一种用于物联网的基于区块链的访问控制框架

分布式物联网由于自身特性的要求,需要具备可扩展性和一定的容错能力,但这在集中式系统中难以实现。受加密货币交易原理的启发,利用区块链技术构建一种新的访问控制框架,既不需要一个集中实体来承担访问控制授权功能,又能让用户自己掌握访问控制的细粒度。新框架的提出主要依赖于区块链技术能够很好地解决如何让分散的匿名参与者达成共识的问题,由此才能对访问控制的授权进行分布式管理。区块链技术的其他特点又进一步保证了新框架的安全性。对比在分布式物联网中提出的或正在使用的访问控制框架,新框架降低了对设备算力的要求,避免了复杂的安全设置,实现了去中心化的访问控制。

访问控制框架及其在Linux中的应用研究

简要介绍了ISO通用访问控制框架,比较详细地阐述和分析了当前几种主要的访问控制框架理论及其在Linux中的实现,对这几种访问控制框架的相同点和不同点进行了比较,最后指出了这些访问控制框架存在的一些问题及今后的发展趋势。

SaaS模式下可插拔访问控制框架的设计

目前的应用系统对其资源的访问控制往往与业务逻辑交织在一起,使访问控制模块开发和复用、系统维护及扩展变得复杂.针对SaaS模式下多租赁的特点,应用接口抽取方法与关注点分离思想,提出一种可以同时对多个系统进行访问控制管理,且满足SaaS模式下多租赁体系结构的可插拔的访问控制框架,给出了接口抽取法的形式化定义、插拔配置的方法和步骤、访问控制判定实现过程,在基本上不改变原应用系统程序的基础上,实现了对应用系统与访问控制框架的柔性连接.最后,通过一个会议系统的实例说明该框架的有效性.

基于静态分析的强制访问控制框架的正确性验证

现阶段对操作系统的强制访问控制框架的正确性验证的研究主要集中于对授权钩子放置的验证.文中基于TrustedBSD MAC框架对强制访问控制框架的正确性验证问题进行了研究,在授权钩子放置验证的基础上,提出了安全标记的完全初始化验证和完全销毁验证.为了实现上述验证,文中提出了一个路径敏感的、基于用户自定义检查规则的静态分析方法.该方法通过对集成于编译器的静态分析工具mygcc进行扩展来验证强制访问控制框架的钩子放置的准确性和完备性.该方法具有完全的路径覆盖性,且具有低的误报率和时间开销.

通用访问控制框架扩展研究

通用访问控制框架 (generalizedframeworkforaccesscontrol,GFAC)是经典的多安全政策支持结构 ,但是在实际实施多个安全政策模块之后暴露了它潜在的效率缺陷 通过引入访问决策缓冲器得到扩展的通用访问控制框架 ,并且在RS Linux安全操作系统中完成实现 ,性能测算结果表明 。

基于Quorum系统的分布式访问控制框架研究

从通用访问控制系统出发,提出以quorum系统来设计访问控制框架,给出了基于互斥协议的quorum分布式访问控制系统(MQ-DACS),以在保持高效率的情况下,提高访问控制决策的稳定性和安全性。进一步分析了在系统结点不可靠的环境中,系统能并行执行的访问控制容量同系统可用性之间的关系,并给出了最佳方案的选取依据。

安全群通信系统中通用访问控制框架的研究

为了适应群应用对安全性要求的多样性,提出了一种通用访问控制框架。该框架支持分布式成员加入和授权控制以及动态安全策略,本文通过原型系统验证了其可行性。

带二级缓冲机制的通用访问控制框架研究及实现

通用访问控制框架 (GeneralizedFrameworkforAccessControl,GFAC)是经典的多安全政策支持结构 ,但是在实施多个安全政策模块之后暴露了它潜在的效率缺陷 .该文在建立访问的三层模型基础上 ,引入二级访问决策结果缓冲器到GFAC中 ,并且在红旗安全操作系统 (RFSOS)中实现 .性能测算结果表明二级缓冲机制可以有效地弥补GFAC的效率缺陷 .

通用访问控制框架GFAC在MIS中的应用

对管理信息系统(MIS)的访问控制机制进行了研究,提出了将通用访问控制框架GFAC应用于MIS系统的方法,为多种访问控制策略在MIS系统中的集成提供了一种解决方案,克服了传统的单一或混合访问控制策略的缺陷。针对访问控制的效率问题,引入了决策结果缓存机制,提高了系统访问控制决策的效率。

可插拔访问控制框架的研究与实现

针对现有大部分应用系统需要通用访问控制模块及访问检测被分散在应用系统各个部分中的问题,分析了访问检测的独立性和非集中性特征,提出一种将接口抽取方法与关注点分离思想结合的可插拔访问控制框架,给出接口抽取法的形式化定义、插拔配置的方法和步骤、访问控制判定实现过程,解决了各领域重复开发访问控制模块及部署时给应用系统带来的代码冗余、难以维护重用的问题。最后给出考试系统中的一个应用实例。

通用访问控制框架LSM的研究

由于用户安全需求的多样性与复杂性,如何构建一个支持多安全策略的访问控制框架成为操作系统安全的焦点。Linux安全模块是一种新的通用访问控制框架,它为用户定制自己的安全模块提供了一个通用接口。文中通过研究通用访问控制框架的发展历程,详细论述了LSM访问控制框架的原理,及如何在LSM下编写自己的安全模块。

访问控制框架中的策略加权

本文针对访问控制框架中的策略给出加权因子以体现其在策略框架中的重要性及对访问决定的影响程度。在模糊逻辑中加权模型真值计算思想上,提出访问控制框架加权策略下访问请求判定模型。该模型结合计算机逻辑中表示析取和合取的不同操作符,给出加权策略下访问判定的计算公式,访问判定值再与系统访问判定门陷值进行比较,以决定该访问请求是否授权。模型通过计算访问请求的授权许可值而给出判定,这比传统的访问请求授权方法更细粒度、易于理解,更能满足实际系统的需要,并增强系统的安全性。

基于可插拔访问控制框架的银行业务系统的设计与实现

提出了可插拔访问控制框架,该框架主要由信息抽取器、插拔配置器、访问控制实施器、访问控制决定平台组成。将可插拔访问控制框架应用在小型银行业务系统中,通过使用框架,银行业务系统可以很好地适应不断变化的访问管理规则。可插拔访问控制框架具有可重用性、方便性等特点,便于解决各领域重复开发访问控制模块和部署时给应用系统带来代码冗余、难于维护重用的问题,更好地保护应用系统资源,保障系统的正确运行。

免疫机制在通用访问控制框架中的应用研究

经典的多安全策略支持结构——通用访问控制框架(Generalized Framework for Access Control,GFAC)在加入多个安全策略后效率会出现明显下降,本文借鉴人工免疫系统(Artificial Immune System,AIS)中免疫细胞的学习、记忆、动态演化等特性,将其应用到GFAC中。仿真实验表明,应用免疫机制后GFAC在时间效率方面具有较大的优势,同时具备一定的自适应性和多样性等特点。

Windows访问控制实施框架的研究与设计

在目前的研究中,多采用访问控制安全模型来增强系统安全。Linux下主要是基于LSM实现已有的众多安全模型。但Windows下的各安全项目底层实现方式各不相同,缺乏通用的访问控制实施框架。针对Windows下安全项目的需要,提出了一套通用的Windows实施访问控制策略的框架。它通过修改内核数据结构来存储安全标签,能够提供一系列安全Hook供安全模块使用,可以用作安全模块研究与开发的平台。

基于角色的访问控制框架设计及其应用

首先介绍了访问控制相关技术研究的现状，并通过一个基于角色的访问控制框架来解决在NISTRBAC模型中未明确说明的权限的粒度问题，然后探讨了该框架在一个真实系统中的应用，并在该真实系统中对NISTRBAC模型中未明确说明或者部分说明的三个问题（权限的粒度、角色的激活、角色的回收）做出了说明。

访问控制框架技术探析

访问控制是应用系统资源存取管理的重要技术,本文介绍了访问控制的基本概念,阐述当前访问控制框架研究领域内主要成果及特点,并进行了分析对比总结。

基于RBAC与GFAC架构的访问控制模型

在对基于角色的访问控制(RBAC)模型进行优化处理的基础上,提出了一种基于RBAC与通用访问控制框架(GFAC)的访问控制模型。阐述了模型的构成、特点及其访问控制策略,引入了类、约束和特殊权限等新概念,将分级授权、最小化授权、角色继承授权等策略相结合,实现对资源访问的控制。该模型可配置性强,容易维护,降低了授权管理的复杂性。最后给出了模型实现的关键技术。

访问控制的验证测试方法研究

对访问控制的评测是信息系统和产品安全评估中的一项重要内容。该文从安全标准中对访问控制的需求出发,研究了访问控制的自动测试方法,扩展了GFAC测试接口,并且使用该方法实现了在Linux+RSBAC的环境下对自主访问控制的自动测试。

一种灵活的访问控制策略及其应用研究

提出了一种声明式的、面向对象的、灵活访问控制策略的形式化描述、决策算法和实施框架。与传统访问控制策略相比,它包含授权类型、主体、权限、限制、影响等策略元素,能够更加精确地描述各类控制需求;同时,提出的策略决策算法和实施框架能适应决策环境的动态变化,有效满足复杂分布式系统的访问控制需求;最后,作为应用的例子,介绍了这种策略和实施框架在分布式园区网中的实现和应用情况。