体设计方案、开发平台、关键机制的实现方法及相关技术进行了详细叙述。并对实现的原型系统进行简单测试和分析。     

一种基于多域安全信任的访问控制模型

访问控制是一种可同时服务于用户与资源的安全机制。安全域通过使用访问控制机制为用户访问资源提供方便,同时亦对用户行为进行监视与控制。然而,由于P2P网络缺乏集中控制,现有的访问控制技术无法对P2P网络的网络节点进行控制,特别是网络中节点行为缺乏指导和约束。基于当前P2P网络访问控制中存在的不足,提出一种基于多域安全信任的访问控制模型：MDTBAC。MDTBAC模型通过扩展多级安全机制来实现访问控制,将信任算法计算所得的节点信任度作为访问级别划分标准,根据各个节点的信任度来分配相应的访问控制级别,不同的访问控制级别拥有不同的权限。     

内网安全访问控制机制浅析

随着计算机和网络技术的不断发展,内网安全问题逐渐引起了学术界和业界的广泛关注,如何针对目前内网安全方面的问题提出切实可行的安全防护措施,从而确保对内网信息的可信和可控成为摆在我们面前亟待解决的问题。本文正是基于此,针对内网安全访问控制机制的相关问题进行了分析和研究。文章首先分析了内网安全访问对于可信性需求,然后提出了可信性访问控制体系的结构,并针对该结构的特点进行了分析与阐述。希望本文的研究能够为内网安全问题提供相关解决思路,同时对于其他领域的理论研究也能起带来帮助。     

Fuzzy User Access Trust Model for Cloud Access Control

Cloud computing belongs to a set of policies, protocols, technologies through which one can access shared resources such as storage, applications, networks, and services at relatively low cost. Despite the tremendous advantages of cloud computing, one big threat which must be taken care of is data security in the cloud. There are a dozen of threats that we are being exposed to while availing cloud services. Insufficient identity and access management, insecure interfaces and Applications interfaces (APIs), hijacking, advanced persistent threats, data threats, and many more are certain security issues with the cloud platform. APIs and service providers face a huge challenge to ensure the security and integrity of both network and data. To overcome these challenges access control mechanisms are employed. Traditional access control mechanisms fail to monitor the user operations on the cloud platform and are prone to attacks like IP spoofing and other attacks that impact the integrity of the data. For ensuring data integrity on cloud platforms, access control mechanisms should go beyond authentication, identification, and authorization. Thus, in this work, a trust-based access control mechanism is proposed that analyzes the data of the user behavior, network behavior, demand behavior, and security behavior for computing trust value before granting user access. The method that computes the final trust value makes use of the fuzzy logic algorithm. The trust value-based policies are defined for the access control mechanism and based on the trust value outcome the access control is granted or denied.     

A network access control approach based on the AAA architecture and authorization attributes

Network access control mechanisms constitute an increasingly needed service, when communications are becoming more and more ubiquitous thanks to some technologies such as wireless networks or Mobile IP. This paper presents a particular scenario where access rules are based not only on the identity of the different users but also on authorization data related to those users. In order to accomplish this general goal, it will be necessary to add to the traditional system-specific services for authentication and authorization, and also some entities able to manage the information related to identity, roles and permissions. Network access will be based on the 802.1X framework and the Authentication, Authorization, and Accounting (AAA) architecture, as they constitute the basis for most of the existing proposals for limiting the access to a restricted network. These proposals will be extended making use of an authorization infrastructure based on SAML statements, the RBAC model, and XACML as the main language for expressing authorization policies. The solution that we present in this paper is a consequence of an exhaustive and non-trivial analysis of the different mechanisms that could be used to provide this kind of service. As we will see, the correct integration of these different mechanisms leads to the definition of a scalable and versatile network access control system which conforms to the guidelines outlined by the AAA initiative.