基于XML服务管理信息的访问控制模型

提出了一种基于XML细粒度的服务管理信息的访问控制模型,用于控制服务管理站对服务管理信息的访问.采用了形式化方法定义服务管理信息的访问控制模型的主体、客体和授权规则;讨论了授权规则的冲突解决方法,设计了标记XML文档中哪些节点的元素或属性可以被操作的标签树算法;描述了服务管理系统中细粒度访问控制模型的4种操作.该模型能控制服务管理站对服务管理信息的访问控制,控制粒度可以达到XML文档中的元素或属性.     

一种新型的访问控制模型及其实现

针对基于角色的访问控制模型的不足，引入了数据和工作流元素，提出了一种基于多数据库、工作流与角色的访问控制模型(MDWRBAC)，并给出了模型各要素的定义、关系及其形式化描述。最后将该模型应用到实例中，较好地实现了对系统的安全访问控制，对信息系统的安全访问控制设计有很好的参考价值。     

多安全域角色信任访问控制模型

为解决网络中多安全域间的访问控制难题,提出一种基于角色和信任度的访问控制模型. 将角色和信任度相关联,根据用户角色等级定义角色评价权重,利用角色评价权重和角色行为计算其信任度. 在引入直接信任度、推荐信任度和反馈信任度的基础上,通过调节各自的评价权重参与综合信任度评价,实现了细粒度的访问控制. 在局域网环境下利用web应用系统构建具有多安全域的访问控制模型,并进行了仿真实验,实验结果证明该模型具有较高的安全性、可扩展性和灵活性.     

一种改进的基于角色的分级授权访问控制模型

大多数企业的业务处理在功能访问权限和数据访问权限上有较高要求,而基于角色的访问控制模型的数据访问控制能力是有限的．因此,文中提出了一种改进的基于角色的分级授权访问控制模型,该模型将用户、功能权限和访问数据进行分级,自上而下形成树状结构,并形成了用户级别-功能-数据级别之间的映射关系,实现了逐级授权．该模型已成功运用于云南省大型科荤仪器协作共用网络服备平台上．实观了较高的教据访问控制能力．     

基于Xen虚拟机的USB数据安全性分析及保护机制研究

基于Xen虚拟机的虚拟架构,分析了USB设备的数据安全风险和安全需求,对Xen虚拟机的内部驱动和安全机制进行了细粒度研究,提出了一种基于Xen虚拟机的USB数据保护机制,从虚拟USB接口访问控制、PVUSB后端驱动/QEMU设备模拟数据加解密两方面保护USB数据安全.     

一种超细粒度权限模型研究与应用

访问控制是保护系统安全的重要防护之一,对RBAC方法进行深入研究,通过对办公业务的分析与借鉴细粒度访问控制方法的思想,提出一种基于角色的超细粒度权限模型（SFG-RBAC）,使角色管理更加方便快捷。在该模型中把角色与单位、部门联系在一起,使具有相同角色的不同的单位、部门访问不同资源的权限问题得到解决。     

面向SaaS隐私保护的自适应访问控制方法

针对现有访问控制方法未针对云计算隐私保护特征且缺少动态隐私授权机制,无法在运行过程中自适应保护隐私数据的不足,通过对基于角色的访问控制（RBAC）模型进行信任度和隐私使用行为扩展,提出了一种面向云计算SaaS层隐私保护的访问控制模型TBRBAC。在此基础上,提出了一种SaaS服务信任度评估和动态更新机制,给出了基于TBRBAC(Trust and Behavior based RBAC)模型的自适应隐私访问控制系统的体系结构、执行流程以及授权分析算法,讨论了自适应访问控制流程的合理性,并通过实例分析和实验验证说明了本文方法的可行性和有效性。该方法能够实现运行时动态隐私授权及细粒度的隐私访问控制,增强了云计算环境下隐私数据的安全保护。     

一种扩展的基于角色的XML访问控制模型

Zhang Xinwen等人提出了一种基于角色的XML访问控制模型(X_RBAC),在分析该模型不足的基础上,提出了一种扩展的基于角色XML访问控制模型(EX_RBAC),按照客体的属性对客体进行归类,将权限定义在某一类客体上,主体对具体客体的访问权限由给该主体指派的角色和相应的访问域来确定,极大地减少了角色和权限的数量.结合实例应用,介绍了该模型的实施方法.     

一种基于扩展RBAC 的访问控制模型在 SSL VPN 系统中的应用

访问控制是防止非授权访问的一种重要的网络安全手段,基于角色的访问控制模型RBAC 是 目前主流的访问控制模型之一． 从RBAC 模型的基本理论出发,结合SSL VPN 系统访问控制的需 求,在经典RBAC 模型的基础上引入了分级和分组的机制,提出一种扩展RBAC 模型． 该模型引入 分级机制,用于控制不同安全状态的客户端的访问请求; 引入分组机制,使系统的授权更清晰和简 化． 在SSL VPN 系统中应用该扩展RBAC 模型,进一步增强了SSL VPN 系统的性能．     

信任实体与ABE密码体制相结合的云存储加密模型

为了实现云存储加密数据快速检索及确保数据存储和传送的安全,提出了一种云计算环境下基于信任实体与ABE密钥体制相结合的云存储加密模型.在分析现有云存储加密技术面临问题的基础上,将ABE密钥体制中非对称公私密钥对模型,结合介于数据提供者、云服务器和云用户三者都信任的第三方机构来实现云存储加密设计,给出了云中数据在存储和传送中的访问控制流程.该模型对云存储密钥由谁控制、在哪儿管理进行了重新界定,保证了云存储环境下数据的安全性和可靠性,并且具有较好的灵活性.     

基于LSM的ACL的设计与实现

LSM(Linux Security Modules)是得到Linus Torvalds本人支持的安全访问控制的底层架构.细粒度的自主访问控制是操作系统安全增强方法中经常采用的技术,访问控制列表(ACL)是其中最主要且流行的技术.介绍LSM项目的结构与设计,并以此为基础讨论了ACL在LSM上的设计与实现.     

一个安全多播主机结构模型

介绍了IPSec协议和GDOI协议,提出一种基于IPSec协议的安全多播组成员主机模型.设计了模型的框架体系和关键组成模块,阐述了模块间的相互作用机制,对实现IPSec协议的Pluto模块进行了扩展,在Linux系统上实现了GDOI多播密钥管理,从机密性、数据源认证及完整性、组管理及访问控制等方面作了安全性分析,对该模型在安全多播方面的应用前景进行展望.指出今后研究的重点是多播源认证.     

基于对象的抗几何攻击的视频水印算法

MPEG-4标准中基于对象的编码方法具有较好的交互性、可存取性,同时也带来了版权保护的问题.为此,提出一种基于对象的水印算法,该算法使得视频对象从一个视频序列被移动到另一个序列中,仍然能正确提取出水印.该算法通过Radon变换校正视频对象的旋转角度和缩放尺度,将水印嵌入到SA-DCT域中的部分系数中.实验结果表明,该算法能够和MPEG-4编码器有机整合、失真小,能抵抗旋转、缩放等几何攻击.     

基于Multi-agent的虚拟企业安全性研究

对虚拟企业的组织结构进行了详细分析,进而提出了一种基于Multi-agent的虚拟企业的功能结构,对其构造过程进行了阐述.在此基础上设计了一种具有安全机制的基于简化PKI的多代理虚拟企业的体系结构,并对其注册/注销、访问控制、Agent间的安全通信和安全恢复等安全机制进行了研究.这一体系结构和相关的安全管理机制,可以保证虚拟企业中代理活动的可验证性和不可抵赖性.     

基于双重加密的敏感数据限时访问研究

在云外包存储的背景下,针对外包存储中共享敏感数据的定时删除问题,提出基于双重加密的敏感数据限时访问方案。首先对称加密待共享的敏感数据文件,随后对加密后的文件进行随机分割提取,形成提取密文分量和封装密文分量;然后采用限时属性基加密算法对对称密钥和提取密文分量进行加密,生成访问控制对象;最后将访问控制对象同封装密文分量一同上传至云服务器。通过该方案,授权用户能够在限时属性基加密的访问时限窗口中解密访问控制对象,获取对称密钥和提取密文分量,并合成原始密文,恢复明文。访问时限窗口过期后,任何用户都无法属性基解密访问控制对象,获取对称密钥,恢复明文,从而实现敏感数据的定时删除。通过敌手攻击模型,分析并证明了该方案的安全性。     

无线异构融合网络基于无冗余标识的安全防护机制

在无线异构融合网络中,标识在数量、内容、存储以及使用上的冗余不仅造成资源浪费,而且会在网络中泄漏用户敏感信息,带来一系列安全问题。针对此问题,提出了基于无冗余标识的安全防护机制,将网络抽象为4个域：用户域、接入域、服务域和归属域,在每个域为用户分配不同的身份标识,并制定了标识分离存储、替换传输及更新机制。最后对其安全和通信性能进行了分析,分析表明该方案是高效安全的。     

可信计算技术在云计算安全中的应用

安全问题是制约云计算发展的关键.分析了云计算环境下的安全需求,根据可信计算平台的关键部件TPM和可信网络连接,以及可信存储提供的功能,从认证、访问控制、数据安全、用户行为追踪、合规性支持、虚拟化安全支持,以及应急响应和法律监管支持等方面研究了可信计算技术对云计算安全的支持,以期为云计算的安全提供保障.