基于策略的RBAC统一授权模型研究

现有的授权方式难以满足多种应用要求。提出一种基于策略的RBAC统一授权模型,并给出其实现方案。该模型以策略为基本构成要素,实现了根据多种属性的角色自动授予、角色冲突检测等功能。利用该模型能够以细粒度、灵活及与具体应用无关的方式授予用户权限,解决了大规模、海量用户系统难以自动授权的问题。基于该模型实现的统一授权与访问系统验汪了模型的有效性,可用在多种类型的应用系统上。     

基于加权熵的访问控制策略安全性分析研究

为解决访问控制策略的安全性分析问题,提出了一种基于信息熵的策略量化分析理论.首先,根据信息论中加权熵的知识定义了策略安全熵,提出了非授权访问行为的最大不确定性计算方法.然后,分别给出了典型访问控制策略的一维安全熵和N维安全熵,并对结果进行了证明.最后,依据安全熵分析了典型访问控制策略的安全性.     

ERDM-增强的基于角色的委托授权模型

基于角色的委托授权模型是基于角色访问控制研究的一个热点。文章对现有的几种典型的委托授权模型进行分析,指出了其在办公自动化应用方面存在的不足,提出了适合分布式应用环境的,增强的基于角色的权限委托模型ERDM,并分析了其权限委托和撤销规则等相关特性。     

文档安全管理系统的跨省授权访问研究

文档安全管理系统在各企业和机构的信息安全保密方面发挥着重要的作用。许多全国性大型集团公司具有总部-省两级架构,文档安全管理系统一般按分省模式建设,需要解决加密文档跨省授权访问的问题。在对各种跨省授权访问技术方案分析比较的基础上,根据使用场景,选择权限信息按文档分布的方案进行详细的设计,并在中国移动进行了应用,取得了良好...     

基于显式授权方法的安全Web服务器系统

Web服务器的安全性是网络信息安全研究的关键目标之一。本文在提出显式授权方法的EA-Server模型的基础上,应用模塑构建了一种安全Web服务器系统,并详细分析了系统的安全性。     

基于行为类型的XML文档访问控制模型

 随着XML应用的飞速增长,XML正逐渐成为Internet上交换半结构化信息的标准。为了实现每个新增加的操作,访问控制技术变得很复杂。本文中提出了一个访问控制模型,该模型利用行为类型来分类处理不同的操作,改进了现有访问控制中新增操作复杂的问题;同时,本文还提出使用树标记算法作为XML文档的转换处理器,因为行为类型的分类,使有的操作减少了不必要的重复检索,所以它比现有的节点过滤访问控制的效率高。     

基于熵理论和RBF神经网络的有源压制干扰识别方法

电子干扰技术的发展使得有源干扰的性能得到了长足的进步,为了提高雷达抗干扰效果,有必要对不同类型的干扰采取针对性抗干扰措施。针对有源压制干扰的自动识别问题,本文研究了一种基于熵理论的有源压制干扰识别方法。对有源压制干扰信号进行FFT变换后,提取频谱的信息熵、指数熵以及范数熵,构建三维特征空间并送入径向基函数(RBF)神经网络进行识别。仿真结果表明,将熵特征作为特征参数能取得良好的识别效果。     

基于贝叶斯决策理论的风险最小化的授权映射方法

授权决策是访问控制理论研究中的关键问题之一。为了有效提高基于信任的访问控制中授权的安全性,依据最小风险贝叶斯决策理论,将访问控制中客体对主体的授权视为最优决策的发现问题,提出基于风险最小化授权映射方法,实现访问控制中准确的授权操作。通过算例分析和仿真实验表明,该方法能够在降低风险的情况下比较准确地给出交互的最终授权。     

面向应用系统的授权服务平台研究

针对网络中应用系统授权缺乏统一管理、人员和权限信息不一致、开发投入高等问题,文章提出了一种基于公钥基础设施、证书认证、Webservice和LDAP技术的面向应用系统的授权服务平台方案,并重点描述了该平台的系统架构和应用集成模型。最后,结合业务呼叫安全服务平台给出了一个如何使用授权服务平台的应用实例。     

一个基于Socket的安全授权及其认证的编程框架

描述了在Ｉｎｔｅｒｎｅｔ／Ｉｎｔｒａｎｅｔ环境下基于ＩＵＩＸＳｏｃｋｅｔ接口进行授权鉴别编程的基本原理及方法，着重讨论了ＴＣＰ／ＩＰ网络的编程，并给出一个客户机／服务器模式应用中的安全授权及其认证的实现 框架。     

一种安全芯片的访问控制设计

由于安全芯片承载了较多的敏感数据（如密钥）,因而其自身的安全也非常重要。对芯片内部的敏感数据进行安全地访问控制是增强其安全性的关键手段之一。提出了一种安全芯片的实施方案和敏感数据访问控制方法,采用软硬件协同配合实现。本方案增加硬件少,安全控制由软硬件配合完成;访问控制可以基于密码算法实现,也可以使用其它方式;访问控制方式可在生产与升级过程中更换,灵活性大。对安全芯片的设计具有较好的参考价值。     

云计算的服务安全体系结构和访问控制模型

Security is a key problem for the development of Cloud Computing. A common service security architecture is a basic abstract to support security research work. The authorization ability in the service security faces more complex and variable users and environment. Based on the multidimensional views , the service security architecture is described on three dimensions of service security requirement integrating security attributes and service layers . An attribute-based dynamic access control model is presented to detail the relationships among subjects , objects , roles , attributes , context and extra factors further. The model uses dynamic control policies to support the multiple roles and flexible authority. At last, access control and policies execution mechanism were studied as the implementation suggestion.     

网络访问控制的层次模型

划分安全域是保护资产的一项重要措施。面向安全域划分的需要,提出了网络访问控制的层次模型,把网络访问控制划分为网络边界访问控制、安全域边界访问控制、主机网络访问控制3个层次,并探讨了网络组织、非军事区、地址转换、访问控制策略等关键问题。网络访问控制的层次模型有效地做到了纵深保护信息资产的目的。     

基于SDT安全访问控制的方法

网络的迅速发展为信息的获取提供了更广阔的渠道,同时也带来了严重的安全隐患。提出了一种基于思想的访问控制方法,通过软件动态翻译器将不可信二进制代码隔离执行,在动态执行的过程中,由SDT控制将用户设定的安全策略强制加入可执行代码中,从而软件动态翻译器便通过安全策略来控制应用程序对系统资源的访问。并基于Strata实现了该机...     

基于主机标识的访问控制模型研究

身份认证和访问控制是Internet应用的重要方面,传统的实施方案通常针对于特定的应用,也不能用于普适计算环境下的移动终端。文中提出了一个新的访问控制模型,利用了由IETF定义的主机标识协议（HIP）,并扩展了HIP基本交换过程来实现对用户的认证,并通过客户端主机标识和用户标识的绑定认证来建立主机和用户的绑定关系,从而实现对用户访问请求的判断。     

基于可信平台的多级安全访问控制模型研究

针对现有的多级安全访问控制模型过于复杂而不利于实际部署以及在密钥管理中存在的漏洞,文章在改良密钥生成算法,紧密结合可信计算技术支持的信任验证机制,提出了一种新的多级安全访问控制方案。与传统的方案相比,新方案不仅更加简洁、灵活,便于与原有系统进行整合,同时,克服了密钥管理上的漏洞。     

普适计算环境下的安全访问模型

针对移动终端的普及和可信计算技术对移动终端通信模式的影响，为满足普适计算环境的安全访问需求，本文提出普适计算环境下的安全访问模型，该模型定义了普适计算环境下用户的本地注册、域内访问和域间漫游3种机制，并详细介绍了相应的工作流程.安全性证明表明本文机制是CK安全的；分析显示本文模型在匿名性、安全性和效率上的优势，使其更加适合在普适计算环境下使用.     

基于模型驱动的安全访问控制的研究

随着计算机应用到各个领域的广度、深度不断扩大,软件的安全需求变得越来越复杂.然而开发人员对系统进行建模时一般不考虑安全需求,系统安全策略和安全机制往往是开发人员在系统开发后期对系统的补充和措施的完善.由此提出将访问控制需求集成到软件开发过程的分析阶段,将访问控制策略建模与功能需求建模集成.通过模型驱动方法为功能需求模型相关的安全方面提供模型,研究从功能模型产生安全模型,最终形成安全访问控制策略.     

Implementing Discretionary Access Control with Time Character in Linux and Performance Analysis

DAC （Discretionary Access Control Policy） is access control based on ownership relations between subject and object, the subject can discretionarily decide on that who, by what methods, can access his owns object. In this paper, the system time is looked as a basic secure element. The DAC_T （Discretionary Access Control Policy with Time Character） is presented and formalized. The DAC_T resolves that the subject can discretionarily decide that who, on when, can access his owns objects. And then the DAC_T is implemented on Linux based on GFAC （General Framework for Access Control）, and the algorithm is put forward. Finally, the performance analysis for the DAC T Linux is carried out. It is proved that the DAC T Linux not only can realize time constraints between subject and object but also can still be accepted by us though its performance have been decreased.