跨域访问控制与边界防御方法研究*

为保障跨域访问过程中的信息网络安全,在深入分析其所面临安全风险的基础上,提出了一种跨域访问控制与边界防御模型,该模型将跨域访问过程划分为域内和跨域两个阶段,同时结合相关安全技术进行策略决策和策略实施,保障了信息传输的保密性、完整性和可用性,从而有效地解决了跨域访问过程中的访问控制和边界防御问题。     

访问控制在网络病毒防御中的作用

本文着重讨论访问控制技术应用于计算机网络病毒防御的基本原理和指导思想，认为通过加强强制访问控制，可以有效地防御病毒在网络上传播和破坏。     

网络防火墙安全访问控制的实现

随着Internet的应用日益普及,针对网络的攻击频率和密度也在显著增长,这给网络安全带来了越来越多的安全隐患.我们可以通过很多网络工具、设备和策略来保护不可信任的网络.其中防火墙是运用非常广泛和效果最好的选择.它可以防御网络中的各种威胁,并做出及时的响应,将那些危险的连接和攻击行为隔绝在外.从而降低了网络的整体风险.     

面向等保体系的边界访问控制及实现技术研究

文章对基于信息流模型的定级系统进行了初步建模,并对边界区域的强制访问控制以及多级互联进行了初步分析,并提出下一步将基于RBAC/PMI对多级互联下的跨区域边界访问控制做进一步分析。     

基于多策略的区域边界访问控制模型研究

目前区域边界的访问控制是信息安全领域的重要问题.而传统的MLS( Multilevel Security)策略模型注重机密性保护,缺乏完整性保护,无法实施安全的信道控制策略.从多策略的角度,提出了一种区域边界访问控制模型-MPEBAC( Multiple Policy Enclave Boundary Access Control),以MLS模型为基础、以RBAC模型和DTE模型为伙伴策略,消除了MLS策略模型的缺陷,提高了信道控制策略的安全性,实现了基于角色的自主访问控制和基于安全标记属性的强制访问控制,为等级保护下区域边界网关的设计提供了理论基础.     

基于双向防御的跨安全域访问控制方法研究

实现逻辑隔离的不同网络安全域之间的信息共享与业务协作是一个重要而紧迫的课题。本文提出一种基于双向防御的跨安全域访问控制方法,该方法基于网络安全域已有的信任体系建立跨域信任关系,在访问请求发起方和目标所在域同时实施基于授权策略的访问控制,通过角色映射以代理方式访问目标资源,从而实现了跨域访问过程中网络安全域边界的双向防御,保障了各安全域的边界安全以及信息共享与业务协作的安全运行。     

基于属性的Web服务安全访问控制方案

本文基于Web服务的典型应用的安全需求,将Web服务安全规范协同使用设计了基于属性的Web服务安全访问控制方案.将安全应用于SOAP消息,为Web服务安全提供整体的解决方案,既满足端到端的消息安全要求,又提供访问控制.方案充分考虑Web服务跨组织、动态交互的特点,使用SAML断言传递安全信息以实现信任传递,针对PKI部署复杂以及不同PKI解决方案之间难于互操作的缺点,使用XKMS服务提供PKI功能.     

柔性微服务安全访问控制框架

微服务架构实现了应用服务的业务解耦和技术栈分离,但更多的微服务也增加了进程间无状态服务调用频度,如何在保证服务性能的同时确保无状态服务之间的安全访问控制是微服务安全架构面临的关键问题.本文设计了一种柔性微服务安全访问控制框架,结合微服务API网关、轻量级微服务访问令牌构建方法以及柔性适配的微服务安全控制策略等特征,提高了微服务的柔性安全控制能力,经试验分析,代价更小,并在实际项目中验证了框架及方法的有效性.     

基于SOAP网关的Web Services访问控制

本文探讨了Web Services通信中对SOAP网关的需求,提出了基于SOAP网关的Web Services访问控制架构,分析了架构中的参与者及其职责,并给出了两种SOAP网关的实现方法和基于XACML的授权服务的实现机制。     

CORBA中基于角色访问控制的实现

基于角色的访问控制(Role-BasedAccessControl,RBAC)技术随着网络的迅速发展而发展。在RBAC中,角色是其核心概念,它根据用户在组织内所处的角色进行访问授权与控制,通过角色沟通主体与客体;另一方面,CORBA由于分布式异构环境的存在而成为中间件的公认标准。文章把RBAC技术集成到CORBA应用中,并用C 实现。     

XML数据模式下基于purpose的隐私访问控制策略研究与实现

提出构建基于purpose的对XML数据模式的隐私访问控制策略模型,解决由路径传递引起的查询隐私数据泄漏问题。基于purpose的隐私访问控制策略是一棵最小安全访问树模型。最小安全访问树是一组无冗余路径的以XPath{/,//,[]}片段表示的路径表达式,XPath{/,//,[]}是一组允许访问的隐私结点路径。实验表明最小安全树生成时间取决于隐私结点在一个XML文档中的标注时间和冗余路径的判别时间,而隐私结点的标注时间与隐私数据在XML文档中的分布位置有关。最小安全访问树模型能控制隐私数据的查询泄漏。     

基于IPv6网络的移动目标防御与访问控制融合防护方法

随着5G技术的兴起,当前已有许多工业互联网设备部署在5G网络中.然而,互联网充满着各种网络攻击,需要使用更新的安全防护技术对工业互联网的设备进行防护.因此,针对当前5G网络已大量使用互联网协议第6版(Internet Protocol version 6, IPv6)的现状,提出基于IPv6的移动目标防御与访问控制方法.首先,提出兼容IPv6互联网传输的随机地址生成机制、支持两端时差冗余的随机地址机制以及支持多线程的无锁随机IP地址选取机制,以辅助移动目标防御所需的随机IP地址生成,并致力于提升基于软件定义网络技术的移动目标处理器性能和稳定性.其次,提出通过移动目标处理器对原始数据包进行随机地址替换的方法,以实现随机地址在标准互联网中传输,随后结合访问控制技术,进而保护工业互联网设备不受外部设备干扰和攻击.最后,通过一系列实验证明提出的移动目标防御与访问控制技术对原始网络影响较小,并且安全性极高,具备实际落地应用的前提条件.     

网络的访问控制模型

网格要达到资源共享和管理的目的,必须解决资源的访问控制问题.网格的访问控制必须建立在现有的访问控制系统之上,但是网格计算的环境经常跨越多个不同的自治管理域,每个域的访问控制策略和需求可能十分不同,这就使得对网格资源的访问控制更加复杂,现有的访问控制系统必须进行扩展才能移植到网格系统中.文中将讨论三种基于不同方式的网格访问控制模型.每个都有其自身特点,可以根据不同需求来选用.     

网络的访问控制模型

网格要达到资源共享和管理的目的,必须解决资源的访问控制问题.网格的访问控制必须建立在现有的访问控制系统之上,但是网格计算的环境经常跨越多个不同的自治管理域,每个域的访问控制策略和需求可能十分不同,这就使得对网格资源的访问控制更加复杂,现有的访问控制系统必须进行扩展才能移植到网格系统中.文中将讨论三种基于不同方式的网格访问控制模型.每个都有其自身特点,可以根据不同需求来选用.     

一种基于安全标签的访问控制模型的设计和实现*

针对目前Linux操作系统的主要安全问题,构建了一种基于安全标签的访问控制模型——SLinux。描述了该模型的结构和工作原理,详细论述了该模型基于LSM机制的实现,对该模型的功能和系统兼容性作了理论分析,并用试验进行了验证,最后总结了该模型的特点和不足。     

基于角色的访问控制扩展模型的设计

基于角色的访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略,已经成为信息安全等领域研究的热点之一。本文对典型RBAC模型进行了扩展,增加了对用户组、访问客体以及访问模式等概念的抽象。在有多用户参与以及多客体的大型分布式信息管理系统中该模型具有更好的可用性以及与现实世界更接近。     

Linux访问控制机制的优化设计

从操作系统的访问控制机制角度出发,探讨Linux系统的安全性。以Linux的通用访问控制框架为基础,增加一层访问控制,实现一个具有可扩展性的访问控制体系结构,并定义和实现相应的功能模块,达到增强Linux系统安全访问的目的。     

基于LDAP的访问控制及存储方案研究

本文提出基于LDAP的访问控制的存储方案研究,旨在糅合现有的存储资源,提供基于多用户的存储目录视图方案。该系统采用基于轻量级目录访问协议(LDAP)的目录服务器管理用户存储的目录信息。     

操作系统安全增强技术中访问控制的研究

介绍了访问控制领域的研究现状,详细分析了Linux操作系统原有的访问控制机制.分析和比较了一些常用访问控制,对其存在的缺点举例说明并进行了讨论.在操作系统现有的访问控制基础上,结合基于角色的访问控制和基于进程的访问控制这两种机制的优点,提出了新型的基于角色-进程的访问控制机制,并对其进行形式化描述,从静态和动态两方面使操作系统的安全性得到加强,并指出下一步工作的任务.     

基于细粒度访问控制的勒索软件防御系统设计北大核心CSCD

勒索软件是网络犯罪的主要形式之一,危害着公共社会的安全。当前的防御方案主要通过访问控制,存在授权粒度太粗、权限管理不灵活和无法正确处理异常等缺陷。为了防御勒索软件、保护主机文件资源的安全,文章提出一个基于细粒度访问控制的勒索软件防御方案,该方案包括3个主要功能,首先对文件系统的细粒度动态的访问控制;然后通过上下文的程序意图进行分析;最后对异常进行分级确认。文章实现了方案原型,分析结果表明,该方案可以有效拦截勒索软件的文件行为,并且能够减小勒索软件带来的损失。