BBACIMA:A Trustworthy Integrity Measurement Architecture through Behavior-Based TPM Access Control

Two limitations of current integrity measurement architectures are pointed out： （1） a reference value is required for every measured entity to verify the system states, as is impractical however; （2） malicious user can forge proof of inexistent system states. This paper proposes a trustworthy integrity measurement architecture, BBACIMA, through enforcing behavior-based access control for trusted platform module （TPM）. BBACIMA introduces a TPM reference monitor （TPMRM） to ensure the trustworthiness of integrity measurement. TPMRM enforces behavior-based access control for the TPM and is isolated from other entities which may be malicious. TPMRM is the only entity manipulating TPM directly and all PCR （platform configuration register） operation requests must pass through the security check of it so that only trusted processes can do measurement and produce the proof of system states. Through these mechanisms malicious user can not enforce attack which is feasible in current measurement architectures.

基于Access平台的起重机电气计算机辅助设计

介绍在Access平台运用SQL数据库语句实施起重机电气计算机辅助设计程序的过程和方法,按起重机机构的控制方法建立相应的计算机辅助设计标准模块。完成以功能模块标准图纸为基准的起重机各机构的电气设计。在起重机投标时可以迅速输出电气设备汇总表,计算出电气设备的正确的成本价格。在起重机设计时可以迅速输出以标准功能模块为基础的标准电气图纸和电气元件表。

Extending the Network Lifetime Using Optimized Energy Efficient Cross Layer Module (OEEXLM) in Wireless Sensor Networks

In wireless sensor network, the primary design is to save the energy consumption as much as possible while achieving the given task. Most of recent researches works have only focused on the individual layer issues and ignore the importance of inter working between different layers in a sensor network. In this paper, we use a cross-layer approach to propose an energy-efficient and extending the life time of the sensor network. This protocol which uses routing in the network layer, and the data scheduling in MAC layer. The main ob-jective of this paper is to provide a possible and flexible approach to solve the conflicts between the require-ments of large scale, long life-time, and multi-purpose wireless sensor networks. This OEEXLM module gives better performance compared to all other existing protocols. The performance of OEEXLM module compared with S-MAC and directed diffusion protocol.

无人机通信中的资源分配及部署位置联合优化

为提升基于正交频分多址接入模式无人机辅助无线通信系统的网络性能,首先,以提升用户的公平性为系统方案设计指标,将包括子信道分配、调制模式选择、功率分配等通信资源和无人机位置联合建模为一个混合整数非线性优化问题;进一步,利用迭代优化的方式解决变量耦合性及非凸性等问题,将最大-最小问题转换为两个子问题:子信道分配和调制方式选择联合优化、无人机位置和子信道功率联合优化;然后,通过适当变换将子信道分配和调制方式选择联合优化建模为0-1线性优化问题进行求解,而无人机位置和子信道功率联合优化建模为凸优化问题求解;最后,进行实验仿真验证.研究结果表明,所提联合优化算法相比基本方案可有效提升网络用户的公平性.

基于机器学习的匿名大数据访问控制系统设计

为提高大数据环境下访问控制效率与数据匿名性,保障用户隐私和数据安全,本研究设计了一种基于机器学习技术的新型匿名大数据访问控制系统。通过对当前大数据访问控制技术、机器学习在访问控制中应用及匿名技术的发展与应用深入分析,采用B/S架构匿名大数据访问控制系统框架,系统软件模块主要由数据预处理、机器学习模型训练与评估、访问控制决策以及用户界面模块构成,为验证系统功能有效性进行了详细的对比实验。结果表明,该系统能提高大数据访问控制精确性与处理速度,有效保护数据的匿名性,本研究成果证明了采用机器学习技术优化大数据访问控制系统可行性与有效性。

一种基于可信计算的分布式使用控制系统

随着互联网络等分布式环境的发展,如何控制已经分发的数据成为一个重要的安全问题.最近提出的使用控制概念和模型虽然适用于描述该类问题,但其实施机制研究仍处于起步阶段.文中给出一种基于可信计算技术的分布式使用控制系统,有效地支持和实现了使用控制模型的3个特点:丰富的策略决策因素、控制的持续性和主客体属性的变异性.实验证明该方案具有较高性能,是一种分布式计算环境下的行之有效的使用控制实施解决方案.

LSM框架下可执行程序的强制访问控制机制

分析LSM框架的基本设计思想和Linux系统上原有的可执行程序访问控制机制存在的问题,在此基础上讨论在LSM框架下可执行程序强制访问控制机制的设计。作为验证,基于Linux2.6.11内核实现了一个可执行程序强制访问控制系统原型,对如何在操作系统中实现可执行程序的强制访问控制具有指导意义。

一种改进的基于角色的分级授权访问控制模型

大多数企业的业务处理在功能访问权限和数据访问权限上有较高要求,而基于角色的访问控制模型的数据访问控制能力是有限的.因此,文中提出了一种改进的基于角色的分级授权访问控制模型,该模型将用户、功能权限和访问数据进行分级,自上而下形成树状结构,并形成了用户级别-功能-数据级别之间的映射关系,实现了逐级授权.该模型已成功运用于云南省大型科学仪器协作共用网络服务平台上,实现了较高的数据访问控制能力.

基于复杂角色模型安全访问控制的研究与实现

重点对具有复杂角色模型的数据库的安全访问控制进行了较为系统的研究。基于对RBAC(Role2Based Access Control)的深入分析,提出了角色级别矩阵(RLM)、角色bit状态位等概念,并进一步提出用户/角色授权(UA)算法,有效解决了复杂角色的管理问题。最后给出算法实现。

工程项目管理系统的设计与实现

针对独立地区供电公司的生产管理模式,研制了一套地区电力企业工程项目管理系统。首先创建了整个系统的底层平台和总体架构,然后提出了基于角色的访问控制方法(RBAC),使得系统运行及信息具有良好的安全性;进一步提出并实现了基于工作流结构的具有良好灵活性和扩展性的流程模块。在此基础上,设计并开发了拥有完整功能的实用系统。实际电力公司的长期正常使用,证明了文中所设计及开发系统的正确性和有效性。

分布式环境下可信使用控制实施方案

当前分布式环境下,数据分发后产生了多种新的安全需求,传统的访问控制模型早已无法满足实际需要.因此,基于新型的使用控制模型UCON和可信计算技术,针对分布式环境下的信息安全需求,构建了一种通用的、可协商的可信使用控制架构TUC(trusted usage control).该架构利用硬件信任根TPM实施使用控制,引入策略和密钥协商机制,保证数据分发、传输、存储和使用控制过程中的机密性、完整性、可控性.此外,通过使用控制策略与分发数据的绑定,TUC的使用控制实施不会局限于特定的应用环境,增强了方案的通用性.针对原型系统的性能测试表明,TUC的表现达到了预期,为分布式环境下的访问控制实施提供了可行的解决方案.

利用RBAC机制实现WWW环境中的安全访问控制

提出了一种基于WWW的扩展RBAC模型 ,在用户和角色之间增加角色代理层 ,由客户端完成代理角色的功能 ,实现角色的动态分配和解决网络传输瓶颈问题 ,克服了标准的基于角色的访问控制模型应用于WWW环境的缺陷 .并探讨了以这种扩展RBAC模型为基础的互联网环境下的安全访问控制的实现 .这种安全访问控制方案能较好地适用于基于Web的应用系统 .

B/S结构下的用户访问控制方法

针对Web系统的特点以及其对用户访问控制的特殊要求,提出了在B/S结构下基于"角色-模块-页面模型"实现用户访问控制的基本思想,并讨论了其具体的实现方法。"角色-模块-页面模型"以传统的RBAC权限管理模型为基础,将模块看作是一系列页面的集合,并以二进制数值来描述角色对各模块的访问权限以及各页面的操作功能,从而将用户对模块页面的操作权限判断转化为一系列的逻辑运算。通过在高速公路机电设备养护系统中的实际应用,表明提出的用户访问控制方法能够很好地满足企业对Web系统用户访问控制的要求,通用性好,扩展性强,配置简单灵活。

基于TPM的资源共享模型及访问机制

传统的资源共享模式存在资源本身的不安全和过于简单的访问控制等问题,从而造成共享资源的恶意泄露.基于此,本文在传统资源共享模型的基础上,引入了可信平台模块(trusted platform module),利用TPM的安全数据存储功能对共享资源进行密封存储,并利用(usage control)模型对共享资源进行访问控制,从而构建了基于可信平台模块TPM的高度安全的层次化资源共享模型.

工业控制系统信息安全实验平台设计

为更好地开展工业控制系统信息安全研究,设计了一种工业控制系统信息安全实验平台。包括攻击端、防护模块、防护规则配置端、监控端和控制器等硬件模块的工业控制系统信息安全平台拓扑架构,以及拒绝服务攻击和伪造数据包攻击与防护的整个过程;设计了信息安全平台的软件框架,并以Modbus/TCP协议为例进行了深度包解析设计。最终,通过实验和测试,验证了设计的工业控制系统信息安全实验平台的性能。

可信模块与强制访问控制结合的安全防护方案

基于可信计算思想,通过在现有移动终端中加入移动可信计算模块,并在核心网中加入安全服务提供者和安全软件提供商,构架了面向移动终端的统一安全防护体系,为用户提供安全服务.该方案有效利用了移动终端操作系统的特性,将基于角色的访问控制与可信验证相结合,实现了高效的可信链传递,使没有授权证书的非法软件和非法进程不能在系统中运行,保证了系统的安全性.软件证书由安全服务提供者与软件提供商协商进行统一管理.文件读写及网络访问速度的实验结果表明,该安全防护方案引起的系统性能下降约为6%～16%,适用于构建高效的移动安全整体防护体系.

达尔文流媒体服务器用户认证扩展与应用

达尔文流媒体服务器(Darwin Streaming Server,DSS)是Apple公司开发的开源流媒体服务器架构,可运行于Win-dows,Linux,MacOS等多种平台.本文结合一实际通用应用项目,通过分析DSS的主要工作流程及其开发接口,研究在不改变其服务器核心代码的情况下,为解决大量用户权限管理的问题增添新的用户认证等自定义功能的方法,并对新实现的用户认证与原有的简单认证进行对比压力测试,实验说明该方法可以实现带有权限控制的复杂用户认证,且性能在大量注册用户的情况下有显著提升.

访问控制框架及其在Linux中的应用研究

简要介绍了ISO通用访问控制框架,比较详细地阐述和分析了当前几种主要的访问控制框架理论及其在Linux中的实现,对这几种访问控制框架的相同点和不同点进行了比较,最后指出了这些访问控制框架存在的一些问题及今后的发展趋势。

一种基于CPU卡的门禁系统的设计

针对传统门禁系统采用普通IC卡存在可被破解的安全问题,设计了一种基于FM1208-10型号CPU卡和新华龙C8051F340微控制器的门禁系统。该门禁系统集成了MFRC530射频读卡模块和SIM900A GPRS通信模块,采用CPU卡作为用户验证卡片,解决了传统的门禁系统安全性低、管理人员操作麻烦等缺点。