多域应用安全互操作的授权模型

讨论了基于角色的访问控制策略在多域安全应用中的互操作问题，提出了多域应用环境下角色映射的概念，建立了一个基于角色的组合层次关系的多域授权管理模型，通过约束条件和授权步给出了跨域用户的授权访问控制策略，实现了多域环境的安全互操作．该模型不仅使授权机制易于实现，而且可以灵活地适应应用中安全需求的变化。     

P2P文件系统安全访问控制模型的研究

结合信任模型、激励机制和认证授权技术提出一种安全访问控制模型,将PGP信任模式和SPKI授权证书机制相结合,加入简单的激励机制,实现了基于信任表达和授权方式的灵活的访问控制机制,该机制在提高共享系统安全性的同时,实现了多种形式的访问控制策略.     

电力系统安全域方法研究述评

简明地综述了天津大学关于电力系统安全域方法学研究的成果．首先给出了电力系统安全域研究的推动力以及各种安全域的定义和概念．进而给出了3种实用的安全域,分别是：事故前系统注入功率空间上保证暂态稳定的实用动态安全域（PDSR）、割集功率空间上保证静态电压稳定的安全域（CVSR）和注入功率空间上保证不出现Hopf分岔的实用小扰动稳定安全域．它们是基于如下事实提出的：在工程关心的范围内,其稳定边界可用一个或少数几个超平面近似描述．这种形式的数学描述具有如下优点：便于开发计算安全域的快速方法,便于实现安全域的可视化,大大降低了计及节电注入功率不确定性时电力系统概率安全性评估的计算量,同时可使一大类电力系统最优化问题中稳定约束处理难的问题变得十分简易．基于PDSR和CVSR的研究成果,天津大学已成功地开发了综合安全域的可视化系统和电力系统概率安全监视系统,并在基于安全域的电力系统优化潮流、安全性综合控制、风险评估与优化、以及安全性定价等方面取得了令人鼓舞的成果．     

面向Hive的基于安全域的数据隔离保护框架

针对Hive数据库中的数据共享所带来的敏感信息泄漏问题,以数据分级为前提,利用基于标签的访问控制技术,提出了一种基于安全域的数据隔离保护框架(SD-DIPF)。首先,通过设计层次安全标签树划分标签级别,用来对系统中的主客体进行标识;结合分级标签阐明安全域(SD)的设计思想,对安全域及其子域进行定义以及安全性的形式化证明;最后,利用安全域对平台数据进行逻辑划分保证不同敏感级别数据的有效隔离;针对该框架对Hive数据库的适用性进行说明,并结合现有的认证机制给出了其在Hive数据库中的实现。通过实验分析验证该框架可以保障敏感数据不被非法访问,证明了本框架的可行性和安全性。     

电力系统无功静态安全域

用安全域的观点分析电力系统行为的方法,是与现在广泛使用的逐点法所不同的一种新方法。安全域的研究将导至对电力系统行为更深刻的认识,并为电力系统的运行和控制提供全新的方法论。本文主要研究建立电力系统无功静态安全域的直接法,由仿射变换的性质导出了这个域。同时提出了减小其保守性的方法。并以9结点网络为例,计算了无功静态安全域。     

一种基于多种证书的网格安全系统

与传统网络环境相比,网格环境提出了更高更广泛的安全需求.该文提出了一种新的基于多种证书的网格安全系统CertGSI.该系统通过灵活使用标识证书、属性证书、代理证书等多种不同用途的数字证书,不但可以满足网格环境下各种安全需求,而且还能提供具有良好可扩展性的灵活认证、授权及访问控制机制.详细探讨了CertGSI的安全策略、框架结构、多种证书、身份认证和访问控制.     

基于安全域的输电系统概率安全评估系统框架

针对输电系统概率安全评估问题,提出了一种基于安全域的输电系统概率安全分析系统的模型.介绍了该模型的构成、实用动态安全域和割集电压稳定域在概率安全评估中的应用,以及概率安全评估的计算步骤.该系统应用最新的安全域的研究成果,在能量管理系统数据的基础上,通过对安全域、随机潮流的计算,实现了输电系统在线概率安全评估.给出的动态和静态不安全概率指标,可用于指导运行人员进行预防性控制决策.     

PMIPv6中基于安全关联的移动网络本地轻型认证机制

针对PMIPv6域中移动网络(NEMO)提出了一种基于安全关联的本地轻型认证机制.该机制在认证、授权和计费(AAA)架构的基础上,整合身份认证和地址注册过程,采用优化的切换策略和扩展的安全关联,将切换和认证过程限定在本地PMIPv6域中.性能分析表明,该机制在实现用户和网络之间双向认证的同时能够抵抗篡改等多种攻击,有效保护地址注册信息,提升NEMO的安全性,并在计算开销和认证时延方面优于现有机制.     

Web Services环境下的校园分布式信息平台安全模型

研究了Web Services环境下校园信息化建设的安全事务解决方案.构建了基于SAML标准的单点登录框架,介绍了SAML授权组件、SAML请求组件和SAML消费组件的设计与实现,为基于Web Services的分布式应用平台下跨域的互访问提供了安全保障,为信息化校园中Web服务应用的机密性、数据完整性、身份认证提供了一种灵活的解决方案.     

基于eduroam和SDN的无线漫游认证授权技术研究

无线漫游需求日益增长并多样化,对无线漫游认证和细粒度授权机制的研究十分必要,SDN技术的出现使快速灵活地部署无线漫游细粒度授权策略变得可能.本文分析了eduroam无线漫游的认证机制和SDN网络的工作流程,搭建测试环境对eduroam认证进行了部署实践,并提出了基于SDN的eduroam细粒度授权模型.     

电子政务的安全保密策略

电子政务建设根据涉密程度可划分为三个安全域,即涉密域、非涉密域和公共服务域。涉密域,是涉及国家秘密的网络空间;非涉密域,是不涉及国家秘密,但涉及本单位、本部门或本系统工作秘密的网络空间;公共服务域,不涉及国家秘密,涉及工作秘密（隐私）和企业敏感信息的网络空间。电子政务建设离不开安全保密作后盾,安全保密建设的基础是国家信息保障体系的构筑,而国家信息保障体系建设应体现社会科学和自然科学对于“安全”概念的最佳运筹效果,这是大方向。     

基于JAAS的安全认证授权方案的实现

本文分析现有认证授权所存在的问题，及JAAS的优点，提出了基于JAAS的认证授权的实现方案，说明基于JAAS的认证授权的基本原理．经过测试和研究，该方法能够有效的改善现有的认证授权所存在的问题（如越权访问等）．     

一种面向安全SOC的可信体系结构

提出了面向安全SOC的可信体系结构,以解决其面临的诸多安全问题,可信体系结构的核心是安全域划分和安全审核硬件单元.安全域包括可信基、安全OS、可信应用以及非可信应用,各不同安全域具有静态和动态隔离性;安全SOC中的安全规则最终由安全审核单元在硬件层面来保障.在可信体系结构基础上,讨论了怎样进行安全扩展以获得更全面的安全性,即抗旁路攻击、物理攻击、防止芯片被复制伪造以及因被盗而造成安全危害.     

一种灵活的基于权限划分的授权代理模型

针对传统授权代理模型灵活性较低、结构复杂等问题,在基于权限代理模型的基础上,提出一种改进的授权代理模型灵活的基于权限划分的授权代理模型.该模型使用划分权限方法代替划分角色,将所有权限划分为3个集合:可代理权限集、半可代理权限集和不可代理权限集,实现了特定权限代理并简化了模型结构.实验结果表明,该模型在保证系统安全性的同时,使授权代理的实现和管理更简单、灵活。     

空管信息系统安全域划分机制研究

受社会刚性需求推进,可以预见在当前乃至今后很长一段时期内航班的数量都会呈现飞速增加的态势,在这一背景下空管信息系统将面临日益严峻的挑战。空管信息系统的安全已成为空管局信息安全管理的潜在隐患。探索了空管信息系统安全域划分机制,通过对管理权限进行划分,对管理主体安全域的归属和资源类型的划定,能在一定程度上降低因误操作或黑客攻击带来的对信息系统的破坏。     

基于PBDM划分权限的授权代理模型

在PBDM授权代理模型的基础上, 提出一种新的授权代理模型PBDM P, 将角色划分为常规角色、 私有角色和临时代理角色, 将权限划分为可代理权限和不可代理权限. PBDM P通过划分角色和权限实现了用户 用户授权代理、 角色 角色授权代理, 从而有效解决了角色名空间爆炸和空角色等问题, 保证了系统的安全访问, 使授权代理更灵活.     

研究生信息平台中权限管理的设计与实现

认证与授权是保障软件系统中数据与服务安全的重要机制.在研发下一代华东师范大学研究生院信息管理系统的过程中,针对新的业务需求(如学籍异动管理和预毕结业审核等流程审批管理),设计了一种基于访问域模型的权限管理模块,结合Spring Security组件实现了一种多层级、可配置、高性能的权限拦截器,有效地解决了用户认证与授权问题.该权限管理模块在实际使用中不会给Web服务请求带来响应延迟问题,能够防御常见的网络攻击(如会话攻击或跨域请求伪造),而且可以灵活地满足华东师范大学各个院系和职能部门在使用研究生院信息平台过程中经常发生的用户授权变更需求.     

山西省电子政务外网安全保障体系研究

安全保障体系建设是政务外网运行的保障,是电子政务外网建设的重要组成部分。本文就山西省政务外网安全体系的需求分析、风险分析、安全域划分、安全策略与建议进行探讨和分析,提出了原则性的电子政务外网安全保障体系方案。     

一种轻量级的Web跨域认证与数据共享方案

目的研究适用于中小型Web环境的轻量级的跨域认证与数据共享系统.方法在Web环境中,基于标准的HTTP协议,实现了简单的单点登录机制,使得用户在一个域中,通过身份认证与账号授权的方式,就能够同时访问多个域的私有数据.结果与Oauth等协议相比,轻量级的Web跨域认证与数据共享方案中的协议是一个更加轻量级的协议.在客户端,充分利用了Web浏览器的URL重定向、cookie和缓存等技术;而在服务端,它仅仅依赖于简单的对称加密、身份认证和数据存储等技术.结论轻量级的Web跨域认证与数据共享方案具有简单、高效和灵活等优点,并且开发、部署和维护成本都比较低,适用于对安全性要求不太高的中小型Web应用系统.     

基于SOA的企业应用跨安全域访问控制

在集团型企业应用系统集成中采用SOA架构,可以很好地适应系统异构和分布的特点,却使整个系统面临新的安全挑战。为解决SOA架构下的安全问题,该文提出了一种企业应用跨安全域访问控制方案。其核心思想是,在传统SOA实现模型的基础上,建立一个基于代理的统一服务认证授权系统,对分布式企业服务总线上的服务资源进行共享管理和访问控制,保证系统跨安全域访问的安全可靠。在某集团型企业信息化建设中,该方案能有效提高系统的安全性、可扩展性和可变更性,初步显示了良好的应用价值。