共查询到20条相似文献,搜索用时 109 毫秒
1.
提权攻击是针对Linux系统的一种重要攻击手段。根据提权攻击所利用的漏洞类型,一般可将其分为应用层提权攻击和内核提权攻击。现有的防御技术已经能够防御基本的应用层提权攻击,但是并不能完全防御内核提权攻击,内核提权攻击仍是Linux系统面临的一个重要威胁。内核提权攻击一般通过利用内核提权漏洞进行攻击。针对内核提权攻击,分析研究了基本的内核提权漏洞利用原理以及权限提升方法,并对典型的内核提权攻击防御技术进行了分析。最后通过实验对SELinux针对内核提权攻击的防御效果进行了分析验证,并针对发现的问题指出了下一步具有可行性的研究方向。 相似文献
2.
《Information and Software Technology》2002,44(9):541-549
We consider the problem of managing access privileges on protected objects. We associate one or more locks with each object, one lock for each access right defined by the object type. Possession of an access right on a given object is certified by possession of a key for this object, if this key matches one of the object locks. We introduce a number of variants to this basic key–lock technique. Polymorphic access rights make it possible to decrease the number of keys required to certify possession of complex access privileges that are defined in terms of several access rights. Multiple locks on the same access right allow us to exercise forms of selective revocation of access privileges. A lock conversion function can be used to reduce the number of locks associated with any given object to a single lock. The extent of the results obtained is evaluated in relation to alternative methodologies for access privilege management. 相似文献
3.
《Computers & Security》1988,7(6):563-573
A multilevel secure information system should be able to support a security structure consisting of a hierarchically defined sensitivity structure containing n levels and a category structure containing m compartments. It should simultaneously protect its contents from unauthorized disclosure arising from either access control violation or leakage, and from improper modification. The protection should not interfere with the efficient processing of information. The system should be able to provide for its own security using trusted hardware or software.The system of controls described in this report will accomplish all these objectives. Furthermore, it will incorporate defenses against the following threats: unplanned delay, unauthorized erasure or destruction, aggregation, inference, spoofing, infiltration, residual images, computer viruses, and post-engagement disclosure. 相似文献
4.
基于角色的权限管理的总体解决方案 总被引:3,自引:1,他引:2
基于角色的权限管理在信息管理系统的开发中得到广泛应用.应用角色权限管理可使不同身份用户登录验证后具有不同的交互界面,提高了系统的易用性和健壮性.对基于角色的权限管理,给出了总体解决方案,将其分为数据库分析设计、权限处理、角色修改与查看、用户角色识别以及功能点按钮处理5部分进行阐述.该方案独立于具体语言和应用系统框架,具备通用性,列出的核心算法在系统交付后能满足要求. 相似文献
5.
Due to the lack of both precise definitions and effective software engineering methodologies, security design principles are often neglected by software architects, resulting in potentially high-risk threats to systems. This work lays the formal foundations for understanding the security design principle of least privilege in software architectures and provides a technique to identify violations against this principle. The technique can also be leveraged to analyze violations against the security design principle of separation of duties. The proposed approach is supported by tools and has been validated in four case studies, two of which are presented in detail in this paper. 相似文献
6.
7.
存在特权集的门限代理群签名方案* 总被引:4,自引:1,他引:3
基于特权集的思想,提出一种存在特权集的门限代理群签名方案:只有满足条件的普通用户和特权用户的共同参与才能生成有效的代理群签名。部分成员合谋无法伪造签名,从而可以抵抗合谋攻击。该方案具有特权集与门限特性、签名的不可伪造性、验证的匿名性与身份的可追查性等良好特性。 相似文献
8.
文中提出了一种基于认证的网络权限管理技术,实现了针对用户的策略和权限管理,并研究了本认证系统的可靠性,利用Bcrypt算法等技术解决了认证系统中存在的安全问题,提高了整个系统的可靠性。这项技术目前已经应用到实际工作中。 相似文献
9.
Panda Suryakanta Mondal Samrat Das Ashok Kumar Susilo Willy 《International Journal of Information Security》2023,22(5):1261-1276
International Journal of Information Security - Attribute-based encryption (ABE) is widely used for a secure and efficient data sharing. The predetermined access policy of ABE shares the data with... 相似文献
10.
With new methods for enforcing security policies comes the opportunity to formulate application-specific policies. But leveraging that flexibility might prove a difficult problem, not only in practice, but also in theory. 相似文献
11.
对Zhou等提出的方案(ZHOU M, MU Y, SUSILO W, et al. Privacy enhanced data outsourcing in the cloud. Journal of network and computer applications, 2012, 35(4): 1367-1373)进行分析,指出了该方案无法实现对用户访问权限进行撤销的问题。针对该方案的不足,提出一种具有撤销用户访问权限的外包数据加密方案。首先,把数据分成多个数据块并分别对每个数据块加密;其次,通过密钥导出的方法减少数据拥有者管理和保存密钥的数量;最后,对同一个加密数据构造多个解密密钥,实现对某些用户的访问权限撤销,而未被撤销用户无需进行密钥更新。与Zhou等的方案相比,所提方案不仅保持该方案中的外包数据隐私保护优点,而且还实现了用户访问权限的撤销。分析结果表明,在离散对数困难问题(DLP)假设下,所提方案是安全的。 相似文献
12.
多信任域间的安全访问是一项重要的研究内容。结合基于角色访问控制机制(RBAC)的优势及现有的跨域认证技术构建了一种适用于大规模分布式网络环境的跨信任域授权管理CTDPM(Crossing the Trusted-domain Privilege Management)模型。模型中提出角色推荐和单向角色映射策略,支持分布式环境下任意两个信任域之间的安全访问。运用集合论和谓词逻辑对CTDPM模型进行了系统的形式化描述,提出了一套合理的授权与安全规则,并进行了特性分析,最后给出该模型在访问控制系统中的安全应用。 相似文献
13.
安全增强的存在特权集的门限群签名方案 总被引:2,自引:0,他引:2
对一类存在特权集的门限群签名方案进行安全性分析,指出了其中的设计错误;提出了修改方案;增加了身份识别函数;增强了追踪签名人的能力;并对新方案进行了安全性分析。 相似文献
14.
PMI(授权管理基础设施)技术是一种新型的信息保护基础设施,它的目标是向应用系统提供相关的授权服务管理,实现与实际应用处理模式相对应的、与具体应用系统的开发和管理无关的访问控制机制。讨论了在分布式环境中利用PMI技术完成权限管理,及其相对于现有的嵌入于应用系统中的授权管理的优越性,并论述了实现的可能性,提出了实现的途径和方案。 相似文献
15.
16.
17.
18.
19.
20.
针对冯登国提出的“存在特权集的门限群签名”问题,2005年,陈伟东提出了一类存在特权集的门限群签名方案(C-F方案),分析发现它容易受到可信密钥认证中心发起的三种伪造攻击,不具有签名的可区分性和事后身份追踪的特性,也无法抵抗内部成员的合谋攻击。提出了一种改进方案,新方案克服了C-F方案的安全隐患,保护了签名人的合法权益,节省了系统存储空间,是一个安全有效的签名方案。 相似文献