基于可变标签的访问控制策略设计与实现

仅提供了自主访问控制级安全防护能力的Windows操作系统的安全性受到用户广泛关注,而作为一项重要的信息安全技术,强制访问控制能够有效实现操作系统安全加固。访问控制策略的选择与设计是成功实施强制访问控制的关键。针对安全项目的需要,分析了结合经典访问控制模型BLP与Biba的优势,提出了依据进程可信度动态调整的可变标签访问控制策略,解决了因I3工尹与Biba模型的简单叠加而导致的系统可用性问题,最终实现了对进程访问行为进行控制的简单原型系统。实验表明,可变标签访问控制策略的引入在对操作系统安全加固的基础上显著提高了系统的可用性。     

分布式应用中的访问控制规范的研究

针对分布式系统中安全服务规范给安全策略管理带来的不便,文章给出了一个针对分布式系统的访问控制策略设计和管理的访问控制模型,将此模型融入到分布式应用系统程序中,使用视图策略语言来描述访问控制策略,实现对安全访问策略行之有效的管理,并可以进行静态类型检测以保证规范的一致性。文章最后给出了分布式应用程序中执行VPL表示的访问控制策略的基础结构。     

面向WS-BPEL的访问控制策略合成研究

在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。提出一种基于条件的访问控制策略模型以及基于该模型的策略合成代数,将WS-BPEL语言中常见控制结构映射成策略合成表达式,通过合成外部子服务的访问控制策略,生成组合服务的访问控制策略。最后,设计了原型系统描述策略合成的流程。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型,比较了PBAC与基于角色的访问控制（RBAC）,分析了PBAC对策略语言和策略管理架构的需求;基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型,提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后,对语义策略语言进行了展望。     

Web服务访问控制规范及其实现

提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。     

操作系统访问控制模型关键技术研究

对访问控制模型的研究是安全操作系统研究中的一个关键问题,论述了影响Linux操作系统安全的主要问题,对当前用于操作系统安全增强的关键技术做了系统研究,并对当前流行的几种访问控制模型做了深入分析,对安全操作系统的研究有一定的参考价值。     

面向资源的细粒度可扩展访问控制策略

分析了访问控制新的需求特点,在XACML的语言模型和访问控制模型基础上,探讨了一种统一的、可移植的规则、策略及决策算法,能满足对细粒度网络资源的访问控制要求,并具有可扩展性。     

Kylin安全审计系统的设计与实现

通过用户与角色关联、角色与强制访问控制策略关联,Kylin操作系统实现了角色定权.在借鉴并继承Linux审计框架的基础上,Kylin安全审计系统设计实现了基于角色的审计,定义了针对角色定权以及强制访问控制策略的统一审计接口和日志记录与分析功能.与Linux安全审计系统由root负责审计管理不同,利用角色定权和强制访问控制策略,实现了只能由审计管理员进行安全审计管理工作.针对审计日志内容复杂、用户难以理解的缺点,实现了便捷的日志查询和友好的图形化审计管理工具.     

操作系统中基于安全封装的访问控制实现方法

针对敏感客体的访问控制问题,文章提出了操作系统中基于安全封装的访问控制实现方法。设计了针对敏感客体访问的统一访问接口,定义了相关接口,描述了访问接口的通信协商过程;提出了类C权限描述语言,给出了该语言的形式化描述及谓词含义;基于程序调用栈,实现了程序状态与权限调用的绑定。最终,实现了对系统中敏感客体的安全访问控制。     

多级安全OS与DBMS模型的信息流及其一致性分析

数据库安全与操作系统安全密不可分,如果多级安全DBMS的安全策略不违反OS的安全策略,那么可以使用多级安全OS的安全机制来实现DBMS的部分安全功能,如强制访问控制．信息流分析使我们能更好地理解安全策略的意义和内容．该文给出了多级安全OS模型和以该模型为基础的多级安全DBMS模型,首次详细分析了它们在强制访问控制策略下的信息流集合．经过主客体的映射后,证明了数据库与操作系统的信息流集合是一致的,这个结论保证了利用OS的机制来实现DBMS的强制访问控制的合理性．     

基于遗传算法的信息流安全标记自动化挖掘

分布式信息流模型可以细粒度地控制信息的访问和传播,但其灵活性也增加了系统安全需求表达和策略管理实施的复杂性,严重制约了模型在云计算等分布式系统中的应用。对此,设计了一种基于安全断言的策略描述语言以表达安全需求;形式化定义了信息流安全标记挖掘问题,分析并证明了该问题是NP完全问题;提出了基于遗传算法的标记挖掘近似最优化算法。实验结果表明,算法可自动挖掘出策略配置最优解方案,有效提高了分布式信息流模型在实际系统中的可用性。     

基于属性和主体、操作和客体分层描述的逻辑授权语言

安全策略是访问控制的核心,安全策略的描述、验证和执行离不开授权语言。在实际应用中,安全需求具有复杂性和动态性的特.奴,而现有的授权语言不能很好地适应这一特点,并不能对多种访问控制策略提供足够的支持。提出了一种基于属性和主体、操作和客体分层描述的逻辑授权语言((SOOSAL) 。SOOSAL以一阶逻辑为基础,通过谓词对主体、客体和操作进行刻画,并以分层的方式通过规则对主体、操作和客体之间的关系进行描述。此外,SOOSAI从逻辑语义世界假设的角度对现实世界中的策略进行了分类:封闭性世界策略和开放性世界策略,并对这两种策略的安全性进行了讨论,给出安全性问题的简单解决方案。实例结果表明,SOOSAI、具有较强的策略描述能力,能更好地实现策略的动态变化,并对不同的安全需求和授权原则提供良好的支持。     

基于XACML的Web服务安全访问控制模型

Web服务已成为新一代电子商务的框架,其安全问题是不可忽视的问题,需要一种灵活高效的访问控制来保护.通过分析可扩展访问控制标记语言(XACML)和授权管理基础设施(PMI),给出了一种适合于Web服务安全的访问控制系统模型.该系统模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,适用于Web服务的动态性、异构性等特点.     

基于Ponder2语言的访问控制策略描述方法研究

目前Ponder2策略语言主要应用在网络QoS服务质量管理方面,而对于安全方面的研究较少。本文分析Ponder2描述义务策略的方法,结合访问控制策略自身的特点,提出一种具体的基于Ponder2语言的描述访问控制策略的方法。     

访问控制策略描述语言与策略冲突研究

访问控制技术是网络安全防范和保护的主要方法,能保证信息的完整性和机密性。随着计算机、互联网和无线通信技术的高速发展,网络安全问题日益严重,访问控制策略的研究已成为计算机学科的一个热点课题。本文首先介绍了五种主要的访问控制策略描述语言,分析了各自的特点及适用环境;然后总结了访问控制策略冲突产生的原因、类型、冲突检测以及冲突消解方法;最后给出了访问控制策略研究的发展趋势。     

Combined access control model embedding configurable policy for fine-grained data security

With the wide applications of the Internet of Things, a lot of business data is generated by mobile embedded devices, and traditional data access control faces the new security risk. To enforce security and privacy requirements of information, the fixed data access control model needs to be added with the configurable authority policy, and it is necessary to ensure that new model is embedded without changing the original architecture. In this paper, we study the data access strategies on BlueKing platform, and design an embedded model by combing the role-based access control (RBAC) and label-based access control (LBAC) for fine-grained data access control. In proposed model, we first obtain the preliminary permissions result by using the original RBAC method. Then, we analyze the difference between the requirements and preliminary result, and we design the embedded polices components based on LBAC for the original framework. Finally, we generate the data access result for row and column by parsing the requirements with authority policies. The proposed model does not invade the original RBAC, and perform the fine-grained data access control, which has begun to be integrated into BlueKing platform.     

网络安全策略求精一致性检测和冲突消解机制的研究

通过对基于策略的网络安全管理的研究,分析了现有网络安全策略冲突检测和消解方法存在的不足.基于策略求精的思想和安全策略冲突分类技术,建立基于策略的网络管理安全级模型,并用扩展的XACML语言加以描述.根据策略行为间的关系,采用知识推理技术,动态分层地对相应安全级策略进行一致性自动检测和实时冲突消解,使其具有良好的可重用性...     

应用安全平台体系中安全策略模型的研究

在分布式系统中,安全策略的管理是很重要的,为了对分布式系统中的安全策略方便地进行管理,并且可以适应不同类型的分布式认证系统,该文通过对RBAC96模型的研究,给出了通过结构化的语言(XML)来描述应用安全平台体系中的安全策略模型和一个实例。     

基于XML的多粒度访问控制系统

如何为大量以Web服务形式存在的Web关键资源和应用中涉及到的XML文档资源提供安全访问控制并把二者很好地结合起来是当前电子商务安全服务研究中的一个重要课题。为此,该文提出一种基于XML的粗细粒度结合的多粒度访问控制系统。该系统采用基于角色的访问控制模型(RBAC),在扩展XACML规范的基础上,提出一种相对统一的策略描述语言;引入临时授权的概念,用于表示和实现更为丰富的访问控制策略;并提供灵活的安全映射接口,使其易于和其他安全系统相结合,为企业及企业间的应用提供访问控制服务。