A Cache Considering Role-Based Access Control and Trust in Privilege Management Infrastructure

PMI （privilege management infrastructure） is used to perform access control to resource in an E-commerce or E-government system. With the ever-increasing need for secure transaction, the need for systems that offer a wide variety of QoS （quality-of-service） features is also growing. In order to improve the QoS of PMI system, a cache based on RBAC （Role-based Access control） and trust is proposed. Our system is realized based on Web service. How to design the cache based on RBAC and trust in the access control model is deseribed in detail. The algorithm to query role permission in cache and to add records in cache is dealt with. The policy to update cache is introduced also.

基于区块链技术的健康医疗数据隐私加密控制系统设计

针对健康医疗数据隐私加密控制系统存在的访问延时增长率高、密文大、数据安全系数低等问题,设计基于区块链技术对健康医疗数据隐私加密控制系统;采用C/S体系结构,设计4层的基于区块链技术的的加密控制系统硬件;在系统软件设计中,采用基于无证书公钥体制的内容提取签名方案,加密隐私数据;引入区块链技术,设计数据加密访问控制方法MDACSC,将后序遍历策略树匹配算法与分类分级属性算法应用到访问控制结构,完成健康医疗数据的加密访问控制;采用PoP-DPoS算法改进共识机制,优化加密控制方法;经实验测试实现了健康医疗数据隐私的加密控制,结果表明:该模型访问时延增长率较低,具有平稳、高效的访问控制性能,密文小、加密成本低,解密成本极高,并且数据安全系数达到了0.98,说明该系统总体应用效果良好。

基于PKI／PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。

面向云计算环境的访问控制模型

针对云计算[1]领域中基础设施服务在运行和管理中存在的安全问题,在传统访问控制模型的基础上综合考虑了云计算基础设施服务[2]的特点,设计了一套访问控制模型。分析了云计算中安全问题的特点及现有方案的不足之处,提出基础设施服务的安全是云计算安全的基础。根据四条设计原则在RBAC模型[3]和TE模型[4]的基础上加以改进形成了适用于云计算基础设施服务的CIRBAC模型和CITE模型,对模型中的各个模块进行了详细的设计。在基于Xen[5-6]虚拟化技术[7]的OpenStack[8]云计算环境中实现了这些访问控制模型。该模型很好地增强了云计算基础设施服务的安全性。

基于PKI/CA的数据服务安全系统研究

数据服务是获取信息的重要方式,而安全性和可靠性是提供数据服务的重要前提。禁核试北京国家数据中心是我国禁核试核查相关监测数据的收集、存储、分析和处理中心,为实现其数据服务的安全保障,针对该系统进行了安全风险评估;设计和实现了基于PKI/CA技术的用户身份认证、访问控制机制的数据服务安全认证系统,并给出了数据安全服务的实现流程;针对所实现的数据服务安全系统,制定了相应的安全保障策略。

虚拟化IaaS环境安全域与访问控制模型研究

针对虚拟化IaaS(Infrastructure as a Service)环境下的安全隔离及访问控制问题进行了研究,通过系统地研究IaaS环境下的安全隔离与访问控制需求,以安全域划分原则为指导,从网络基础设施、域边界管控、安全支撑性基础设施方面综合考虑,系统地构建了IaaS平台网络安全域模型;并重点针对IaaS平台特有的共享多租户环境,抽象了租户域要素并构建了租户域模型.进一步地,在所构建的安全域模型的基础上,结合云计算环境下资源动态性、云资源具有时效性等因素,从用户业务会话访问控制的角度出发,基于RBAC(Role-Based Access Control)模型及UCON(Usage CONtrol)模型构建了包括用户、角色、权限、资源、授权规则等元素的云资源访问控制模型CloudAC,从而保障虚拟化IaaS环境下用户对云资源访问的安全性.实践表明,依据提出的安全域模型构建的云计算IaaS环境,可以有效地保障不同业务功能网络的安全隔离;利用基于租户域或租户子域构建的隔离网络环境,可以在较小的管理与资源开销下为租户提供灵活的域划分能力,让租户可以依据业务安全需求自主构建隔离与边界可控的网络环境,消除了传统方式下进行网络分段时对物理网络或物理防火墙的配置需求;并使业务环境具有纵深防御能力.同时,依据所构建的云资源访问控制模型,可以灵活构建具有权限分离、用户属性与云资源属性约束、云资源租赁时间约束、虚拟机资源隔离性增强特性的云资源访问控制系统,且相关属性与约束元素可结合业务需求按需扩充,从而能够更好地满足云环境下具有多租户共享、动态特性的云资源访问控制需求.

Intranet/Extranet中的网络安全技术

对怎样在Internet上构建Intranet/Extranet安全框架的具体技术内容进行了描述，并通过对SSL的分析展示了这个安全框架的运行模式。

基于PKI/PMI的应用安全平台模型的研究

为解决网络应用系统的安全问题，需要对应用系统进行一定的改造，文章所提出的应用安全平台是基于PKI和PMI的技术体系，它实现X.509标准证书的发放和管理以及相关的安全通信协议、S/MIME邮件加密协议、PKCS #7数字签名标准等。采用高度集中的用户身份管理和访问权限设定，以及多种审计技术，为复杂网络系统和不同应用提供可管理的复合安全技术，实现身份认证、访问控制和信息加密，保证应用系统的安全运行。

基于委托的分布式动态授权策略

针对分布式协作环境中的授权问题,基于委托模型和RBAC模型,提出一种基于委托的分布式动态授权策略。通过扩展RBAC模型的元素集和静态授权操作,并由委托者动态创建临时委托角色和委托授权,支持"部分角色转授权"。系统授权采用三级层次结构实现,并给出了动态委托授权过程。系统实现及应用表明了其能够适应分布协作环境下的分布动态授权需求,遵循"最小特权"原则。

基于PKI的内网信息安全访问控制体系设计与实现

为解决内网信息安全管理问题,依据安全等级防护标准和信息安全技术的研究,提出了一种基于公开密钥基础设施(PKI)在内部网构建信息安全访问控制体系的设计模型。该模型通过身份认证、终端防护、SSL安全认证网关的有效结合,建立由终端至涉密资源之间可信、完整、有效的信息安全传输机制。应用实例表明了该方法在实际信息安全访问控制中的可靠性和有效性。

基于Web的RBAC权限机制在电子病历系统的研究

首先分析了电子病历系统安全验证的必要性,着重研究了Cookie技术,探讨了安全Cookie的应用机制,并且通过使用PKI数字认证技术,分析了安全Cookie的安全特性。进一步通过对基于角色的访问控制的深入研究,提出了一种基于Web高效安全机制。该机制在利用安全Cookie保证安全性的前提下,引入缓存机制来提高权限获取效率。通过实际数据模拟实验,结果表明该机制在效率上有一定程度的提高。最后,针对电子病历系统的特点分析了该机制在其中的应用。

多域多应用环境下的访问控制研究

为适应多域多应用环境下的安全互操作的需求,本文通过扩展 RBAC96模型有关概念,增加其对多域环境下多应用的刻画,通过引入全局角色、域角色和关联角色概念,提出了一种多域多应用访问控制模型 DPM。通过对PMI 授权管理构架进行扩展,实现了 DPM 模型,为多域多应用环境下的安全互联提出了一个实际的解决方案。

一类非线性周期振荡电路的分岔和混沌控制

基于基尔霍夫第一定律(KCL)建立了一类非线性周期振荡电路的数学模型,分析了周期激振力变化时对系统动力学行为的影响.通过计算Duffing系统时间序列的Lyapunov指数谱验证了对称性破缺分岔是倍周期分岔的前兆.通过仿真系统的分岔图、Lyapunov指数谱和利用Kaplan-Yorke猜想公式计算系统吸引子的Lyapunov维数,刻画出系统的周期运动和混沌运动,揭示了此类系统通向混沌的过程.最后,应用一种有效而又简易的控制方法对此类非线性电路中的混沌运动进行了控制.

基于PMI的电子政务访问控制体系

电子政务涉及到党政部门的内部信息资源,同时又要实现与民众间的双向交流,实现资源开放。从整体的角度看,整个安全体系结构具有多层次、大规模、复杂交互的分布式结构。电子政务需要一种大规模应用环境下具有高安全性和一定开放性的访问控制体系以满足安全需求。该文阐述了基于角色控制的ARBAC97模型在电子政务中的应用,并描述了如何利用权限管理基础设施来实现该访问控制模型。

基于PKI/PMI和Agent的电力企业单一登录方法

针对电力企业信息系统集成的高安全性要求,提出一种基于电力行业公钥基础设施/授权管理基础设施(public key infrastructure/privilege management infrastructure,PKI/PMI)的单一登录模型,并给出相关算法的具体实现过程。单一登录系统通过PKI/PMI完成身份认证和授权功能,同时采用基于代理的系统模型,让用户使用统一账号登录,同时不用修改旧的账号/口令系统,从而尽可能少地修改应用服务程序就能满足电力企业网络信息安全要求。该系统为电力企业集成操作和实现安全的统一调度提供了参考。

利用SPKI委托证书实现分布式访问控制

传统的访问控制技术已经无法满足大规模、跨域范围分布式应用的安全需要。本文从分析简单公钥基础设施 (SPKI)委托证书满足分布式访问控制的几个基本特征出发 ,描述了证书的结构和五元组压缩规则 ,给出了采用委托证书的访问控制实现模型 。

实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施(PMI)的角色模型实现基于角色的访问控制的相关问题,提出了一种改进PMI角色模型.改进模型增加了用户组规范属性证书和用户组分配属性证书,并为SOA(或AA)增加授权策略库,为权限验证者增加本地角色规范属性证书库和访问控制策略库,给出了授权和访问控制过程.改进模型便于管理具有相同角色的用户的属性证书,能够表达基于角色访问控制中的约束问题,提高了证书查询效率,增强了系统的实用性.

基于LDAP的网格计算环境下安全技术的应用

随着新的网格技术的广泛应用,对网格计算环境安全性不得不引起人们的重视。LDAP是一个信息目录,在该目录中只定义一次用户和组,来达到多台机器和多个应用程序间的共享。通过对Group对象类和User对象类的定义,完成用户名与用户密码的确定及用户权限的确定,从而做到对客户端与服务器端的加密与权限的控制。

基于UCON_(ABC)的智能卡分析与应用

在现有智能卡规范中,对于来自终端的访问缺少有效的安全访问控制管理,容易导致智能卡在使用过程中存在非法输入、重放攻击、旁路攻击、强制复位等安全风险。为此,对智能卡的应用过程进行分析,并对UCONABC访问控制模型的特点进行研究,提出一种基于UCONABC的智能卡访问控制管理方法。将基于UCONABC的访问控制管理子系统嵌入到智能卡内,把外部定义的访问控制策略写入卡内的策略库文件,从而灵活地控制外界访问,保护智能卡的安全应用。