域内与跨域访问信任评估机制研究

基于实体身份安全,零信任可实现网络动态可信访问控制,而访问实体的信任评估则是构成零信任能力的关键要素之一。在零信任访问控制架构下,建立域内和跨域访问信任评估机制。结合历史信任评估结果,域内访问信任评估机制通过引入时间衰减因子并采用指数加权平均的方法,解决单次信任评估结果易受外界因素影响的问题;参考跨域访问实体在他域的历史交互数据,跨域访问信任评估机制通过引入交互频率衰减因子进行指数加权平均,可以解决受访域因缺少足够跨域访问实体属性信息和行为交互数据,难以独立做出有效可信度量的问题。域内和跨域访问信任评估机制的构建,可促进零信任网络安全架构在典型应用场景中落地。

AJAX跨域访问的研究与应用

在异域数据集成的Web应用中,同源策略使AJAX跨域访问受到了限制。阐述了AJAX工作原理进而说明了同源策略如何影响AJAX跨域访问,分析了当前避开同源策略的主要方案,提出了XMLHTTP代理+JSON技术的解决方法,最后介绍了该方法在"科技基础条件平台异地软件共享系统"的应用。项目开发的实践结果表明,该方法有效地解决了AJAX跨域访问和展现数据的问题。

面向移动终端的云计算跨域访问委托模型

为实现移动节点跨域访问过程中的云资源保护,针对云环境和移动终端特点,借鉴已有的基于委托的RBAC访问控制技术,提出了一种面向移动终端的跨域访问委托模型、委托机制,有效解决了移动终端所属域的动态多变问题.域管理节点维护的动态路由表,实现了移动节点的准确定位.模型给出了角色合成方法,结合量化角色技术,避免了映射过程中权限的隐蔽提升问题.委托申请频率阈值,避免了恶意节点频繁申请带来的资源耗尽风险.分析结果表明,模型具有较好的实用性和安全性,为实现现有跨域访问控制模型向移动终端扩展提供了新思路.

基于等级的电子政务云跨域访问控制技术

针对电子政务云跨域访问中用户资源共享访问控制细粒度不足的安全问题,提出一种基于用户等级的跨域访问控制方案。该方案采用了云计算典型访问控制机制——身份和访问控制管理(IAM),实现了基于用户等级的断言属性认证,消除了用户在资源共享中由于异构环境带来的阻碍,提供一种细粒度的跨域访问控制机制。基于Shibboleth和Open Stack的keystone安全组件,搭建了云计算跨域访问系统,通过测试对比用户的域外和域内token,证明了方案的可行性。

一种适用于云计算环境的跨域访问控制模型

使用控制模型(Usage Control,UCON)涵盖了传统的访问控制、可信管理及数字版权等复杂需求,被称为下一代访问控制模型.但是由于其授权实现较为复杂,其实际应用还处于探索阶段.将UCON模型中的义务元素删除、条件元素进拆分后使其实现大为简化.同时提出了三种在云计算环境下将传统访问控制模型转换为支持UCON模型的方法.

基于组织的四层访问控制模型跨域访问过程中虚拟岗位构建方法

对于基于组织的四层访问控制(OB4LAC)模型在跨域访问控制过程中如何依据外域用户的申请权限集构建本域内虚拟岗位的问题,提出基于如下三阶段的处理流程,包括申请权限集与角色集的匹配搜索阶段、角色集职责分离(SoD)约束和激活约束判断阶段以及虚拟岗位的生成和撤销阶段。针对申请权限集与角色集的匹配搜索阶段,分别给出了面向完全匹配、可用性优先匹配和最小特权优先匹配的搜索算法;针对角色集SoD约束和激活约束判断阶段,则通过定义SoD约束矩阵(SODM)、非连通继承关系矩阵(AIM)和基数约束矩阵(CCM)以及对应的约束判断流程予以解决;针对虚拟岗位的生成和撤销阶段,给出了完成这一过程所需的管理函数。通过上述具体处理流程和实现算法,很好地解决了OB4LAC模型跨域访问过程中虚拟岗位的构建问题。

基于岗位映射的应急组织间跨域访问控制研究

突发事件由于其自身特点,需要多组织、多部门来完成相应的应对、协调、善后等应急管理活动,但当前基于RBAC模型的应急组织间跨域访问控制,存在权限循环继承冲突、职责分离冲突和异构冲突等安全问题。通过总结应急管理系统的实际开发经验,从组织管理的岗位出发,提出基于岗位映射的应急组织间跨域访问控制机制。在分析应急组织间跨域访问控制机制具体实现流程的基础上,讨论其如何有效解决上述安全冲突问题,并结合某市应急管理平台的实际处理流程,验证了该机制的正确性和可行性。

基于属性的跨域访问方法研究

针对基于IRBAC2000模型的跨域访问过程中所面临的动态性和细粒度问题,文章提出了一个基于属性同步的跨域访问控制框架,在此框架下,研究了一种基于属性同步的跨域访问控制方法,该方法将主体属性分成动态属性和静态属性,采用三种信令对跨域过程中的动态属性进行同步更新,从而更动态,更细粒度的对跨域的用户进行实时授权,并在跨域访问过程中采用推拉方法实现请求域和资源域属性的同步,将请求域主体的属性变化及时、主动地在资源域反应,实现了授权规则的快速匹配。该方法改进了IRBAC2000跨域访问的不足。

基于UCON的跨域访问控制方法研究

针对基于IRBAC 2000模型的跨域访问过程中所面临的动态性和细粒度问题,提出了基于使用控制(UCON)跨域访问控制方法。在跨域访问过程中,采用推拉模式实现请求域和资源域属性的同步,将请求域主体的属性变化及时、主动地在资源域反应,实现了授权规则的快速匹配,解决了跨域访问过程中的动态性;同时边界策略执行点上条件和义务的执行起到边界防御和控制细粒度性的作用。

一种基于角色的跨域访问授权方法

针对用户访问企业部署在不同服务器或不同网域的各种Web应用系统的权限控制问题,提出了一种基于角色的访问控制(RBAC)机制的跨域访问授权方法.该方法通过RBAC授权中心取得用户的权限信息,存储于Session内,由访问对象判断使用者权限.当用户跨域访问时,由跨网域机制重新获取XML格式的用户权限信息,并重建在Session内.应用实践表明,该方法在解决同类型Web应用系统的授权管理问题时简单、有效.

Cordova应用中跨域访问行为的识别与风险评估

混合开发模式已成为当下最流行的移动应用开发模式,其中Cordova应用是市场占有率最高的混合移动应用。Cordova应用中存在一种跨域访问的安全隐患。该问题在于Cordova框架提供了一种定制内置浏览器的能力,此项能力可以被恶意应用利用来操纵不属于自己的Web资源,从而危害用户数据的安全性。为了评估现实世界中Cordova应用的跨域访问问题,设计并实现了一个自动化工具COCAScanner。该工具能够批量化地检测Cordova应用中的跨域访问行为,并且评估这些行为的风险程度。实验分析了Google Play应用商城中的7791个Cordova应用,发现10.5%的应用存在跨域访问行为,其中13.1%的应用存在风险。最后结合人工分析发现了一个应用具有跨域窃取用户账号密码的恶意行为,以及多个应用具有向其他网站植入自己广告的高风险行为。

船舶移动网络中节点跨域访问方法的研究

现有技术手段,不能在保证船舶通信节点安全性的同时,实现信息的跨域访问。为解决此问题,设计基于船舶移动网络的新型节点跨域访问模型。通过RRC协议的缺陷改进、建立DRX自适应机制2个步骤,完成船舶移动网络环境的搭建。通过选择节点信任评估模块、完善Hadoop跨域平台、确定第三方访问编程3个步骤,完成基于船舶移动网络节点跨域访问模型的搭建。模拟模型运行环境,设计对比实验结果表明,随着新型访问模型的应用,船舶节点的通信安全性、跨域稳定性等特征值,都得到一定程度的提升。

智慧社区中的跨域访问控制模型研究

智慧社区是智慧城市的基本构成单元之一,其以基于信息的居家服务为核心,涵盖了生活服务、行政管理、信息资源共享、商业交易等多项功能,构成一个跨域的异构网络系统。对于智慧社区而言,跨域访问控制机制是保证其各项功能正常进行的基础,而目前所广泛采用的基于角色的跨域访问控制中存在着隐蔽提升等安全问题,且灵活性不高。为提高智慧社区跨域访问控制的安全性与灵活性,提出了基础角色映射概念,并建立基于基础角色的跨域访问控制模型。该模型中跨域访问用户通过基础角色映射获得基础访问权限,在此基础上可通过申请附加角色获得基础权限之外的访问资源。模型通过基础角色映射有效地提高了跨域访问效率,降低了隐蔽提升的可能性,利用附加角色申请确保授权的动态性,从而在保证安全性和效率的同时又使其具有了一定的灵活性。

互操作性与自治性平衡的跨域访问控制策略映射

跨域访问控制虽然能提升互操作性,但也可降低域内自治性,因此如何平衡域间互操作性和域内自治性是一个重要的问题。针对该问题,提出一种基于多目标整数规划优化的跨域访问控制策略映射机制。在该机制中,将最大化域间互操作性和最小化域内自治性作为目标函数,将7类典型的跨域冲突作为约束函数,设计了一种带约束的NSGA-III优化算法。实验结果表明,在模拟现实机构特征的大中规模数据集上,该算法拥有较快收敛速度,且解集具有较高的准确性。

船舶移动网络中节点跨域访问方法研究

为了提高船舶移动网络的全网能量均衡性,提出一种基于能量均衡控制的船舶移动网络中节点跨域访问方法。建立船舶移动网络移动节点的分布部署模型,采用最短路径寻优方法进行节点的路径规划,结合通信负载均衡性进行船舶网络传输信道均衡设计,对船舶移动网络中各簇首节点采用链路增益控制方法进行传输路由设计,计算移动船舶网络的全网能量负载开销,采用能量均衡控制方法实现船舶移动网络节点的跨区域访问。仿真结果表明,采用该方法进行船舶移动网络中节点跨域访问,提高了节点的正确传递概率,船舶移动网络的全网信道均衡性较好,改善了网络的数据传输和通信性能。

基于行为的跨域访问控制模型

近年来,随着分布式技术的大量使用,人们越来越关注分布式系统的安全性。跨域访问控制技术是解决分布式系统跨域访问的核心技术。文章将基于行为的访问控制模型应用于跨域访问控制,提出了基于行为的跨域访问控制模型,给出了跨域访问控制的行为映射规则,并通过一个应用场景说明了基于行为的跨域访问控制模型的具体实现过程。

局域网中的跨域访问——WindowsNT应用经验介绍

文章介绍了局域网中不同域之间互相访问的两种方法及其特点。

Ajax跨域访问问题的分析与解决

本文深入分析了Ajax访问机制,浏览器的请求机制和身份认证机制,Ajax跨域访问问题产生的原因,带来的问题,以及解决方案。随着计算机网络的发展与普及,网站设计与开发是现在非常热门的一个行业。前后端分离技术已成为网站开发的一个主流方向,后台服务器只提供数据接口,前台页面用Ajax技术请求后台的数据接口,来完成数据交互。前后台页面分布于不同的服务器,导致前端访问域名和后端访问域名不一致,从而产生Ajax跨域访问问题,导致页面无法正常访问数据接口,或页面使用Ajax跨域访问后台数据接口时sessionId丢失或改变,使得客户端对于服务器来说始终处于未登录状态。

面向物联网的三因子跨域签密访问控制方案

在5G的海量机器类通信(massive Machine Type Communication,mMTC)物联网环境下,存在跨安全域的公钥加密体制PKI(Public Key Infrastructure)的物联网用户对无证书加密体制CLC(CertificateLess Cryptosystem)的物联网设备跨域安全通信问题.本文基于用户口令、生物特征和用户智能设备等组成的三因子和国密SM2的加密和签名算法,提出三因子跨域签密的访问控制方案(Three-factor Cross-domain Signcryption Access Control scheme for IoT environment,TCSAC-IoT),用于在跨安全域的情况下实现PKI物联网用户对CLC物联网设备跨域安全通信.方案通过三因子跨域签密算法对PKI物联网用户进行认证,对合法的PKI物联网用户建立与CLC物联网设备之间的共享秘钥,避免非法用户对CLC物联网设备资源非法访问,并在真实或随机ROR(Real-Or-Random)模型下证明了该方案在DY(DolevYao)模型和CK(Cantti-Krawczyk)模型下满足语义安全性,同时具有抗伪装攻击、抗重放攻击、抗中间人攻击、抗内部特权攻击和抗盗用或丢失PKI用户智能设备攻击,与类似方案对比分析的结果表明本方案有较低的计算开销和通信开销.

一种基于信任度量的Web服务跨域访问控制模型

Web服务具有开放性、高度动态性、松散耦合性及跨平台性等特点,传统的访问控制方式已不能满足其跨域访问的安全需求。通过集成信任管理及可信平台度量扩展了XACML访问控制模型,提出基于信任度量的跨域访问控制模型。该模型在对用户统一身份认证的基础上,通过分析用户历史访问行为,引入用户信任度、平台配置完整度和域间信任度,提高了跨域访问控制的动态性和安全性。同时,给出了域内信任度管理点和跨域信任度管理点两个功能模块的具体实现描述,采用信任度缓存实时更新的方法分析了海量历史访问行为的复杂度问题,提高了系统效率。