基于零信任的动态访问控制技术研究

传统的访问控制技术不能有效满足泛在接入的移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。     

基于信任的企业信息系统访问控制研究

随着企业规模的不断扩大及信息化水平的不断提高,越来越多的企业采用信息系统提升其竞争力。针对企业信息系统不能对访问用户进行动态授权的问题,文中提出了一种基于信任的企业信息系统访问控制机制,根据用户行为对用户信任度进行评估,参照用户信任度对用户进行动态授权,对访问企业信息系统的用户权限进行动态控制,提高了企业信息系统的安全性。     

基于SDP的无线数据采集与传输的零信任方案浅析

文章分析无线数据在采集和传输方面存在安全风险趋势,引入基于SDP（软件定义边界）的零信任网络安全管控机制,详细阐述该机制在无线通信环境中的工作流程和作用,并提供相应的解决方案。对比5G专网和无线SDP架构在数据链路加密、网络暴露、认证手段、访问权限、用户监控、商业成本、安全性方面的不同。零信任方案能提高网络的安全性,有效应对现代网络安全面临的复杂挑战。     

“零信任”在云化业务中的安全技术研究

信息安全包含了网络安全、数据安全、应用安全、行为安全等,未来还有更多安全形式出现。过去我们在规避信息安全的风险问题上更多是从网络安全这个层面来考虑的,基本上保护的都是网络和网络设备本身。在业务系统迁移到云上的趋势下,用户更加关注的是云化应用自身的安全和应用产生的数据的安全。基于传统网络安全模型或者网络攻防的安全策略属于被动的防御,是一种被动的安全,组织往往要提前识别可能遭受到的网络攻击风险,然后考虑应对策略。现在和未来,需要一系列的主动安全,比如零信任的安全方案,对于应用安全来说,就是主动安全,通过账号安全将安全边界前移用户侧,可视化技术实现从用户访问上下文行为分析,从而实现零信任的控制接入,控制访问细颗粒度的权限来实现对应用系统的主动防御。     

面向多维数字媒体的访问控制机制

在多维数字媒体场景中,用户期望利用环境、时态等因素实现访问权限的自我约束。针对该需求,综合环境、时态、角色定义授权属性,提出面向多维数字媒体的访问控制机制,该机制定义用户—授权属性分配关系和授权属性—访问权限分配关系,根据用户的ID、属性信息、所处环境和时态、角色,用户—授权属性分配关系为用户分配相应授权属性;根据用户所赋予的授权属性,授权属性—访问权限分配关系为用户分配相应访问权限。引入约束条件,用户通过设置约束条件进行访问权限的自我约束,实现访问权限随环境、时态、角色等因素的变化而动态缩减。使用Z符号对该机制进行形式化描述,通过实例分析验证其可行性,与现有工作的比较表明所提机制支持最小权限、职责分离、数据抽象等安全原则,支持访问权限的动态缩减。     

基于角色与信任的访问控制及其在Hadoop上的实现

Hadoop云计算平台已经成为当今社会最流行的平台之一,它的安全问题也在改进,访问控制是保护Hadoop平台安全的一种有效途径。依据基于角色的访问控制和基于信任的访问控制,并在此基础上进行改进,提出一种基于角色与信任的访问控制模型。该模型主要根据Hadoop平台的日志文件,运用神经网络算法对日志文件进行分析,以此来获得每一个用户的信任度。集群根据用户的信任度来分配用户拥有的权限。     

一种基于Web服务的信任评估模型

处于开放网络环境中的Web服务,时刻面临着遭遇恶意欺诈行为的风险,因此在Web服务体系中构建安全可靠的信任管理机制成为必然趋势.根据Web服务的特点,提出了一种新的信任评估模型,把对Web服务的信任度量归纳为业绩信任度和用户评价信任度两种情况.在实施信任度评估时,重点考虑服务时间、服务结果、恶意行为对信任度的影响,并按新的信任评估模型设计了Web服务的体系结构,说明了新体系结构下Web服务的应用过程.仿真结果表明提出的信任评估模型能较好地辨别Web服务应用中的恶意欺诈行为.     

基于B/S结构的成教学生信息管理系统的设计

成教学生信息管理系统实现了学校成教学生信息的优化管理.通过设计一种WEB数据库访问方案,实现了对后端数据库的高效访问;并且对管理信息系统安全性也进行了研究,提出了管理信息系统自建用户权限体系模型,从应用系统层将数据库对象和应用系统中的对象操作权限灵活地赋予用户.系统具有界面友好、交互能力强、操作方便、实用性强等特点.     

一种改进的云存储平台权限管理机制设计

针对云存储服务中用户访问权限撤销计算与带宽代价过大、复杂度过高等问题,以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计一种基于动态重加密的云存储权限撤销优化机制,即DR-PRO。该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销的实现过程。通过理论分析与模拟实验评估表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效地降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高。     

面向P2P网络应用的基于声誉的trust管理模型

提出一种新的面向P2P网络应用的信任管理模型,该模型根据节点的历史交易情况和系统中其他节点的推荐计算节点的信任度,给出了普遍适用的、具体量化和更新推荐者可信度的数学表达形式,同时考虑到节点的自主性动态行为影响信任度计算的不确定性,引入风险因素,提出了采用信息熵理论来量化风险,将实体之间的信任程度和信任的不确定性统一起来.仿真实验及分析表明,该信任模型能够有效识别恶意节点,相比已有的一些信任模型在系统成功交易率、模型的安全性等问题上有较大改进,可以使节点之间更有效的建立信任关系.     

面向零信任架构的访问安全态势评估

传统网络安全态势评估为企业安全风险管理提供决策依据。结合零信任安全的基本原则，分析了零信任安全态势评估的内涵、目标和意义，提出了一个基于持续风险评估的零信任安全访问架构，围绕该架构研究了零信任安全态势评估的关键技术，针对用户访问的上下文安全评估，构建并设计了一个可扩展的态势评估指标体系和量化评估算法，为实现零信任动态细粒度访问控制提供了持续评估能力，最后对零信任态势评估的未来发展进行了总结。     

基于信任度的WSN信任模型研究

针对无线传感器网络面临的内部攻击,结合现有经典的信任机制,提出一种基于信任度的信任模型。模型由信任度计算、信任管理及信任决策3层组成。以信任度计算为核心,将直接信任度、间接信任度以及能量信任度合成综合信任度。采用周期更新信任度的方式,降低网络能量消耗。设定信任度阈值进行信任决策,高效地辨别出恶意节点和老化节点,保证网络的安全性和可靠性。仿真实验表明,该模型能够有效检测恶意节点,具有较高的检测率,同时很大程度上降低了整个网络的能量消耗。     

基于组的细粒度访问控制模型

本文对传统访问控制模型进行分析,根据传统访问控制技术难以适应目前信息管理系统用户数量多,数据量大,更新频率快的需求,提出了基于组的细粒度访问控制模型。该模型摒弃了传统的“角色是权限的集合”的思想,引入“组”概念,实现数据与用户之间的多对多权限分配。同时由于可能存在特殊需要,引入“细粒度”,使得一些一对一权限分配得以相应的延续。该模型能有效地实现权限的分配和维护工作。     

基于信任关系的IP网络安全框架研究

本文的基于信任关系的新型网络安全框架,主要目的是在IP承载网中引入信任关系,作为建立可信网络的基础,并对接入网络的所有数据包打上用户身份标识戳,既可实现数据包级别的安全认证又可简单实现计费等操作。并根据通信实体之间的信任度和业务类型灵活的制定安全策略,由承载控制层资源管理设备在全网统一协商,配合QoS策略动态的下发安全策略,从而实现将原来配置在网络边界安全设备上的静态安全策略变为动态的安全策略。     

基于边缘计算的光通信网络安全风险等级评估方法

以提升光通信网络安全性为目的,提出基于边缘计算的光通信网络安全风险等级评估方法。首先构建光通信网络安全风险评估指标,并利用各边缘计算节点计算各终端指标数据。以各评估指标数据计算结果为基础,在云中心计算层内构建模糊综合评估模型,以模糊数学理论内的隶属度为基础,实现光通信网络安全风险多层次模糊评估。实验结果表明,该方法的光通信网络安全风险等级评估精度最高为97%,评估误差率最低为3%,该方法能够有效实现评估过程,基于评估结果进行网络优化能够提升光通信网络安全性能。     

一种传感器网络的分布式信任模型

传感器网络面临的攻击很多,尤其是内部节点进行的攻击带来的危险最大。同时,传感器网络特别是军用传感器网络不能采用建立信任中心的信任模型,导致其内部节点的恶意行为更难以控制。通过引入基于CPK认证的源地址认证模块,使用第三方推荐信任,并结合多种相关的网络行为属性,能够为用户提供更准确可信的信任度计算能力作为参考依据,使用户可以根据信任度对权限进行控制,以达到控制恶意行为的目的。     

柔性信息管理系统中权限控制方法的应用

系统中的权限设计方法直接影响到系统的安全,为解决系统中权限控制的灵活性问题,结合柔性化软件开发策略提出了基于动态树模式的角色授权管理机制,系统管理员可以根据不同角色的需求,动态设置角色的权限。该授权方法突破了传统系统中角色不能更改的弊端,基于动态树模式的角色授权管理机制根据不同用户动态加载不同的菜单,实现了用户访问系统资源的可定制性、灵活性和可控性,解决了权限管理粒度与数量矛盾的问题。该方法具体应用于某高校信息管理系统中,实现了系统权限的灵活管理。     

一种基于用户评价值的动态访问控制模型

针对购物网站中大量信誉等级不同的用户却拥有相同权限的问题,提出一种依据用户评价值进行动态访问控制的模型。该模型将RBAC中权限的授权与用户的评价值相结合,通过综合评估购物网站用户评价值,对角色的权限范围进行动态调整,从而达到动态访问控制的目的。通过应用该模型对一个实例进行分析的结果表明,该访问控制模型能够提高用户评价值的准确性,实现了相同角色不同权限的动态分配,增强了购物网站中资源的安全性和可靠性。     

安恒信息发布AiTrust零信任解决方案

安恒信息基于零信任思想,结合多年在企业安全运营、安全大数据分析、数据安全等领域的实践与技术积累,推出了基于“以身份为基础、以资源为核心、持续信任评估、动态访问控制”的AiTrust零信任解决方案,在原有物理边界之上构建动态身份边界,从终端、用户、系统等资源访问主体的可信身份出发,向政企提供全新的业务安全视角,有效支撑应用开放、业务互通、数据共享等场景的安全、高效运转,助力政企网络安全体系逐步向自适应安全演进。     

一种主机系统动态安全性量化评估方法

针对主机系统静态安全评价方法不能准确评价网络中主机系统安全性的缺陷,文中提出了一种主机系统动态安全性的量化评估方法,该方法从主机状态受损度和数据受损度两个方面选取评价指标,并根据不同的指标特征设计不同的量化算法。为了验证该评价方法的合理性、有效性和可行性,设计了该方法的一个评估模型,初步实验表明,该评估方法能够更准确客观的评价网络中主机系统的安全性。