基于强制访问控制的主机监控子系统研究

本文在研究Bell-Lapadula模型和Biba模型的基础上,结合二者的优点,提出了既满足信息保密性和又满足信息完整性的强制访问控制模型。编写了Windows过滤驱动程序,可主动拦截用户进程对文件的操作。加载自主设计的强制访问控制模块,实现了对Windows系统下文件资源的强制访问控制,并可通过入侵检测机制发现非法入侵者的来源。实验结果表明,原型系统可有效地对Windows文件系统实施强制访问控制保护,能够主动阻断入侵者的非法操作。     

基于强制访问控制的文件安全监控系统的设计与实现

重点分析了基于信息保密的BLP(Bell-LaPadula)模型和基于信息完整性的Biba模型,基于这两个模型设计了兼顾系统保密性和完整性需求的强制访问控制模型,并结合Windows文件过滤驱动程序开发了一个基于该强制访问控制模型的文件安全监控系统,对其主要模块和关键技术进行了详细介绍。该文件安全监控系统可有效地维护文件系统的保密性和完整性,检测并阻断本地与网络的入侵。     

协作环境下的时空约束强制访问控制模型

安全的信息共享对信息系统而言至关重要。协作环境下的关键应用对信息共享和信息安全提出了更高的要求。已有的基于BLP模型的强制访问控制模型均无法满足协作环境下关键应用的访问控制需求。因此提出一种协作环境下的具有时空约束的强制访问控制模型,将任务、时间、空间等要素进行综合考虑,从而将逻辑安全和物理位置相结合,既增强了访问控制模型的安全性,又满足了协作环境下访问控制的灵活性。采用无干扰理论对所提模型的安全性进行了证明。     

支持协作的强制访问控制模型

按照国家信息系统等级保护要求,3级以上的信息系统必须具备强制访问控制和标记.已有的强制访问控制模型的访问规则十分严格,难以满足协作环境下的访问控制新需求. 提出一种支持协作的强制访问控制模型(collaboration supported mandatory access control model, CSMAC),将主体-客体为中心的访问控制与任务为中心的访问控制相结合,使访问控制模型更符合主动安全模型的特点,大大提高了模型的灵活性,使其更适合于协作环境下的访问控制. 模型中通过控制主客体的安全标记,解决了符合安全策略的敏感信息的双向流动问题. 通过无干扰理论,对所提出模型的安全性进行了证明.     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

基于Windows终端信息过滤的网络访问控制研究

为防范终端从网络中获取不良信息,分析了常见的网络访问控制和信息过滤方法,建立了基于终端信息过滤的网络访问控制模型。该模型通过综合分析URL地址/关键字I、P地址和协议等信息来识别不良网站,通过分析网页文本关键词识别不良网页。基于Windows网络过滤驱动技术,开发了一款Windows终端网络信息过滤和访问控制软件。该软件拦截Win-dows终端的网络访问数据流,应用建立的网络访问控制模型,实现了对不良网站和网页的访问控制。     

一种基于Minifilter的文件安全保护系统

针对操作系统中数据文件可能出现的文件泄露等安全性问题,在研究了访问控制领域经典的BLP和Biba模型的基础上,提出了一种可同时维护数据文件保密性和完整性的新强制访问控制模型.同时,结合Minifilter文件系统过滤驱动程序开发并实现一种文件安全保护系统,对核心逻辑和关键模块进行了详细介绍.该系统能根据既定策略有效地保护系统的文件安全,为数据保护提供了一种新的解决方案.     

守住最后一道防线--文件过滤驱动程序在系统安全中的研究与应用

本文重点研究了Windows2000环境下文件过滤型驱动程序,分析了其开发原理、步骤,通过修改现有功能驱动程序的行为,实现控制数据的非自主流向,对功能驱动程序执行I/O操作进行监视和控管,最后给出文件强制访问控制模块实例以及相关功能模块的具体设计。     

强制访问控制在基于角色的保护系统中的实现

研究了通过对基于角色的访问控制（RBAC）进行定制实现强制访问控制（MAC）机制的方法。介绍了RBAC模型和MAC模型的基本概念,讨论了它们之间的相似性,给出了在不考虑角色上下文和考虑角色上下文两种情形下满足强制访问控制要求的RBAC系统的构造方法。从这两个构造中可以看出,强制访问控制只是基于角色的访问控制的一种特例,用户可以通过对RBAC系统进行定制实现一个多级安全系统。     

基于可变标签的访问控制策略设计与实现

仅提供了自主访问控制级安全防护能力的Windows操作系统的安全性受到用户广泛关注,而作为一项重要的信息安全技术,强制访问控制能够有效实现操作系统安全加固。访问控制策略的选择与设计是成功实施强制访问控制的关键。针对安全项目的需要,分析了结合经典访问控制模型BLP与Biba的优势,提出了依据进程可信度动态调整的可变标签访问控制策略,解决了因I3工尹与Biba模型的简单叠加而导致的系统可用性问题,最终实现了对进程访问行为进行控制的简单原型系统。实验表明,可变标签访问控制策略的引入在对操作系统安全加固的基础上显著提高了系统的可用性。     

基于Linux的强制访问控制研究

本文围绕安全操作系统中强制访问控制部分的理论和研究,自行构建了Linux系统的强制访问控制机制。该机制支持BLP修改模型的多级安全策略,其构建参考了GFAC和LSM等访问控制模型。内容包括总体设计思路、安全策略和安全信息的形式化、关键函数的实现等。     

BLP模型在云存储中应用分析

云存储中包含各种各样的文件,各文件包含了不同程度的敏感信息,需要受到不同访问控制策略的保护,给予其不同的安全级。为确保高敏感数据的完整性和安全性,可对BLP模型进行修改使其适应云存储的要求。文章讨论在该模型下的安全访问控制问题,研究该模型的体系结构并给出云存储中的访问控制算法。     

基于角色的空间信息强制访问控制模型研究

针对军事领域中地理空间数据具有更高的敏感性、机密性的特点,对传统的基于角色的访问控制和强制访问控制结合后进行空间扩展,提出了一种基于角色的空间信息强制访问控制模型(Spatial Vector Data Role-Based Mandatory Access Control, SV_RBMAC),在RBMAC模型的形式化描述和安全性定理基础上提出了此模型运用在空间矢量数据的操作模式,满足军事环境中重要信息系统的访问控制需求,在实现细粒度访问控制的同时,保障了空间数据的安全性。经实际原型系统试验证明,具有较高的实用性。     

多级数据库安全模型

多级安全是指一种保护敏感级信息资源不被非法使用的控制策略，它将系统内的主体（如用户、进程、事务）与客体（如文件、设备、表、元组等）按需要分成不同的安全级，通过安全级来限制主体对客体的访问。数据库管理系统中的多级安全是指每个主体（直接或间接）仅能访问其有许可权的客体。作者研究出一个实现强制访问控制和自主访问控制的多级安全数据库模型，模型满足TCSEC的B1级安全要求。     

强制访问控制MAC的设计及实现

访问控制是计算机信息保护中极其重要的一个环节，本文针对自主访问控制的缺陷，介绍了更强力的强制访问控制(MAC)，强制访问控制是根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。本文在简单介绍了强制访问控制的优点后给出了它的形式化定义及其基本规则，最后介绍了由笔者等开发的一个安全操作系统softos中强制访问控制模块的具体设计及实现。     

基于windows2000访问控制的安全代理设计

分析了Windows2000自主性访问控制的实现机制以及存在的安全问题,通过对权限和用户的分级映射,实现了具有强制访问控制功能的安全代理,在网络服务器中该代理可以提供身份认证、多级访问控制、专用对象访问控制等功能,并能有效地避免用户的权限滥用和权限提升攻击。     

基于ASP.NET的电子商务系统用户权限设计与实现

电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control．自主访问控制模型)、MAC(Mandatory Access Control．强制访问控制模型)难以满足复杂的企业环境需求。因此．NIST(National Institute of Standards and Technology．美国国家标准化和技术委员会)于上世纪90年代初提出了基于角色的访问控制方法,实     

强制访问控制模型研究与实现

强制访问控制常用于多层次安全级别的军事系统中,通过梯度安全标记实现信息的单向流通,可以有效地阻止特洛伊木马的泄露,其缺陷主要在于实现工作量较大、管理不便和不够灵活,究其原因是主体和客体的安全级别很难确定.引入模糊逻辑的思想,提出了基于模糊的强制访问控制模型;根据主体的信任度和客体的重要性,运用模糊综合评判法计算出主体的安全级别和客体的密级,使其能够更好地满足军事系统中访问控制的要求.     

多源对象关系数据库细粒度强制访问控制机制实现方法

强制访问控制是保障数据库数据安全的一种基础访问控制模型,在目前的商用关系型数据库中已经非常成熟,但在对象关系数据库中仍没有很好实现.设计一种对象关系数据库环境下的强制访问控制模型,并基于开源对象关系数据库PostgreSQL予以实现,模型支持多数据源的细粒度访问授权,可以满足当前大数据应用对数据的安全访问需求.     

为Windows XP添加更完善的文件权限

同Windows NT/2000/2003相比,Windows XP的文件安全管理机制是比较弱的。即使在Windows中取消了简单文件共享功能后,也只能对NTFS分区上的文件设立访问控制机制。