一种分布式环境下基于角色的访问控制模型

针对访问控制模型在分布式系统下的局限性,提出一种分布式系统下的基于角色的访问控制模型。该模型以传统RBAC为基础,对其进行了扩展,一方面通过将角色扩展为职能角色和任务角色,另一方面为任务角色增加一个属性,用以标识该角色所赋予的主体属于本域还是外域,避免了采用对等角色直接进行角色分配的简单化处理。从而一方面有利于最小权限的实现,另一方面实现了对本域和外域的主体访问请求采用不同的策略,使基于角色的控制应用范围从集中式的控制领域扩展到分布式的控制领域,以适应不断发展的分布式环境系统的需求。     

一种新型无线Mesh网络多信道MAC协议

在基于IEEE 802.11s无线Mesh网络中,Mesh网络接入点（MAP）和门户（MPP）在网络负载较重时会出现严重的流量瓶颈。为了保证MAP流量的优先传输,提出了基于节点优先级的新型多信道MAC协议（NPBM-MAC）;为了减少在小规模组网时各BSS间频率干扰,设计了基于地理位置信息和网络负载的频率分配方案（LLBFA）。仿真结果表明,NPBM-MAC协议和LLBFA频率分配方案能够有效解决重负载网络下的MAP/MPP瓶颈问题,最大限度地满足音视频等大业务流的QoS需求。     

功能可重构MES系统的访问控制机制研究

提出了一个功能可重构的MES系统访问控制机制的解决方案。对离散制造企业组织机构进行分析,给出了组织相关概念的基于BNF的形式化定义,建立了组织职责分配模型。对RBAC访问控制模型进行扩展,建立了Group-RBAC模型,给出了基于关系运算的权限配置理论模型。基于Group-RBAC给出了航空发动机装配车间MES功能可重构设计方案。     

MIS中基于部门和角色的细粒度访问控制模型

针对基于角色的访问控制模型的特点和不足,提出一种基于部门和角色的细粒度访问控制模型（D-RBAC模型）,对模型中的元素进行了形式化描述,给出了其实现机制和访问控制算法。D-RBAC将角色和部门相关联,有效实现了对象访问和数据范围的精确控制,同一角色在不同部门的权限分配以及细粒度访问控制,减少了角色管理数量,简化了开发配置过程,增加了权限管理的精确性和灵活性。最后,给出了该模型在某装备综合管理信息系统中的应用实例。     

IEEE 802.1X的安全性分析及改进

IEEE 802.1X标准存在一些设计缺陷,为消除拒绝服务攻击(DoS)、重放攻击、会话劫持、中间人攻击等安全威胁,从状态机运行角度对协议进行了分析,指出产生这些问题的根源在于协议状态机的不平等和不完备,缺乏对消息完整性和源真实性的保护。提出并实现了一种双向挑战握手及下线验证的改进方案,并用一种改进的BAN逻辑对其进行了形式化分析。经验证,该方案能有效抵御上述安全威胁。     

基于协作网络编码的高效媒体访问控制协议

针对Ad Hoc网络中现有的编码感知的协作MAC协议（NCAC-MAC）在选择协作中继节点时未考虑节点的传输能耗以及候选协作中继节点发送的控制消息不能使其他不在彼此通信范围内的候选节点放弃竞争而产生碰撞的问题,提出一种基于协作网络编码的高效媒体访问控制协议（HECNC-MAC）。该协议主要提出以下三个优化思路：首先,候选协作中继节点对其目的节点能否解码进行解码预判,减少参与竞争节点的同时保证其目的节点能成功解码;其次,在选择协作中继节点时综合考虑节点所需的传输能耗;最后,取消ETH（Eager To Help）控制消息,且目的节点通过伪广播的方式通告确认消息。理论分析与仿真结果表明,与载波侦听多路访问（CSMA）、Phoenix和NCAC-MAC相比,HECNC-MAC能够有效减少节点的能耗,降低数据包端到端时延,提高网络吞吐量。     

RBAC系统的权限泄漏问题及分析方法

分析访问控制系统是否存在权限泄漏是评定访问控制系统安全的关键。由此,首先讨论了基于角色的访问控制系统中管理权限的信任委派关系,明确了权限泄漏的定义和基于角色的访问控制系统安全分析的基本含义,形式化描述了两类安全分析实例。然后,运用智能规划技术进行了基于角色的访问控制系统的安全分析,描述了安全分析实例的规划领域模型和规划问题系列的构建过程和规则,设计了相应的安全分析算法,并对分析过程进行了示例说明。     

路由器防病毒ACL应用研究

以CISCO路由器为例,介绍了ACL定义及应用方法,着重对具有病毒过滤功能的ACL进行了分析研究,并给出了在校园网中的应用实例,最后提出了一些防病毒ACL应用的建议。     

基于SOAP消息SaaS平台应用访问控制摸型

为了更加安全实现SaaS平台同平台集成服务之间的SOAP消息的交换,设计一种基于SOAP消息的服务应用访问控制模型,实现对服务应用访问的消息级控制,以达到平台服务应用的确定性.同时通过对SOAP安全工具的扩展满足不同应用访问控制策略的需求.     

基于属性的访问控制策略的正确性验证

基于属性的访问控制策略以更精确的粒度控制着用户或进程对系统资源的访问,因此获得了越来越广泛的应用。然而必须保证所制定策略的正确性,才能防止对系统资源的非法访问,因此必须研制出一种有效的方法来验证策略的正确性。基于模型检测技术提出了一种访问控制策略的覆盖性与完整性验证方法。主要思想是将覆盖性与完整性验证归约为模型检测问题。将规则集与其变异分别视为模型,以模态逻辑公式描述其性质。调用模型检测算法,分别在模型及其变异模型上检测性质,生成反例报告以确定模型故障点和模型规则缺失点,同时分析性质本身的完善性,最终以完善后的模型和性质再次调用模型检测算法来完成覆盖性与完整性验证。实例分析结果表明覆盖性验证能够有效发现错误的规则,完整性验证能够有效识别验证规则的完备性。方法依托于模型检测工具完成,具有自动化程度高、易操作、测试结果可靠的特点。