一种通用访问控制管理模型

目前的访问控制管理模型都是针对某种特定的访问控制模型提出的，不能适应多访问控制模型共存于一个大型系统的情况，一个管理模型不能同时适用于多访问控制模型的主要原因是管理者管理范围定义包含了某种访问控制模型中特有的组件．通过使用各种访问控制模型中共有的主体和权限来定义管理模型中的管理范围，将管理模型与访问控制模型之间的关系抽象为一个用于计算策略相关管理范围的函数，提出了一种能够用来管理不同访问控制模型的通用访问控制管理模型，为了便于模型实际使用，在模型中引入管理空间的概念与实际组织结构相对应，形成分布式访问控制管理结构，同时模型严格区分了管理空间的直接管理者和间接管理者在管理权限上的不同，使得管理者具有一定的自治性．最后讨论了管理模型中的管理规则和语义，证明了模型的完备性，并讨论和分析了针对不同访问控制模型的policy~*算法．

基于角色的受限委托模型

角色委托是RBAC模型需要支持的一种重要安全策略.它的主要思想是系统中的主动实体将角色委托给其他主动实体,以便以前者名义执行特定的工作.角色委托者要对委托角色的使用负责,所以对委托角色进行使用限制是整个模型的关键组成部分.目前已有一些模型扩展了RBAC模型以支持角色委托,但是这些模型对委托限制的支持非常有限.提出了角色委托限制的需求,包括临时性限制、常规角色关联性限制、部分性限制和传播限制.并且,给出了一个支持临时性限制和常规角色关联性限制的基于角色的委托模型.给出模型的形式化描述,为模型在实际环境中的应用奠定了基础.

一种使用组织结构的访问控制方法

大型组织的信息资源往往根据组织结构维护,其中存在大量同构的、拥有同类信息资源的单元。传统RBAC模型在这种环境下进行访问控制时需要为每个同构部分定义权限和角色。其中存在大量冗余的工作,特别在同构单元数量很多时授权管理非常困难。该文提出了一个支持组织结构的RBAC模型,模型引入了组织结构,定义了抽象的角色,通过将抽象角色与组织结构单元关联解决上述问题。还给出了模型的扩展以支持角色的使用范围限制和细粒度访问控制。

多安全策略访问控制的关键技术研究

在网络环境中，计算机系统面临的安全威胁是复杂的、多样的和动态变化的，因而，计算机系统的安全需求具有复杂性、多样性和动态变化性等特点。研究表明，多安全策略访问控制是应对复杂、动态安全需求的有效手段。本文对多安全策略访问控制的关键技术进行了研究，并取得了以下研究成果： 第一，对操作系统的强制访问控制框架的正确性验证进行了研究，提出了正确性验证的三个目标，给出了路径敏感的基于静态分析的正确性验证方法，对TrustedBSD MAC框架进行了正确性验证，并成功发现了多处钩子函数放置错误。 第二，对RBAC模型的安全策略的动态调整进行了研究，指出了RBAC模型在安全策略动态调整，特别是角色授权动态调整方面存在的不足，给出了基于状态的安全策略动态调整模型，并给出了基于虚拟域的安全策略动态调整模型的实现方法。 第三，对RBAC模型和Clark-Wilson模型的融合进行了研究，指出了这两个模型在大型应用的完整性保护方面存在的不足，对Clark-Wilson模型的验证规则和实施规则进行了扩展，并给出了RBAC模型和Clark-Wilson模型基于层次方法的融合。 第四，对安全策略描述框架的评价进行了研究，分析了灵活表达安全策略所需的安全策略描述组件，总结了六类典型的安全策略描述框架，提出了基于描述性和实施性评价指标的安全策略描述框架的评价方法，并对六类典型的安全策略描述框架进行了评价。 本文的研究解决了多安全策略访问控制的一些关键问题，为进一步研究多安全策略的实施、多安全策略的动态调整以及多安全策略的融合等问题奠定了理论与实践基础。

操作系统强制访问控制关键技术研究

强制访问控制能有效地防止用户有意或无意地破坏系统的安全，能够有效地防止病毒和木马以用户的身份破坏系统的安全，是高安全需求操作系统的主要防护手段。业界对操作系统强制访问控制研究起步很早。然而，面对日新月异的应用场景，面对计算机系统及操作系统自身相关技术的迅猛发展，已有的针对操作系统强制访问控制的研究工作不足以兼顾安全性、可用性和灵活性。以上不足集中体现在：1) 当前广泛使用的强制访问控制机制从设计上难以同时满足实用系统对安全性和可用性的要求；2) 强制访问控制的设计缺乏对操作系统所处分布式、网络化环境的考虑；3) 操作系统强制访问控制研发保障技术需要进一步研究。 针对这些问题，本论文从强制访问控制的设计和保障出发，对操作系统强制访问控制关键技术展开研究，并取得了以下几个方面的成果： 第一：强制访问控制格策略模型机制简洁，安全性易验证，在安全操作系统和安全增强操作系统上应用广泛。然而严格地实施格策略会带来可用性的问题。本文针对机密性和完整性强制访问控制格策略模型，分别给出了可监控客体框架和Clark-Wilson可信主体特权状态跃迁监控框架。这些框架具有细的刻画粒度，好的扩展性和简洁性，我们对这些框架给出了数学描述，并对带Clark-Wilson可信主体特权状态跃迁监控框架的完整性格模型给出了理论证明； 第二：针对分布式应用环境，提出了基于可信计算技术和域型实施（Domain and Type Enforcement: DTE）策略的操作系统分布式强制访问控制方案。我们从理论上证明了策略的安全性。相比国内外同类工作，该方案具有细的访问控制粒度，在系统验证的简洁性和部署的灵活性方面是最好的； 第三：实施强制访问控制的中高等级安全操作系统的安全性需要利用形式化方法的严密性进行保证。本文按照TCSEC B2级别的要求，利用Z/EVES形式化工具对SECIMOS安全操作系统进行了形式化保障：给出了安全模型的形式化规范，给出了安全不变量和安全定理，证明了安全定理，描述了形式化安全模型与顶层设计的一致性； 第四：操作系统强制访问控制框架是强制访问控制机制在操作系统上实现的基础。本文提出了针对操作系统强制访问控制框架的自动测试用例生成方案。该方案利用编译器辅助审计代码插入，约束求解器辅助置乱参数生成，测试用例精简等技术为FreeBSD MAC框架生成了一套有效的回归测试用例套件。同时也为基于FreeBSD MAC框架的NFSARK系列安全操作系统提供了坚实的实施基础。 本文的研究成果向圆满解决当前国内操作系统强制访问控制的设计、实施和保障中遇到的问题的目标迈出了坚实的一步。

基于线程的并发控制技术研究与应用

高效的并发控制策略可以提高系统的并行处理能力、改善交互响应时间。该文讨论了并发编程的复杂性,分析了4种基于线程的并发结构。目前,基于线程的并发控制技术已成功地应用到了分布事务监控器OnceTX中。

基于过程控制的软件质量管理

质量形成于过程.以预防为主的过程管理思想在软件产业引入了软件的工程过程、管理过程和支持过程三类基本过程,以过程为中心的软件开发、生产与质量管理是现代软件产业的时代特征.本文阐述了软件质量管理的基本原理,提出了一个基于CMM过程管理控制的软件质量管理模型及平台,帮助软件组织达到较高的成熟度水平.

协同环境下基于角色的细粒度委托限制框架

提出了基于角色的细粒度委托限制框架，将角色分为对象角色和委托角色，实现细粒度的控制。分析了三类委托限制：时间限制、禁止限制和义务限制。针对不同类型定义相应限制规则，并用于描述条件委托和受控使用，条件委托要求满足条件后执行委托操作，防止非法扩散；受控使用约束委托权限，防止权限滥用。多个委托限制规则之间可能冲突，给出了时间复杂度为O（n^2）的基于图论的一致性检测算法。

一种基于速率的发布/订阅系统的准入控制机制

提出了基于内容发布／订阅系统的一种准入控制机制RacsCBPS来保障客户端的服务质量．首先分析了基于内容发布／订阅系统中实现准入控制机制的难点，给出了RacsCBPS的基本模型，在此基础上，提出了基于覆盖关系的资源需求计算方法和以订阅分发路径为基础的准入控制算法．RacsCBPS在不影响发布／订阅系统松散耦合性的情况下，能够有效地解决因系统资源不足而导致的事件过载问题，同时为系统提供了不同的准入准则，以便在系统资源利用率和服务质量保证程度之间作出不同的权衡．最后通过实验验证了准入控制机制的有效性和相应的系统资源利用率．

P-RBAC:一种门户环境下的访问控制模型

门户能够有效地实现异构信息之间的集成与协作,并为用户提供可定制、统一且遵循规范的访问服务.然而,由于门户所具有的这些不同于普通Web应用的特性,也使得传统访问控制模型无法在门户中直接使用.提出了一种面向门户系统的访问控制模型p-RBAC.P-RBAC扩展了传统的基于角色访问控制模型,并根据行为状态进一步分为静态模型和动态模型.P-RBAC给出了静态模型和动态模型上的行为规则,提出了具体的动态权限指派和角色组织策略,从而有效地解决了门户的访问控制问题.实际的应用案例证明,P-RBAC模型能够适用于门户的访问控制,并较之传统访问控制模型更高效可行.

基于Biba和Clark-Wilson策略的混合强制完整性模型

商业应用需要实施完整性策略保护.Biba模型提供了一种简洁的多级完整性控制方案,但是需要引入可信主体来保证实施的可用性.而Clark-Wilson模型通过可监控的状态转换提供了一种完备的完整性保护,但其复杂性影响了该模型的完整实现.提出的模型以Biba严格完整性策略为基础,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略.对可信主体在其生命周期发生的状态转换及相应的低水标参数调整,采用Clark-Wilson模型来进行监控.在有效解决了Biba策略的可用性问题和Clark-Wilson模型监控量过大给系统带来的配置和运行负担问题的同时,继承它们的优点.证明了该策略融合方案是可行的、安全的.

一种面向基于属性存取的文件系统的设计与实现

基于属性的存取，对于在包含不同来源的大量文件的系统中进行有效的信息管理来说，是一种非常具有吸引力的特性。然而尽管在相当长的一段时间内其价值已广为人知，该特性的真正有实用价值的实现仍然非常之少。本文探讨了实现该特性时面临的主要挑战，以及它们是怎样在一种专为此目的设计的文件系统中，通过成功的应用各种原则而被妥善处理。

全程一致访问控制体系研究

针对系统中的访问控制体系由各种访问控制机制堆彻而成而带来的系统访问控制不一致问题,本文提出了全程一致访问控制的概念,随后给出了全程一致访问控制体系的结构、分工及准则,以指导全程一致访问控制体系的构建,然后采用了原型系统对全程一致的访问控制体系进行了验证.采用该体系,不但能有效发挥系统中各访问控制机制的优势,还能降低安全投入成本.

新型网络环境中访问控制模型的研究

随着网格、P2P、无线通信网等技术的普及和飞速发展，访问控制技术取得了长足的进步，同时也面临着巨大的挑战。如何构建安全、灵活、可扩展的访问控制模型是这种新型网络环境下访问控制技术迫切需要解决的问题。本文围绕该环境中的访问控制需求，从委托模型、基于位置的访问控制模型、P2P环境下的动态信任评估模型以及访问控制模型的形式分析四个方面，对访问控制模型研究领域出现的若干关键技术展开研究，取得了以下四个方面的主要成果：第一，在分析Bertino等人提出的一个基于周期时间的访问控制模型的基础之上，指出它虽然可以清晰地表达访问权限可适用的时间范围，但模型本身并没有对已经具有权限的用户如何使用和传播权限强加任何限制，难以实施权限委托这一安全策略。针对这一缺陷，我们讨论了用户到用户的委托访问权限的限制，对权限委托的临时性、时序依赖性和受限传播性这些约束特性进行形式化建模，给出了基于周期时间的自主委托模型PDACDM的形式化定义及其一致性证明。第二，在分析前人所做的各种上下文研究工作的基础上，借助数学的形式语言，给出了一种依赖于空间上下文的访问控制模型SC-RBAC。该模型采用层次式的位置模型给空间客体建模，采用逻辑位置表达不同粒度的位置，引入了空间角色和有效会话角色等概念，证明了层次化的空间角色集合在数学上可构建格模型以实施多级安全策略和中国墙策略，提出了3类空间限制，借鉴和改进了RBAC本身的安全属性，提出了一些新的安全不变量，证明了模型的基本安全定理，并给出了一个简单的应用实例。这一研究成果为解决无线移动网络中的访问控制问题奠定了理论基础。第三，指出了设计一个P2P环境下的信任评估模型需要考虑的主要因素，如时间因素、系统稳定性等。着重分析了P2P环境下的信任模型在识别不诚实反馈、防止恶意节点的策略性动态改变行为、计算节点间相似度、激励机制等方面的不足。给出了一个基于时间窗的动态信任评估模型TWTrust，统一考虑了信任、信誉与激励三者的关系。通过仿真试验结果证明，该模型在信任计算误差和事务失败率等性能指标上有较大提高，能较好处理恶意节点策略性动态改变行为、不诚实反馈对系统的攻击和相似度计算中的稀疏性问题。这一信任模型的提出有望简化P2P下访问控制的实施。第四，在深入分析和对比目前可用于规范和验证访问控制模型的形式化方法和证明工具的基础之上，选取了证明能力强的Isabelle证明系统对支持空间上下文的SC-RBAC模型进行了形式分析，总结了用Isabelle语言对SC-RBAC模型属性和规则进行形式规范的方法，并且研究了基于Isabelle系统证明模型规范内部一致性和正确性的实用方法。

基于PC的一种新型现场总线控制系统

PC性能的不断提高及实时操作系统内核的出现,促使了一种基于PC和现场总线的新型控制系统的诞生。由于该系统成本低,占用空间少,在联网、监控等方面有突出优点,并且PC机性能已经非常可靠,所以它可以取代传统的PLC来完成实时控制任务。为了验证系统的可行性,文章系统地介绍了这类新型控制系统的优点和整体软硬件结构,并对其中一个重要的性能指标——响应时间,进行了详细分析,然后通过一个实际系统——自动传输线系统,验证了这一控制系统的可行性。