企业信息集成平台电子文档安全存储管理技术

企业在信息化过程中将会产生大量的电子文档。这些电子文档大多以磁盘文件方式分散存放在各个部门的计算机上。虽然可通过共享机制实现互访，但管理和维护较为困难，既产生信息孤岛问题，对重要敏感电子文档还会存在安全性问题。提出了将企业电子文档进行分类处理后以数据库方式进行存储管理、通过电子文档的授权访问机制以及对电子文档的加密、压缩处理后在网络上进行传输和存储的电子文档安全管理技术。通过在企业的实际应用表明，这种管理技术有效地实现了企业信息集成平台电子文档动态共享、查询方便、安全可靠的目的。     

企业信息集成平台电子文档安全存储管理技术

对企业中产生的重要敏感电子文档进行数据库管理，在安全性问题日益突出的今天，将具有重要意义。电子文档进行数据库管理后，运用基于用户—角色的授权访问机制进行访问虽然可行，但由于企业电子文档的动态生成特性，需要不断地进行授权维护，从而不能提供授权灵活性。提出了一种自主访问控制的实体授权关系的树模型，将其同用户—角色机制相结合简化了授权的复杂性，大大提高了企业电子文档授权管理的灵活性，使其更加符合企业的实际需求。     

基于DRM的安全文档访问控制研究

针对电子文档的安全访问需求,提出数字版权管理（Digital rights management DRM）技术的解决方案。该方案包括用户、权限和电子文档内容三个核心实体,用户被赋予内容的使用权限,并按此权限使用文档内容。只有经过授权的用户的合法访问才被许可,具备强制加密、详细权限控制、对用户透明等特点。方案解决了电子文档的非法使用和传播问题,避免了敏感信息的泄密。     

基于透明加解密的数字内容安全防护系统

目的针对企业电子文档和数字内容安全保护需求,对透明加解密技术和数字内容安全防护技术进行分析和研究,设计并实现了一个基于透明加解密技术的数字内容安全防护系统。方法通过采用实时透明加解密、访问控制、数字权限管理等技术对数字内容的存储和传输实施加密、访问控制、行为监控、日志审计等。结果实现了对重要电子文档等数字内容的安全分发和可靠保护。结论加强了对数字内容的安全防护,快捷有效地防止了机密数字内容的泄漏和扩散。     

基于XML数据安全保护技术的研究

主要研究Internet环境下基于XML的数据安全问题,包括XML的访问控制、数字签名与加密技术．首先讨论数据库技术与Web技术（标准）的结合,提出基于XML的访问控制技术的论题．接着讨论基于XML访问控制模型中的授权主体和授权客体、访问授权规范以及请求者视图的计算算法,并提出一个改进的XML访问控制模型框架,使访问控制处理器不仅可以处理XML文档的“读”请求和“写”请求,而且可以根据需要增加一些“临时”的授权动怍．最后阐述利用XML对文档进行数字签名和对签名进行校验、以及对XML文档加解密的基本方法,探讨基于Java的通用平台的XML数字签名和加密原型系统X—sig的实现技术、     

用户角色的XML动态加密方法研究

在阐述了XML加密控制策略的基础上,结合煤矿安全综合监控系统的实际应用需求,针对不同工作人员对不同数据的访问请求,提出了按照用户角色划分,在不重构XML数据文档的基础上,对不同用户请求的XML数据实现动态加密。详细分析了用户请求访问数据的流程结构,加密策略及根据用户角色对XML文档进行动态加密的算法实现。实践表明,以XML文档为数据载体,并用XML格式定义加密策略集,实现对不同角色用户数据的动态加密,方便、灵活、易于扩展,有一定的实际应用价值。     

授权管理理论体系整合性基础框架构建研究

在对授权管理研究文献进行全面回顾梳理基础上,指出体系化程度不足是既有授权理论存在的关键缺陷,是导致授权理论研究停滞和实践效果不佳的症结所在。进一步提出"体系化授权"思想,初步构建一个能够更全面地涵盖授权管理分支理论、揭示授权管理过程的整合性基础框架,为授权理论和实践的进一步发展提供新的思想平台和可能的创新方向。     

一种专用数据管理系统

本文介绍了一种基于Windows NT网络的专用数据管理系统,该系统建立了有关电子文档和"电子图纸"的数据库,它可以实现对电子图档的加密存储,授权查询.用户能通过网络从系统的共享数据库中快速、灵活、安全地获得有用的信息.     

基于智能卡和数字信封的电子文档安全认证模型

设计并实现了基于PKI/CA的安全电子文档传输系统.以PKI体系作为基础,利用CA颁发的数字证书进行安全认证和文档签名,将数字证书的私钥存放于USB型智能卡中,对于电子文档首先进行对称加密,然后利用数字信封原理加密对称密钥,确保密钥传递中的安全性以及只有指定的人才能解密得到对称密钥.此系统克服了单纯使用PKI体系的不足,有效地保证了电子文档的保密性、完整性、不可否认性,同时保证了用户私钥的安全性.     

避免授权冲突的新方法的设计与分析

在访问控制系统中,授权可以确保合法用户获得请求的资派然而,不受限的授权转移可能导致访问权限的冲突.首先分析了授权冲突的产生原因和类型;然后通过扩展访问控制列表,提出了新的授权方法,给出了新的处理授权的过程;最后分析和总结了提出方法的性质.分析表明,新方法能有效地避免授权冲突并具有授权容错、授权深度管理等其他特性.     

基于角色的可信数字版权安全许可授权模型

为解决数字版权管理(DRM)仅支持静态的预先许可授权在许可控制方面无法确保被保护资源被非法使用问题,提出了基于角色的可信数字版权安全许可授权模型(rDRM),通过对DRM“主体客体条件约束权限”的定义,建立支持角色的许可授权机制,给出了版权安全许可授权、收权和迁移策略,以内容版权许可管理有限状态机实现许可状态的动态控制和许可状态管理。基于角色的rDRM许可授权模型具有很强的灵活性和易管理性,适用于具有较多用户且有着不同权限层次的授权管理,防止数字内容的非法复制和扩散。     

An improved sanitizable signature scheme

A new sanitizable signature scheme is proposed, in which the security flaw of Miyazaki＇s sanitizable signature scheme SUMI-4 is improved. The new scheme overcomes the shortcomings of the original scheme SUM1-4 by using sanitizable authorization certificates. The new scheme enables the primitive signer to limit the sanitizer＇s power and still satisfies the security request of sanitizable signature.     

基于主从许可证的多级信任版权分布式安全认证协议

为了解决当前软件版权保护措施在安全性有效性方面存在的问题，基于第三方可信中心提出了一种主从动态许可证支持的多级信任版权安全许可协议(M-CPSec)，通过特征关联、原子授权、强制收权和多级分发机制，有效地解决了软件版权的安全保护、软件资源的任意迁移、软件内容的完整保持和版权的多级分发问题．这种层次化多级版权控制结构构成一种信任传递关系，使得协议普遍适用于单用户和带有多用户的客户服务器软件版权保护．协议交互中通过数据加密和数字签名来保证分布式环境下数据的安全性、完整性以及不可否认性．协议分析证明了所提方案的可行性、安全性以及完备性．M-CPSec方案以支持客户服务器版权管理而扩展了最终用户许可协议，为软件版权保护提供了一种普遍适用的方案。     

Authorization Management Framework Based on Joint Trust-Risk Evaluation

0 Introduction Trust management[1-3] is an approach to managing authorization in distributed environ- ments. Blaze et al[1] firstly proposed the concept of trust, and took trust into consideration in au- thorizing. Probability computed via historical records is viewed as the grade of trust[4]. Trust is classified into two types: direct trust and recom- mendation trust. But modeling the subjective trust with the simple probability and expressing the integration of multi recommendation trusts b…     

一种新的数据库加密密钥管理方案

目前流行的数据库安全管理机制在很多场合下还不能满足人们对其安全保密的要求，而数据库加密是解决这一难题的一个重要途径，其中密钥的分配与管理是实现密文数据库的关键技术。作者提出了一种密文数据库系统密钥分配与管理的新方案──密钥转换表方案。严格论证了它的安全性与效率。特别是文中给出的两级转换表与以往的方案相比，具有操作简便，安全性强，运行速度快，存储空间小的特点。在此基础上实现的数据库加密管理工具达到了较为满意的结果。     

5G校园专网的安全接入和授权管理研究

校园网用户具有基数大、流动性强、分布广等特性,用户的可控安全接入和授权管理是5G专网落地校园的重点和难点。首先介绍5G校园专网安全接入和授权管控的必要性以及关键技术、组网方式、优点及应用框架,其次讨论5G校园专网的常见安全风险,并分析几种安全接入方案的优缺点,最后提出一种基于安全管控装置的安全接入和授权管理方案,并进一步结合零信任网关构造更为安全可靠的5G专网安全系统,从而实现5G校园专网用户的安全无感接入以及基于用户身份与应用级别细颗粒度的授权管控。     

一种基于查询请求授权的XML访问控制方法

在信息系统中访问控制是一种基本的安全机制,当多用户系统将XML作为数据存储方式的时候,出现了XML文档的访问控制问题,XML文档具有层次结构,对其访问可以是细粒度的,因此,可以不去访问文件全部信息而限制用户访问文件的部分信息。传统的方法在每次用户请求处理过程中都要将策略文件和数据文件进行比较,因此在数据量比较大的时候就会降低处理效率。将用户请求和策略规则进行分类,并通过比较二者的类型获得授权结果。结果表明,该方法在处理用户访问的过程中减少了访问数据的需要。     

信息系统中用户权限管理的研究

以RBAC授权模型为理论基础，提供一种信息系统权限管理的通用方法，详细分析了Power Builder开发环境下的实现过程。文中还提出了一种权限管理的编码改进方案。     

网格中通过认证密钥交换协议实现的权限管理系统

网格中的授权管理有多种结构形式,本文利用基于口令的三方认证密钥交换协议（GPAKE）,实现了基于口令的授权访问控制协议,完成用户向资源管理员提出访问请求,直至获得访问权限进行安全访问的过程．整个系统中不使用证书机制,完全基于用户口令,为用户提供了最大的使用便利．这样的系统提供的安全强度低于GSI等基于证书的架构,面临了字典攻击、猜测口令攻击等威胁,但由于系统的灵活性和便利性,可作为证书系统的补充应用于轻型网格等体系中．     

An approach for handling conflicts in authorization

Based on logic programs, authorization conflicts and resolution strategies are analyzed through the explanation of some examples on the health care sector. A resolution scheme for handling conflicts in high level authorization specification by using logic program with ordered disjunction （LPOD） is proposed. The scheme is useful for solving conflicts resulted from combining positive and negative authorization, complexity of authorization management, and less clarity of the specification. It can well specify kinds of conflicts （such as exceptional conflicts, potential conflicts）, and is based on literals and dependent contexts. Thus it is expressive and available. It is shown that authorizations based on rules LPOD is very important both in theory and practice.