面向服务访问控制策略精化描述

策略精化是解决分布式应用访问控制策略配置复杂性的重要方法.现有的策略精化技术给出了分层策略描述和逐层精化的方法,但是描述和处理策略之间关联问题能力不足,影响策略精化应用.为此给出了策略和包括组合、互斥、精化、访问路径协同等策略之间关系的形式描述方法,提出了能够描述策略之间关联属性的精化算法和记录策略和策略之间这些关联属性的策略精化树构建方法,为策略精化中的策略关联问题处理提供基础.策略精化树还能直观呈现访问控制的服务品质协议(service-level agreement,SLA).     

基于开放逻辑R反驳计算的访问控制策略精化

策略精化是解决分布式应用访问控制策略配置复杂性的重要方法,现有精化技术给出了策略分层描述和逐层精化的方法,但处理策略之间关联问题的能力不足.基于精化树描述策略和策略关联,基于叶结点策略冲突判断,采用开放逻辑R反驳计算分析精化树策略关联属性,能够消解策略冲突同时保证策略互斥、组合、访问路径协同、精化映射等关联正确,并能够按序消解不同类型策略冲突、自由取舍相冲突的策略.实验与分析计算性能表明,该方法符合SaaS平台客户应用系统策略精化需求.     

基于知识库的智能策略翻译技术

提出基于知识库的策略翻译方法,设计策略翻译组成结构,分析策略知识及其表示形式,建立动态可扩展的策略知识库,开发可扩展的策略编译器和策略组装器。实例测试表明,该技术实现了策略翻译的智能化,解决了各种设备的策略不能统一管理的问题。     

基于两阶段转换的可扩展策略翻译机制研究

策略翻译是实现策略管理的关键问题之一.设计了一种可扩展的策略翻译系统结构,提出了两阶段转换的思想,阶段1采用编译原理的思想,设计策略编译器,通过词法和语法分析,将源策略首先转换为与设备无关的中间策略,阶段2采用人工智能的思想,设计策略组装器,通过策略知识库,将中间策略转换为目标设备可执行的策略.并且通过设计词法库和策略知识库,实现了可扩展的策略翻译,增强了策略翻译的灵活性和可操作性.     

右对齐算法解决IPsec安全策略冲突问题

当前IPsec的策略系统的策略设置方式很可能引起策略冲突。在分析和比较现有策略生成算法的基础上,提出了右对齐策略生成算法,在有效解决策略冲突,获得最少生成策略数的基础上,进一步降低了满足所有需求保护的通信过程所需的策略数。     

一种ABAC静态策略冲突检测算法

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题.针对上述问题,提出一种基于策略属性分解的冲突检测算法.该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性.实验结果表明,该算法对静态策略冲突的检测率接近85％.     

智能安全防护软件策略构件的设计与实现

针对智能安垒防护软件中策略的定制和管理问题,设计并实现软件的策略构件,采用基于用户最大满意度的策略选择算法解决策略选择时的策略缺失和策略冗余冲突。采用基于构件关联检索的一致性检测算法解决定制策略中的系统交互一致性冲突。结果证明策略构件能有效解决软件策略的定制和管理中的冲突问题。     

几种经典的策略梯度算法性能对比

策略梯度函数是基于直接策略搜索的方法。它把策略参数化,并且估算优化指标相对于策略参数的梯度,然后利用该梯度来调整这些参数,最后可以获得局部最优或者局部最优策略。所以这样得到的策略可以是随机性策略也可是确定性策略。通过自主开发的Gridworld策略梯度实验平台,对经典GPOMDP、NAC和基于TD(λ)的策略梯度算法的收敛性能进行了对比分析。     

基于描述逻辑的策略冲突检测方法研究及实现

采用基于策略的方法对安全管理、服务质量等进行监管,已经得到广泛应用。本文提供了一种基于描述逻辑的策略建模方式,将策略定义为两种类型,即授权策略和义务策略;建立策略相关的概念,结合概念之间的关系得到基于描述逻辑的策略模型。策略冲突会导致不一致的系统行为,是策略分析最重要的内容。本文深入研究了不同类型的策略 略冲突,在所建立的模型基础上提出了一套基于描述逻辑的策略冲突检测方法,并使用推理机Racer举例验证了这种检测方法。     

分布式应用访问控制策略精化与冲突分析技术

策略精化是面向服务分布式应用访问控制策略配置的重要方法。分析了现有策略精化技术,包括系统和策略分层描述、推导下层协同控制策略的方法、策略精化中的策略冲突分析与消解方法、策略精化完全性和一致性、纵深防御协同策略一致性、应用策略组合与互斥约束等策略之间的关联属性分析方法。通过分析发现,策略关联属性分析能力不足是影响精化能力的关键问题。进一步分析了现有策略冲突分析技术的关联属性分析、分布式应用适用性和计算可扩展性。基于分析结果,提出了一些提高策略精化能力以适应面向服务的分布式应用的研究问题。     

基于FSA和重排序的访问控制策略评估方案

针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton, FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化;提出基于重排序的策略评估算法,重排序策略中的规则以及每个规则中的属性-值对(attribute-value pairs, AVP),减少评估访问请求过程中遍历的规则数和属性比较次数。实验结果表明,与传统策略评估引擎相比,该方案检测策略异常效率以及评估效率均有很大提升。     

金融税控收款机信息安全策略

文章介绍了金融税控收款机系统的信息安全策略,包括安全审计策略,用户数据的保护策略,标识和鉴别策略,安全管理策略,系统自我保护策略,税务数据的高度准确性、安全性策略.以上策略逐步在我们所研究开发的金融税控收款机实现,实验证明,以上策略切实可行,大大提高了金融税控收款机系统的信息安全.     

基于有穷自动机的自动信任协商策略

自动信任协商通过协商策略协调协商双方间访问控制策略、信任证的交互披露以逐步建立信任.现有的访问控制策略规则的理论表示缺乏直观性,在分析和构造策略算法时带来不便.本文将有穷自动机形式化定义与自动信任协商相结合,提出一套基于有穷自动机的信任协商定义体系,并构造有穷自动机状态转换图对相应的访问控制策略进行图形化表示,便于分析和构造协商策略.针对积极策略缺乏安全性和谨慎策略缺乏高效性的问题,提出了基于有穷自动机的协商策略,该策略在谨慎策略的基础上加入记忆链结构,以减少协商双方交互次数,提高协商效率.经证明,该策略具备完备性和安全性,并通过仿真实验证明相对于谨慎策略,该策略具备高效性.     

一种访问控制策略非一致性冲突消解方法

针对静态职责分离策略与可用策略并存时由于其互斥的需求可能引发策略非一致性冲突问题,提出了一套基于优先级的冲突消解方法.在综合考虑策略自身严格性以及对整个策略集合的影响力等因素下,提出了一种策略优先级计算方法.定义了策略的自身可满足频率和加权冲突面积这两个概念,分别表示策略的自身严格性和该策略对整个策略集合的影响力.在此基础上,根据不同的策略目标,给出了两种基于优先级的策略消解算法:最小代价方法和字典编辑优选方法.实验结果表明,在静态职责分离和可用策略的数量规模不大的情况下,基于优先级的冲突消解方法可以有效地解决策略非一致性冲突问题.     

故障诊断自适应策略研究

大多数故障诊断系统不能适应环境的变化,即不具备自适应性。针对这种情况,论文提出了故障诊断自适应策略,该自适应策略由状态空间和策略空间构成,状态空间用来描述环境状态,策略空间用来描述采用的策略。对于状态空间中的某一具体的环境状态,在策略空间存在唯一的策略与之对应。实验结果表明,论文提出的故障诊断自适应策略是比较有效的。     

金融计算机网络系统的安全问题及安全策略

本文在分析了多事计算机网络系统存在的安全问题的基础上,提出了保障计算机网络系统安全运行的主要安全策略：访问控制策略、信息加密策略、数据库存取控制策略、应用程序存取控制策略、系统监控及安全审计策略、系统安全扫描策略、数据备份及恢复策略、灾难备份策略、网络安全管理策略等。     

利用逻辑编程方法进行形式化的网络安全策略验证

高级安全策略又称为安全需求,低级策略配置是高级策略的实现,正确的低级策略配置必须能够满足安全需求。网络安全取决于低级策略配置的正确性,由于策略配置异常复杂,并且缺乏准确描述安全需求的方法,这为策略的正确性分析提出了巨大的挑战。采用逻辑编程方法来分析网络安全策略,通过将低级策略配置、高级策略、漏洞信息等元素转化为逻辑程序,将网络中所有可能存在的访问与安全需求进行对比,判定策略配置是否满足安全需求,并给出所有不满足安全需求的策略配置。     

基于区块链和策略分级的访问控制模型

为应对当前访问控制动态变化、策略合约安全性以及策略检索效率的需求,以属性访问控制模型(ABAC)为基础,提出一种基于区块链和策略分级访问控制模型BP-ABAC。结合ABAC和区块链技术,使访问控制策略通过智能合约的方式储存在区块链,合约中对访问控制策略进行策略分级;用户根据等级评估获得相应策略集的访问权限;当请求属性和策略集中的策略相匹配时,获得访问资源权限。实验结果表明,该模型实现了对不同用户访问权限控制和提高访问控制的效率与灵活性,加强了访问控制策略的安全性和隐私性。     

自适应增量策略处理的研究与实现*

在IETF基于策略的网络管理体系中,设备端（PEP）的策略配置是通过策略决策点（PDP）的自动分发机制来实现的。对于大规模网络管理系统,PDP的策略分发效率是制约系统整体性能的瓶颈。基于此,提出了一种自适应增量策略处理机(APIP)的数学模型和实现方案,根据PEP在策略库的策略映射集合的变化情况,自动实现策略的增量分发。经实践证明,该系统能够有效减小策略传输数据量,缩短策略请求排队时延,提高策略分发效率。     

面向业务流程访问控制策略及决策优化方法

在分析业务流程访问控制策略需求的基础上,对经典的XACML策略实施框架进行了扩展,提出一种能够根据业务流程执行状态管理策略的实施框架。通过在策略模式中引入元素和定义元素的语义,使其能够描述访问策略和委托策略,并支持任务级最小特权的实现。给出了两种策略决策优化方法,针对策略集中无效策略数量过多的问题,采用逐步裁减法减少策略元素比对的次数,针对策略集中委托策略数量过多且需要验证可信性的问题,采用信任关联法减少策略匹配的次数,有效地提高了策略决策的效率。