Web服务中基于信任的访问控制

将安全断言标记语言和可扩展的访问控制高标识语言相结合,设计一种Web服务下的基于信任的访问控制模型。在信任域内,服务提供方利用与请求方的直接交互经验和域内其他证人的推荐信任信息,进行信任评估和授权,该模型包括认证模块和访问控制模块。认证模块实现单点登录的功能,访问控制模型实现基于信任的访问控制和授权功能。     

一种基于TPM芯片的计算机安全体系结构

针对现行通用个人计算机基于开放架构、存在诸多攻击点等安全问题,提出了一种基于TPM安全芯片的新型计算机体系结构。设计并实现了基于安全芯片的软件协议栈TSS,在安全芯片中使用软件协议栈,通过核心服务API来调用核心服务模块,解决远程通信的平台信任问题。设计并实现了基于多协议的授权和认证管理,实现上层应用和TPM之间的授权会话及授权认证,从而保证计算机能够完成安全计算和安全存储的工作,使计算平台达到更高的安全性。     

LDAP在数字校园统一身份认证系统中的应用

数字校园统一身份认证系统就是集成了多个应用系统的认证模块,所有应用系统都通过同一个认证模块进行认证和授权,从而避免了各应用系统维护多套用户名和密码.LDAP由于其跨平台性、高可读性和扩展性等,在数字校园的统一身份认证系统中得到了广泛的应用.在深入研究分析LDAP及其相关技术的基础上,设计并实现了数字校园中基于LDAP的统一身份管理,并且实现了新的目录信息录入接口,避免了命令行和LDIF文件录入的不方便性.     

基于JAAS的认证授权系统的设计与实现

在传统的面向对象程序设计方法中使用JAAS会导致认证和授权代码与业务逻辑的实现代码纠缠在一起,不利于重用和维护.而基于面向方面的软件开发技术--AOP,利用方面封装现有的认证授权逻辑,可以保证业务逻辑和认证授权的有效分离.以现代软件的发展趋势以及传统基于OOP的开发技术为背景研究了JASS认证和授权机制,分析了传统方法的优缺点.利用AOP设计了基于JASS的认证授权系统,并通过原型系统的构造,验证了AOP技术实现认证授权系统的可行性和有效性.     

基于“萌否电台”API的iOS客户端开发

针对萌否电台的服务型移动新应用,研究在iOS平台上以OAuth授权认证的方式访问萌否网络电台,解析其返回的JSON数据,并利用Keychain服务存储授权获得的Tokens。采用MVC模式进行设计,实现了相关模块功能。在iOS6环境中测试表明,软件可以正常收听、收藏萌否电台音乐节目和读取用户的收藏。     

用C#实现网络版指纹身份认证

阐述基于SQL Server数据库的指纹识别技术的软件系统登录模块的具体原理和实现,利用指纹控件技术实现指纹身份认证过程,将指纹认证模块嵌入到C#窗体实现了身份信息动态交互,并使用SQL Server网络数据库统一存取用户信息,确保了授权用户身份的真实统一性。     

可信计算中对象访问授权协议的分析与改进

可信平台模块的对象访问授权协议是可信平台模块安全的基础。依据可信计算对象访问授权模型,在对OIAP和OSAP协议的特点及所存在的安全漏洞进行分析的基础上,提出了一个改进的对象访问授权协议。通过对改进协议的形式化分析和模拟实现,证明该协议可以抵抗外部调用者的替换攻击和中间人攻击。此外,通过在协议中引入对称密码算法,有效地解决了外部调用者和TPM之间授权认证和传输会话的机密性保护问题,在一定程度上提高了作为TCB信任根的TPM模块的安全性。     

基于Web Service的安全业务体系结构的设计

综合应用了Web Service安全标准，混合使用了浏览器到服务器和重写基本任务模块两种应用模式，利用插件服务方法设计了基于Web Services的安全业务体系结构原型，实现了加密、数字签名、授权和验证等方面的安全性。系统采用基于角色的访问控制RBAC实现访问控制策略，基于SAML标准实现认证和授权，利用XML加密和XML数字签名实现SOAP消息和XML文档的加密与签名。     

基于Web服务的企业统一认证与授权系统

企业为了实现统一调度和统一管理应用系统的目标,统一认证和统一授权的工作越来越重要且趋于复杂化。首先通过分析统一认证和授权系统的背景和系统目标,进一步通过分析比较统一认证、授权方面的知识点和Web服务技术,提出了结合Web服务技术来完成企业在认证和授权方面的统一方式,从而方便应用系统的管理人员来分级管理具体的应用系统,真正做到完全统一的认证与授权,并通过实际的项目来提出具体的服务规范（或接口）设计和实现。     

网格环境下基于VO的统一认证授权研究

网格计算系统中的资源共享和协同工作建立在虚拟组织基础之上,各种资源的共享是受认证和授权控制的。可以说,认证授权是网格安全的本质,是网格计算系统成败的关键。因此,研究虚拟组织的认证授权模型具有重要意义。根据GSl模型提出了一种基于VO的统一认证与授权模型。     

基于统一用户管理的办公业务资源系统集成

随着办公业务系统的广泛使用,各种支撑办公业务系统应用的用户数量不断增加,但用户信息存在重复记录且不统一的情况,以及需多处登录、跨系统流程无法正常流转等问题越来越突出。文中提出了一种基于统一用户授权管理的办公业务支撑系统的集成方案,目的在于将办公业务系统支撑的账号管理、认证管理和升级整合为集中统一的安全支撑体系。通过对身份认证与分布授权、单点登录、统一用户、数据同步和资源管理等技术的整合,实现了统一的用户管理和维护,对多个Web应用只提供一个登陆窗口即可完成对多个应用的访问,并提供统一的认证源;对于集成在单点登录中的应用系统,可以对应用系统的资源进行角色管理,划分权限。     

一种面向软件生命周期的授权保护系统设计与实现

当今软件行业开发模式由独立开发转向协同开发,销售形式由软件整体销售转向权限控制销售,原有的加密狗、注册码等单项软件保护技术已很难适应当前软件在开发、销售及使用等过程中各环节对产权保护所提出的新需求,软件侵权问题日益严重。针对以上情况,设计了一种面向软件生命周期的新型软件授权保护系统,该系统综合使用U-Key技术、身份认证及数字签名技术、证书链和硬件加密技术,并采用了可由开发商自填写的组件功能模板和以组件为基本授权实体的许可证文件技术加以实现。实现表明,系统结构合理,各项功能正确,可以满足软件在开发、销售和使用环节上对安全性的需求。     

在Java2环境中实现可插入的认证及访问控制

本文将可插入的认证模型（PAM）扩展为可插入的认证及访问控制模型,分析介绍了PAM在Java环境中的实现JAAS,并根据对PAM扩展的基本原理对JAAS进行了扩展,使其同时具备可插入的认证和访问控制功能。     

一种简单跨域单点登录系统的实现

分布式体系架构下多站点协作网络的应用需要统一身份认证和资源访问控制机制,单点登录系统是完成这项功能的必备模块。采用一种应用于Web环境下轻量级的单点登录解决方案,它是一种基于HTTP重定向和票据,并以跨域Cookie的共享为核心的集中式认证系统。本方案在分布式数据资源共享网络建设中实现了多个站点的跨域全局登录、用户认证和用户授权等功能。通过建立规范的登录控制模块,简单地修改配置文件,就可方便地将分散网络节点加入认证体系,完成网络节点单点登录和资源访问控制问题。     

扩展的可信网络平台接入与认证

为了对终端接入可信网络的全生命周期的完整性进行实时监控与调节,通过分析现有可信网络认证模型的不足,基于可信网络认证与接入的三方模型,加入了元数据存储模块和流量控制器以及传感器模块,提出了一种扩展的可信网络平台接入与认证模型,并描述了一个基本的验证过程.通过在可信网络服务器端引入一个用于判定资源属性的模块,大大提高了服务器性能.然后描述了全生命周期监控的定义和实例.最后指出了扩展的可信网络认证与接入模型需要考虑的安全性和机密性问题.     

通用高效RFID授权协议模型设计与实现

RFID技术的安全性问题阻碍了它的进一步应用. 这里提出的通用RFID安全授权协议模型,主要采用按位异或运算和哈希运算实现授权数据读取,并引入了RFID芯片管理代理的角色,给出了该模型的基本结构、组件职责、实现该模型的系统化协议原型和核心协议。与之前的RFID认证授权模型相比,该方法采用了计算代价更低的算法,并可以在此基础上实现RFID设备之间更复杂的授权管理模式。