身份管理发展趋势和中国科学院身份管理系统

用户通过使用网络身份访问互联网应用及服务。身份管理整合了用户身份信息保护和资源访问控制等诸多技术,为优化用户体验奠定基础。本文基于网络身份特点及身份管理基础框架,分析了身份管理的发展趋势,并介绍了基于云架构的中国科学院统一身份管理系统应用案例,该系统使用单点登录、多重认证和多级安全策略,实现了应用服务间网络身份的安全高效部署及融合。     

基于PKI的Web单点登录系统设计与实现

随着Web应用的不断普及,如何方便的认证用户身份,如何灵活的管理用户的访问权限,成为了一个日益重要的问题.单点登录(single sign-on)是一种解决不同系统之间一次登录,多系统访问的技术.设计并实现了一种Web环境下的单点登录模型,其安全性基于公开密钥基础设施,保证了多Web系统互连的安全性.系统在J2EE平台上实现,有效的解决了重放攻击、身份认证等安全问题;同时,该系统实现简单,保留了原有系统的权限管理模块,降低了系统集成成本的同时,也更灵活的实现了权限管理.     

软件质量保障平台中基于RBAC的统一身份认证应用研究

通过分析软件质量保障平台在广域网环境下升级扩展所面临的身份认证与权限控制问题,本文提出了一种基于RBAC的统一身份认证的解决方案,以Windows域服务器为基础实现用户单点登录、用户管理分层控制,以及用户、角色和权限之间的相互映射,满足软件质量保障平台在广域网环境下对安全性及易用性等基本要求。     

身份认证管理系统(IDM)设计

随着网络技术和信息化应用的不断深入,需要将分散、重复的用户数字身份认证进行整合,实现统一、安全、灵活、稳定和可扩展的企业级统一身份认证管理系统。采用J2EE设计了一个支持多层架构的系统,对统一用户管理、组织机构管理、身份认证、权限管理等功能进行了分析与设计。     

可信移动平台身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

一种基于票据的单点登录协议设计与实现

随着企业信息化建设的发展,企业信息应用系统的种类、数量越来越多,建立统一的身份认证管理机制,用户只需向身份认证中心提供一次身份信息,便可安全、平滑地访问不同应用系统,即实现单点登录,成为企业信息化建设的重要内容。根据当前企业信息应用系统已具有大量历史遗留帐号的实际情况,本文给出了一种基于票据的单点登录协议,对传统的基于票据的单点登录协议必须依赖全局统一用户身份标识的局限性进行改进,通过该协议能够简单、安全地实现对具有大量历史遗留帐号的应用系统的单点登录集成。     

基于可信计算平台的身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。     

泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

基于云计算下的高校图书馆数据安全策略的探讨

云计算是继网格计算后又一项正在兴起中的技术,它的出现使"互联网上众多的计算机成为一台虚拟超级计算机"的梦想慢慢变成了现实.云计算下高校图书馆的信息安全问题,一方面来自云服务提供商提供的安全保障,另一方面来自高校图书馆的信息安全需求.针对高校图书馆可能面临的安全存储、访问控制、权限管理、数据保密及知识权等信息安全问题,云...     

独立于应用的身份识别与访问控制系统研究

身份识别与访问控制是网络信息安全重要部分之一。实施它们的传统方法是通过身份识别与访问控制功能和应用之间的API接口来实现。这一方法的安全性和实用性不能满足网络和应用的发展。本文提出了独立于应用的身份识别与访问控制系统,该系统是一种为网络应用提供了高效的身份识别服务的安全平台。它通过结合Kerberos,PKI和安全通道技术极大地提升了性能和便利性。     

应用特征码的角色存取控制实现方案

提出应用特征码的基于角色的存取控制实现方案，由特征码表示角色、权限，特征码的合成，即用角色导出信息来表示角色间的继承关系．文中方案提供了角色授权、角色继承、数据存取授权等方面的安全管理，考虑了系统动态变化时的处理方法，并扩展了对角色私有权限及多角色同时控制数据存取等情况的处理．该方案权限存取管理简单，更适用于大型网络应用系统。     

基于双因素认证机制的角色访问控制方案

针对当前企业信息系统的安全问题,提出了一种较为实用的访问控制解决方案,该方案将双因素认证机制与数据库系统的角色访问控制有机结合,改进了角色访问控制过程的认证环节的薄弱性。文中还详细阐述了基于该访问控制方案构建的一个应用系统模型,该应用系统模型扩展了密码技术,进一步提升了应用系统的安全性。该模型已付诸实施,实践证明,企业的内网安全大大提升。     

异构无线融合网络统一接入认证研究

不同网络同时维护多套认证设施会大幅降低异构融合网络的接入效率,多套认证机制中的短板效应也会降低融合网络中的安全性能。为此,提出基于用户、位置、寻址的信息分离技术,从移动通信系统对安全的需求出发,分析并借鉴3G网络认证与密钥分配协议,在异构无线网络环境中建立基于统一用户标识的的认证方案。仿真测试结果表明,该方案实现了异构网络和移动终端的统一接入及安全 认证。     

基于任务和角色的双重Web访问控制模型

互联网／内联网和相关技术的迅速发展为开发和使用基于Web的大规模分布式应用提供了前所未有的机遇，企业级用户对基于Web的应用(Web-based application，WBA)依赖程度越来越高．访问控制作为一种实现信息安全的有效措施，在WBA的安全中起着重要作用．但目前用来实现WBA安全的访问控制技术大多是基于单个用户管理的，不能很好地适应企业级用户的安全需求．因此提出了基于任务和角色的双重Web访问控制模型(task and role-based access control model for Web，TRBAC)，它能够满足大规模应用环境的Web访问控制需求．并对如何在Web上实现TRBAC模型进行了探讨，提供了建议．同时，应用TRBAC模型实现了电子政务系统中网上公文流转系统的访问控制．     

面向飞机制造过程的统一用户管理体系及策略

为解决航空制造企业制造过程信息安全管理困难的问题,在综合分析飞机制造过程对身份认证和访问控制需求的基础上,应用单点登录及访问控制技术,构建了面向飞机制造全过程的统一用户管理体系。该体系包括了统一身份认证管理系统和统一访问控制管理系统。重点对基于单点登录的统一身份认证策略和基于规则-任务-角色的统一访问控制策略（Rule-Task-Role Based Access Control,RTR-BAC）进行了详细地探讨,并在此基础上建立了统一用户管理信息模型。统一用户管理体系将分散的用户管理功能从各应用系统中独立出来,形成统一可配置的用户管理模块,实现了对飞机制造过程用户信息的统一管理。     

基于认证可信度的用户权限控制技术研究

认证可信度体现了用户身份的可信程度。本文基于用户认证可信度实施用户登录限制、用户角色获取限制及角色强制访问控制策略权限限制,提出了基于认证可信度的用户权限控制技术。将认证可信度与用户访问系统结合,要求用户访问系统必须具有相应的认证可信度,具有重要身份的用户必须通过重要的身份认证机制的认证。在角色定权中结合认证可信度,根据用户认证可信度确定用户可以激活的角色,确定角色被激活后的访问控制权限,并参与到各强制访问控制策略实施中,真正实现认证与访问授权的有机统一,解决权限的不当获取。最后指出了进一步研究的内容。     

Authentication and access control in RFID based logistics-customs clearance service platform

The content security requirements of a radio frequency identification (RFID) based logistics-customs clearance service platform (LCCSP) are analysed in this paper. Then, both the unified identity authentication and the access control modules are designed according to those analyses. Finally, the unified identity authentication and the access control on the business level are implemented separately. In the unified identity authentication module, based on an improved Kerberos-based authentication approach, a new control transfer method is proposed to solve the sharing problem of tickets among different servers of different departments. In the access control module, the functions of access controls are divided into different granularities to make the access control management more flexible. Moreover, the access control module has significant reference value for user management in similar systems.     

基于Winsock2 SPI的主机访问控制应用

网络信息技术的发展促使通信安全要从原来的注重单一的网络层安全到进一步同时注重基于主机的安全。首先分析在Windows下应用层的服务提供接口（SPI）的模型结构嘲，包括Winsock2程序内部的功能层次关系，并以SPI技术来截获应用层数据封包，结合访问控制来加强网内主机间通信安全。具体从进程、IP地址、socket端口、数据封包内特定关键词分析、对数据封包的加密认证等几个方面提出了安全主机通信的技术途径，阐述了网络主机访问控制的技术框架，最后给出程序流程的设计实现。     

无线物联网安全管理机制研究

为了保证无线物联网中的终端和服务器系统安全、平稳运行,保障用户隐私不被泄露、篡改和用户身份不被假冒,文章采用数据加密、身份认证、入侵检测、访问控制等技术,提出了包括终端、传输、服务器安全机制的无线物联网安全管理机制,从而为无线物联网面临的数据截获、篡改、非法访问和攻击等安全威胁提供了解决方案。     

可控安全Web的研究探讨

可控安全Web也就是针对Web的安全访问控制,为了加强身份认证和访问控制,适应Web的分级管理需求,以及对信息敏感性要求很高的机密环境下Web页面的分级访问的实现,本文在对认证技术进行分析的基础上,设计并实现了一个可控的安全访问控制系统。