一种基于信息流图的共谋访问风险控制模型

为解决信息系统中的非授权间接访问问题,提出一种基于信息流图的共谋访问风险控制模型。通过记录系统的历史访问行为构建信息流图,在此基础上定义共谋访问行为,同时基于状态机定义访问控制模型,利用安全性定理和规则防止共谋访问的发生,并对规则做安全性证明。根据信息熵理论对模型的有效性进行分析和验证,结果证明该模型可有效防止共谋访问的发生。     

基于信息流源的访问控制研究

鉴于信息流对系统完整性的影响,探讨结合信息流实施访问控制的方法,提出一种基于信息流源的访问控制(ACSIF)模型,其中,信息流源指位于信息流出发点的实体.借助用户集合表示信息流源,利用信息流源描述完整性级别,根据集合包含关系定义完整性级别的支配关系,基于信息流构造访问控制规则.通过引入完整性约束主体和约束集合增强模型的...     

协作环境下的时空约束强制访问控制模型

安全的信息共享对信息系统而言至关重要。协作环境下的关键应用对信息共享和信息安全提出了更高的要求。已有的基于BLP模型的强制访问控制模型均无法满足协作环境下关键应用的访问控制需求。因此提出一种协作环境下的具有时空约束的强制访问控制模型,将任务、时间、空间等要素进行综合考虑,从而将逻辑安全和物理位置相结合,既增强了访问控制模型的安全性,又满足了协作环境下访问控制的灵活性。采用无干扰理论对所提模型的安全性进行了证明。     

基于安全熵的访问控制模型量化分析方法

针对访问控制模型的量化分析问题,提出基于安全熵的安全性量化分析方法。结合信息论有关知识引入安全熵概念,基于安全熵对模型的安全性进行定义;应用该方法对BLP等经典安全模型进行了量化分析,验证了该方法的实用性,并指出了访问控制模型和BLP模型对非授权间接访问防护方面的不足。实验结果表明,该方法适用于访问控制模型的安全性度量以及系统的访问控制能力评估。     

一种基于信息流分析的文档动态访问控制方法

提出一种基于信息流分析的文档动态访问控制方法,其核心是防止隐性信息泄露的非法信息流检测算法。算法在传统文档访问控制方法的基础上,结合图论的理论方法,通过对文档信息流的动态分析,找出潜在的信息泄漏的可能途径,进而采取相应的措施防止信息泄漏的发生,从而达到对文档内容保护的目的。以一个典型的场景为例进行模拟,对算法进行了详细的描述,分析和验证。     

含信息流检测的扩展的访问控制模型

介绍了一种含信息流检测的扩展的XACML(可扩展的访问控制标记语言)访问控制模型,解决了一些现有模型中存在的两个问题,给出信息流检测的算法,并提出和分析了有待进一步研究的方向和问题.     

支持协作的强制访问控制模型

按照国家信息系统等级保护要求,3级以上的信息系统必须具备强制访问控制和标记.已有的强制访问控制模型的访问规则十分严格,难以满足协作环境下的访问控制新需求. 提出一种支持协作的强制访问控制模型(collaboration supported mandatory access control model, CSMAC),将主体-客体为中心的访问控制与任务为中心的访问控制相结合,使访问控制模型更符合主动安全模型的特点,大大提高了模型的灵活性,使其更适合于协作环境下的访问控制. 模型中通过控制主客体的安全标记,解决了符合安全策略的敏感信息的双向流动问题. 通过无干扰理论,对所提出模型的安全性进行了证明.     

网格环境下多约束访问控制模型

研究互联网优化控制问题,网格技术的应用和发展,要求有更加合理、安全的网格授权方式作保障,以确保网格任务的有效执行.针对基于角色的访问控制所引起的动态授权和多管理域等难点问题,结合现有的传统访问控制方式,根据角色的访问控制为基础,保障安全可靠,引入上下文、任务和条件的概念,加入监控功能,提出多约束访问控制模型,保证了最小特权的原则,实现了网格环境中的动态授权及跨域资源有条件共享和安全互操作.实验表明,方法能很好地避免了用户静态持有权限引起的不安全的问题,与传统安全模型相比具有较高的安全性.     

基于角色的访问控制模型分析

介绍了一种新型的访问控制机制－－基于角色的访问控制ＲＢＡＣ（Ｒｏｌｅ－Ｂａｓｅｄ Ａｃｃｅｓｓ Ｃｏｎｔｒｏｌ）的研究背景与基本特征,对它的规则模型ＲＢＡＣ９６与管理模型ＡＲＢＡＣ９７进行了重点描述,并在最后给出了一个设计实例。     

基于授权策略的RBAC信息流控制

RBAC没有明确定义非法信息流,也没有提供信息流控制机制. RBAC系统中主体的访问操作可以引起客体之间的信息流,使用户访问到未授权的信息.首次从授权策略的角度形式化地定义了RBAC非法信息流,提出了一个检测RBAC配置中用户可以引起的非法信息流的算法,给出了一个动态信息流控制算法.确保了RBAC访问控制目标的实现,增强了RBAC系统的安全性.     

基于组织建模的企业级信息系统访问控制模型

针对企业级信息系统访问控制中由于用户、角色与资源客体数量多而引起的控制复杂这一问题,提出了基于组织建模的访问控制设计思想。借鉴组织视图建模思想对传统RBAC模型中角色概念进行拓展,对客体分类并进行组件化设计以支持访问粒度控制。在此基础上给出一个基于组织建模的企业级信息系统访问控制模型,定义了一组模型要素并给出了实现访问控制的机理。最后给出一个基于组织建模的访问控制模型实现,并结合具体实例表明了该模型的可行性和有效性。     

基于授权传播树模型安全访问控制的研究与实现

重点将对数据库安全访问控制机制统一管理、应用的问题进行了研究。提出了授权传播树的概念,并给出了模型的具体实现。     

一种扩展的RBAC访问控制模型的安全性研究

就如何评价访问控制模型,用基于N维安全熵的方法进行量化分析研究。首先,根据信息论中对信息熵的定义和描述,介绍了自主访问控制模型的N维安全熵定义。然后以N维安全熵的方法对RBAC模型的安全性进行量化分析。为了解决管理信息系统中的多类别、多层次角色访问的安全性度量问题,提出了扩展的RBAC访问控制(EXRBAC)模型,并用N维安全熵的方法进行了量化分析。最后对这三种访问控制模型的安全性进行分析和比较,结果显示,在多类别、多层次角色访问前提下,扩展的RBAC模型其安全性有明显提升。     

基于区间值加权模糊推理的访问控制模型

普适计算已被国内外学术界和工业界公认为未来计算的主流模式,其安全问题是信息安全的一个基础问题。传统的访问控制模型从系统的角度出发保护资源,在进行权限的控制时没有考虑上下文信息等因素。为了满足普适计算环境下访问控制策略的动态自适应性以及上下文信息的模糊不确定性,应用模糊集合理论与模糊推理方法,提出一种基于区间值加权模糊推理的访问控制模型;给出加权模糊匹配函数公式与区间值加权模糊推理方法,实现访问控制策略与实际安全需求的一致性。     

基于业务流程的访问控制模型研究开发

在分析研究RBAC基本模型的基础上,根据网上申报、审批系统的实际需求,提出了一种基于业务流程的访问控制模型,将业务流程和基于角色的权限控制相结合,在业务流程和角色之间建立有效的联系,使有关业务流程的信息能够直接指导角色的设置。该模型克服了RBAC基本模型需要修改角色权限来适应不同业务流程的缺点,真正实现了权限的按需、按流程分配,角色只有在执行特定子任务时才具有权限,权限的分配和回收由系统动态实现。该模型已在网上申报、审批系统项目中应用。     

基于Windows终端信息过滤的网络访问控制研究

为防范终端从网络中获取不良信息,分析了常见的网络访问控制和信息过滤方法,建立了基于终端信息过滤的网络访问控制模型。该模型通过综合分析URL地址/关键字I、P地址和协议等信息来识别不良网站,通过分析网页文本关键词识别不良网页。基于Windows网络过滤驱动技术,开发了一款Windows终端网络信息过滤和访问控制软件。该软件拦截Win-dows终端的网络访问数据流,应用建立的网络访问控制模型,实现了对不良网站和网页的访问控制。     

基于Winsock2 SPI的主机访问控制应用

网络信息技术的发展促使通信安全要从原来的注重单一的网络层安全到进一步同时注重基于主机的安全。首先分析在Windows下应用层的服务提供接口（SPI）的模型结构嘲，包括Winsock2程序内部的功能层次关系，并以SPI技术来截获应用层数据封包，结合访问控制来加强网内主机间通信安全。具体从进程、IP地址、socket端口、数据封包内特定关键词分析、对数据封包的加密认证等几个方面提出了安全主机通信的技术途径，阐述了网络主机访问控制的技术框架，最后给出程序流程的设计实现。     

一种基于XML Schema的安全访问控制策略

为提高XML文档资源访问控制的安全性,依据RBAC对XML组件具有复杂约束以及模式与元素之间关系的良好重用机制的特性,构建了一种新的访问控制模型—SRBAC。在此基础上,提出了相应目标访问控制算法TDACA,创建了相应策略,验证了SRBAC的有效性,从而实现了有效的访问控制和实例级的认证,保证了XML文件的安全使用。