基于静态分析的强制访问控制框架的正确性验证

现阶段对操作系统的强制访问控制框架的正确性验证的研究主要集中于对授权钩子放置的验证.文中基于TrustedBSD MAC框架对强制访问控制框架的正确性验证问题进行了研究,在授权钩子放置验证的基础上,提出了安全标记的完全初始化验证和完全销毁验证.为了实现上述验证,文中提出了一个路径敏感的、基于用户自定义检查规则的静态分析方法.该方法通过对集成于编译器的静态分析工具mygcc进行扩展来验证强制访问控制框架的钩子放置的准确性和完备性.该方法具有完全的路径覆盖性,且具有低的误报率和时间开销.

l-ucon: towards layered access control with ucon

IEEE; IEEE Computer Society; IEEE Technical Committee on Scalable Computing (TCSC)

a state-adaptive access control model for web-based idrs system

Huazhong Univ Sci & Technol, Natl Tech Univ Ukraine, Huazhong Normal Univ, Harbin Inst Technol, IEEE Ukraine Sect, I& M/CI Joint Chapter

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制。

操作系统强制访问控制关键技术研究

强制访问控制能有效地防止用户有意或无意地破坏系统的安全，能够有效地防止病毒和木马以用户的身份破坏系统的安全，是高安全需求操作系统的主要防护手段。业界对操作系统强制访问控制研究起步很早。然而，面对日新月异的应用场景，面对计算机系统及操作系统自身相关技术的迅猛发展，已有的针对操作系统强制访问控制的研究工作不足以兼顾安全性、可用性和灵活性。以上不足集中体现在：1) 当前广泛使用的强制访问控制机制从设计上难以同时满足实用系统对安全性和可用性的要求；2) 强制访问控制的设计缺乏对操作系统所处分布式、网络化环境的考虑；3) 操作系统强制访问控制研发保障技术需要进一步研究。 针对这些问题，本论文从强制访问控制的设计和保障出发，对操作系统强制访问控制关键技术展开研究，并取得了以下几个方面的成果： 第一：强制访问控制格策略模型机制简洁，安全性易验证，在安全操作系统和安全增强操作系统上应用广泛。然而严格地实施格策略会带来可用性的问题。本文针对机密性和完整性强制访问控制格策略模型，分别给出了可监控客体框架和Clark-Wilson可信主体特权状态跃迁监控框架。这些框架具有细的刻画粒度，好的扩展性和简洁性，我们对这些框架给出了数学描述，并对带Clark-Wilson可信主体特权状态跃迁监控框架的完整性格模型给出了理论证明； 第二：针对分布式应用环境，提出了基于可信计算技术和域型实施（Domain and Type Enforcement: DTE）策略的操作系统分布式强制访问控制方案。我们从理论上证明了策略的安全性。相比国内外同类工作，该方案具有细的访问控制粒度，在系统验证的简洁性和部署的灵活性方面是最好的； 第三：实施强制访问控制的中高等级安全操作系统的安全性需要利用形式化方法的严密性进行保证。本文按照TCSEC B2级别的要求，利用Z/EVES形式化工具对SECIMOS安全操作系统进行了形式化保障：给出了安全模型的形式化规范，给出了安全不变量和安全定理，证明了安全定理，描述了形式化安全模型与顶层设计的一致性； 第四：操作系统强制访问控制框架是强制访问控制机制在操作系统上实现的基础。本文提出了针对操作系统强制访问控制框架的自动测试用例生成方案。该方案利用编译器辅助审计代码插入，约束求解器辅助置乱参数生成，测试用例精简等技术为FreeBSD MAC框架生成了一套有效的回归测试用例套件。同时也为基于FreeBSD MAC框架的NFSARK系列安全操作系统提供了坚实的实施基础。 本文的研究成果向圆满解决当前国内操作系统强制访问控制的设计、实施和保障中遇到的问题的目标迈出了坚实的一步。

基于Biba和Clark-Wilson策略的混合强制完整性模型

商业应用需要实施完整性策略保护.Biba模型提供了一种简洁的多级完整性控制方案,但是需要引入可信主体来保证实施的可用性.而Clark-Wilson模型通过可监控的状态转换提供了一种完备的完整性保护,但其复杂性影响了该模型的完整实现.提出的模型以Biba严格完整性策略为基础,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略.对可信主体在其生命周期发生的状态转换及相应的低水标参数调整,采用Clark-Wilson模型来进行监控.在有效解决了Biba策略的可用性问题和Clark-Wilson模型监控量过大给系统带来的配置和运行负担问题的同时,继承它们的优点.证明了该策略融合方案是可行的、安全的.

基于策略的域间访问控制和信息流控制框架

随着互联网及其相关技术的发展，多域环境下的资源共享越来越普遍。域间的资源共享给域间合作带来了便利的同时也带来了安全问题。其中两个关键安全问题是跨域访问控制和跨域信息流控制。本文针对典型的跨域资源共享系统的安全需求，提出了基于策略的跨域访问控制与信息流控制框架。框架包括了授权和访问控制体系结构、授权策略模型、用于生成和维护授权策略的协议和算法、 用于表示和分析跨域信息流的信息流图和用于控制跨域信息流的机制。主要贡献具体体现在以下几个方面： 1）框架的提出使得安全互操作可以以一种无策略协调器的方式进行。在对资源共享进行控制的现有方案中， 其安全互操作都是以基于中心协调器的方式进行，存在如下问题：中心协调器会成为仲裁域间资源共享的瓶颈；有时很难找到一个可信的第三方来持有中心协调器。框架通过以一种无策略协调器的方式使得这些问题得到解决。首先，框架给出一个分布式跨域授权策略模型；根据此模型，跨域策略被分布到每个域，而每个域所保留的策略对于安全违反检测以及资源的访问判定来说是可靠的和完备的。其次，框架给出了协议和算法以在域初始建立合作时生成这样的跨域授权策略，并给出了跨域策略变更的协议和算法。其中，跨域授权策略初始建立与变更过程中的安全违反检测可以在单个域本地进行 — 也就是说, 每个域检查是否有对其自身的安全违反并引导协商以去除违反；对一个域的资源的访问判定由此域自身来确定（根据其保留的策略）。 2）框架给出了一个渐进的策略变更方案。此方案只涉及与策略变更相关的域，并且只涉及到与策略变更相关的策略。在多种情况下，变更不会带来任何安全违反或者只会带来某种类型的安全违反。如果存在任何安全违反，此安全违反也是被限定在相关策略范围内。此方案适合策略变更频繁的动态环境。 3）框架给出了一种面向多域资源共享的信息流控制方案。该方案面向采用了基于角色访问控制（RBAC）策略和单向角色映射的多域环境。方案给出了如何用信息流图来表示和分析跨域信息流的方法。根据与信息扩散相关的需求，给出域内信息安全和域间信息安全的概念。域可以定义域内和域间信息安全需求以控制信息扩散。而且给出了角色划分、角色激活上的限制、角色映射激活上的限制等措施来满足由域定义的需求。

基于可信平台的一种访问控制策略框架——TXACML

根据可信平台访问控制需求,提出一个可信平台属性分类规则,定义属性评估函数,可以实现可信平台数据安全分发和访问.同时针对XACML现有的策略合成算法不能有效满足可信平台自动方策略复合需求,设计了一个基于平台可信度的策略合成算法,该算法可以使策略的优先级和可信度保持一致,实现自动方策略复合.在此基础上,进一步对XACML实施扩展,形成可信平台策略语言框架TXACML(XACML based on trusted platform).采取TXACML对一个实例给出了策略描述和策略合成过程,验证了TXACML的有效性.

A power-saving scheme for IEEE 802.11 Ad hoc networks

In the Wireless Local Area Networks (WLANs), the terminals are often powered by battery, so the power-saving performance of the wireless network card is a very important issue. For IEEE 802.11 Ad hoc networks, a power-saving scheme is presented in Medium Access Control (MAC) layer to reduce the power consumption by allowing the nodes enter into the sleep mode, but the scheme is based on Time-Drive Scheme (TDS) whose power-saving efficiency becomes lower and lower with the network load increasing. This paper presented a novel energy-saving mechanism, called as Hybrid-Drive Scheme (HDS), which introduces into a Message.-Drive Scheme (MDS) and combines MDS with the conventional TDS. The MDS, could obtain high efficiency when the load is heavy; meanwhile the TDS has high efficiency when the network load is small. The analysis shows that the proposed HDS could obtain high energy-efficiency whether the network load is light or heavy and have higher energy-saving efficiency than conventional scheme in the IEEE 802.11 standard.

基于量化权限的门限访问控制方案

研究了在引入量化权限观点后从访问控制角度实现秘密保护的问题.元权限是从哲学上"质"和"量"的角度认识传统意义上的权限所探究出的新概念,较以往访问控制中认识和使用权限而言,它全面而深入地反映了权限这一概念的本质.进一步结合门限思想和基于角色的访问控制机制所提出的基于量化权限的门限访问控制方案,从访问控制的角度研究了秘密保护问题.在秘密保护方面,基于量化权限的门限访问控制方案具有一些独特的优点,比如分发给参与者的秘密分片和要保护的秘密无知识上的联系、可以反映出参与者信任度的差异以及运算量低.

基于属性的访问控制模型

利用受限数据库为理论对访问请求、属性权威、策略和判定过程的抽象描述，给出了一个基于属性的访问控制模型，讨论了模型中访问请求、属性权威、策略和判定过程之间的关系，给出了一个访问控制判定过程可终止的一种特定条件。

基于扩展XACML的策略管理

在XACML（extensible access control markup language）和其管理性策略草案的基础上，针对目前XACML访问控制框架的特点，提出将XACML策略管理权限判定归结为利用委托策略对一个委托判定请求的判定，使用XML（extensible markup language）模式定义了此委托判定请求语法，描述了将策略管理请求规约为一个委托判定请求的过程，以及根据委托策略进行委托判定请求的判定过程，通过这种方法可以利用委托策略，对策略管理请求是否有效进行判断，从而实现基于扩展XACML的策略管理。

一种通用访问控制管理模型

目前的访问控制管理模型都是针对某种特定的访问控制模型提出的，不能适应多访问控制模型共存于一个大型系统的情况，一个管理模型不能同时适用于多访问控制模型的主要原因是管理者管理范围定义包含了某种访问控制模型中特有的组件．通过使用各种访问控制模型中共有的主体和权限来定义管理模型中的管理范围，将管理模型与访问控制模型之间的关系抽象为一个用于计算策略相关管理范围的函数，提出了一种能够用来管理不同访问控制模型的通用访问控制管理模型，为了便于模型实际使用，在模型中引入管理空间的概念与实际组织结构相对应，形成分布式访问控制管理结构，同时模型严格区分了管理空间的直接管理者和间接管理者在管理权限上的不同，使得管理者具有一定的自治性．最后讨论了管理模型中的管理规则和语义，证明了模型的完备性，并讨论和分析了针对不同访问控制模型的policy~*算法．

一种使用组织结构的访问控制方法

大型组织的信息资源往往根据组织结构维护,其中存在大量同构的、拥有同类信息资源的单元。传统RBAC模型在这种环境下进行访问控制时需要为每个同构部分定义权限和角色。其中存在大量冗余的工作,特别在同构单元数量很多时授权管理非常困难。该文提出了一个支持组织结构的RBAC模型,模型引入了组织结构,定义了抽象的角色,通过将抽象角色与组织结构单元关联解决上述问题。还给出了模型的扩展以支持角色的使用范围限制和细粒度访问控制。