基于授权域的DRM密钥管理模型及其应用

针对现有基于授权域的数字版权保护方法中授权节点间不具备独立性的问题,降低了版权保护的灵活性,从而提出了一种基于授权域的密钥管理模型。模型支持多设备授权并满足授权节点间独立性,即一台设备加入或离开授权域与其他域成员设备无关,提高了版权保护的灵活性。基于该密钥管理模型,提出了应用系统框架以及版权保护协议;进一步,提出了满足该模型的两种密钥管理方法,并分析比较其性能。通过对系统的性能分析,验证了该密钥管理模型的有效性。

域间授权互操作研究综述

分布式系统安全是多域协作场景下的重要研究领域,近年来得到大力发展.在大多数实际的多域协作过程中,无论开发者还是管理者都不想完全摈弃已有的权限管理和访问控制体系,希望在授权开放性和系统改造代价间保持平衡和兼顾.域间授权互操作正是在这一背景下逐渐成为该领域具有代表性的研究方法.着力对域间互操作理论和技术的整体进展与演化进行细致梳理与剖析,从多维视角下对其进行归类比较,例如:根据域间协作架构划分,可分为松耦合协作模式和联邦式协作模式;根据安全检测实施方式划分,可分为基于协调中心的检测模式和无协调中心模式;根据互操作建模方式划分,主要包括基于管理行为的预前建立模式和基于请求驱动的实时建立模式;根据建立互操作采用的辅助技术划分,主要涉及基于信任、基于风险和基于语义等;根据策略整合所处的层面划分,可分为面向授权管理的策略集成和面向资源聚合的策略集成.针对若干典型方案,阐述其基本原理、适用场景,对技术特点和局限性给出较为深入的对比分析,在大量现有研究工作的基础上综述授权互操作发展的基本特点,归结展望了今后可能的研究趋势.

异构信任域的跨域授权

针对跨IBE(基于身份加密)和PKI(公开密钥基础构架)异构域可信互联,提出一种实现跨域授权的解决方案.该方案将PKG和CA作为各自域TPKG和TCA内用户的代理,并把它们注册到对方域内成为特殊用户ClientPKG和ClientCA,借助映射后的ClientPKG和ClientCA构成跨异构域信任链,真实、客观地实现了PKI和IBE域内任意用户的跨域授权.

基于粒结构逻辑的域间授权策略合成方法研究

针对域间网络环境中协同组合应用的策略合成效率与有效性问题,基于粒逻辑的组合运算推理,提出了一种基于粒结构逻辑的域间授权策略动态合成方法(GiDAPGLCM)。基于策略行为能力属性元素约减与合并,提出了域间授权策略行为能力的属性粒合成算法、权限粒合成算法和全局策略动态合成算法。GiDAPGLCM方法通过域间协同服务组合关系确定策略的动态合成模式,遵循安全管理规则实施对策略合成的约束。策略合成理论与效率分析表明,该方法能提供较高的策略合成效率,保障策略合成的正确性,并具备较高的动态适应能力。

多域环境下基于属性的授权委托模型

传统的基于实体标识的授权模型会导致由于授权路径的不一致而引起权限传播的不一致,并可能导致不合法的实体进入授权路径获得不应有的权限.针对以上两方面的问题,提出一个基于属性的授权委托模型ABADM(attribute-based authorization delegation model),将授权模型中权限的传递与权力的委托均建立在实体所具有的属性集合的基础之上,以属性集合作为实体自身的代表进行授权,从而确保拥有相同属性凭证链的实体其权限是一致的.模型将属性与访问权限进行明确区分,提出了域内属性权限分配策略和域间属性计算模型,通过两者的结合给出了在ABADM模型中计算实体所拥有的跨域属性集合和访问权限的方法,并结合具体实例对模型的使用进行了说明.

一种面向公共服务的跨域授权模型的研究及实现

文章提出一种基于策略的RBAC的跨域统一授权模型,在基于策略的RBAC单域授权模型的研究基础上,扩展单域模型为多域模型,通过授权控制中心之间建立跨域级联机制,构成广域授权网络,实现面向多应用系统、大型公共服务域的跨域统一自动授权机制。

一种面向域环境下内容共享的数字版权保护方案

数字内容共享是数字版权管理领域的重要研究内容,其主要实现方式是基于授权域的共享方式.如何防止授权域合法用户对数字内容的非法访问以及非法用户对数字内容进行访问,是保证数字内容共享的关键问题.本文针对此问题,基于代理重加密机制,提出一种适应于域环境下内容共享的数字版权保护协议,解决数字内容共享环境下无法防止域管理端和域内用户非法传播数字内容的安全问题.文中给出一种更为高效的选择密文安全的单向代理重加密算法,并将其应用到数字内容共享中,构造数字内容共享协议.该协议中用户进行系统注册时由许可服务器发放代理重加密密钥,当用户申请访问数字内容时,域管理端会对内容加密密钥密文进行重加密后发送给数字内容使用者,用户收到密文后会采用自己的私钥解密获得内容加密密钥,从而获得数字内容.该方案一方面杜绝域管理端非法传播数字内容,另一方面控制域内用户对数字内容的合法访问,为域管理端和交易平台提供收费凭证,适应于家庭数字电视共享,实现对数字电视版权的安全管理.

CNGI环境中跨域AAA系统的构建

国际上的认证与授权方面的标准主要有安全性断言标记语言(SAML)、可扩展访问控制标记语言(XACML)等,中国下一代互联网示范工程(CNGI)跨机构的统一认证和授权中间件技术项目基于国际规范,提出了结合现有成熟产品DT(DigitalTrust)、身份提供者(IdP)和服务提供者(SP)而建立跨域跨机构统一身份认证、授权和审计(AAA)系统的完整方案。该系统提供一种独立于协议和平台的身份验证和资源访问授权交换机制,对于CNGI环境下跨域跨机构统一认证和授权技术的发展和应用具有很好的示范意义。

移动社交网络中跨域代理重加密朋友发现隐私保护方案研究

在移动社交网络中,为保证交友过程中的用户隐私,提出跨域环境下的代理重加密交友隐私保护方案。利用跨域多授权中心共享密钥,实现了跨域用户数据的互相访问与共享;利用代理重加密与属性加密技术,对用户属性密钥进行重新加密,实现了以扩充交友访问策略条件的交友匹配;利用用户隐私密文文件与密钥分离技术,增强了用户数据的隐私性。解决了现有方案中存在的用户数据不能跨域跨云共享、交友过少匹配及用户下线不能交友的问题。安全和实验分析表明,方案可以达到选择明文攻击(CPA,chosen plaintext attack)安全,保证交友用户的隐私不被泄露,并且比现有方案更有效。

一种支持个性化共享的DRM模型

针对传统授权域共享机制不能控制数字内容只被域内指定设备共享,从而不支持域内个性化共享的问题,提出了一种基于密文策略属性基加密的共享模型.该模型为授权域内相同个性化共享需求的设备建立一个与属性相对应的逻辑"子授权域",并用指定子授权域的属性来加密数字内容许可,确保了只有指定子授权域内的设备可以共享该数字内容,从而有效地支持域内设备的个性化共享.

物联网安全问题研究及解决措施

对物联网应用领域面临的主要问题进行了研究,指出了物联网安全的现状。分析了物联网安全需求方面的特点,对于不同的安全问题给出了相应的安全解决对策。利用基于本体的跨域授权管理模型,解决物联网中不同主体授权难的问题。该问题的解决对物联网应用领域的安全起到了保障作用。

基于行为树的内部用户行为监管

操作系统中用户行为并不可信,因为传统的访问控制理论表现为一种"关口控制",不让不符合条件者进去,但是一旦取得进入的资格和权利,在授权范围内的行为就没人监管了。首先分析了操作系统中用户行为的特征及其描述方法,提出了一种基于用户行为树的用户行为监管模型,依据操作系统行为树来分析用户在操作系统中可能存在的"开域授权"行为踪迹,然后根据用户行为的层次性来实现对用户行为的监管。该模型采用了基于行为树的不良行为过滤算法,可以有效防止合法用户的"开域授权"行为,保证用户行为的可信性,是传统访问控制理论的有益补充。

XEN虚拟IO的调度优化

提出一种基于驱动域授权表和优先级加权的虚拟IO调度策略,根据不同客户域与请求资源的差异,得出IO请求的调度优先级,实现虚拟IO调度.实验证明,兼顾不同优先级域的调度策略提高了系统的吞吐率,驱动域授权表机制减少了IO虚拟化中授权与页面映射操作的开销.

广域涉密信息系统域间授权问题研究

破除信息孤岛,实现资源的集成利用和统一管控,已成为涉密信息系统的发展趋势。在广域化的涉密信息系统中,提供细粒度、动态性的域间授权机制,是对不同安全域间信息交换进行集中管控的关键问题之一。本文对涉密信息系统域间安全协作问题和授权指导原则进行了讨论,通过对RBAC、OBAC和UCON等域间授权模型的对比分析,指出UCON模型在涉密信息系统广域化中具有良好的应用前景。