一种基于可信等级的安全互操作模型

传统的访问控制方式已不能满足多域环境下的资源共享和跨域访问的安全需求,建立安全互操作模型是进行安全互操作的有效途径。针对现有域间安全互操作模型未考虑用户平台的问题,提出了一种基于可信等级的域间安全互操作(TLRBAC)模型。该模型引入了用户可信等级、平台可信等级和域可信等级,制定了域间安全互操作方法。分析表明该模型既保证了用户的可信接入,又能有效地控制因平台环境而引起的安全风险问题。     

一种面向多域云系统的扩展RBAC模型

提出一种扩展的基于角色的访问控制ERBAC模型,以解决RBAC在多域云系统的资源使用约束、策略管理和互操作安全性等方面存在的不足。首先,通过引入容器元素和两类角色基数约束,构建了基于容器元素+动态角色基数约束的资源使用策略;其次,深入研究了多域角色继承管理,提出基于先检测后建立角色关系的域间策略管理函数,并给出各类安全策略冲突检测算法。分析表明,ERBAC模型实现了资源使用约束、支持高效的安全策略管理,提高了跨域互操作的安全性,且性能测试说明了该模型在多域云系统中具有适应性和可行性。     

一种基于风险的多域互操作动态访问控制模型

随着Internet及其相关技术的快速发展,在开放的、异构的多自治域环境下,出现了大量的分布式应用之间的互操作.多自治域环境的复杂性与信息安全共享不断演变进化的特点,使得传统访问控制模型难以保证数据资源在交互过程中的安全.通过将风险概念引入访问控制中,提出一种基于风险的多域动态访问控制模型.在本模型中,主体所具有的某项安全策略的风险等级由自治域间的互操作历史记录、客体的安全等级以及访问事件的安全系数得出,通过对高风险等级的安全策略进行调整以达到对系统风险的实时控制.理论分析表明这种方法可有效保证访问控制的灵活性和多自治域环境的安全性.     

云系统中多域安全策略规范与验证方法

为了有效管理云系统间跨域互操作中安全策略的实施,提出一种适用于云计算环境的多域安全策略验证管理技术。首先,研究了安全互操作环境的访问控制规则和安全属性,通过角色层次关系区分域内管理和域间管理,形式化定义了基于多域的角色访问控制（domRBAC）模型和基于计算树逻辑（CTL）的安全属性规范;其次,给出了基于有向图的角色关联映射算法,以实现domRBAC角色层次推理,进而构造出了云安全策略验证算法。性能实验表明,多域互操作系统的属性验证时间开销会随着系统规模的扩大而增加。技术采用多进程并行检测方式可将属性验证时间减少70.1%～88.5%,其模型优化检测模式相比正常模式的时间折线波动更小,且在大规模系统中的时间开销要明显低于正常模式。该技术在规模较大的云系统安全互操作中具有稳定和高效率的属性验证性能。     

基于栅格的舰船通信网络资源共享方法研究

针对当前海军舰船通信领域网络资源异构、业务系统独立部署以及资源相互之间无法互连互通互操作的现状,提出一种基于栅格的舰船通信网络资源共享方法,在构建栅格资源表征模型的基础上,设计了一种栅格资源共享发现算法,最后在开源中间件 Globus Toolkit 的实验环境下,验证该方法在提高资源的利用率和系统运行效率方面较传统方法具有明显优势。     

基于等级的电子政务云跨域访问控制技术

针对电子政务云跨域访问中用户资源共享访问控制细粒度不足的安全问题,提出一种基于用户等级的跨域访问控制方案。该方案采用了云计算典型访问控制机制——身份和访问控制管理(IAM),实现了基于用户等级的断言属性认证,消除了用户在资源共享中由于异构环境带来的阻碍,提供一种细粒度的跨域访问控制机制。基于Shibboleth和OpenStack的keystone安全组件,搭建了云计算跨域访问系统,通过测试对比用户的域外和域内token,证明了方案的可行性。     

基于角色映射和PBNM的多域安全访问控制模型

在分析多安全域间基于RBAC角色映射和PBNM模型的基础上,提出了多域用户之间的安全访问策略配置模型.该模型通过域间角色映射信息来配置域间访问控制策略,在域内则采用基于PBNM的模型机制配置域内用户安全策略,最终解决了在多域间资源访问控制的安全问题.     

IRBAC2000角色转换冲突处理策略

LRBAC 2000模型为我们提供了一个在多个RBAC域之间进行安全互操作的模型,使得外域角色能够转换为本地域角色从而访问本地资源。但是,LRBAC 2000在域间进行角色转换 时可能会产生“冲突”。本文分析了冲突产生的情形及处理方法,提出了冲突检测算法和冲突子集最小化算法,并讨论了消除冲突的约束策略。     

适用于分布式系统的多级安全访问控制策略

针对分布式信息系统的资源共享及安全互操作问题,在多级安全模型基础上加入管理平台和中间件模块,提出一种适用于分布式系统的多级安全访问控制策略,保证数据机密性和访问过程安全可控。用XACML语言对安全策略进行标准化描述,并对策略进行安全性和灵活性分析。     

一种自适应的多域安全互操作模型

针对多域环境下资源共享时所面临的信任危机,提出一种基于信任级的自适应安全互操作模型.通过对未知事件的自适应检测,提高了系统对各种异常和突发情况的容忍能力;通过对用户信任级的调节和监控,实现了各域间资源的安全共享,较好地预防了可能发生的恶意攻击和潜在安全威胁.     

Specification and enforcement of flexible security policy for active cooperation

Interoperation and services sharing among different systems are becoming new paradigms for enterprise collaboration. To keep ahead in strong competition environments, an enterprise should provide flexible and comprehensive services to partners and support active collaborations with partners and customers. Achieving such goals requires enterprises to specify and enforce flexible security policies for their information systems. Although the area of access control has been widely investigated, current approaches still do not support flexible security policies able to account for different weighs that typically characterize the various attributes of the requesting parties and transactions and reflect the access control criteria that are relevant for the enterprise. In this paper we propose a novel approach that addresses such flexibility requirements while at the same time reducing the complexity of security management. To support flexible policy specification, we define the notion of restraint rules for authorization management processes and introduce the concept of impact weight for the conditions in these restraint rules. We also introduce a new data structure for the encoding of the condition tree as well as the corresponding algorithm for efficiently evaluating conditions. Furthermore, we present a system architecture that implements above approach and supports interoperation among heterogeneous platforms.     

跨域访问控制与边界防御方法研究*

为保障跨域访问过程中的信息网络安全,在深入分析其所面临安全风险的基础上,提出了一种跨域访问控制与边界防御模型,该模型将跨域访问过程划分为域内和跨域两个阶段,同时结合相关安全技术进行策略决策和策略实施,保障了信息传输的保密性、完整性和可用性,从而有效地解决了跨域访问过程中的访问控制和边界防御问题。     

The mediator authorization-security model for heterogeneous semantic knowledge bases

Many organizations often need to share semantic knowledge base content with selected members of other organizations. However, sharing semantic knowledge across different organizations is a critical problem. This is because the differences in the vocabulary utilized by the organizations have to be resolved before knowledge can be shared. Also, if semantic repositories are syntactically and schematically heterogeneous, information interoperation becomes a vital challenge. When a system needs to allow unknown entities to access its resources, mechanisms should be in place in order to provide a secure and trusted information-sharing environment and enable users to interact and share information easily and perfectly. To address these challenges, the Mediator Authorization-Security model is proposed to provide secure interoperation among heterogeneous semantic repositories. This paper addresses the issue of interoperability and how to incorporate trust into semantic interoperability. The evaluation showed that, despite the complexity of the mediator system, it still provides acceptable performance.     

开放网络环境中基于属性的通用访问控制框架

针对传统访问控制模型在新一代可信互联网环境应用中存在用户角色赋值效率不高、跨域访问控制实现困难等局限性,提出了基于属性的通用访问控制框架。该框架对用户、资源、操作和上下文四类对象的属性信息进行统一的描述和处理,简化了传统RBAC及其他访问控制系统复杂的权限判定方式,从而增强了访问控制系统的通用性和灵活性;同时,对于跨域的访问应用了基于属性证书的验证方式并给出了相应的策略评估方案和评估算法,能够针对不同应用域中用户的访问需求动态实施资源管理和访问控制;另外,框架中引入的运行上下文对象机制,进一步提升了该框架对复杂、动态互联网环境的适应能力。     

一种基于智能卡的网络安全访问控制模型

随着网络应用的迅速发展,网络安全访问控制应用越来越重要,在了解和掌握常用访问控制技术的基础上,运用密码学的相关技术及其算法,并结合智能卡在网络访问控制技术实现上的优势,设计了一种实用、高效的基于智能卡技术的网络安全访问控制模型。     

主从链下的物联网隐私数据跨域安全共享模型

为了解决各个信任应用域之间的跨域安全问题,保证隐私数据的跨域共享,利用区块链技术构建了基于主从链的隐私数据跨域共享模型。首先构建了主从链,并提出基于主从链的跨域共享模型架构;设计了基于智能合约的跨域访问机制,并基于跨域访问机制提出了面向隐私数据的跨域安全共享方案;最后,对模型的稳定性、吞吐量、存储开销等方面进行了实验及对比分析。实验结果表明,该模型同最新的单链跨域模型相比,吞吐量提升了270 TPS左右,节点的平均CPU负载和平均内存开销分别下降了24%和64%;同现有多链跨域模型相比,节点的平均CPU负载和平均内存开销分别下降了15%和20%,为物联网隐私数据的跨域安全共享提供了一种有效方法。