ORACLE7多级安全加密系统的设计和实现

设计并实现了一种基于ＯＲＡＣＬＥ７的多级安全加密管理系统。     

多级安全RDBMS的安全策略

讨论了计算机系统的安全策略和多级安全的概念．提出了多级安全ＲＤＢＭＳ的一种安全策略，对策略中的自主安全、多级安全和最小特权原则进行了详细的叙述．     

基于差异的多级角色授权模型研究及实现

基于角色与访问控制（RBAC）模型,提出了一种安全有效的多级角色授权（ERBAC）模型．ERBAC模型将单级角色扩展为多级角色,通过定义差异性权限,并引入优先权限分配机制,从而达到对普通权限的多级授权和对特殊权限的灵活控制．同时对模型实现给出了必要的缓存机制和加强缓存安全性的解决方法．模型在开发的统一认证授权系统中得到应用．     

数据库安全中间件(DBSAPI)研究

针对当前数据库系统数据信息安全问题提出了一种通过中间件技术设计集身份认证、访问控制、数据加密和保密传输于一体的密文数据库解决方案,即通过中间件对数据库系统加密,并将该中间件应用到数据库应用系统．     

云计算环境中的组合文档模型及其访问控制方案

针对云计算环境缺乏有效的组合文档模型及其元素分级安全保护的现状,结合多级安全思想和基于身份的加密(IBE)算法,提出了一种新的组合文档模型(ComDoc)及其访问控制方案(ICDAC)。ComDoc包含组合文档的密文部分和密钥映射部分:前者保存具有安全等级的文档元素的密文;后者保存由IBE加密的密钥映射记录密文。ICDAC依据授权用户的身份信息,利用IBE解密对应的记录后获得映射对,提取访问权限并解密授权的文档元素密文,实现组合文档元素分级安全保护的细粒度访问控制。实验结果表明:ComDoc满足云计算环境中组合文档的特征以及安全需求;在加密相同组合文档的前提下,ICDAC的密钥数量和计算开销明显优于已有方案。     

实用智能卡操作系统的设计与实现

设计了一种实用的智能卡操作系统ＭＡＸＣＯＳ，它由传输管理，安全管理，命令管理和件管理４个部分组成。章讨论了它的设计和实现原理，并着重讨论了它的安全体系，包括卡与读写设备之间的认证，对持卡人的身份认证，件访问的安全机制，安全报传输以及数据的加密和解密。     

Linux环境下访问控制列表机制的设计与实现

访问控制列表ACL(Access Control Last)是一种细粒度的自主访问控制DAC(Discretionary Access Control)技术。在Linux内核中基于框架模式设计并实现了ACL安全子系统,不仅能够为用户提供更灵活的自主访问控制,同时还与Linux内核中现有的基于文件权限位的DAC功能最大程度地兼容,避免了因引入ACL可能带来的系统兼容性问题。同时还实现了符合POSIX 1003．2c标准的API及命令行工具,便于进行安全管理和安全开发。     

基于文件过滤驱动的文档透明加解密系统原理

探讨了基于文件过滤驱动的文档透明加解密系统的原理,提出了基于证书体系的文档访问权限控制系统实现的方法。对实现文档透明加解密系统中所使用的一些关键技术进行了阐述,特别是基于证书体系的文档访问权限控制技术能够完整解决加密文档的权限访问控制需要。还对安全进程的识别以及对文件加密客户端的安全保护问题提出了规划。     

扩展的密文策略属性基加密机制

提出并描述了一种扩展的密文策略属性基加密(ECP-ABE)机制.对CP-ABE树形访问策略结构进行扩展,使其能够支持not和比较运算符表达式运算操作,显著增强了CP-ABE机制的访问控制能力.最后证明了所设计的ECP-ABE机制在标准模型下是适应性选择明文攻击(CPA)安全的,扩展的访问结构树不会给加密系统带来额外的安全问题.     

中间件技术实现B1级数据库系统的研究

针对信息安全的现实要求，基于改进的Bell—LaPadula(BLP)模型，设计了通过中间件技术实现B1级安全数据库管理系统的具体方案．主要包括强制访问控制、授权管理、安全审计和自身安全保护等功能和技术，该安全系统基本达到TCSEC标准的B1级安全要求，并已在典型的操作系统Windows NT上实现，取得了良好的应用效果．     

访问控制模型分析

在现实系统中的访问控制一般都是基于访问控制矩阵建立起来的 ,最普遍的访问控制是访问控制列表和能力模型。本文总结了访问控制在网络安全中的功能而且分析了几种访问控制模型的优缺点 ,并在我们研究的基础上提出了一种对能力模型的优化模型 ,展望了我们未来需要做的工作     

可扩展约束的基于角色访问控制策略的XML表示

通过对基于角色访问控制基本原理及约束的分析,设计了XML表达RBAC元素的方案,增强了系统表达不同策略的能力,适应分布式环境的要求. 策略的XML表示把系统管理和访问控制的实施技术分离,提高了系统开发的灵活性. 对于扩展的约束表达,采用分离的模块实施约束检查,从而实现了较好的约束可扩展性. 特定应用的访问控制系统可以根据已有的策略和现实的需求灵活定制.     

基于分级保护的OA系统应用层访问控制

本文着眼于一个涉密信息系统的建设角度，在应用层访问控制上深化分级保护的思想,并提出了合理的解决方案。系统采用C/S与B/S相结合的结构，引入主客体分级保护和部门属性，来改进基于角色的访问控制以实现用户和权限的分离、并采用管理员角色分权制衡、系统数据库的综合审计和对审计日志的分布式存储等技术手段,实现了应用层上的分级保护访问控制。这些方法充分体现了将系统访问控制环节的对象差异化，对重点对象进行重点防护和特殊对待的分级保护思想。该方法能够使目前涉密信息系统的安全性得到有效提升，充分保护其系统的安全。     

一种Internet体系结构安全性的分析方法

提出一种分析Internet体系结构安全性的方法．通过引入访问关系和访问流的概念来说明，在网络安全中传统的访问控制是一种按照一定的安全策略来约减访问关系数量的过程，在此基础上提出了一种基于真实地址和匿名地址的控制数据和应用数据的网络地址数据分类方法，并在均衡网络可管理性及开放性、安全性和用户隐私性的条件下，建立了相应的全局访问控制规则．网络安全分析表明，所提方法可以对访问关系进行大量的约减，改进访问关系安全性，从整体上提高网络安全水平．     

Data Hiding and Security for XML Database： A TRBAC-Based Approach

In order to cope with varying protection granularity levels of XML (eXtensible Markup Language) documents, we propose a TXAC (Two-level XML Access Control) framework, in which an extended TRBAC (Temporal Role-Based Access Control) approach is proposed to deal with the dynamic XML data. With different system components,TXAC algorithm evaluates access requests efficiently by appropriate access control policy in dynamic web environment. The method is a flexible and powerful security system offering a multi-level access control solution.     

基于动态协商的网格访问控制模型

为解决网格用户访问权限的全局一致性问题,基于NIST RBAC访问控制模型和网格特性,提出一种改进的动态协商访问控制模型,通过访问策略及其动态协商机制,为网格访问控制中用户对资源访问权限的全局一致性定义及自动恢复协同提供支持.测试结果表明该机制是可实现的.     

基于RBAC的网络数据库访问控制

网络数据库的安全性越来越得到重视.本文基于RBAC,给出了一种网络数据库访问控制的实现方案,加强了数据库的安全.     

一种基于SFDD的状态防火墙规则集比对方法

状态防火墙是一种新型防火墙,而传统防火墙决策图(FDD)构造算法并不适用于状态防火墙的规则集比对.本文在FDD基础上,提出一种状态防火墙决策图(SFDD)构造算法,将规则集转化成图形化的等价的SFDD,用于状态防火墙规则集比对.理论分析和仿真实验结果表明,利用SFDD构造算法进行比对,能有效检测出规则集之间的全部不同点;当状态防火墙的状态部分规则和无状态部分规则条目数量均达到3 000时,比对过程所耗费的平均时间不超过2s.