协同设计系统中基于角色的访问控制

在对协同设计中访问控制和角色进行深入分析的基础上，确定了协同设计中角色的粒度，给出访问控制的特点,采用基于角色的访问控制技术和JSP中提供的Scssion机制，将协同设计中的角色、权限、用户相关联，实现了访问控制．在协同设计原型系统中，利用访问控制子系统对整个协同设计系统实施访问控制．结果表明该访问控制系统能够满足协同设计的要求．     

基于PTM的可信虚拟平台方案

摘要：在多种信息系统中,将虚拟化技术与可信计算相结合的方式是一种保障系统安全的有效手段．然而,传统基于可信平台模块（TPM）的可信系统存在着系统信任基础不明确与数据迁移计算开销大的不足．本文应用便携式可信模块（PTM）信任模型,基于Xen虚拟化平台提出了一种客户端可信虚拟化平台方案——OASIS,设计并实现了OASIS平台结构、可信启动信任链建立方法及数据迁移机制．本方案具有灵活高效、以用户为中心的特点,使用PTM作为系统信任基础,为用户提供个人化可信计算环境,为用户在多平台间漫游的应用场景提供极大的便利性．原型系统测试结果表明,本方案具有可行性．     

基于角色与基于规则相结合的访问控制模型

针对基于角色的访问控制模型的局限性，提出了一种基于角色与基于规则相结合的访问控制模型(RRBAC)。该模型以可扩展的用户组织结构为框架，根据用户组织结构定义角色的属性及其继承关系，用参数化的规则集合描述了用户组织结构中由上下级关系所引发的操作许可，实现了面向群组协同工作的分级权限管理体系。最后，给出了该模型的设计实例。     

基于ECC和指纹USBKey的身份认证协议

分析了现有网络身份认证方案的不足,给出了一种指纹识别技术与USBKey技术相结合的身份认证方案。利用载有指纹特征的指纹USBKey改进现有的USBKey认证技术。利用椭圆曲线密码算法ECC（elliptic curve cryption）,提高身份认证协议的安全性。采用挑战与应答的认证机制,实现了双向身份认证。使用含指纹特征的数字证书,防止非法用户篡改指纹特征。给出的身份认证协议实现了USBKey对用户权限的验证及远程服务器对用户身份的实体认证。能够有效抵御窃听攻击、假冒攻击、重放攻击及DoS攻击。     

基于J2EE的Web应用开发中安全问题的研究

研究了基于J2EE分布式模型的Web应用系统的实现及该应用系统的安全问题．如身份认证、安全审计、EJB事务安全、EJB方法访问控制、数据库安全等．针对这些问题结合Java2核心API与扩展API进行分析，提出了相应有效的解决方案．     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

基于WPKI的3G认证方案的研究与实现

通过对现有的3G安全认证中身份机密性设计的研究与分析,目前3G的接入端鉴权认证是3G安全体系认证阶段的薄弱环节,可以应用Internet及电子商务上成熟的WPKI技术来实现用户身份的实体认证问题,因此提出一种基于WPKI环境下实体认证方案,对比现有的3G中的身份认证实现措施,经过改进给出了一种新的基于WPKI环境下的用于实现3G认证的具体方案,并对方案实现过程作了简要介绍,应用该方案可以增强3G认证环节的安全性.     

基于角色的访问控制在权限管理中的研究

介绍了基于角色的访问控制(Role-Based Access Control,RBAC)的模型,形式化地描述了用户集、角色集、权限集之间的关系,对其中的约束问题进行了分析。     

基于用户口令的GSM—R身份认证协议

现有的GSM-R身份认证协议,是对SIM卡的身份认证而不是对铁路员工的身份认证,在日常铁路生产中,移动台容易丢失也容易被盗窃,使得SIM卡信息有可能泄露,导致SIM卡被克隆,给正常的铁路生产带来安全隐患.针对这一问题,本文设计了一种新的身份认证协议,通过在移动台使用用户口令作为认证密钥,不仅实现了对人的认证,而且实现了认证实体之间的双向认证,使得铁路员工可以使用任意的移动台进行通信,提高了日常工作的灵活性和安全性.     

RBAC模型时态约束和层次继承的研究与分析

具有层次继承和时态特性的角色访问控制模型是目前安全领域的研究热点,其理论基础是角色层次和时态周期理论;为此在分析基于条件时态的角色访问控制模型(CT-RBAC)和一般时态的角色访问控制模型(GTRBAC)的时态层次继承语义的基础上,对CT-RBAC访问控制模型的条件周期表达式进行扩展,将标识引入到条件周期表达式中,实现访问控制模型的条件约束多样性和灵活性。同时结合GTRBAC模型的层次继承语义,对角色层次继承的相关语义进行了分析,给出了角色层次继承的相关状态断言和谓词逻辑。并进一步完善了SSD权责分割策略。     

网络化HRM系统访问权限控制方法研究

研究了网络化人力资源管理（HRM）系统中功能模块和页面的访问权限控制方法与实现问题.采用基于角色的访问控制（RBAC,Role-Based Access Control）模型,实现网络化HRM系统的访问权限控制,其最大特点是：通过引入角色（R）的概念,建立用户（U）和权限（P）之间的关联,通过为用户分配角色、为角色分配权限,达到控制用户访问权限的目的.某大型跨地域HRM系统的成功实施表明：基于RBAC模型的访问权限控制方法,不仅简化用户权限配置工作量,而且大大提高系统与数据的安全性和可靠性,使得系统具有方便性、灵活性、安全性和易扩展性.     

协作环境下支持委托的访问控制技术

协作环境下的访问控制具有动态性和上下文相关性,传统的访问控制不能满足协作系统的特殊需求。针对协作环境的特点,从任务分解及映射、时间约束、授权委托等方面对传统的RBAC模型进行扩展,提出一个支持委托的访问控制模型(DS-RBAC)。最后给出了由多种控制机制相结合的实现方案,实现了协作组内部自主授权和动态访问控制相结合的灵活权限管理。     

A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.     

一种高效的移动云服务环境下隐私保护认证协议

为了解决移动云服务环境的互相认证和隐私保护问题,设计了一种改进的移动云服务环境下隐私保护认证协议.该协议结合基于身份的签密技术和多服务器认证技术,保证用户只需注册一次,就可以访问多个移动云服务提供者,同时认证过程不需要可信第三方参与;该协议在移动终端未使用计算复杂度高的双线性对运算和映射到域上的hash运算,其计算效率显著提高. 通过理论分析和实验结果可知:该协议与目前已有的同类协议相比,在移动端的计算时间为45.242 s,其计算效率约为已有同类协议的2倍;具有用户匿名和不可追踪等安全性质;能够抵抗错误口令登录、更改攻击.      

一种高效的Web服务访问控制器设计

针对基于SOAP扩展的Web服务安全模型中的访问控制器,进行了详细的设计,有效地克服了传统的访问控制技术中的不足,可以减少授权管理的复杂性．     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议．该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗．在BR扩展模型下,可证明该协议是安全的．通过性能分析得出,协议具有很高的效率．     

REAL-TIME LICENSING MANAGEMENT OF SECURE MULTIMEDIA CONTENT DELIVERY

Media Commerce is now becoming a new trend which results from faster development of network bandwidth and high availability of multimedia technologies, how to protect media content from being used in a rightviolated way is one of most important issues to take into account. In this paper, a novel and efficient authorization and authentication Digital Rights Management (DRM) schema is proposed firstly for secure multimedia delivery, then based on the schema, a real-time digital signature algorithm built on Elliptic Curve Cryptography (ECC) is adopted for fast authentication and verification of licensing management, thus secure multimedia delivery via TCP/RTP can efficiently work with real-time transaction response and high Quality of Service (QoS) . Performance evaluations manifest the proposed schema is secure, available for real-time media stream authentication and authorization without much effected of QoS. The proposed schema is not only available for Client/Server media service but can be easily extended to P2P and broadcasting network for trusted rights management.     

Support for Dynamic Service Composition with Role-Based Interaction Model

IntroductionService oriented computing is rapidly adoptedas a popular paradigm for the development of dis-tributed applications.In Grid environments,allare treated as services,which include computation-al resources,storage resources,networks,pro-grams,databases,and so on[1].A service-orientedparadigm describes an application in terms of whatfunctionalities(services)it can exploit instead ofwhich objects are involved.In general,serviceproviders independently develop their Grid ser-vices,and so…