基于零信任的动态访问控制技术研究

传统的访问控制技术不能有效满足泛在接入的移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。     

面向应用系统的授权服务平台研究

针对网络中应用系统授权缺乏统一管理、人员和权限信息不一致、开发投入高等问题,文章提出了一种基于公钥基础设施、证书认证、Webservice和LDAP技术的面向应用系统的授权服务平台方案,并重点描述了该平台的系统架构和应用集成模型。最后,结合业务呼叫安全服务平台给出了一个如何使用授权服务平台的应用实例。     

资源访问控制技术研究

访问控制技术是保证资源被合法授权访问的重要安全机制,首先介绍了访问控制的基本概念和三种传统的访问控制技术,并给出各自的特点及应用。简要介绍下一代访问控制模型——UCONABC,最后对目前的研究现状进行了总结并对访问控制的未来发展方向进行了展望。     

网络访问控制技术及其应用分析

从工程应用的角度对网络访问控制（NAC）技术进行总结和分析,对802．1x,TNC,NAP进行了技术框架总结。基于开放性、兼容性、适应性,对以上技术的工程应用进行了分析。802．1x、网关、防火墙、虚拟专用网（VPN）等4种策略执行技术的选择和实现是NAC系统设计的关键。最后总结了NAC选型和设计需要重点关注的内容。     

浅析计算机网络访问控制技术研究

如今,网络安全问题迅速地突现出来,成为困扰和阻碍网络技术进一步普及和应用的绊脚石。     

办公自动化系统中基于RBAC的授权模型

在基于角色的访问控制(RBAC)中,只给角色分配权限,用户必须成为角色中的一员才能取得相应的访问权限。基于角色授权的基本思想是:系统中某个成员将自己所拥有的权限授予另外一个成员,使之代表自己完成一定的工作。由于授权特征的多样性,授权模型有多种不同的状态。首先归纳出与授权有关的几种基本特征,然后根据办公自动化系统的具体业务情况将授权特征的组合进行精简,找出一组合适的状态,从而建立起办公自动化系统的授权模型。     

快速面向信息服务的身份认证与授权访问

WebService技术具有容异特性，在3个方面支持互操作：水平（跨越端系统）、垂直（在不同的组织层次中）和时间（跟随系统发展路线）。论文探讨了使用身份联邦的安全策略，在信息获取、处理、分发到用户终端存储的各个阶段，采用基于角色的访问控制管理机制，信息授权技术实现用户只能获取系统分配权限范围内的安全服务。     

数字证书营运中的基于任务的访问控制模型

传统的数字证书营运中,存在从证书目录服务器申请数字证书不经检查,和获得其他用户的数字证书后,发秘密信函不受安全级限制的安全问题。提出了一个数字证书营运中的基于任务的访问控制模型,解决了数字证书营运中的安全问题。     

双逻辑访问控制改进模型的研究和实现

文章提出了针对“整合分级的RBAC访问控制”系统的改进模型。新模型充分发挥了基于角色和分级两套访问控制逻辑的优点,并通过引入XACML,有效地实现了策略管理和访问判决的标准化、统一化,在角色定义的基础上实现了两种逻辑的无缝整合。     

基于UCON的空间访问控制模型的研究

虽然UCON模型包含了传统访问控制、信任管理、DRM三个问题领域,是下一代访问控制技术的发展方向,但是它不能解决空间数据库系统和基于移动用户位置的信息服务系统中空间动态授权。本文将空间授权规则引入到UCON模型中,提出了一个支持空间特性的面向使用的访问控制模型GEO—UCON,并给出了在空间环境下的授权规则,扩展了传统的UCON模型的空间安全描述能力。     

基于面向服务的多租户访问控制模型研究

在具体搭建面向多租户的平台过程中,传统访问控制模型在多租户环境下无法满足租户之间的隔离访问以及对各租户的访问请求实行有效的统一管理。为了在多租户环境下实现一套快速的、访问控制可配置的实施方案,提出一个面向服务的多租户访问控制模型。根据对多视图业务模型之间的关联进行分析,识别出组织模型及其相关的资源模型。通过映射和转换将组织模型转换为面向服务的多租户访问控制模型,并构建访问控制模块对系统进行配置,然后运行访问控制模型。最后,以某交通物流信息平台为范例验证了该模型的可行性和有效性。验证结果表明,模型能够在多租户环境下提供兼备快速配置与访问控制的实现支持。     

视频数据库多级访问控制

针对视频数据库中涉及敏感信息的视频数据分级保护问题,提出视频数据库多级访问控制模型。在该模型中,设计用户身份辨别及身份强度算法,其结果作为用户安全等级隶属函数的输入,该函数值为用户安全等级隶属度,并与视频数据安全等级隶属度一起作为授权规则中安全等级隶属度比较函数的输入,其函数值结合时间元素能够灵活地实现多级访问控制。与已有的访问控制模型相比,该模型最突出的特点是实现动态授权和视频数据分级保护。     

一种扩展的TBAC访问控制模型研究

基于任务访问控制模型(TBAC)与传统的访问控制模型不同,它不是将访问许可与角色或用户联系起来,而是将许可与任务联系。本文在基于任务的访问控制对象建模的基础上,为使不同的异质的工作流系统下的任务可以安全地迁移,授权的紧密性得到保证,引入了授权单元的概念,并在工作流系统中讨论了授权单元的应用,将授权与工作流紧密结合,强调上下文联系,最后就实际解决TBAC模型中存在的授权原子性和事件触发等问题讨论了解决方案。     

Extended access control mechanism for cross-domain data exchange

Aiming at the controlled sharing for cross-domain data exchange for complicated application systems,an extended access control mechanism was proposed.The control process was divided into two steps:constraint control and propagation control.The constraint control was used to ensure that access to data was authorized before access request,and the propagation control was used for further extension control after obtaining data access right.In addition,by considering data self and data provenance,the direct and indirect access control were realized.Theoretically,the security and effectiveness of the proposed mechanism were proved.Finally,taking the control of electronic invoice as an example,the implementation approach was proposed.The example shows that the proposed mechanism can perform the fine-grained extended control before and after data in the cross-domain and cross-system are exchanged.     

柔性信息管理系统中权限控制方法的应用

系统中的权限设计方法直接影响到系统的安全,为解决系统中权限控制的灵活性问题,结合柔性化软件开发策略提出了基于动态树模式的角色授权管理机制,系统管理员可以根据不同角色的需求,动态设置角色的权限。该授权方法突破了传统系统中角色不能更改的弊端,基于动态树模式的角色授权管理机制根据不同用户动态加载不同的菜单,实现了用户访问系统资源的可定制性、灵活性和可控性,解决了权限管理粒度与数量矛盾的问题。该方法具体应用于某高校信息管理系统中,实现了系统权限的灵活管理。     

A scheme of access service recommendation for the Social Internet of Things

The rapid increase in the complexity and the extent of personalization of services in the Internet of Things (IoT) has led to a greater demand for frequent collaboration among heterogeneous devices. Moreover, with the inseparable relations between human and devices, the paradigm of Social IoT (SIoT) is gaining popularity in recent years. How to effectively facilitate the access to quality services and credible devices in large‐scale networks via defining, establishing, and managing social architectures among things has become a critical issue. In this paper, a scheme of access service recommendation for the SIoT is presented with the understanding of inherent constraints and factors that influence the security and stability of IoT networks. In which, timeliness properties are considered in each transaction for dynamic performance enhancements. With the benefits of promoting service discovery and composition, social relationships among things are introduced in the proposed scheme. An energy‐aware mechanism is also utilized as a restrictive factor in trustworthiness evaluation. Finally, the recommendation is based not only on the past performance but also on the social relationship and the energy status of nodes. Simulation experiments demonstrate the effectiveness and benefits of our scheme from three aspects including rating accuracy, dynamic behavior, and network stability. Copyright © 2015 John Wiley & Sons, Ltd.     

基于T_RBAC的CSCW系统访问控制模型研究

在TBAC和RBAC的基础上,综合两者的优点提出了一种新的模型,即基于T_RBAC的CSCW系统访问控制模型.该模型延用RBAC作为系统的总体构架,在原来的RBAC中加入任务的概念,再将角色与任务,权限与任务联系起来,通过任务来实现对权限的动态管理.将工作流程的外部状态引入到访问控制模型中,与任务的内部状态共同作用,控制任务权限的分配,满足了CSCW系统协同工作的特点.     

综合业务接入区微格化策略研究

将综合业务接入区划分为多个独立微格。根据用户业务需求与市场业务发展和资源建设情况,及时进行资源覆盖,保障客户接入时效性。     

基于面向服务的测试用例生成研究

面向服务架构(SOA)已成为Web分布式系统发展的主要趋势,越来越多的Web应用软件通过这种新的软件架构进行开发。Web服务质量的有效性变得日益严峻。WSDL是描述Web服务功能及对外接口的重要文件,给出了依据WSDL生成Web服务的测试方法,首先定义了接口输入数据的标准模型,通过解析WSDL文件生成树状结构模型;其次提出了一种依据树状结构模型生成各节点间的依赖关系的算法,并通过对依赖关系进行分析并结合等价类划分及边界值测试方法生成测试数据;最后通过在WSDL文件中的Operation字段增加前置操作及后置操作,产生了操作流,结合生成的测试数据,从而产生面向服务的测试用例。     

一种新的RBAC角色协同关系及其Petri网模型

角色授权约束是RBAC研究的重要内容.有效表达多角色授权和激活的序约束是一个难点问题.提出了新的角色授权协同及其序关系,扩展了现有的角色关系概念,使RBAC能够表达复杂的角色授权和激活序约束.其次,提出了角色授权协同及其序关系一致性分析和模拟的时间Petri网方法.