安全工作流用户分配策略

根据工作流执行的特点,在基于任务角色访问控制模型的基础上,提出了用户基本分配策略、用户负载均衡、用户职责分离、用户基数约束等分配方案,有效地提高了资源的利用率和工作流的执行效率.     

空间职责分离约束的实施

支持空间特性的RBAC模型描述了多种空间约束,这些空间约束不但表达了位置感知系统中细粒度空间语义,而且给模型增加了空间安全描述能力.能否准确实施空间约束直接影响应用系统功能和开销.本文研究空间职责分离(SSoD)约束的两种实施策略:(1)直接实施(2)间接实施.证明了直接实施是一个NP完全问题,而通过互斥空间角色(MESR)约束间接实施SSoD是有效的.多个MESR约束可以实施同一个SSoD,在比较后发现,当使用最小MESR约束作为实施机制时,能有效避免冗余约束准确实施该SSoD.为获得最小MESR约束本文给出了GEN-MESR算法.     

数值与符号的耦合约束求解模型

采用约束关系依赖图(CRDG)表达耦合约束之间的依赖关系,从而建立数值与符号耦合约束模型.提出耦合约束的求解算法:对CRDG进行最小独立子图分解,对存在耦合约束的子图用"孪生变量法"进行一阶解耦,对没有耦合约束的子图用传统方法进行独立求解,求解之后再对孪生变量进行等效性验算.该耦合约束模型及其求解算法拓展了传统约束理论,实现了教学求解和推理求解有机地结合.     

具有时空约束的角色访问控制模型

信息技术的高度发展对信息安全提出了新的挑战,经典的基于角色的访问控制（RBAC）中缺乏对时间和空间的约束,使RBAC模型不能适应信息系统新的安全需求。在RBAC的基础上,引入了时空域的定义,对模型中各要素进行了时间和空间约束,提出了具有时空约束的角色访问控制模型（TSRBAC）。形式化地描述了TSRBAC,并定义了时空角色继承和时空职责分离,给出了时空访问控制算法。     

RBAC职责分割定义及实现模型分析

访问控制是信息安全领域的重要问题之一;目前,基于角色的访问控制模型(RBAC)已被广泛接受,并成为领域专家学者研究的热点;职责分割(SoD)是RBAC的重要方面,它为增强高层次的组织安全策略提供了强大的机制,RBAC职责分割定义给出了各种职责分割约束的具体内容;针对不同的职责分割需求,各种基于角色的访问控制职责分割约束实现模型不断出现;根据应用系统的实际需求选择合适的访问控制模型必须了解各种模型的特点,该文通过分析RBAC中不同SoD模型的特点,指出其适用范围。     

工作流模型中多粒度时间约束描述及其分析

流程的分布性要求工作流模型中时间约束可以采用不同的时间粒度来度量.为此,定义了工作流模型MG-TWF.通过多粒度相对时间约束、多粒度绝对时间约束及多粒度时间约束工作流网概念,从MG-TWF模型的静态建立阶段、动态运行阶段及模型的网结构方面描述其多粒度时间约束.并在此基础上建立了MG-TWF模型的多粒度时间约束工作流网、多粒度相对时间和多粒度绝对时间约束一致性问题的一般分析方法.最后给出一个具体MG-TWF模型的一致性分析实例.     

时间约束的RBAC模型及应用

基于角色的访问控制模(RBAC)自提出以来一直被视为用来进行访问控制的普遍方法。时间约束的RBAC模型是RBAC模型在时间约束上的扩充。描述了时间约束和时间约束模型,重点研究了时间约束模型的系统结构。分析了校园网计费系统的应用需求,设计并实现了基于时间约束机制模型TRBAC的访问控制实例。     

时间约束的RBAC模型及应用

基于角色的访问控制模（RBAC）自提出以来一直被视为用来进行访问控制的普遍方法。时间约束的RBAC模型是RBAC模型在时间约束上的扩充。描述了时间约束和时间约束模型,重点研究了时间约束模型的系统结构。分析了校园网计费系统的应用需求,设计并实现了基于时间约束机制模型TRBAC的访问控制实例。     

基于XML的Web应用模型抽取

以模型检验为目标,从时间的约束角度出发,提出一种基于XMI、文档的Wcb应用的模型抽取方法。模型抽取由时间及相关链接的提取、模型构造和结果显示3部分组成。首先,通过对Web应用进行逆向分析,从带时间约束的XMI.源代码对链接及时间约束等相关信息进行提取、规整和存储。其次,对Wcb应用中的链接、时间约束等建模元素进行分析,应用映射与聚合等抽象技术对获得的信息进行重构,得到适合于形式化验证的时间自动机(TA,Timed Automata)模型,并对时间约束下的并发进行模型组合。最后,以电子邮箱系统为实例阐述如何实现模型抽取。     

惯性／卫星制导炸弹鲁棒制导律设计

针对"惯性/卫星"制导炸弹特点和技战术要求,设计了一种带落角约束的满足L2增益指标的鲁棒制导律.制导律以控制视线角稳定为目标,选取状态变量简单,不要求炸弹速度可控,避免了求解复杂的Hamilton-Jacobi不等式,求解过程简便,便于工程应用.最后选取两种恶劣投弹环境进行了六自由度仿真,仿真结果表明:制导律对外界干扰和模型不确定性有很强的鲁棒性,并且能够很好地约束弹着角,同时较大地提高了投弹攻击区范围.     

多级安全XML文档删除操作安全策略研究

XML应用的不断扩展带来了XML安全的需求。目前关于XML安全性的研究主要集中于自主访问控制、基于角色的访问控制和视图技术,而对于强制访问控制很少有研究。对多级安全XML文档的元素删除操作进行了研究。由于在结构完整性约束和实体完整性约束下,低安全等级用户的元素删除操作可能导致高安全等级数据失去可用性或者产生信息隐通道,为此提出了一个滞后删除策略,并描述了该策略的完整性性质及实现。     

侵略型中国墙安全模型的RBAC配置的扩展研究

中国墙安全模型是商业信息安全领域中的一个重要的安全策略模型,但是它缺少有效的实施模型和机制。研究了侵略型中国墙安全模型的利益冲突关系、数据组织等,分析了基于角色的访问控制（RBAC）模型的控制机制,利用RBAC的“策略中性”原理,配置RBAC实施侵略型中国墙安全模型,并举例配置了拥有5个有利益冲突公司的RBAC模型。通过对RBAC的配置,使得侵略型中国墙安全模型可以更加方便有效地实施。     

基于Chinese Wall安全策略的职责分离模型

职责分离是一个系统最基本的防止欺骗和错误的手段。该文在Chinese Wall安全策略的基础上，实现了一种基于历史记录的职责分离模型，通过跟踪用户的历史权限记录来决定用户当前分配的权限从而实现职责分离，并对其进行了形式化描述和分析，证明其满足职责分离安全原理。该模型继承了Chinese Wall策略和职责分离安全原则的优点，能够提供更加完善的访问控制策略。     

结合强制访问控制实现基于IPSec协议的网络安全模型

强制访问控制是实现计算机安全的一种常用手段。IPSec协议作为IETF提出的Internet安全协议标准,为IPv4和IPv6协议提供强大的、灵活的,基于加密体制的安全方案。通过执行网络相关操作的强制访问控制策略,并根据IPSec协议对网络通信执行强制加密策略,从而构造具有广泛适应性的网络安全体系结构模型。     

电子政务中的扩展RBAC安全策略研究

通过对基于角色的访问控制模型(RBAC)与其扩展的研究,该文提出了在电子政务系统中适用的强制性的基于时空约束与角色的访问控制模型(MSTRBAC),该模型在RBAC中引入了强制性授权、时间约束与空间约束的手段,具有安全性完备,授权灵活,实现简单的特点。     

Unix主机安全监控技术研究

提出了一种基于P2DR的、不可旁路的强制访问控制技术。通过强身份认证、封装Unix命令和基于P2DR的强制访问控制，以多级安全策略模型为基础构建了Unix主机安全监控系统框架，重点应用于涉密网络中Unix主机的安全防护。     

基于角色的强制访问控制模型的研究与应用

基于角色的访问控制是一种策略无关的访问控制模型,通过结合传统的安全访问控制模型,可以构造出更为灵活、高效的安全访问控制模型。该文结合角色访问控制和强制访问控制模型的特点,在RBAC96模型的基础上构造实现强制访问控制的ERB-MAC模型,并给出该模型的形式化描述及证明,同时给出该模型的应用实例。     

Lattice-based access control models

Lattice-based access control models were developed in the early 1970s to deal with the confidentiality of military information. In the late 1970s and early 1980s, researchers applied these models to certain integrity concerns. Later, application of the models to the Chinese Wall policy, a confidentiality policy unique to the commercial sector, was demonstrated. A balanced perspective on lattice-based access control models is provided. Information flow policies, the military lattice, access control models, the Bell-LaPadula model, the Biba model and duality, and the Chinese Wall lattice are reviewed. The limitations of the models are identified     

A practical mandatory access control model for XML databases

A practical mandatory access control (MAC) model for XML databases is presented in this paper. The label type and label access policy can be defined according to the requirements of different applications. In order to preserve the integrity of data in XML databases, a constraint between a read-access rule and a write-access rule in label access policy is introduced. Rules for label assignment and propagation are presented to alleviate the workload of label assignments. Furthermore, a solution for resolving conflicts in label assignments is proposed. Rules for update-related operations, rules for exceptional privileges of ordinary users and the administrator are also proposed to preserve the security of operations in XML databases. The MAC model, we proposed in this study, has been implemented in an XML database. Test results demonstrated that our approach provides rational and scalable performance.     

一种基于中国墙策略的应用程序保护模型研究

针对当前系统中属于相同应用类中的应用程序产生利益冲突,可能威胁应用程序安全,包括信息泄露和信息未授权的修改。文章基于中国墙策略,提出了一个新的应用保护模型,该模型明确地区分了主体和用户的概念,并基于格的属性对于实体分配了敏感标记,通过七条访问控制规则,等同地考虑了信息的机密性和完整性保护。基于一阶谓词逻辑,形式化地描述了模型的基本元素及访问控制规则,进一步讨论了模型在实际中的应用。