检索结果-内蒙古大学图书馆

作者：葛维进中国科学院研究生院

学位级别：博士

访问控制技术是信息系统安全的重要保障，在SOA架构及云服务日渐成为主流的今天，目前基于角色的访问控制技术难以适应跨域的访问控制要求。XACML标准中提出了基于属性的基本访问控制模型，但如何确保自身敏感属性和策略不被未知的对方... 详细信息

访问控制技术是信息系统安全的重要保障，在SOA架构及云服务日渐成为主流的今天，目前基于角色的访问控制技术难以适应跨域的访问控制要求。XACML标准中提出了基于属性的基本访问控制模型，但如何确保自身敏感属性和策略不被未知的对方侵犯和攻击、如何保证系统对合法用户提供高效的授权和相应的服务，是当前访问控制研究需要进一步解决的问题。\n 跨域访问控制自动信任协商通过属性证书、访问控制策略的交互披露控制，资源的请求方和提供方自动建立某种信任关系，实现了对敏感信息的策略性保护。隐藏证书技术能解决属性证书和访问控制策略的交叉保护问题，本文将隐藏证书技术和现存的XACML标准、Web-Security协议簇、基于属性的加密体系相结合，开展了基于主客体代理敏感属性保护的访问控制技术研究，采用基于身份的加密技术，降低了网络开销，减少了证书使用频度。本文的主要成果如下:\n (1)提出了基于隐藏证书的XACML访问控制扩展模型:现有的XACML访问控制模型没有涉及对主客体代理敏感属性及敏感策略的保护。针对这一问题，本文提出了利用隐藏证书技术来扩展XACML访问控制模型，以完成对交互双方敏感属性及策略的保护，从而实现了基于XACML访问控制模型的自动信任协商。并探讨了使用XACML标准进行敏感策略的组织及描述的方法，分析了扩展模型对三种分布式攻击方法的抵御能力。\n (2)提出了基于属性加密的隐藏证书扩展模型:针对当前的隐藏证书无法实现一对多的信息传输、在加解密时对交互双方的身份信息不具备容错功能等问题，本文提出了基于属性加密的隐藏证书扩展模型，在信任协商过程中保留了原隐藏证书技术对于证书、资源和策略的隐藏保护功能，利用基于属性集证书的加解密提升了交互双方的信息安全级别，在属性集证书发放过程中采用随机二项式选择，提升了不同用户抗共谋破解密文的能力。\n (3)提出了基于属性树结构的分层隐藏证书模型:结合属性树结构及分层IBE加密机制，提出了基于属性树结构的分层隐藏证书模型，使用属性树来组织属性信息，采用策略树对属性树进行分层保护，利用分层的隐藏证书来携带并传递会话双方交换的证书、访问控制策略、资源等信息。在保护了主客体代理的敏感信息的同时，采用属性树的形式来组织原本无序的属性集合，降低了基于属性访问控制策略决策的复杂性，提高了隐藏证书系统和基于属性的访问控制模型的可用性和可扩展性。\n (4)给出了隐藏证书扩展模型的应用分析:提出了基于身份的加密体系和Web安全体系的融合方式，采用基于属性的隐藏证书扩展技术对敏感信息进行二次加密或预加密，在不影响信息流交互过程的同时，实现了对敏感属性的保护。针对典型访问控制场景，分析了基于隐藏证书扩展技术和PKI技术在实现过程上的差别，并对两种实现方式在交互次数、网络损耗、工作时延等方面进行了详细的对比分析。

关键词：敏感属性保护属性树隐藏证书 XACML扩展模型信任协商

来源：评论

学校读者我要写书评

暂无评论

用于敏感属性保护的(θ,k)-匿名模型

引用

郑州大学学报（理学版） 2019年第3期51卷 42-47页

作者：程楠楠刘树波熊星星蔡朝晖张家浩武汉大学计算机学院

提出一种(θ,k)-匿名模型,通过对记录进行语义分析确定敏感属性值的相似或相异性,将一个确定了k值的等价类分成θ组,使记录在组内保持敏感属性值相似,在组间保持敏感属性值相异,并采用距离度量方法划分等价类.实验结果表明,(θ,k)-匿名... 详细信息

提出一种(θ,k)-匿名模型,通过对记录进行语义分析确定敏感属性值的相似或相异性,将一个确定了k值的等价类分成θ组,使记录在组内保持敏感属性值相似,在组间保持敏感属性值相异,并采用距离度量方法划分等价类.实验结果表明,(θ,k)-匿名模型可以在较低的信息损失下,同时抵制背景知识与相似性双重攻击.

关键词：敏感属性保护 (θ,k)-匿名模型距离度量

来源：评论

学校读者我要写书评

暂无评论

自动信任协商中敏感属性保护技术探究

引用

晋中学院学报 2015年第3期32卷 87-89,124页

作者：韩莉晋中学院信息技术与工程学院山西晋中030619

网络已经走进千家万户,在网络高度开放的时代背景下,如何在保证陌生用户隐私的基础上完成资源共享,是相关工作人员正在研究的热点问题,同时也是难点问题.自动信任协商正是在此背景下产生的一种新研究思路,但是从当前我国自动信任协商系... 详细信息

网络已经走进千家万户,在网络高度开放的时代背景下,如何在保证陌生用户隐私的基础上完成资源共享,是相关工作人员正在研究的热点问题,同时也是难点问题.自动信任协商正是在此背景下产生的一种新研究思路,但是从当前我国自动信任协商系统的发展情况来看,自动信任协商会将用户所拥有的敏感证书和受控共享资源视为同等资源,全部都通过访问控制策略对其进行保护,该保护方式不仅会增加协商量,而且协商成功率也并不理想.从当前自动信任协商系统对敏感属性进行保护的基本工作方式入手,针对其中比较关键的细粒度问题进行详细分析,提出如何完善自动信任协商敏感属性保护,提升敏感数据保护质量.

关键词：自动信任协商敏感属性保护保护技术

来源：评论

学校读者我要写书评

暂无评论

基于属性访问控制中的敏感属性保护研究

引用

湖北教育学院学报 2006年第8期23卷 29-32页

作者：沈海波湖北教育学院计算机科学与工程系武汉430074

在象Internet这样的开放系统中,基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更显优越性,但容易造成敏感属性的暴露问题。自动信任协商(ATN)技术正好能解决这一问题。本文分析和研究了ABAC ATN系统中如何使用属性确认策略和... 详细信息

在象Internet这样的开放系统中,基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更显优越性,但容易造成敏感属性的暴露问题。自动信任协商(ATN)技术正好能解决这一问题。本文分析和研究了ABAC ATN系统中如何使用属性确认策略和信任目标图协议建立资源请求者和资源提供商之间的信任关系,保护请求者的敏感属性和隐私,并讨论了相关的安全问题。

关键词：基于属性的访问控制自动信任协商凭证敏感属性保护访问控制机制 Internet

来源：评论

学校读者我要写书评

暂无评论

SOA中保护敏感属性的服务发现研究

引用

计算机工程与设计 2011年第12期32卷 3976-3979页

作者：吕志国徐开勇余洋解放军信息工程大学电子技术学院河南郑州450004

在面向服务的架构中,服务描述在服务发现的过程中会暴露与服务相关的重要信息,为了避免敏感信息的泄露,根据服务发现的特点,把原模型中集中管理的服务注册信息划分成两种类型的服务描述,分步实现服务的发现过程。应用与改进EQ-OCBE协议... 详细信息

在面向服务的架构中,服务描述在服务发现的过程中会暴露与服务相关的重要信息,为了避免敏感信息的泄露,根据服务发现的特点,把原模型中集中管理的服务注册信息划分成两种类型的服务描述,分步实现服务的发现过程。应用与改进EQ-OCBE协议有效防止攻击者对服务描述进行数据分析和数据挖掘,达到保护提供者与请求者的敏感信息的目的,提高了服务发现过程中的安全性。

关键词：面向服务的架构服务描述服务发现敏感属性保护 EQ-OCBE协议

来源：评论

学校读者我要写书评

暂无评论

多域环境下的授权管理模型研究

多域环境下的授权管理模型研究

引用

作者：廖俊国华中科技大学

学位级别：博士

在信息时代,资源的有效访问和合理保护是影响系统安全的关键因素之一。访问控制是控制资源访问和保护资源的重要措施,授权管理是访问控制的核心。随着计算机网络技术的飞速发展和计算机应用范围的不断扩张,多域环境下的授权管理成为访... 详细信息

在信息时代,资源的有效访问和合理保护是影响系统安全的关键因素之一。访问控制是控制资源访问和保护资源的重要措施,授权管理是访问控制的核心。随着计算机网络技术的飞速发展和计算机应用范围的不断扩张,多域环境下的授权管理成为访问控制领域的研究热点。尽管很多学者对授权管理开展了大量的研究工作,取得了丰硕的成果。但是仍存在一些问题有待解决,值得进一步的深入研究。在单个管理域环境下,基于角色的访问控制得到了广泛的应用。但是,在RBAC模型中,用户无法获得角色的部分权限,高级角色无法继承低级角色的部分权限。对RBAC模型进行扩充,提出了一种细粒度的基于角色的访问控制模型-FGRBAC模型,讨论了在FGRBAC模型中求角色的权限和用户的权限的算法。FGRBAC模型在RBAC模型中添加了“权限的重要性程度”要素,在权限-角色分配、用户-角色分配和角色层次关系中设置权限的重要性程度约束条件,从而实现了细粒度的基于角色的授权管理。RBAC模型是FGRBAC模型的一种特例,因而,FGRBAC模型比RBAC模型的灵活性更好,适应范围更广。 IRBAC 2000模型通过动态角色转换为两个管理域间的安全互操作提供了一种灵活的策略框架。RBAC模型直接支持三个基本的安全原则:职责分离、最少权限和数据抽象。IRBAC 2000模型的每个管理域均采用RBAC模型,因而,动态角色转换也应该支持三个基本的安全原则。详细分析了动态角色转换违背职责分离和最少权限原则的各种情形,给出了判断动态角色转换是否违背职责分离和最少权限原则的算法,提出了使用先决条件来防止动态角色转换违背职责分离和最少权限原则的保护机制。在IRBAC 2000模型中,动态角色转换是通过关联来实现的,因而,关联的管理和优化是十分重要的。分析了在IRBAC 2000模型中出现冗余关联的各种情形,给出了IRBAC 2000模型是否存在冗余关联的判定算法和防止冗余关联的先决条件。通过在IRBAC 2000模型中设置先决条件,不仅加强了IRBAC 2000模型的安全性,而且提高了动态角色转换的效率,减轻了系统安全员的管理负担。在多个管理域环境下,dRBAC模型利用委托机制实现了动态结盟环境下跨越多个管理域的授权。但是,dRBAC模型存在一些不足:委托的深度没有得到控制,角色的隐式提升,职责分离的违背,委托链的循环等。在dRBAC模型的指派委托中设置值属性来控制委托的深度;提出了判断角色隐式提升和违背职责分离的算法;给出了一种防止循环搜索的委托链查找算法。从而提高了dRBAC模型的安全性和实用性。现有的信任管理系统不能定量地表达实体之间的信任关系,而且信任的传递没有得到较好的控制,不能满足现实世界对授权管理的要求。针对这些问题,提出了一种基于信任度的授权委托模型-TBAD模型。详细介绍了TBAD模型的组成要素,分析了信任度的传递计算应遵循的原则,并根据实体的信任度来控制委托的传递,探讨了证书链的前向、后向和双向搜索算法,TBAD模型支持超时回收和发布者回收两种证书回收方式。TBAD模型使用信任度来定量地表达实体之间的信任关系,并以一种简单的方式对委托的传递进行了有效的控制。近年来,隐私保护问题越来越受到人们的关注。在开放环境下,大部分授权管理都是基于证书的,证书中往往含有证书持有者的敏感信息。保护证书中的敏感信息成为多域环境下授权管理的一个研究热点。自动信任协商为敏感证书的保护提供了一种手段。但是,在自动信任协商中,证书作为一个整体被使用,缺乏一定的灵活性,证书持有者不能有选择性地披露证书中的敏感信息。因此,提出了一种新的证书中敏感信息的保护方案-SDSA方案。详细介绍了SDSA方案的具体步骤,并证明了SDSA方案的安全性。SDSA方案不仅能够有选择性地披露证书中的敏感信息,而且密钥管理简单、不需要可信第三方的参与。因此,SDSA方案具有灵活性好、安全可靠、易于实现等优点。

关键词：访问控制授权角色动态角色转换委托信任协商敏感属性保护

来源：评论

学校读者我要写书评

暂无评论

Web服务环境下单点登录与访问控制研究

Web服务环境下单点登录与访问控制研究

引用

作者：张慧中南大学

学位级别：硕士

面向服务计算(Service-Oriented Computing,SOC)是一种新型的计算模式,它把服务作为基本的组件来支持快速、低成本和简单的分布式甚至异构环境的应用组合。Web服务技术是基于SOC概念当前最有前景的技术,它具有松耦合、平台无关、异构、... 详细信息

面向服务计算(Service-Oriented Computing,SOC)是一种新型的计算模式,它把服务作为基本的组件来支持快速、低成本和简单的分布式甚至异构环境的应用组合。Web服务技术是基于SOC概念当前最有前景的技术,它具有松耦合、平台无关、异构、跨域、动态变化等特征,可以很好的适用于SOC环境。但Web服务还有许多安全挑战未解决,比如单点登录和访问控制这两个安全领域非常重要的问题。用户在访问跨域的服务时,由于目标服务对其身份是不可知的,所以无法进行验证。传统的一些单点登录方法也不适用于Web服务环境。与单点登录类似,访问控制系统由于无法确定用户的身份,也就无法定义用户的角色与权限,同时业务需求的快速变化也使得传统的访问控制方法在管理的扩展性和控制的粒度上无法适应Web服务环境。这些问题使得访问控制系统无法对资源进行合理的保护,防止未授权的用户非法访问资源。目前Web服务的安全已成为阻碍其发展的重要因素之一。本文在分析了Web服务安全相关技术与规范的基础上,从三个方面对Web服务安全做了研究:提出了一种基于SAML的Web服务单点登录模型,使得服务可以基于SAML断言来对跨域未知用户进行验证,给出了模型的两种实现模式,对组合服务的单点登录做了研究,并对模型的安全性进行了分析;提出了一种具有协商机制的基于属性的Web服务访问控制模型Nego-ABAC,它基于用户、环境、资源的属性来进行访问控制的评估,弥补了基于身份、角色的访问控制的缺陷,解决了对跨域未知用户的访问控制问题,引入协商机制,使得访问控制具有更强的自治性;提出了一种基于信任级别和协商机制的Web服务环境下用户敏感属性保护模型,在基于属性的访问控制系统中,由于用户提供的是属性,而这些属性中有的是敏感的,所以必须要加于保护,不能泄漏给任意服务提供者方,所以文中提出通过信任级别的比较和服务提供者的身份属性的验证协商过程,来披露敏感属性。最后基于上述三个方面,设计了一个可扩展的Web服务安全系统原型EWSSSystem。综上所述,本文的工作针对目前Web服务安全中几个关键问题提出了有效地解决方案,对于推进Web服务安全技术的发展具有一定的理论价值和应用价值。

关键词：面向服务计算 Web服务服务安全单点登录访问控制敏感属性保护

来源：评论

学校读者我要写书评

暂无评论

面向服务环境中基于属性和协商机制的访问控制研究及应用

面向服务环境中基于属性和协商机制的访问控制研究及应用

引用

作者：曾骏重庆大学

学位级别：硕士

随着面向服务架构(Service-Oriented Architecture,SOA)被越来越多地运用于大型企业中,其访问授权问题也越来越受到关注。由于面向服务环境中无法确定用户身份,传统访问控制难以通过定义用户的角色和权限来进行访问授权。同时随着业务... 详细信息

随着面向服务架构(Service-Oriented Architecture,SOA)被越来越多地运用于大型企业中,其访问授权问题也越来越受到关注。由于面向服务环境中无法确定用户身份,传统访问控制难以通过定义用户的角色和权限来进行访问授权。同时随着业务需求不断变化,传统访问控制不利于系统扩展和更新,因此并不适合具有分布性、异构性和动态性特征的面向服务环境。本文结合国家“十一五”科技支撑计划课题“勘察设计企业信息化关键技术研究与应用”的子课题“基于SOA技术的勘察设计企业应用软件架构系统”,针对面向服务环境中的访问控制问题,在研究面向服务环境和传统访问控制相关技术的基础之上,提出适合面向服务环境基于属性和协商机制的访问控制。使用安全声明标记语言(Security Assertion Markup Language,SAML)实现访问控制中的单点登录和属性断言,并使用可扩展的访问控制标记语言(eXtensible Access Control Markup Language, XACML)实现基于属性和协商的访问授权,实现了基于属性和协商机制的访问控制原型系统。并将原型系统应用于基于SOA的勘察设计企业应用软件架构系统中。本文完成的主要工作如下: ①分析面向服务环境以及传统访问控制模型的特点,对比分析传统访问控制模型的不足以及适用的场景。 ②研究基于属性的访问控制(Attribute-Based Access Control, ABAC)的访问授权方式,针对面向服务环境的特点对原有的ABAC模型进行改进。分析改进后的ABAC模型在面向服务环境下的优势。 ③研究ABAC中的协商机制,在改进后的ABAC的基础上提出了基于属性和协商机制的访问控制框架,并对协商机制中用户敏感属性的保护进行研究,最后将改进后的ABAC与原有的ABAC进行对比分析。 ④设计并实现面向服务环境中基于属性和协商机制访问控制原型系统,采用SAML实现单点登录及用户属性断言,采用XACML实现基于属性和协商机制的访问授权,并实现对用户敏感属性的保护功能。 ⑤在基于SOA的勘察设计企业应用软件架构系统中对基于属性和协商机制的访问控制原型系统进行部署和应用,并对访问授权进行测试,结合测试结果对应用情况进行分析。

关键词：面向服务访问控制协商机制敏感属性保护策略

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：