Advances in cryptography and information security—introduction of 2002–2006 progress of SKLOIS

This paper introduces the research progress of the State Key Laboratory of Information Security (SKLOIS) in China during 2002–2006. This introduction covers four selected areas with each covering some selected research findings. The four selected areas are: the fundamentals of cryptography; the design, analysis and testing of block cipher algorithms; the design and analysis of security protocols based on computational intractability; authentication, authorization and their applications.     

电子认证与授权管理标准体系研究

以国际上在标识、鉴别与授权标准方面已有的工作为基础，提出了我国电子认证与授权管理标准体系框架。     

Windows NT账户管理的二次开发

论述了Window2000账户管理的缺陷以及如何解决这些缺陷。     

办公自动化系统中基于RBAC的授权模型

在基于角色的访问控制(RBAC)中,只给角色分配权限,用户必须成为角色中的一员才能取得相应的访问权限。基于角色授权的基本思想是:系统中某个成员将自己所拥有的权限授予另外一个成员,使之代表自己完成一定的工作。由于授权特征的多样性,授权模型有多种不同的状态。首先归纳出与授权有关的几种基本特征,然后根据办公自动化系统的具体业务情况将授权特征的组合进行精简,找出一组合适的状态,从而建立起办公自动化系统的授权模型。     

硕士学位授权点审核系统设计与实现

为了使传统的审核过程信息化、数字化,对硕士学位授权点审核系统将要实现的管理功能进行分析,并介绍了开发技术和发布平台的设计,以及在建设过程中要解决的关键性问题。该系统开发之后,已在本省上线并运行,效果良好。希望该系统的设计、实现和实际运行能够为其他兄弟省份提供借签。     

主动授权规则实施支持空间特性的RBAC*

为满足安全策略或者角色定义的变化,系统或模型应该提供一种灵活的机制实施支持空间特性的RBAC。引入了OITE（on-if-then-else）主动授权规则实施支持空间特性的RBAC,定义了支持空间特性的RBAC中各基本元素与OITE之间的映射关系。使用OITE作为实施机制,可以在不同粒度上实施带有空间特性角色约束,并且可以将支持空间特性的RBAC应用在多个领域中。最后简要讨论了授权规则如何从支持空间特性的RBAC安全策略中自动产生。     

面向协同设计的PDM系统的功能结构与运行机制

针对协同设计过程中,企业组织结构、产品开发模式和信息管理方式的改变,对面向协同设计的PDM系统的功能结构和运行机制进行了研究,构建了相应的体系结构,提出企业、组织、人员和角色的四层组织管理模型,并根据面向项目的、面向任务的和面向活动的协作模式,提供相应的权限管理方式和基于W eb的项目管理和工作流集成系统,保证了对结盟企业的信息管理与控制,实现了企业间的协同授权。最后,系统在产品网络化协同设计系统中得到了应用验证,为协同设计提供了稳定、安全的数据管理平台。     

云计算身份认证模型研究

云计算是在继承和融合众多技术基础上的一个突破性创新,已成为当前应用和研究的重点与热点。其中,云用户与云服务之间以及云平台中不同系统之间的身份认证与资源授权是确保云计算安全性的前提。在简要介绍云计算信息基础架构的基础上,针对云计算统一身份认证的特点和要求,综合分析了SAML2.0、OAuth2.0和Open ID2.0等技术规范的功能特点,提出了一种开放标准的云计算身份认证模型,为云计算中逻辑安全域的形成与管理提供了参考。     

面向多媒体数字版权保护的委托授权远程证明协议

现有的委托授权模型主要侧重于受托方是否具有执行委托任务(权利)的能力,没有考虑到受托方平台的可信性;基于此,提出了多媒体环境下基于远程证明(Remote Attestation,RA)的委托授权安全协议,实现了对多媒体数字内容的可信委托授权.协议既保证了委托方对受托方身份与平台完整性的信任、多媒体资源服务器对受托方身份与平台完整性的信任,也实现了多媒体内容的安全访问.阐述了委托验证过程、实体间消息的交互过程以及委托授权可用性验证过程.列举与分析了协议可能遭遇的攻击,同现有的协议相比,应用于数字版权保护(Digital Rights Management,DRM)的委托授权远程证明协议的委托授权过程安全性更高,功能更完善.     

B/S应用系统中的细粒度权限管理模型①

针对B/S模式下的油库网络信息系统的实际需求,为提高用户权限管理的动态性和授权访问的安全性,结合基于角色的访问控制原理,提出了一种在B/S应用系统中针对用户人员复杂、职务变动频繁特点的细粒度权限管理模型。该模型把资源的访问权限按细粒度分解,实现了由粗到细,不同级别的权限控制,既可进行角色授权也可直接用户授权,大大改善了用户权限管理的灵活性和可扩展性。