基于可信验证的DBMS访问控制模型

针对目前访问控制模型在系统的安全实现方面存在的不足,在RABC的基础上,提出了可信操作环境下基于可信验证的DBMS访问控制模型,该模型满足系统的保密性和完整性需求,最大程度实现信息双向流动,同时支持最小特权安全特性,是一个权限分配灵活的访问控制模型。     

Web服务访问控制规范及其实现

提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。     

可信网络连接在电力二次系统中的应用研究

基于可信网络连接(TNC)提出一种电力二次系统网络访问控制应用模型。通过将系统内的不同区域进行安全等级划分,实现了分层次网络访问;将不同终端进行可信等级划分,实现了不同终端的访问权限控制;加入纵向加密认证和横向隔离访问控制机制,实现了网络接入控制。终端测试结果表明,TNC不仅很好地满足了二次系统的安全防护需求,还具有一定的自修复能力,实现了对电力二次系统的网络访问控制管理。     

基于平台可信等级的RBAC模型研究与改进

针对RBAC模型仅仅依靠用户身份进行角色和权限分配,未考虑用户平台的安全及可信性的问题,提出一种基于平台可信等级的改进RBAC模型(TLPRBAC)。TLPRBAC模型引入可信平台和可信等级两个实体元素,改进了实体关系和授权规则。改进的RBAC模型采用将角色与可信等级、可信等级与访问客体相关联的方法,实现不同可信等级主体对不同安全级别客体的细粒度访问控制。最后提出一个TLPRBAC模型在政府内网中的文件访问控制应用方案。     

多级安全数据库安全子系统的设计与实现

较为详细地分析多级安全数据库实现的方案和技术,并侧重论述了多级安全子系统中强制访问控制模块实现的模型思想,以及实现强制访问控制的关键技术,并加以代码说明。     

一个通用的分布式访问控制决策中间件

将各种安全功能从上层应用中抽象出来形成一种通用和标准的安全服务,可以简化应用开发的复杂性和增强安全功能的可重用性。论文设计并实现了一个基于XACML的通用分布式访问控制决策中间件UDACD（Universal Distributed Access Control Decision）,对分布式环境下的访问控制决策过程进行了封装,对外面向各种应用提供通用的决策服务。UDACD支持多种访问控制策略类型和跨管理域的匿名资源访问控制;实现了对策略的缓存和对用户安全属性的两级缓存,显著加快了决策速度。UDACD可以帮助简化策略管理,并提供跨应用的一致策略实施。     

基于系统可信度的动态安全访问控制模型

为提高安全访问控制中多策略组合的灵活度,满足系统的安全性和实用性,提出一种基于系统可信度的动态安全访问控制模型。该模型能根据系统状态的变化,动态调整安全策略间的组合方式,达到最优化系统性能的目的。实验结果证明,该模型对多策略的支持更为灵活,在保证系统原有安全性的同时进一步提高了系统的实用性。     

基于可信计算的手机访问控制策略研究

简要介绍可信移动平台的思想,从访问手机设备、访问存储数据和访问无线网络三个方面详细阐明基于可信计算的手机访问控制策略,并给出基于可信计算核心安全硬件TPM在访问控制中应用的模型.     

面向客户端上下文隐私保护的可信分散式访问控制

隐私保护问题是当前访问控制研究领域的一个热点问题.为此提出一种可信分散式访问控制机制,以实现面向客户端上下文隐私保护的访问控制.可信分散式访问控制中包含了私有可信引用监视器和主引用监视器.私有可信引用监视器在安装了可信计算环境的客户端运行,用于评估客户端的访问控制请求,签署临时访问控制凭证;主引用监视器在服务端运行,用于评估临时访问控制凭证,决定客户端的访问是否被授权.由于具体的客户端上下文数据不会发送到服务器端,因此应用可信分散式访问控制,实现如简单位置相关的基于角色的访问控制,可以在客户端上下文相关的访问控制中很好地保护客户端的上下文数据隐私;此外,由于在该机制中客户端上下文是在客户端获取和处理的,因此可信分散式访问控制也可以减轻服务器端获取访问端的上下文的负担.安全性分析和性能实验表明,文中的访问控制机制可以有效地保护客户端上下文数据隐私.     

基于动态网络行为可信度量的安全审计

安全审计系统作为一种对用户网络行为的有效监督手段,对网络行为的可追溯和可控制起着重要作用.文中提出了一种基于动态网络可信度量的安全审计方法.该方法根据网络的实时日志信息,周期性对其进行数据挖掘生成规则,并将规则应用到数据流的过滤中.根据数据流与规则的匹配情况进行动态的可信度量,使得系统对可信行为和危险行为形成不同的安全访问控制机制.较以前以固定规则应对变化的访问控制和过滤,所提出的方法具有很好的适用性和灵活性     

基于ACL的校园网安全技术

随着校园网规模的扩大和应用的增加,校园网的安全也逐渐成为重大问题。对校园网的路由器设置恰当的访问控制列表(ACL),对数据流进行过滤或控制,可有效提高校园网的安全性。本文以某高校校园网为例,通过几个应用实例,阐述ACL在校园网络安全中的应用。     

CSCW系统访问控制模型及其基于可信计算技术的实现

现有的CSCW访问控制策略模型缺少时间和约束特性，在实现上也未能较好地解决开放网络下的身份伪装和欺骗问题，以及影响安全策略完整性实施的软硬件平台可信问题。本文基于角色一活动概念提出了一种具有时间依赖和约束特征的CSCW访问控制模型Fine-grained Access Control for CSCW，从而能够定义更为精确细致的安全策略；在模型实现中给出了Trusted Computing-enabled Access Control架构以及关键的策略分发和实施协议等。该方法通过建立完整的协作实体-CSCW平台-应用信任链，构建了可信的访问控制平台，增强了协作实体的身份鉴别，并通过角色相关策略的分发和在本地协作站点上的完整性实施，减轻了服务器端集中式执行安全策略的负担。     

ACL构建企业网安全

访问控制列表ACL(Access Control List)通过对网络流量的控制,可过滤掉有害数据包,达到执行安全策略的目的。本文通过实例详细论述了如何利用访问控制列表来提高网络安全性能。     

一种新的竞争与分配相结合的MAC协议

针对IEEE 802.11在高竞争下吞吐量低,以及TDMA协议在低负载下吞吐量低的问题,提出了一种新的TDMA MAC协议：Q-TDMA。结合TDMA协议可以保证节点在每个周期内有一个发送机会,而同步CSMA/CA机制可以解决隐藏终端和暴露终端的问题,Q-TDMA协议要求节点根据本身的队列长度来竞争复用时隙。仿真实验结果表明,Q-TDMA提高了网络吞吐量,降低了端到端的延迟。     

一种改进的复杂宽带接入网拓扑发现算法

针对运营商复杂宽带接入网(BAN)的网元(NE)管理问题,提出一种改进的通用拓扑发现算法。后台以多线程的Telnet模式获取全部BAN网元相应的配置文本信息,解析并存储入数据库,然后从作为叶子节点的接入交换机等发起,由上行路径的唯一性确定一条由叶子节点直达根节点的拓扑链路。由于该算法单独在汇聚层与宽带接入服务器层执行,因此解决了业务拓扑数据的“双挂”问题。并提出一种利用用户拨号清单对生成的拓扑数据进行校验的方法。     

LTE系统ARQ重传资源重分配

针对长期演进（LTE）无线链路控制（RLC）层重传协议数据单元（PDU）只允许重分段不允许级联,当媒体接入控制（MAC）层复用模块向RLC层某个业务指示值大于RLC层重传PDU长度时将造成资源的浪费,提出了一种新的复用方案。新方案在获得封装该业务重传PDU需要的资源大小后,指示剩余资源分配给其他业务。这种剩余资源重分配机制中,优先考虑其他重传业务,其次考虑优先级最高的实时业务。对不同复用与调度方法进行仿真,仿真结果表明,新方案有效地提高了资源利用率,大大提高了高优先级的实时业务的吞吐量,明显降低了丢包率。     

NDIS小端口驱动程序的实现

NDIS小端口驱动程序是WINDOWS NT 网络体系结构中与物理设备的接口层.它实现了OSI 模型中数据链路层的介质访问控制(MAC)子层的功能.NDIS小端口驱动程序有良好的可移植性,可用于WINDOWS 95,98等操作系统平台.文章重点阐述NDIS小端口驱动程序的实现思路.     

一种动态占空比的无线传感器网络MAC协议

在无线传感器网络(WSN)中,降低能耗会引发端到端时延的增加.为兼顾能耗和时延的平衡,提出一种基于动态占空比的WSN介质访问控制协议.通过计算节点利用率、平均睡眠延时,结合占空比上下限,动态调整节点占空比,使其更好地适应网络实时通信流量.实验结果表明,该协议在线性拓扑中比S-MAC节能52％,延迟减少35％,在网状拓扑...     

基于BLP模型的XML访问控制研究

在高安全领域,XML文档中可能包含不同程度的敏感信息,需要受到强制访问控制策略的保护.为确保高敏感数据的完整性,在BLP模型的基础上对主体和客体的安全标签进行改进,提出EBLP模型,讨论在该模型下的安全标签分配问题,研究该模型的体系结构并给出XML文档的访问控制算法.     

移动代码安全

本文介绍了网络安全所应考虑的几个方面,重点说明了移动代码中存在的安全问题,分析了其基本的原理,并介绍了两种弥补措施:证据携带码和基于历史的访问控制。