Web服务中一种安全的身份认证策略

在Web服务这样一个动态的分布式环境中,保证合法的用户以合法的身份访问它权限之内的资源是一个很重要的问题.在分析WS-Security和J2EE平台中的过滤器技术的基础上,提出了一种安全的认证方法,这种认证方法使用一个第三方的认证中心来提供认证信息,在含有认证信息的SOAP信息到达Web服务之前首先经过过滤器过滤,如果过滤成功则认为认证通过,可以访问或使用服务,从而实现可靠的身份认证.同时将这种方法应用到设计实现的一个联邦身份认证系统中,测试结果表明这种身份认证方法是可行的并且是安全的.     

基于角色的多区域多权限访问控制设计与实现

本文针对大型网络管理系统多区域多权限,不同区域不同权限的管理需求,通过对RBAC概念模型的一系列改进,提出了一种跨区域下权限可继承而不越权,并完整实现权限回收,权限转移的解决方案。对于功能权限的访问控制,利用WEB中的过滤器技术,使用户访问的任何URL都会通过过滤系统并会对之做权限判定。基于限制用户可访问数据范围的思想,使用区域权限动态生成区域树实现权限的区域管理。这些设计和实现方案保证了RBAC模型简化访问控制管理的优点,使得不同权限不同区域的用户能通过WEB完成对数据访问的需求。     

基于认证的网络权限管理技术

文中提出了一种基于认证的网络权限管理技术,实现了针对用户的策略和权限管理,并研究了本认证系统的可靠性,利用Bcrypt算法等技术解决了认证系统中存在的安全问题,提高了整个系统的可靠性。这项技术目前已经应用到实际工作中。     

基于认正的网络权限管理技术

文中提出了一种基于认正的网络权限管理技术，实现了针对用户的策略和权限管理，并研究了本认证系统的可靠性，利用Bcrypt算法等技术解决了认证系统中存在的安全问题，提高了整个系统的可靠性，这荐技术目前已经应用到实际工作中。     

身份认证管理系统(IDM)设计

随着网络技术和信息化应用的不断深入,需要将分散、重复的用户数字身份认证进行整合,实现统一、安全、灵活、稳定和可扩展的企业级统一身份认证管理系统。采用J2EE设计了一个支持多层架构的系统,对统一用户管理、组织机构管理、身份认证、权限管理等功能进行了分析与设计。     

自适应无线网关安全访问控制系统的设计

分析了802.1x访问控制协议及防火墙包过滤策略,从端口控制、用户双向证书认证、包过滤等方面阐述了自适应无线网关的安全访问控制系统的设计思想及其实现方法,实验结果表明,该系统具有较高的安全性.     

基于SOA的统一身份认证服务技术研究与实现

本文以面向服务的思想为出发点,借鉴Kerberos认证协议的用户认证方式,提出了一种基于SOA的统一身份认证架构,讨论了该系统的架构设计、架构依赖的技术基础、架构的组成要素及逻辑关系以及架构的功能特性分析,并基于SOA的统一身份认证系统实现了用户管理、身份认证、分级权限管理和单点登录等功能,对于提高信息系统使用的便捷性和安全管理能力具有实际意义。     

基于SQL Server数据库安全策略

本文在对数据库安全性分析的基础上,在安全账户认证、操作员授权管理、数据库的备份、限制外部IP、日志记录、数据在网络上的安全传输等方面应采取的安全策略。从安全帐户认证策略,数据库的使用权限管理策略,数据库中对象的使用权限管理策略等方面介绍数据库安全的实现。     

Web网站统一口令认证系统的设计与实现

分析了现有Web网站认证系统由于管理分散导致用户认证烦琐以及采用的后续认证方法存在安全隐患等问题。针对这些问题,设计了一个Web网站统一口令认证系统,具体给出了系统体系结构以及协议的设计,并对系统的关键实现技术进行了探讨。系统中,用户通过一次动态口令认证,即可访问网站权限范围内所有的应用服务,同时系统也实现了对用户的安全后续认证。     

Web网站统一口令认证系统的设计与实现

分析了现有Web网站认证系统由于管理分散导致用户认证烦琐以及采用的后续认证方法存在安全隐患等问题。针对这些问题,设计了一个Web网站统一口令认证系统,具体给出了系统体系结构以及协议的设计,并对系统的关键实现技术进行了探讨。系统中,用户通过一次动态口令认证,即可访问网站权限范围内所有的应用服务,同时系统也实现了对用户的安全后续认证。     

基于IPv6的防火墙设计

IPv是下一代的IP协议,它的提出解决了现有协议的一些安全问题,它可在网络层支持对每个分组的认证和加密,它的应用将对现有的防火墙机制产生影响。文中介绍了基于IPv6协议的防火墙的设计,并对常见的三类防火墙系统进行了改进。改进后的系统除了具有目前防火墙系统的分组过滤和应用代理等功能外,还能够实现对IP数据报的源地址的认证,分组内容的完整性检验,以及对分组的加解密。     

基于区域分割的防火墙部署与配置

防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是受到人们重视的网络安全技术之一。本文为提高网络安全的健壮性,从实施网络安全策略的角度,提出了一种以区域分割的三角方式部署防火墙系统的方案,说明了基于Cisco FIX525防火墙配置方法,以及访问控制列表与防火墙包过滤规则的联合应用方法。实用检验说明,这种方案能够较好地实现网络安全访问控制,有效地提高网络安全性。     

Trust-based access control for collaborative systems

In distributed, heterogeneous and network-connected collaborative environments where resources are provided to diverse unknown users for their applications, it is necessary to define access control for resources. Access control for such systems is defined as the ability to authorise or repudiate access to resources by a particular user. Traditional access control solutions are inherently inadequate for collaborative systems because they are effective only in situations where the system knows in advance which users are going to access the resources and what are their access rights so that they can be predefined by the developers or security administrators, but in collaborative systems the number of users as well as their usage on resources is not static. Targeting collaborative systems, a fine grained, flexible, persistent trust-based model for protecting the access and usage of digital resources is defined in this paper using radial basis function neural network (RBFNN). RBFNN classifies the users requesting the resources as trustworthy and non-trustworthy based on their attributes. RBFNN is used for classification because of its ability to generalise well for even unseen data and non-iterative method employed in its training. A proof of concept implementation backed by extensive set of tests on the real data collected for one such collaborative systems, i.e. Enabling Grids for E-Science grid demonstrated that the design is sound for collaborative systems where access of resources are provided to large and unknown users with their variant set of requirements.     

基于主机的网络层访问控制机制设计与实现

目前大部分访问控制机制实施于网络边缘,无法解决网络内部的安全问题。文章提出了一种基于主机的网络层访问控制机制,它由密钥协商协议和报文检测协议组成,对主机的网络行为和报文传递提供安全控制,适合在局域网等小范围网络实施,能够解决网络内部的假冒、篡改等安全问题。在局域网环境下实现了基于Linux平台的访问控制系统,对系统总体设计方案、开发平台、关键机制的实现方法及相关技术进行了详细叙述。并对实现的原型系统进行简单测试和分析。     

High-Speed Dynamic Packet Filtering

One problem encountered while monitoring gigabit networks, is the need to filter only those packets that are interesting for a given task while ignoring the others. Popular packet filtering technologies enable users to specify complex filters but do not usually allow multiple filters to be specified. This paper describes the design and implementation of a new dynamic packet filtering solution that allows users to specify several IP filters simultaneously with almost no packet loss even on highly-loaded gigabit links. The advantage is that modern traffic monitoring applications such as P2P, IPTV, and VoIP, monitoring and lawful interception can dynamically set packet filters to efficiently discard packets into the operating system kernel according to traffic, calls, and users being monitored.

LIPS: A lightweight permit system for packet source origin accountability

One of key security issues on the current Internet is unwanted traffic, the forerunner of unauthorized accesses, scans, and attacks. It is vitally important but extremely challenging to fight such unwanted traffic. We need a series of defensive mechanisms to identify unwanted packets, filter them out, and further defeat their associated attacks. In this paper, we propose a lightweight, scalable packet authentication mechanism, named Lightweight Internet Permit System (LIPS), as a first line of defense to effectively filter out the most common forms of unwanted traffic, spoofed and unsolicited packets, such that in-depth security schemes can take care of the remaining issues more efficiently. LIPS is a simple extension of IP, in which each packet carries an access permit issued by its destination host or gateway, and the destination verifies the access permit to determine to accept or drop the packet. LIPS provides preliminary traffic-origin accountability that supports two salient features to confine unwanted traffic: (1) filter out the most common forms of unwanted packets and defeat associated attacks; (2) help us identify compromised hosts/domains such that we are able to build active defense schemes to deal with various attacks through real-time inter-domain collaboration. In this paper, we first present the design and prototype implementation of LIPS on Linux 2.4 kernel, and then use analysis, simulations, and experiments to demonstrate the efficacy of LIPS in protecting critical resources with light overheads.     

多设备防火墙安全策略冲突分析

防火墙是作为网络中最常用的安全屏障以代理技术、包过滤技术、状态检查技术、网络地址转换技术(NAT)、VPN技术等功能,保证了计算机的安全性。Internet防火墙可以有效防止外部用户非法使用内部网的资源,加强网络与网络间的访问控制,从而阻止防火墙所保护的内部网络的私密数据被外人所窃取或更改。     

基于S3C2440的嵌入式IPv6防火墙设计

随着网络应用的不断发展,网络安全显得越来越重要。基于X86架构的边界防火墙成本较高,且难以遍布网络的每一个终端设备,无法构建全方位的安全防护网络。本文针对以上问题,设计了一种基于S3C2440嵌入式IPv6防火墙。并且提出了状态跟踪与智能包过滤相结合的动态包过滤方案。该方案通过智能访问控制技术优化包过滤规则集,从而提高了防火墙的吞吐量和安全性。     

视频安全接入的关键技术研究

视频安全接入主要解决内网用户访问外网视频资源时所面临的安全问题,主要有内外网安全隔离、内网数据防泄密、视频源可控性、视频数据安全性等问题。文章对视频源与用户身份认证、视频／信令数据检查与过滤、物理双隔离技术等关键技术进行研究,基于这些关键技术设计了一种视频安全接入系统解决上述视频接入的安全问题。     

在IP包过滤中状态TCP包的过滤研究与设计

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。