基于信任的企业信息系统访问控制研究

随着企业规模的不断扩大及信息化水平的不断提高,越来越多的企业采用信息系统提升其竞争力。针对企业信息系统不能对访问用户进行动态授权的问题,文中提出了一种基于信任的企业信息系统访问控制机制,根据用户行为对用户信任度进行评估,参照用户信任度对用户进行动态授权,对访问企业信息系统的用户权限进行动态控制,提高了企业信息系统的安全性。     

基于单包授权的零信任架构下5G+医疗的网络安全研究

为了解决通过5G网络安全访问医院内部资源时,医院网络边界模糊、准入机制易失效等安全隐患,通过搭建零信任平台作为5G网络通往医院内部的桥梁,以单包授权为核心,建立了以身份、环境、行为、软件和硬件为评估因素的动态授权机制,实现了5G终端在最小授权、微隔离、动态授权、持续监控下访问医院资源。该机制不仅提升了5G远程接入每个环节的安全性,而且实现了对医院重要资源的网络隐身,极大程度地缩小了网络攻击面。     

零信任架构在医疗物联网安全建设中的应用

提出了一种基于零信任架构和技术的医疗物联网（IoMT）融生安全框架。该安全框架利用零信任控制平台、物联网安全接入网关、医疗终端、医疗业务系统、相关辅助支撑系统等组件,实现访问主体、运行环境、访问客体的融合共生,能够形成以身份可信管理为中心,全面融合业务安全访问、持续风险评估和动态访问控制的安全能力,支撑IoMT的设备统一管理、安全准入控制、设备行为分析、终端安全检测、动态可信接入、安全加密通道等安全应用。     

面向医疗大数据基于零信任的UCON访问控制模型

医疗大数据的共享在现代医疗技术和服务中发挥着重要作用.针对医疗大数据共享过程中的安全性需求,提出了基于零信任和UCON的医疗大数据访问控制模型ZT-UCON.该模型将零信任思想与支持动态连续访问的UCON模型相结合,利用UCON模型的授权、义务和条件等访问控制策略,构建了面向医疗大数据访问控制决策方案.通过在医疗大数据访问控制的一个典型案例中应用ZT-UCON模型,并对比典型的传统访问控制模型,验证了 ZT-UCON的优势.结果表明:基于零信任的UCON访问控制模型,可以降低医疗大数据共享过程中过度访问的可能性,以满足医疗大数据访问控制的安全性需求.     

基于零信任安全架构的互联网出口访问控制方法

由于传统方法在实际应用中对非法访问行为正确拦截率较低,并且拦截速度比较慢,互联网出口访问控制效果不佳,提出基于零信任安全架构的互联网出口访问控制方法。由应用层、网络层以及感知层三个功能板块组建互联网出口访问控制总体架构,通过构建出口访问单元数字身份,描述终端在接入互联网时的各维度的实时状态,利用零信任安全架构,对互联网出口访问行为信任值度量,判定访问行文是否合法,控制非法访问行为接入互联网。经实验证明,设计方法对非法访问行为正确拦截率较高,并且拦截速度比较快,具有良好的互联网出口访问控制效果。     

基于信任的云计算访问控制系统的设计与实现

合理的授权和访问控制是当前云计算应用迫切需要解决的问题之一,尤其是在实体间动态建立信任关系的角度研究开放环境下的安全访问问题。提出了一种由信誉评估上升到信任管理的跨域访问控制策略生成方法,在信任的跨域访问控制策略生成方法的基础上设计实现了一个基于信任的云计算的访问控制系统。该系统主要分成四个功能模块:信誉评估模块、信任关系挖据模块、信任管理策略生成模块、访问策略实施模块,阐述了对应方法的主要过程以及设计、实现方法,最后对生成的系统根据不同的访问控制文件进行了验证,得到了预期的访问控制结果。     

基于UCON的空间访问控制模型的研究

虽然UCON模型包含了传统访问控制、信任管理、DRM三个问题领域,是下一代访问控制技术的发展方向,但是它不能解决空间数据库系统和基于移动用户位置的信息服务系统中空间动态授权。本文将空间授权规则引入到UCON模型中,提出了一个支持空间特性的面向使用的访问控制模型GEO—UCON,并给出了在空间环境下的授权规则,扩展了传统的UCON模型的空间安全描述能力。     

基于贝叶斯决策理论的风险最小化的授权映射方法

授权决策是访问控制理论研究中的关键问题之一。为了有效提高基于信任的访问控制中授权的安全性,依据最小风险贝叶斯决策理论,将访问控制中客体对主体的授权视为最优决策的发现问题,提出基于风险最小化授权映射方法,实现访问控制中准确的授权操作。通过算例分析和仿真实验表明,该方法能够在降低风险的情况下比较准确地给出交互的最终授权。     

基于多元判决的动态访问控制架构的研究

论文在分析现有访问控制模型和技术的基础上,结合多元判决与动态访问控制的思想,提出了一种基于多元判决的动态通用访问控制架构,并重点阐述了多元判决与动态授权管理的设计思路,对架构中各模块、数据库进行了介绍。本体系架构克服了现有访问控制技术中判决依据单一、授权方式无法满足部分应用业务安全需求的不足,为访问控制实现提供了新的思路。     

基于非合作博弈的访问控制安全机制

访问控制技术是保护计算机系统和网络中的敏感信息和关键资源的一种重要的信息安全技术。但是传统的访问控制方法只能被动地对用户的访问请求进行响应,无法完全适应如今不断动态变化的网络环境。为了提高访问控制中系统应对恶意攻击和威胁的能力,基于博弈论中的非合作博弈方法,设计了一套适用于访问控制模型的安全机制,当访问主体提出访问请求后,对访问主体与被访问客体进行非合作博弈,得到纳什均衡,最终通过纳什均衡与门限的比较决定是否对访问主体进行授权。实验证明了该安全机制的有效性。     

物联网场景下算力网络终端安全接入研究

物联网算力网络中终端节点泛在分布，大规模泛在异构终端面临多种安全威胁。为解决泛在异构终端的安全接入问题并构建物联网算力网络终端安全保障体系，本文基于IPK轻量级标识公钥体系和零信任动态访问控制，提出了一种物联网算力网络终端安全接入方案，实现终端轻量级标识身份认证，通过最小化业务权限动态访问控制，确保只有通过严格认证和授权的终端接入物联网算力网络，保证终端业务安全访问。该方案满足了物联网算力网络终端的安全可信接入需求，可应对海量终端节点泛在分布和业务场景复杂等挑战。     

基于隐含格结构 ABE 算法的移动存储介质情境访问控制

摘 要：研究了如何增强可信终端对移动存储介质的访问控制能力,以有效避免通过移动存储介质的敏感信息泄露。首先在隐含密文策略的属性加密方法的基础上,提出了基于格结构的属性策略描述方法。将每个属性构成线性格或子集格,属性集构造成一个乘积格,并利用基于格的多级信息流控制模型制定访问策略。证明了新方法的正确性和安全性。新方法在保持已有隐藏访问策略属性加密算法优点的同时,还能有效简化访问策略的表达,更符合多级安全中敏感信息的共享,能够实现细粒度的访问控制。进一步地,通过将移动存储设备和用户的使用情境作为属性构建访问策略,实现了动态的、细粒度的情境访问控制。最终设计了对移动存储介质进行接入认证、情境访问控制的分层安全管理方案。分析了方案的安全性和灵活性,并通过比较实验说明了应用情境访问控制的方案仍具有较好的处理效率。该方案同样适用于泛在环境下敏感信息的安全管理。     

支持属性证书的RBAC模型及其在CSCW中的应用研究

针对CSCW(computer supported cooperative work)中的访问控制需求,利用基于角色和基于任务的访问控制技术,将协同设计中的用户、任务、角色、权限相关联,并引入属性证书进行授权,建立了一种新的访问控制模型NT-RBAC(new task-role based access control),并实现了基于该模型的访问控制子系统。实例表明NT-RBAC提高了CSCW中访问控制的灵活性和安全性。     

资源访问控制技术研究

访问控制技术是保证资源被合法授权访问的重要安全机制,首先介绍了访问控制的基本概念和三种传统的访问控制技术,并给出各自的特点及应用。简要介绍下一代访问控制模型——UCONABC,最后对目前的研究现状进行了总结并对访问控制的未来发展方向进行了展望。     

windows系统中基于底层驱动的文件访问控制技术

针对计算机用户实际应用中存在的非授权用户访问计算机存在安全隐患的问题,提出Windows系统中基于底层驱动技术的文件安全访问控制技术,从Windows系统底层驱动、安全访问控制及透明加密三个维度对非授权用户访问计算机进行安全方面的有效防范,保证文件本地存储与访问的安全性。     

从传统网络准入到视频设备准入

使用网络准入控制技术对接入终端进行身份呢认证、安全检查、授权访问,只允许合法的、值得信任的终端接入网络.结合国家电网网络现状进行研究,提出一种针对物联网终端视频设备的准入控制的方案,从而提高网络的可用性和安全行.     

基于多维度网络安全行为的信任评估模型

提出了一种基于多维度网络安全行为的动态信任评估模型,该模型通过在现有的身份认证、网络安全、终端安全等各类系统中采集信任指标数据,并对指标数据进行综合的处理和评估,帮助应用系统从各种角度评估网络实体的可信度,并且根据信任度评定相应的信任等级,最终实现为用户分配动态的权限,保证用户访问应用业务系统的数据安全性。该模型在信任度评估方面具有动态、高效和稳定的特点,使用该多维动态评估方法的应用系统能够实现对用户的操作安全性和合法性进行持续动态的高效评估,并根据评估结果,为用户分配动态的数据访问权限,从而解决复杂网络环境数据安全的问题。     

无线局域网的安全性分析和研究

无线局域网因其易移动、低成本和高可靠性的优点,得到了广泛的应用.但其接入的不可控制性正是其安全性问题的症结所在.文中从扩频通信、访问控制、数据加密3方面讨论了IEEE802.11系列无线局域网的网络接入和数据传输的安全性机制,介绍了新一代无线局域网中使用的安全技术及新的安全标准的IEEE 802.11i.重点研究了无线局域网的访问控制技术和数据加密技术.     

云计算环境下任务行为访问控制模型研究

近年来,云计算环境下访问控制机制成为研究热点。针对传统的访问控制模型不能满足云系统中的资源被非法用户恶意访问或处理的访问控制需求的问题,在传统访问控制基础上,通过对基于行为的访问控制(Action Based Access Control)模型的策略和授权机制的研究,基于ABAC模型中的优缺点,引入了用户信任度,给出了模型的形式化定义和信任相似度的算法,设计了基于信任相似度的权限授予机制,提出基于任务行为的访问控制模型(Task-action Based Access Control,TABAC)。安全及性能分析表明,该方案使访问控制灵活可靠,适用范围更广泛。     

面向零信任架构的访问安全态势评估

传统网络安全态势评估为企业安全风险管理提供决策依据。结合零信任安全的基本原则，分析了零信任安全态势评估的内涵、目标和意义，提出了一个基于持续风险评估的零信任安全访问架构，围绕该架构研究了零信任安全态势评估的关键技术，针对用户访问的上下文安全评估，构建并设计了一个可扩展的态势评估指标体系和量化评估算法，为实现零信任动态细粒度访问控制提供了持续评估能力，最后对零信任态势评估的未来发展进行了总结。