基于角色的访问控制研究

权限管理是信息系统的重要环节,一个好的权限管理系统是成功的信息系统的重要因素。基于角色的权限控制提供了较高的灵活性和较低的管理负担,是目前研究的重点。本文对RBAC的基本工作原理进行了研究,利用角色访问控制技术可以有效地实现用户访问权限的动态管理,降低授权管理的复杂度。     

基于零信任的动态访问控制技术研究

传统的访问控制技术不能有效满足泛在接入的移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。     

面向多维数字媒体的访问控制机制

在多维数字媒体场景中,用户期望利用环境、时态等因素实现访问权限的自我约束。针对该需求,综合环境、时态、角色定义授权属性,提出面向多维数字媒体的访问控制机制,该机制定义用户—授权属性分配关系和授权属性—访问权限分配关系,根据用户的ID、属性信息、所处环境和时态、角色,用户—授权属性分配关系为用户分配相应授权属性;根据用户所赋予的授权属性,授权属性—访问权限分配关系为用户分配相应访问权限。引入约束条件,用户通过设置约束条件进行访问权限的自我约束,实现访问权限随环境、时态、角色等因素的变化而动态缩减。使用Z符号对该机制进行形式化描述,通过实例分析验证其可行性,与现有工作的比较表明所提机制支持最小权限、职责分离、数据抽象等安全原则,支持访问权限的动态缩减。     

基于多维度网络安全行为的信任评估模型

提出了一种基于多维度网络安全行为的动态信任评估模型,该模型通过在现有的身份认证、网络安全、终端安全等各类系统中采集信任指标数据,并对指标数据进行综合的处理和评估,帮助应用系统从各种角度评估网络实体的可信度,并且根据信任度评定相应的信任等级,最终实现为用户分配动态的权限,保证用户访问应用业务系统的数据安全性。该模型在信任度评估方面具有动态、高效和稳定的特点,使用该多维动态评估方法的应用系统能够实现对用户的操作安全性和合法性进行持续动态的高效评估,并根据评估结果,为用户分配动态的数据访问权限,从而解决复杂网络环境数据安全的问题。     

基于身份认证的医疗信息数据库访问控制

传统的数据库访问控制方法会绑定访问请求与访问目的,增加医疗信息系统运行负担。为此,提出基于身份认证技术的医疗信息系统数据库访问控制方法。采用文档对象模型描述医疗信息系统;利用电子钥匙与X.509标准协议相结合的身份认证技术,根据信息发送、接收、加密、解密、随机数生成、证书验证六个步骤认证用户身份;根据认证结果定义数据库时间函数、授权、规则和授权基,并判断访问用户是否合法。实验结果表明：相比于系统原访问耗时,文中方法的总耗时更短,有效减轻了系统的运行负担。     

基于多维度数据分析的系统隐身技术研究与应用

在企业信息系统中,针对信息安全问题采取基于零信任网络安全理念和软件定义边界(SDP)网络安全模型构建进行构建,实现企业信息系统在基于多维度数据分析环境下隐身。在授权终端为边界的安全系统中,解决了用户在企业信息系统中的业务访问控制问题,有效提高企业信息系统安全。     

基于.NET的身份验证和角色授权模型的研究与实现

为了提高用户身份认证和授权管理的灵活性，从Web应用系统的安全性角度出发，讨论了一种在．NET Framework下保证应用程序安全性的身份验证和授权模型，并给出了模型的具体实现方法。该模型利用Forms身份验证方法对用户的身份进行鉴别。在授权处理上，模型结合统一资源定位（Uniform Resource Locator，URL）授权模式和用户所具有的系统角色，分别从页面级和页面操作级对用户的访问进行控制。该模型在企业局域网环境内能够提供比较灵活的身份认证和基于角色的授权服务。实际应用表明，基于该模型的Web应用系统能够对用户的访问进行有效的控制，从而保证了系统的安全性。     

电子政务的认证、授权与审计

1.目前在电子政务中信息安全面临的问题目前,大部分企事业单位的信息系统建设,尤其是在大型企业单位和电子政务信息化建设方面,存在着如下几方面急待解决的关键安全问题:—缺乏集中统一的用户身份认证机制:用户身份认证是建立安全应用系统的第一道防线,各类业务系统和设备管理的用户身份认证各自为政、互不相同,其认证的方式呈现多样化,用户登录不同的业务系统可能采用完全不同的登录方式,管理员对于用户的管理在后台是分散的。—缺乏集中统一的资源访问授权机制:各种业务系统对于资源的授权访问方式不同,资源访问授权分散于各类业务系统中,…     

基于RBAC的动态授权模型在SSL VPN系统中的应用

授权模块是SSL VPN系统的基础模块,主要是对系统内的用户进行访问控制。动态授权模型是在RBAC的基础之上,为了满足SSL VPN系统的访问控制需求,引入了客户端的安全状态值,根据用户的角色和安全状态值来判定用户的最终访问权限,用于控制不同安全状态客户端的访问请求,进一步提高了SSL VPN系统的安全性能。     

基于信任授权的模糊访问控制模型

在开放式信息系统中,访问控制是保证信息系统安全的一项重要措施。传统访问控制模型在授权过程中没有考虑主体的信任度和权限集合划分等问题。文中引入模糊逻辑的思想,提出了基于信任授权的模糊访问控制模型,运用模糊综合评判法计算出主体在开放式信息系统中的信任度,并建立模糊控制规则,通过模糊判决自动授予主体相应的权限,使其能够更好的满足开放式信息系统中访问控制的要求。     

面向代理服务的信任管理策略

随着互联网技术的迅猛发展,使用互联网服务的人越来越多。网络代理作为互联网中的一项重要应用其用户数量也与日俱增。通过代理浏览恶意内容,进行匿名攻击等恶意使用代理的现象日趋严重。为了防止被滥用,许多代理使用了内容审计分析技术。而内容审计带来的处理延迟和开销严重影响了服务质量。针对内容分析的性能瓶颈问题,提出基于用户信任的审计加速策略。通过访问时间,目标网站类型等多个维度对代理用户行为进行细腻度的刻画,并充分考虑历史行为的累计效应,建立了多层次的用户信任模型,在完成内容审计功能的同时,提高基于内容分析可信代理的服务性能。     

企业体系化统一身份管理平台设计

统一身份管理旨在将分散在各个信息系统中的用户账户管理、属性管理及入门级应用访问权限进行统一集中管理,简化信息系统管理人员对多信息系统账户操作的维护工作量,提升系统安全性。同时可根据企业内部的组织架构,通过体系化的部署建设,使之能够覆盖企业内部分散的多个应用域,实现统一身份管理对企业信息系统的全覆盖支撑。     

认证网关在电子政务专网中的应用

认证网关是用户进入CA（认证中心）证书认证服务的网络信任域和电子政务专网应用服务系统前的接入和访问控制设备。它具有用户身份认证代理的功能,能够和证书认证服务系统交互,完成用户身份认证,根据认证结果核对该用户的可信网络访问权限,完成网络接入的鉴权控制。     

BYOD企业移动设备管理技术

提出了中兴通讯自带设备办公（BYOD）解决方案.方案在终端层、接入层、控制层、应用分别解决企业面临的设备安全管理、应用安全管理及数据安全问题.终端层提供BYOD安全套件;接入层提供信令媒体接入网关和统一接入控制服务,提供移动设备安全接入服务,并提供统一的设备鉴权认证及用户鉴权认证;控制层用于控制移动用户及设备的行为模式;应用层用于提供具体的企业移动服务,包括通用的企业通信服务、企业办公应用支撑、虚拟桌面、企业网盘,以及企业业务相关的移动应用.     

基于SOA的跨域访问控制研究

在如今以服务为导向的各种信息系统中,跨域访问已经变得越来越普及,现存的一些跨域访问模型要么不实用,要么不适合Web Service。通过提出一种易于扩展的轻量级跨域访问控制框架实现RESTful Web服务构架的跨域访问控制和代理,达到了跨域访问交互双方无需预定义信任关系,该框架还结合已有的Web安全技术实现扩展安全策略执行,并以微小系统开销实现跨域交互的隐私保护。最后实现了一个原型演示系统证实了该框架在SOA构架中跨域访问的可行性。     

基于UCON的空间访问控制模型的研究

虽然UCON模型包含了传统访问控制、信任管理、DRM三个问题领域,是下一代访问控制技术的发展方向,但是它不能解决空间数据库系统和基于移动用户位置的信息服务系统中空间动态授权。本文将空间授权规则引入到UCON模型中,提出了一个支持空间特性的面向使用的访问控制模型GEO—UCON,并给出了在空间环境下的授权规则,扩展了传统的UCON模型的空间安全描述能力。     

A trustworthy system for secure access to patient centric sensitive information

Smart technological innovations in healthcare are continuously generating digitized medical information about each patient, leading to the creation of Patient Centric Big Medical Data (PCBMD). Rapid adoption of PCBMD in healthcare ushers at the cost of its security and privacy concerns. Current methods focus on identifying authorized users who can access PCBMD but they barely identify the insider attackers. Alternatively, these methods do not prevent information leak by authorized users. Working towards this direction, this paper proposes a Trust based Access Control (TAC) system which not only identifies authorized users for PCBMD but also defends Sensitive Personal Information (SPI) of a patient from insider attacks. The proposed method calculates the trust value of each user by considering various quantitative parameters. Based on the calculated trust values, access rights are granted to each user such that SPI can be accessed by only highly trustworthy users. To implement access rights securely, a privacy scheme is also proposed. The experimental results show that the proposed security system can be efficiently used to protect the SPI of patients.     

基于运营商网络的零信任架构落地方案研究

本文介绍了零信任思想及相关概念,结合企业安全战略目标预期、现状调研、规划蓝图、规划设计等内容,提出了基于运营商现网建设情况的零信任架构解决方案,根据实际情况适当加强和补充了安全短板,建立以用户身份为中心,以终端设备、访问行为为决策要素的安全架构,总结出适合运营商网络的零信任架构的场景落地及推广建议。     

铁路企业统一身份认证平台的设计与实现

针对铁路企业工作人员使用多个应用系统需要同时记忆多套用户账号信息的现状,文中基于铁路统一用户管理系统的用户数据,设计了一种铁路应用系统用户的统一身份认证系统。该系统采用单点登录、Token、Cookie、Session共享等技术,实现了用户信息与应用系统的分离、统一用户管理、统一认证、一处登录、处处共享等功能,从根本上解决了不同应用系统重复维护用户信息的问题,使用户能够更便捷地访问不同的应用系统,并保证了不同应用系统间用户信息的一致性、安全性和共享性。