LogicSQL多级安全数据库的研究与实现

结合数据库的用户身份认证与自主访问控制研究,设计了LogicSQL多级安全模型。该模型把安全级分为分层密级和非分层的范围组成的二元组形式,主要从安全标签、强制访问控制和审计方面进行讨论。该模型在企业搜索与公安系统中得到应用。     

LogicSQL多级安全数据库的研究与实现

结合数据库的用户身份认证与自主访问控制研究．设计了LogicSQL多级安全模型。该模型把安全级分为分层密级和非分层的范围组成的二元组形式，主要从安全标签、强制访问控制和审计方面进行讨论。该模型在企业搜索与公安系统中得到应用。     

面向飞机制造过程的统一用户管理体系及策略

为解决航空制造企业制造过程信息安全管理困难的问题,在综合分析飞机制造过程对身份认证和访问控制需求的基础上,应用单点登录及访问控制技术,构建了面向飞机制造全过程的统一用户管理体系。该体系包括了统一身份认证管理系统和统一访问控制管理系统。重点对基于单点登录的统一身份认证策略和基于规则-任务-角色的统一访问控制策略（Rule-Task-Role Based Access Control,RTR-BAC）进行了详细地探讨,并在此基础上建立了统一用户管理信息模型。统一用户管理体系将分散的用户管理功能从各应用系统中独立出来,形成统一可配置的用户管理模块,实现了对飞机制造过程用户信息的统一管理。     

一种基于可信度计算的集成身份认证与访问控制的安全机制

提出了一种基于主体可信度计算的集成身份认证和访问控制的安全机制,当主体的可信度下降到某个值之后,采用一次性口令认证方法对主体进行重新认证。该安全机制能有效提高访问控制模型肘冒充用户访问的检测及控制能力。     

Web服务中基于信任的访问控制

将安全断言标记语言和可扩展的访问控制高标识语言相结合,设计一种Web服务下的基于信任的访问控制模型。在信任域内,服务提供方利用与请求方的直接交互经验和域内其他证人的推荐信任信息,进行信任评估和授权,该模型包括认证模块和访问控制模块。认证模块实现单点登录的功能,访问控制模型实现基于信任的访问控制和授权功能。     

基于可信计算的可信认证模型研究

针对传统的网络用户接入的安全问题,提出了一种基于可信计算的可信认证模型.通过计算评估当前网络用户安全状态信息和采用相应的访问控制策略,进行网络用户身份的可信认证,保证了网络用户接入的安全性.     

电力企业安全访问控制的实现

传统防火墙实现访问控制一般是基于IP地址、端口的策略控制,而更为细致灵活的访问控制还可以基于用户来实现。本文根据在电力企业项目实践中Checkpoint防火墙访问控制功能与Windows域环境控制相结合,实现安全访问控制的应用案例,介绍了如何利用两种控制技术相结合,避开基于IP地址认证的缺陷,实现基于用户的身份谁认证,以满足更高安全需求的访问控制。     

基于数字证书的身份认证系统的设计与实现

身份认证技术是能够对信息收发方进行真实身份鉴别的技术,是保护网络信息资源安全的第一道大门,在安全系统中的地位极其重要.提出了一种基于数字证书进行身份认证的方法,构建了身份认证系统模型方案,采用OpenSSL软件包,Ubuntu作为服务器操作系统,Tomcat作为WEB服务器软件,设计一个基于数字证书的身份认证系统,以网站登录注册系统为例实现身份认证.本系统由四大模块组成,有登录模块、注册模块、数据加密模块、数字证书处理模块,能够实现用户身份认证.系统模块实现结果表明,该系统安全可靠、易维护,具有良好的可扩展性.     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题,讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略,利用公钥证书实现对用户的身份认证,结合角色证书实现对用户的授权访问。     

遥感影像数据云存储平台的安全防护机制研究

针对基于Hadoop的遥感影像数据云存储平台存在的认证机制不完善、访问控制过于简单等安全问题,采用Kerberos认证结合令牌认证的身份认证机制,提出了基于用户属性与遥感影像数据属性的多维细粒度访问控制策略,达到了完善平台认证机制和增强平台访问控制的目的.实验结果证明,提出的身份认证机制和访问控制策略能有效增强遥感影像数据云存储平台的安全防护能力,且对平台性能影响很小.     

IP组播密钥管理技术研究

为了在IP组播中实现用户身份认证等安全管理,避免IP组播中的不安全因素,提出了一种运用门限技术和椭圆曲线密钥体制相结合的方案,构建一个IP组播服务系统并在其上分层实现了组播密钥的分发与恢复。最后通过实验测试给出了此方案的管理代价,证明了此方案可以很好地实现lP组播应用中的密钥管理,有效地解决了用户身份认证和授权管理问题,实现了安全IP组播。     

适用于多源IP组播的安全访问控制协议

目前针对IP组播的安全访问控制问题的解决方案只是实现了对组播接收者的访问控制。为此,提出了一个广泛地适用于多源IP组播的安全访问控制协议(Multi-source Multicast Access Control,MMAC)。协议通过引入专门的管理主机和管理频道实现了对组播参与者(发方和收方)及不可信路由器的安全访问控制。最后对MMAC协议的有效性和安全性进行了分析。     

基于SIP的安全组播

组播业务的实施离不开组播安全。文中提出了一种使用会话初始化协议(SIP)作为信令实现安全组播的方法,该方法利用SIP协议身份验证机制、S/MIME加密与签名、会话参数协商能力,提供了组播源和接收者访问控制、组播源认证以及安全通信。该方法具有安全性高、运行稳定、扩展性好的优点,并能轻松移植到IPv6下运行。     

一种基于证书的统一身份管理技术研究

文章提出了一种移动安全接入方案,并针对移动安全接入方案中存在终端登陆、无线VPDN接入、IPSecVPN接入和应用访问等多类用户认证过程,采用基于数字证书的统一身份管理,对用户和智能手机终端进行用户信息标识,可提高移动终端安全接入系统的可管理性和安全性,     

Multimedia security in group communications: recent progress in key management,authentication, and watermarking

Multicast is an internetwork service that provides efficient delivery of data from a source to multiple receivers. It reduces the bandwidth requirements of the network and the computational overhead of the host devices. This makes multicast an ideal technology for communication among a large group of participants. Secure group communications involves many service types include teleconferencing, pay TV and real-time delivery of stock quotes. IP multicast is the traditional mechanism to support multicast communications. Multicast security includes group membership control, secure key distribution, secure data transfer and copyright protection. This paper is an overview of the schemes proposed for group key management, authentication and watermarking in wired networks with fixed members and wireless networks with mobile members.A preliminary version of this paper was presented at the IASTED International Conference on Communications and Computer Networks, Cambridge, MA 4-6 November 2002.     

真实源地址框架下的特定源组播接收者认证*

为了解决特定源组播接收者认证问题,在研究真实IPv6源地址验证体系结构的基础上,提出了一种该体系结构下的特定源组播接收者认证方案。该方案在与主机直连的路由器上加载了认证功能,能够对组播接收者的组播认证码进行认证,以此实现组播接收者的合法性验证,防止网络中组播服务盗用;设计了一种存储于三层交换机的组播端口列表,解决了同一局域网内组播接收者访问控制问题。通过仿真实验证明,该方案能够实现对组播接收者的认证功能,而且对组播效率影响不大。     

独立于应用的身份识别与访问控制系统研究

身份识别与访问控制是网络信息安全重要部分之一。实施它们的传统方法是通过身份识别与访问控制功能和应用之间的API接口来实现。这一方法的安全性和实用性不能满足网络和应用的发展。本文提出了独立于应用的身份识别与访问控制系统,该系统是一种为网络应用提供了高效的身份识别服务的安全平台。它通过结合Kerberos,PKI和安全通道技术极大地提升了性能和便利性。     

基于数字签名技术的数据库安全共享机制

数据库系统中的授权认证和密钥管理机制是实现数据库安全共享的核心问题。本文利用现代密码学中的数字签名技术,提出了一种新的数据库授权访问控制和密钥管理方法,构建了安全的数据库授权共享机制。公钥密码的高度安全性充分保证了用户身份的不可伪装性和数据库密钥的高度秘密性,实现了数据库的共享性与安全性的有机结合与统一。     

Sender access and data distribution control for inter-domain multicast groups

The classical IP multicast model makes it impossible to restrict the forwarded data to that originated by an authorized sender. Without effective sender access control, an adversary may exploit the existing IP multicast model, where a sender can send multicast data without prior authentication and authorization. Even a group key management protocol that efficiently distributes the encryption and the authentication keys to the receivers will not be able to prevent an adversary from spoofing the sender address or replaying any previously sent data and hence, flooding the Data Distribution Tree. This can create an efficient Denial of Service attack.In this paper, we propose an architecture for sender access control and data distribution control in inter-domain multicast groups. For sender access control, the Protocol for Carrying Authentication for Network Access, encapsulating Extensible Authentication Protocol packets, is used to authenticate a sender and to establish an IPsec Security Association between the sender and the Access Router to cryptographically authenticate each packet. This access control architecture is then extended to support inter-domain multicast groups by making use of Diameter agents. An inter-domain Data Distribution Tree (DDT) is distributed over different domains. Hence, sender access control will be meaningless without protecting the whole DDT. We have protected the DDT from several attacks generated by a compromised network entity by carrying the multicast data in one or a series of Multicast Security Associations (MSA). Two alternate solutions have been developed that detect and stop forwarding of any forged packet by utilizing multiple checkpoints in the DDT. The first method uses a centralized MSA for the whole DDT while the second method uses a number of small-sized MSAs. Next, the two methods have been compared with respect to different features, such as establishment and maintenance costs, delivery time, etc. The MSA method has been compared with Keyed HIP (KHIP), and we have established that MSA-based methods reasonably outperform KHIP. Finally, the security properties of MSA construction using the GDOI protocol have been validated using the AVISPA tool. Two attacks have been detected by AVISPA, which we have fixed by modifying the GDOI protocol. The security properties of the data transmission method through MSAs using the Authentication Header (AH) protocol have also been analyzed.     

IPSec-VPN中应用PKI的研究与实现方案

基于IPSec的虚拟专用网(VPN)尽管极大地改进了传统IP协议缺乏安全机制的问题,但在复杂情况下仍会因身份认证不完善而影响网络的安全性。PKI是一套可公开信任的提供认证服务的安全平台,可提供身份认证和角色控制服务。本文分析了IPSec和PKI在安全上的技术特点,提出了一种将PKI认证技术应用到IPSec-VPN中加强身份认证和角色访问控制,进而完善VPN安全的方案。