Service Security Architecture and Access Control Model for Cloud Computing

Security is a key problem for the development of Cloud Computing. A common service security architecture is a basic abstract to support security research work. The authorization ability in the service security faces more complex and variable users and environment. Based on the multidimensional views, the service security architecture is described on three dimensions of service security requirement integrating security attributes and service layers. An attribute-based dynamic access control model is presented to detail the relationships among subjects, objects, roles, attributes, context and extra factors further. The model uses dynamic control policies to support the multiple roles and flexible authority. At last, access control and policies execution mechanism were studied as the implementation suggestion.

Cloud authorization： exploring techniques and approach towards effective access control framework

Despite the various attractive features that Cloud has to offer, the rate of Cloud migration is rather slow, pri- marily due to the serious security and privacy issues that exist in the paradigm. One of the main problems in this regard is that of authorization in the Cloud environment, which is the focus of our research. In this paper, we present a systematic analysis of the existing authorization solutions in Cloud and evaluate their effectiveness against well-established industrial standards that conform to the unique access control require- ments in the domain. Our analysis can benefit organizations by helping them decide the best authorization technique for deployment in Cloud; a case study along with simulation re- sults is also presented to illustrate the procedure of using our qualitative analysis for the selection of an appropriate tech- nique, as per Cloud consumer requirements. From the results of this evaluation, we derive the general shortcomings of the extant access control techniques that are keeping them from providing successful authorization and, therefore, widely adopted by the Cloud community. To that end, we enumer- ate the features an ideal access control mechanisms for the Cloud should have, and combine them to suggest the ultimate solution to this major security challenge - access control as a service （ACaaS） for the software as a service （SaaS） layer. We conclude that a meticulous research is needed to incorpo- rate the identified authorization features into a generic ACaaS framework that should be adequate for providing high level of extensibility and security by integrating multiple accesscontrol models.

A roadmap for security challenges in the Internet of Things

Unquestionably, communicating entities （object, or things） in the Internet of Things （IoT） context are playing an active role in human activities, systems and processes. The high connectivity of intelligent objects and their severe constraints lead to many security challenges, which are not included in the classical formulation of security problems and solutions. The Security Shield for IoT has been identified by DARPA （Defense Advanced Research Projects Agency） as one of the four projects with a potential impact broader than the Internet itself. To help interested researchers contribute to this research area, an overview of the loT security roadmap overview is presented in this paper based on a novel cognitive and systemic approach. The role of each component of the approach is explained, we also study its interactions with the other main components, and their impact on the overall. A case study is presented to highlight the components and interactions of the systemic and cognitive approach. Then, security questions about privacy, trust, identification, and access control are discussed. According to the novel taxonomy of the loT framework, different research challenges are highlighted, important solutions and research activities are revealed, and interesting research directions are proposed. In addition, current stan dardization activities are surveyed and discussed to the ensure the security of loT components and applications.

Spring Security的Web资源保护功能研究与扩展

针对开源安全框架Spring Security的Web资源保护功能进行研究,分析框架的认证和授权两个主要过程,指出了框架对于用户和Web资源的授权信息外化存储这一关键企业级安全特性支持上的不足,进而对此进行了扩展。借助于Spring容器的依赖注入特性和安全框架的扩展性,结合数据库存储授权信息,本文设计了一个基于Spring Security的用户与Web资源授权信息动态存储方案,并给出了关键的程序代码。

气象部门终端入网控制系统的设计与实现

气象信息网络的快速发展,促进气象内部网络的设备种类和数量不断增加,对传统的入网管理方式提出新的挑战。现阶段,气象内网办公区网络接入设备数量超过7000台,在网设备的种类和数量难以梳理,违规占用网络资源的现象时有发生。由于接入设备的合法性难以确定,在违规接入设备后无法第一时间发现和阻断,对业务系统和气象数据安全带来威胁。在网设备可能存在恶意程序运行,接入气象网络后可能对其它设备的安全产生重大影响。传统控制技术需要维护本地的数据信息,存在数据准确性滞后和泄露风险。该文以解决以上问题为出发点,设计和实现适应气象网络需求的无客户端模式终端入网控制系统,通过与统一信任服务系统和终端安全管理系统数据共享,实现身份认证信息的自动更新和维护,同时促进终端安全管理软件在气象园区的广泛应用,及时发现和阻断违规设备的接入,消除潜在的安全隐患。

基于多模态生物特征识别的高校门禁系统设计与实现

为解决传统门禁系统对实体校园卡的过度依赖、数据应用能力差、无法形成精细化管理等问题,在已有门禁系统架构基础上,基于一卡通专网,采用分布式架构设计了一种基于多模态生物特征识别的高校智慧门禁系统。该系统集采集管理、生物数据库、算法服务、校门口出入管理、访客出入管理、公寓管理、设备管理和出入权限管理等功能于一体,实现了校园出入口的智慧化管理,提升了校园安全管理效率,为下一步的智慧校园建设奠定了应用基础。

城市轨道交通云平台网络安全访问控制技术研究

通过分析城市轨道交通云平台网络安全常见风险及应用实施需求,首先论述访问控制技术的适用性,提出以资源隔离为主,结合安全策略实施的解决方案;其次采取业务系统分区分域的策略对城轨云平台进行边界划分,形成保障系统安全的基础架构,并遵循风险检测与控制的安全标准体系,实现基于主动防御技术的城轨云安全态势感控平台;最后按照等级保护规范的要求,提出一套基于安全标记的强制访问控制技术模型,从安全级别和安全范畴2个维度进行安全标记设计,按照数据敏感度和完整性设定安全级别,按照业务类型和业务区域进行安全范畴的抽象和定义,从而有效支持城轨云平台达到所设计的网络安全标记等级。

零信任技术在铁路信息网络安全场景的应用构想

铁路信息网络承载客运、货运、经营管理等核心系统,网络安全关乎国家关键信息基础设施安全和人民群众财产安全。铁路信息网络除需提供持续增强的计算、通信、存储支撑能力外,还应不断完善安全保障体系和防御手段。考虑大数据、云计算、人工智能等新兴技术规模化应用导致的访问方式多元化、网络边界泛化、基础环境复杂异构化、数据资产规模化等特点,基于铁路信息网络基础设施、应用系统和安全防护现状,结合零信任模型和关键技术,针对既有应用访问控制措施的补强思路,设计提出基于零信任的铁路网络访问架构,以期管控访问行为,收敛应用网络暴露面。

移动Agent系统的安全性研究

移动Agent系统中的安全问题是阻碍其广泛应用的原因之一.通过对Agent的安全问题及其研究现状的分析,提出了解决一些安全问题的方法,并在自行研制的移动Agent系统Mogent中实现,对防止和解决移动Agent系统中的安全问题有一定的作用.

基于角色的访问控制模型安全性分析研究综述

在总结RBAC及其管理模型发展现状的基础上,给出了访问控制模型的安全分析和RBAC模型的安全性分析的概念性描述,综述了针对RBAC及其扩展模型的安全性分析方法,主要包括状态机理论、智能规划和图规划算法、图变换、图灵机理论和Petri网等方法。通过比较分析这些安全性分析方法,针对分布式环境下授权管理与访问控制的新需求,指出了安全性分析方法面临的问题,展望了将来的研究方向。

一种灵活的使用控制授权语言框架研究

首先提出一种单限制变元Datalog,sc的概念,并对单限制变元Datalog,sc的评价(evaluation)及其元组识别问题做了分析.然后提出使用控制授权语言框架LUC,该框架基于具有单一稳态结构的单限制变元分层Active-U-Datalog,sc语法和语义,具有逻辑上的一致性、完备性和可行性.最后对LUC框架的表达力、灵活性及其实现和应用做了说明.

基于RBAC的授权管理安全准则分析与研究

针对安全准则在授权管理安全性验证中具有的重要意义,提出了基于RBAC的授权管理安全准则。以保障授权管理的安全性为目标,分析了授权管理中的RBAC安全特性,深入剖析了授权管理安全需求,从数据一致性、授权无冗余、权限扩散可控、管理权限委托可控、满足职责分离和访问权限可用等方面给出了一致性准则、安全性准则和可用性准则3项授权管理安全准则。分析表明,该安全准则与现有的RBAC安全特性相一致,能够为基于RBAC授权管理的安全性提供有效支撑,为衡量其安全性提供标准和依据。

对象云存储中分类分级数据的访问控制方法

随着云计算技术的广泛应用,云存储中数据的安全性、易管理性面临着新的挑战.对象云存储系统是一种数据存储云计算体系结构,通常用来存储具有分类分级特点的非结构化数据.在云服务不可信的前提下,如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中亟需解决的问题.对近些年来国内外学者的成果进行研究发现,现有的方案并不能有效地应对这种问题.利用强制访问控制、属性基加密、对象存储各自的优势,并结合分类分级的属性特点,提出了基于安全标记对象存储访问控制模型.给出了CGAC算法及其安全证明,将分类分级特点的属性层级支配关系嵌入ABE机制中,生成固定长度的密文.该算法不仅访问控制策略灵活,具有层次化授权结构,还可以友好地与对象存储元数据管理机制结合.通过理论效率分析和实验系统实现,验证了所提出方案的计算、通信开销都相对较小,具有很高的实际意义.

空间矢量数据细粒度强制查询访问控制模型及其高效实现

针对敏感空间地理矢量数据形状不规则、跨多级敏感区域分布的特点,对传统的强制访问控制模型进行空间扩展,提出了一种细粒度的空间矢量数据强制查询访问控制模型SV_MAC(spatial vector data mandatory access control model).并进一步将空间数据查询与安全策略检索相结合,提出了一种AR+树(access R+树)索引结构,以在空间矢量数据查询过程中高效地实现SV_MAC授权判定.实验结果表明,AR+树在为空间矢量数据的检索提供不可绕过的细粒度安全防护的同时,保障了前台响应速率和用户体验.

电力市场运营系统中的安全访问控制

电力市场覆盖范围广,市场成员分散,交易中心与市场成员之间需要交换大量市场私有信息。市场中用户类型众多,访问权限各不相同,并且受市场规则变动的影响。电力市场的信息保密性、用户多样性和访问权限多变性,要求支持市场运行的电力市场运营系统必须具备严格而且灵活的安全访问控制机制。为此,文中描述了硬件层、系统软件层和应用软件层相协调的安全访问控制的整体结构,设计了基于Java 2平台企业版(J2EE)架构的内嵌访问控制、动态代理和控制中心 3种应用层用户访问控制方案。对各方案的对比分析表明,控制中心方式安全性高,配置灵活,能够将权限管理与应用开发彻底分离,使应用开发人员专注于业务逻辑实现,以快速响应市场交易模式和访问逻辑的变化。基于该控制方式的区域电力市场运营系统已经投入现场运行。

基于PKI的内网信息安全访问控制体系设计与实现

为解决内网信息安全管理问题,依据安全等级防护标准和信息安全技术的研究,提出了一种基于公开密钥基础设施(PKI)在内部网构建信息安全访问控制体系的设计模型。该模型通过身份认证、终端防护、SSL安全认证网关的有效结合,建立由终端至涉密资源之间可信、完整、有效的信息安全传输机制。应用实例表明了该方法在实际信息安全访问控制中的可靠性和有效性。

视频数据库多级访问控制

针对视频数据库中涉及敏感信息的视频数据分级保护问题,提出视频数据库多级访问控制模型。在该模型中,设计用户身份辨别及身份强度算法,其结果作为用户安全等级隶属函数的输入,该函数值为用户安全等级隶属度,并与视频数据安全等级隶属度一起作为授权规则中安全等级隶属度比较函数的输入,其函数值结合时间元素能够灵活地实现多级访问控制。与已有的访问控制模型相比,该模型最突出的特点是实现动态授权和视频数据分级保护。

制造网格中访问控制的研究

针对制造网格开放的系统框架、动态的组织结构和复杂的业务流程等特性,提出了一种基于网格社区授权服务框架的动态、分粒度访问控制解决方案。在该方案中,制造网格的访问控制模型扩展了基于角色的访问控制模型。全局细粒度的访问控制策略确定用户对应角色的全局权限;根据项目状态,动态调整角色的可执行权限,本地粗粒度的访问控制策略确定服务的共享权限;服务节点做出授权决策。应用实例证明,制造网格访问控制模型支持动态授权及制造网格服务节点自主控制,可以增强制造网格的安全性。

基于安全标签的访问控制研究与设计

为了保障信息的安全性和保密性,对信息的访问和操作需要遵循一定的安全策略。安全标签是实现多级安全系统的基础,是实施强制访问控制安全策略的前提。对基于安全标签的强制访问控制模型的实现方案和技术进行了较为详细地分析,主要从安全标签的定义、组成、存储、比较算法和实现等几个方面进行了讨论。鉴于安全标签在高安全等级数据库系统中的重要作用,并在自行开发的具有自主版权的数据库管理系统LogicSQL上实施了该方案,使其至少达到B1级别安全。

基于PKI/CA的数据服务安全系统研究

数据服务是获取信息的重要方式,而安全性和可靠性是提供数据服务的重要前提。禁核试北京国家数据中心是我国禁核试核查相关监测数据的收集、存储、分析和处理中心,为实现其数据服务的安全保障,针对该系统进行了安全风险评估;设计和实现了基于PKI/CA技术的用户身份认证、访问控制机制的数据服务安全认证系统,并给出了数据安全服务的实现流程;针对所实现的数据服务安全系统,制定了相应的安全保障策略。