多级安全系统中访问控制新方案

研究了利用密码技术实现多级安全系统中的访问控制的方法。提出了一个新的基于密钥分配的动态访问控制方案。其中的密钥分配方法是基于Rabin公钥体制和中国剩余定理的。在该方案中,系统中每一用户被赋于一个安全权限,具有较高安全权限的用户可以利用自己私有的秘密信息和公共信息导出具有较低安全权限的用户的密钥,而低权限用户则不能导出高权限用户的密钥。这样高权限用户可以读取和存储属于低权限用户的保密信息,而低权限用户则不读取和存储属于高权限用户的保密信息。从而实现了利用密钥分配进行授权的访问控制。而且从系统中添加／删除一用户以及改变用户权限和改变用户密钥都无需变更整个系统。     

操作系统中基于安全封装的访问控制实现方法

针对敏感客体的访问控制问题,文章提出了操作系统中基于安全封装的访问控制实现方法。设计了针对敏感客体访问的统一访问接口,定义了相关接口,描述了访问接口的通信协商过程;提出了类C权限描述语言,给出了该语言的形式化描述及谓词含义;基于程序调用栈,实现了程序状态与权限调用的绑定。最终,实现了对系统中敏感客体的安全访问控制。     

应用于电网企业的云存储访问控制增强策略

针对电力信息云存储管理应用的安全需求,以降低传统访问控制方案在访问规则上的系统开销为目标,提出一种基于实体属性和安全标记相结合的云存储访问控制增强策略。采用面向实体属性管理权限方法优化访问控制,降低权限管理开销,避免访问权限与用户、存储进程、平台客体间的直接联系;通过多级安全标记,进行权限分配、确保策略在实施后维护上的灵活性。并以某电网企业的电力信息云存储管理系统为例,详细阐述该策略的具体配置过程。经过性能分析表明,所设计访问控制策略在可维护性、存储开销、安全性能等方面表现良好,具有应用可行性。     

一种面向云计算的任务—角色访问控制模型

针对云计算模式下用户访问安全的问题, 简单分析了基于角色和任务的访问控制模型的内容, 提出了一种基于云计算的任务—角色模型。该模型通过对角色和权限进行分类, 有效地解决了访问控制模型中的管理权限问题, 使得云计算服务商的权限分配得到了进一步改进。分析结果表明, 该访问控制模型可以进一步提高客体频繁访问的效率。     

基于角色的权限访问控制在CMS中的研究与应用

针对CMS（内容管理系统）的特点,在基于角色的权限访问控制的基础上,分析CMS中的访问主体与客体,涉及到的访问权限以及约束属性,提出一个带有附加主体、客体约束属性和约束机制的权限访问控制算法。该算法通过适用用户范围、信息状态、用户信用、用户级别四个方面对访问进行约束,使拥有同一角色的不同用户对信息资源的访问表现出各自不同的访问控制特征,从而,减少角色的数量,提高CMS中权限分配和访问控制的灵活性与安全性。     

可信云存储环境下支持访问控制的密钥管理

可信云存储采用本地数据加解密来保证用户外包数据在网络传输和云端存储的安全性.该环境下数据拥有者通过对数据密钥的安全共享和管理来实现对不同用户的选择性数据访问授权控制.针对多数据拥有者可信云存储环境,以最小化用户的密钥安全传输/存储等密钥管理代价及其安全风险为目标,提出了一种新的基于全局逻辑层次图(global logical hierarchical graph,GLHG)的密钥推导机制的密钥管理方法.该方法通过GLHG密钥推导图来安全、等价地实施全局用户的数据访问授权策略,同时利用云服务提供商(半可信第三方)来执行GLHG密钥推导图结构的管理并引入代理重加密技术,从而进一步提高密钥管理执行效率.阐述了基于GLHG密钥推导图更新的动态访问控制支持策略,并对该方法进行安全性分析和实验对比分析.     

安卓敏感数据和能力的访问控制增强机制研究

安卓设备中的敏感数据和感知能力面临严重安全威胁。现有的安全机制主要从应用层实施粗粒度访问控制,无法有效保护用户敏感数据和设备感知能力。为此,提出基于密码学和细粒度安全策略驱动的安卓敏感数据和能力访问控制增强机制。首先,结合密钥管理和细粒度加密策略,利用高强度对称加密算法对敏感数据进行加密,解决敏感数据的安全存储问题;其次,应用基于细粒度安全策略的访问控制机制,从安卓平台层控制感知能力的访问权限,实现感知数据保护的目的。通过原型系统和性能测试,提出的安卓敏感数据和能力的访问控制增强机制可以运行在当前安卓平台上,并且性能是可接受的。     

权限管理及访问控制系统的研究与实现

针对传统的权限管理和访问控制方法无法满足日益增长的信息安全保障需求,采用PKI/PMI技术实现了用户权限和访问控制的分级管理,实现了权限管理和应用访问控制的分离管理,确保了用户权限管理独立于应用访问策略的设定和实施。综合考虑星型网络结构可能出现的单点故障,采用镜像等技术确保广域网络的故障不影响本地用户对本地应用的访问。实验结果表明,该系统减少了访问控制的复杂性,降低了权限管理的开销,增强了权限管理的灵活性,实现了系统的安全机制。     

基于区块链和策略分级的访问控制模型

为应对当前访问控制动态变化、策略合约安全性以及策略检索效率的需求,以属性访问控制模型(ABAC)为基础,提出一种基于区块链和策略分级访问控制模型BP-ABAC。结合ABAC和区块链技术,使访问控制策略通过智能合约的方式储存在区块链,合约中对访问控制策略进行策略分级;用户根据等级评估获得相应策略集的访问权限;当请求属性和策略集中的策略相匹配时,获得访问资源权限。实验结果表明,该模型实现了对不同用户访问权限控制和提高访问控制的效率与灵活性,加强了访问控制策略的安全性和隐私性。     

RBAC和加密技术在远程教育系统中的应用

基于角色的访问控制RBAC和MD5加密结合是一种方便、安全、高效的访问控制机制。本文针对常见远程教育系统的访问权限问题,运用基于角色的用户权限管理参考模型,详细研究和分析了该模型的构成和相关技术,给出了设计方法和核心实现。     

跨域访问控制与边界防御方法研究*

为保障跨域访问过程中的信息网络安全,在深入分析其所面临安全风险的基础上,提出了一种跨域访问控制与边界防御模型,该模型将跨域访问过程划分为域内和跨域两个阶段,同时结合相关安全技术进行策略决策和策略实施,保障了信息传输的保密性、完整性和可用性,从而有效地解决了跨域访问过程中的访问控制和边界防御问题。     

结合强制访问控制实现基于IPSec协议的网络安全模型

强制访问控制是实现计算机安全的一种常用手段。IPSec协议作为IETF提出的Internet安全协议标准,为IPv4和IPv6协议提供强大的、灵活的,基于加密体制的安全方案。通过执行网络相关操作的强制访问控制策略,并根据IPSec协议对网络通信执行强制加密策略,从而构造具有广泛适应性的网络安全体系结构模型。     

基于上下文的访问控制技术应用研究

利用Cisco路由器的访问表来实现分组过滤，作为防止网络攻击的第一道防线，它是通过允许或拒绝信息流流经路由器的接口来实现的一种安全管理机制。CBAC并非只是访问表的一种增强功能，而是一个相对复杂的安全工具集。本文分析了CBAC的工作方式和实现方法，并给出了一个CBAC应用的实例。     

基于网络流量行为的策略描述和自动生成

利用基于策略的网络管理PBNM（policy based network management）的思想,提出了一种基于网络流数据分析和挖掘的方法来实现对网络安全状态的持续感知;在此基础上定义了一种访问控制策略描述语言,能够自动根据网络安全状态生成相应的控制策略规则,提供一种持续的网络安全控制能力.     

面向大规模网络的基于政策的访问控制框架

研究防火墙(或过滤路由器)应用于传输网络中的管理问题与吞吐量问题.一方面,手工配置分布在各个接入点的大量防火墙,无法满足开放的、动态的网络环境的安全管理需求;另一方面,大量过滤规则的顺序查找导致了防火墙吞吐量下降.针对一个典型的传输网络和它的安全政策需求,提出了一种基于政策的访问控制框架(PACF),该框架基于3个层次的访问控制政策的抽象:组织访问控制政策(OACP)、全局访问控制政策(GACP)和本地访问控制政策(LACP).根据OACP,GACP从入侵监测系统和搜索引擎产生,作为LACP自动地、动态地分配到各防火墙中,由防火墙实施LACP.描述了GACP的分配算法和LACP的实施算法,提出了一种基于散列表的过滤规则查找算法.PACF能够大量减轻管理员的安全管理工作,在描述的安全政策需求下,基于散列表的规则查找算法能够将传统顺序查找算法的时间复杂度从O(N)降低到O(1),从而提高了防火墙的吞吐量.     

网格环境中证书和策略的隐私保护机制研究

网格访问控制机制中网格实体的访问控制策略和证书的隐私保护是网格安全的一个重要方面,其重要性随着网格技术的进一步广泛应用而日益突出.利用安全函数计算和同态加密理论来解决访问控制过程中策略和证书的隐私保护问题.首先提出了适应于复合策略表达的电路组成方法,并基于无记忆传递机制和"混乱电路"计算协议提出了策略计算协议;然后提出了基于同态加密理论的属性相等测试协议;最后基于策略计算协议和属性相等测试协议提出了策略和证书的隐私保护协议.分析表明,本方案可以对策略和证书的属性进行完全的隐私保护,并且可以避免传统方法所引起的循环依赖问题.     

基于区块链的大数据访问控制机制

针对大数据资源来源广泛、动态性强且呈现出分布式管理的特点,当前主流集中式访问控制机制存在权限管理效率低、灵活性不足、扩展性差等不足.基于此,以ABAC模型为基础,提出一种基于区块链的大数据访问控制机制：首先,对区块链技术的基本原理进行描述,并对基于属性的访问控制模型进行形式化的定义;然后提出基于区块链技术的大数据访问控制架构,并对访问控制的基本框架与流程进行了详细的阐述与分析;同时,对基于区块链事务的访问控制策略及实体属性信息管理方法进行了说明,以此保证访问控制信息的不可篡改性、可审计性和可验证性;随后,采用基于智能合约的访问控制方法实现对大数据资源由用户驱动、全程透明、动态、自动化的访问控制;最后,通过仿真实验验证了该机制的有效性,并对该研究内容进行总结与展望.     

一种基于角色的访问控制扩展模型及其实现

提出了一种新的基于角色的访问控制模型，该模型对典型RBAC模型进行了扩展，在典型RBAC模型只对与访问主体安全相关的概念进行抽象的基础上，增加了对与访问对象和访问事务安全相关的概念的抽象，增强了RBAC模型的功能．该模型具有简单、灵活、表达力强、可用性强和与现实世界更接近等特点．在给出模型的形式化定义之后，还对该模型的实现方法进行了分析和研究，设计了模型实现的框架结构和角色分配的监控器机制，制定了访问策略．     

基于以太坊的改进物联网设备访问控制机制研究

当前物联网设备节点动态性强且计算能力弱,导致物联网中的传统访问控制机制存在策略判决与策略权限管理效率较低、安全性不足等问题。提出基于以太坊区块链的物联网设备访问控制机制,结合基于角色的访问控制（RBAC）模型设计智能合约。对以太坊相关特性进行分析,建立结合用户组的改进RBAC模型。设计基于以太坊区块链技术的物联网设备访问控制架构及算法,通过编写图灵完备的智能合约实现物联网设备访问控制,融合以太坊区块链MPT树存储结构与星际文件系统对访问控制策略进行存储管理。在以太坊测试链上的实验结果表明,该机制具有较高的策略判决性能与安全性。     

Cost-based admission control for Internet Commerce QoS enhancement

In many e-commerce systems, preserving Quality of Service (QoS) is crucial to keep a competitive edge. Poor QoS translates into poor system resource utilisation, customer dissatisfaction and profit loss. In this paper, a cost-based admission control (CBAC) approach is described which is a novel approach to preserve QoS in Internet Commerce systems. CBAC is a dynamic mechanism which uses a congestion control technique to maintain QoS while the system is online. Rather than rejecting customer requests in a high-load situation, a discount-charge model which is sensitive to system current load and navigational structure is used to encourage customers to postpone their requests. A scheduling mechanism with load forecasting is used to schedule user requests in more lightly loaded time periods. Experimental results showed that the use of CBAC at high load achieves higher profit, better utilisation of system resources and service times competitive with those which are achievable during lightly loaded periods. Throughput is sustained at reasonable levels and request failure at high load is dramatically reduced.