安全访问策略论文

2024-12-25

安全访问策略论文（精选12篇）

安全访问策略论文篇1

摘要：远程代码可能对本地系统造成危害,代码访问安全控制日显重要。从主机角度对基于沙盒的代码访问安全性控制进行了研究,分析了沙盒的原理和实现安全控制的机制。从代码编写者角度对通用的安全的代码访问策略进行了列举和分析,有助于提高远程代码的安全性和适用性。

关键词：信息安全,远程代码,代码访问安全,沙盒

1 代码访问的安全问题

随着网络技术的发展,现在的计算机应用越来越大量使用着来自远程的未知主机的代码,包括嵌入在邮件、文档或是从网络下载的多媒体数据中的代码,这也为恶意代码的传播拓宽了途径,带来了越来越多的安全方面的问题。恶意代码可能会分析窃取系统信息,或者通过写内存导致系统崩溃,甚至还可以修改、删除用户个人文件。

大多数系统提供的安全机制仅是基于用户的登陆及对部分文件和目录的保护,无法防范恶意代码在授权用户不能察觉时运行。更严格的安全机制针是对代码本身展开分析,阻止不安全代码的执行。具有广泛实用性的系统应该允许未知主机的代码在本地运行,不需建立身份认证,而只需建立安全的代码检查与资源保护机制[1,2]。

2 基于沙盒的代码访问安全性控制

2.1 沙盒模型

沙盒(sandbox)主要用于为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验环境,可以使用沙盒运行下载到计算机上的部分受信任的应用程序partial-trust Web application,也可以使用沙盒测试将分发的、将在部分受信任的环境(例如Intranet)中运行的应用程序[3]。沙盒技术的原理是限制授予应用程序的代码访问权限,并通过重定向把程序生成和修改的文件定向到受控制的特定路径中。当某个程序试图发挥作用时,系统的安全控制部件先让它在沙盒中运行,如果该程序含有恶意行为,则禁止程序的进一步运行,以此限制其对真实系统造成危害。

2.2 沙盒的实现和验证的对象

沙盒模式为不可信代码提供了一个受限的运行环境,沙盒主机将为指定代码特别分配代码地址,使其操作严格局限于沙盒中。实现沙盒有两种方法:1)插入对地址进行条件检查的操作,如果地址非法则产生异常;2)简单覆盖对应沙盒地址的高比特位,使沙盒内的内容失效。第一种方法更适合调试,而第二种方法系统开销小一些。当然,为充分测试程序,沙盒会模拟系统为程序授权,例如,浏览器下载的控件使用Internet权限集运行,局域网共享上的应用程序使用Local Intranet权限集运行[4]。

系统为沙盒设置了安全事件管理器,以确定沙盒验证的对象,对具备特征的远程代码的操作实施允许或禁止。在代码试图执行包含风险的操作时,沙盒首先向安全管理器询问此操作是否获许,只有获得准许才能执行,否则,将产生一个安全异常并向控制器报告出错信息。一般地,安全管理器认为如下操作是包含风险的:对本地文件的读写;执行操作系统命令或本地代码;载入一个直接调用本地方法的新的动态库;与远程主机的机器建立连接;新建进程等。安全管理器在启动时载入,在沙盒的运行过程中,它不能被扩展、重载或替代。

2.3 代码访问安全性控制

代码访问安全性控制(code access security,CAS)是基于沙盒的代码信任机制。CAS根据代码来源或代码特征标识对代码实施分级信任,并动态降低某些充分信任代码(fully-trusted code)拥有的不必要的高权限,减少系统风险。在面临恶意代码的攻击时,CAS可充分抵御攻击造成的危害。CAS在系统的运行时环境(runtime environment)实施安全策略,根据受检代码的安全性鉴定,进行相应的许可授权;如发现恶意代码则终止之。

3 安全的代码访问策略

主机系统利用沙盒检测和排除不安全的代码对系统造成的威胁,另一方面,代码开发者也应该熟悉通用的安全策略,才能开发出既广泛适用又安全可靠的代码。以下列举一些通用的代码访问的安全策略。

3.1 类型安全

类型安全指代码只访问被授权的系统资源。例如,只用定义完善的公共接口访问对象,而不去读取其他对象的私有字段值。在Java语言的即时编译阶段(JIT),编译器的验证过程要实时检查将编译为本机代码的方法和元数据,而Microsoft.NET的中间语言(MSIL)的编译阶段也将验证代码是否为类型安全的,除非代码具有忽略验证的特权。

类型安全在程序集隔离和强制安全性中起着至关重要的作用。程序集隔离有助于确保程序集之间不会传播负面影响,且通过降低模块耦合可提高应用程序的可移植性。如果代码不是类型安全的,则可能会出现越界访问,其副作用是为恶意程序提供了入侵的途径,危害到主机的系统安全。

3.2 语法安全

使用定义完善的语法机制,如基于属性的声明式调用(Declarative calls)和基于新建对象的强制式调用(imperative calls),与运行时的系统安全特性实现交互。

在代码中,许可请求和所有其它形式的声明式安全是作为定置属性被指定的,因此声明式调用可以使程序员直接在组合代码的元数据中为组合指定安全需求。例如,声明式安全可用于类的调用者在调用类的方法前检查该方法是否是被信任的主机或服务签名的。强制式调用是直接在代码中实现的,程序员可根据安全堆栈的状态决定对当前方法给予或拒绝许可。例如,当一个方法请求访问一个特定的文件时,如果调用者没有被授予必需的许可权限,那么请求失败。因为强制式安全是通过程序实现的,所以可满足系统安全的动态需求,如对一个特定文件的访问权限可根据其它系统信息的变化,通过代码实现动态授权。

3.3 为代码访问声明请求

远程代码应在组件作用域内,明确声明运行时所需的许可。通过此声明,代码在装载入内存时,运行时环境将首先评估其许可请求,并基于安全策略决定组件可获得何种级别的许可授权,本地安全策略将最终决定远程代码所能获得授予的最大许可。请求本身不应使运行时环境为代码提供过高的访问权限;另一方面,访问请求应更着重于说明何种访问是应被拒绝的,以免被恶意代码间接利用。

3.4 使用安全类库

安全类库(Secure Class Libraries)定义了CAS指定的代码访问的权限。程序员需要了解各类操作所需的权限并在代码中提出合适的请求。安全类库还规定了其他库函数的安全需求,包括库的调用者在访问库所定义的资源时必须具备何种许可。例如,某库中有一个需要创建文件的方法,则安全的类库实现了对方法的调用者是否具有创建文件的权限的检查。即使本地方法的代码是可信的,安全类库还会进一步检查本地方法的调用者的权限。

使用安全类库无法减少程序员在书写代码时犯错的可能性,但如果程序员要访问受保护的系统资源,利用安全类库对潜在的安全问题的严格控制和预防措施,将可有效降低应用程序的安全风险。

4 结束语

远程代码可能对本地系统造成危害。从代码执行主机角度考虑,利用基于沙盒的代码访问安全性控制,在可控范围内测试代码,可有效对抗恶意代码的攻击。从代码编写者角度考虑,为配合主机安全策略,应使用安全的代码访问原则来开发程序,提高程序的安全性和适用性。随着远程代码应用的多样化和技术更新,其带来安全隐忧一直未得到完善的解决,代码访问安全控制的优化和综合应用的研究将是一个持续发展的过程。

参考文献

[1]张燕,吴星.恶意代码及防护技术探讨[J].电脑与信息技术,2006,12:81-84.

[2]吴建刚,鲁士文.针对恶意代码的行为阻断方法研究[J].微电子学与计算机,2004,21(2):78-80.

[3]王洋,王钦.沙盒安全技术的发展研究[J].软件导刊,2009,8:152-153.

[4]孙瑞嘉.为Web服务访问控制构建沙盒模型[J].微计算机信息,2006,6:44-46.

安全访问策略论文篇2

第1章. 前言

+ 提高网站访问量是一个长期的工作。

+ 提高网站访问量需要针对某个具体的访问群体。

+ 提高网站访问量需要毫不停顿的改善网站。

为了加深对本篇文章的认识，本人以vjob网站为例并以网易免费统计来阐述。

第2章. 评估现时的访问量

(一)我们必须评估现在的访问量，对月、周、日、小时、综合访问统计、综合排名进行分析。

1、现时的访问量

2、一般的月访问统计的数据

3、一般的小时访问统计的数据

4、一般的综合访问统计的数据

(1)浏览器使用统计

(2)操作系统使用统计

(3)最近访问者来路统计

(4)综合排名

(二)流量分析

通过月、周、日，我们可以清晰地分析出一年中哪几个月、一周中哪几天、一日中哪些时段访问量较大，针对这些访问量较大的时间，我们可以对网站更新、上传做相应的布署;如通过对网站的每月访问总量统计可知：七、八、九月份访问量较大，即下半年的访问量远远高于上半年，其原因是学生毕业、实习均在下半年，他们通过这一时期在网站上寻找工作。网站可以在每年的下半年酝酿一次针对学生为对象的改版;如通过网站的周访问统计可知：周六周日的访问量较小，而周一至周五访问量平均，若再联系小时访问统计，9：00至于18：00之间的访问量最大，19：00至23：00的访问量次之，我们不妨得出以下猜测：访问者利用工作时间上网站，晚上学生上网站较为普遍;如通过综合统计可知，访问者使用IE占总数的96.99%，网站在界面兼容性上可主要考虑IE;如通过最近访问者来路统计可知，访问者多为熟客，白天直接访问本站，......

一般情况下，一个站点的流量由两部分组成，一部分为固定的访客，另一部分是新的访客。固定的访客是站点流量固定增加的保证，而新的访客是站点流量随时增加的保证。一般来说，固定访客的来源是“收藏夹”，也就是访客把您的网站作上了标记，以便下次的访问。而新的访客就会来自网络的四面八方了，最有可能的是：1、其它站点(163169)的连接，2、在搜索引擎(Yahoo、Sohu)搜索到的。总之，考虑访客来自那里，可以确定自己的宣传策略是否成功。

过去，想知道自己站点客源的分布是件不可能的事情，而随着相关免费服务的推出，使得我们可以随时了解站点的访问情况。目前国内两大流量分析站点网易和Topcn都能提供相关的服务，但因为设置的不同，使得两个站点在分析同一个站点时，发生结果相差很远的情况。所以，当我们在选择国内此类服务时，最好再申请一个国外同样的服务，这样，结果相对来说正确些。

流量分析服务能让我们确定访客是如何找到您的网站的，而另外的访客为什么没有找到您的网站。比如，当我们把站点登陆到搜索引擎后，通过分析没有发现访客来自那里，那么你要确定自己的站点是否成功的列在搜索引擎目录里。如果发现没有，那么我们就可以重新进行登记。

以上的分析使我们对本网站的访问量、访问群体做出科学地评估，使我们能够清楚的了解是哪些人访问我们的网站，他们多在什么时间，在什么地方，通过什么途径来访问。通过这些流量分析是我们开展提高网站访问量工作的第一步，决不能省略的第一步!

第3章. 提高访问量的策略

这是每个网站都关心的焦点，同时也是最难解决的问题。要解决这个问题需要经验，更需要尝试!在全球的每时每刻，无数个网站经营者都在为之努力地去作尝试，但是非常遗憾，失败的个案却占了绝大部分!因为总有人走在我们的前面，他们的成功可能是偶然的，但更多是他们不停的实践任何的想法。即使失败，一些经验就会被积累。而成功有时来自那些经验，所以，我们不妨试试去作些探讨。

(一)改进现在网站

主页的设计需要一些技术，而更多的是对整个Internet的了解，即使我们投入了非常大的精力，那也不一定就可以有相等程度的回报。所以我们要努力改造现有网站，使得它产生更多吸引力——我更喜欢称之为“粘贴力”，而这又是提高访问量的关键，不好的站点，没有人会喜欢。所以当我们决定要使自己的网站更具粘贴性的时候，也就是我们要精心地、持续地改造网站。注意：这是一个持续，不可松懈的长期性工作。

要令到自己的网站成为一个品牌之前，如下的6个问题是一定不可以含糊的：

+ 您的网站的定位是什么?

+ 哪些人(企业)应该是您的网站的访客?

+ 访客会留什么东西在您的网站上?

+ 您的网站想让访客得到什么?

+ 您的网站有什么东西会使得访客再次来?

+ 您的网站上有什么会使得访客逗留?

请仔细考虑以上的问题。

您的网站的定位是什么?

品牌策略

这个问题只有您才能回答，如果您没想过品牌策略这方面的问题，那么您的网站的前景真是难以乐观。

商务定位：

本网站从事的在Internet上的人才交流活动。但是需要强调的是：本网站要做基于珠海的最大的网上人才交流市场，您的网站也须像本网站这样的准确的，毫不含糊的定位。

目标客户：

一个成功的商业网站，它一定会重视其本身的商业获利点：靠什么来获取利润?——说白一点，就是谁能够给您的网站提供收入?这是一个核心的问题。目前投资者之所以看重一个网站的无非就是两点：一是要么你现在就能赚钱;二是要么你将来能够赚钱!这两个要点所体现的就是我们所谈论的“网站经营的商业模式”。基于这种认识，我们思考一下目前电子商务流行的两种形式：B2C 和B2B。您可以根据实际情况加以选择。

有一点需要解释：当您的这个网站有大批量的注册用户时，将会有非常多的商家进帐机会——商业机会!注册用户将会成为您与商业伙伴洽商的筹码!我相信投资者之所以关心注册用户也必然是基于这样的一个原因。

现在让我们考虑一个重要的问题：那些人应该是您的网站的访客。根据目前的访问统计的数据分析及网站的定位，我们拟定下面的表：

类别目标客户客户特征

其中“客户特征”是用精炼的语言来描述客户的具体特性，如“再次访问”。

我们认为，要让人访问您的网站，并不会太难，问题是：让这些人再访问您的网站，就绝非易事了。所以，我们要思考的是：在您的网站上有些什么会使得访客再次来。每分钟的更新?还是内容独特?还是个性化策略?还是设立的安营扎寨的落“户”策略?或者更多我们连想都不敢想象的东西?下面是值得借鉴的经验：

1、漂亮悦目的界面

也许有人要说内容最重要，漂亮与否在其次。听起来不错，其实是大错特错!!如果您的网站是搜索引擎，或是门户网站，或是新闻网站，也许界面不需要漂亮，例如去YAHOO的人，他们的目的是为了通过这个“门”快速去另外的一个地方，他们并不会留在YAHOO中;但其它类型的网站，它营造的是一个虚拟社会，我们希望来的人都留下来，都来“落户”——即：安营扎寨!所以您的厅堂一定要漂亮悦目。——所以说搞清“门”和“户”的观念十分重要!

我们要尽量使用最新的WEB技术来设计页面。尽管内容是站点的关键，但没有悦目的视觉享受，会使得访客有枯燥无味的感觉。

2、随时更新，方便查找

您的网站能每天准备100条，或者是1000条信息吗?您能做到在8小时的上网高峰时间段龋平均每分钟1条消息吗?如果您能，恭喜您，您的访问量想不高都不行。但还有很大的潜力可以挖掘。不要满足于已取得的成绩，否则您会随时被竞争对手甩在后面，我们要时刻保持更好的钐。

方便查找——提供“全文搜索”!当我们的内容多到不得了的时候，我们就要考虑另一个问题：那就是要查找方便!如果您还没做信息查找功能，请立即做，如果您已经做了，请检讨一下，看看是否可以改进，

3、个性化信息是最有价值的内容

对于网站的内容，我相信不同的访问者都会有不同的敏感度，而最有价值的一定是能满足访问者需求的信息——这就是个性化信息是最有价值的内容含义。

目前网络个性化的信息就是因为计算机的强大筛选过滤功能而得以实现。网络上获取信息变得十分容易，所以如果您的网站能经常提供有价值的信息，将更能吸引访客。

4、网站速度快

如果您的网站要成为No.1，则速度将会是最终归要面对的一个问题。

5、交互的内容

越来越多的访客希望有互动的内容，他们不想只是看，还想动动手，在您的网站上加点什么。所以，增加一个BBS或者聊天室，这些都会提高站点的流量。

小结：改造站点是提高站点访问量最关键的一步，没有良好的交互效果给访问者，再做什么也是枉然。

(二)注册到搜索引擎

把站点注册到搜索引擎是每一个人都会做的，但却没有人真正了解这样做是否真有效。以我的经验，即使我们把站点注册到搜索引擎里，也并不能明显地提高站点的流量，可能的机会是：当有一万次搜索时，搜索到你网站点并进入的机会只可能会是1次，更有可能一次机会都没有，我并没有夸张。我们要了解一下注册的技巧，而不是简单的告诉搜索引擎我在那。

搜索引擎分为两种，一种为人工登记，比如yahoo，另一种为自动登记的，这是目前最多的类型。人工登记，就是靠人把站点的资料输入数据库，它的好处是目录会清晰明了。相对来说内容较少，但被搜索到的机会就会增加。而自动登记的站点，内容十分丰富，但这样一来，搜索时会把不相关的站点也搜索出来。这两种站点，对于我们来说，都可以利用，但要知道一些技巧。

在这里，我要提议的是，如果您的网站是中文的，最好登记到中文的搜索引擎里去(如：搜狐www.sohu.com 、中文Baudu、网易www.163.com 、新浪www.sina.com)。因为这样被找到的机会就能增加不少，而中文搜索引擎站点。首推cn.yahoo.com，可能有些人觉得yahoo中文有点不尽人意，但因为它的品牌深入人心，所以访问者非常多。而且它目前所含的内容不丰富，这样，当我们把站点成功登记到YAHOO后，被发现的机会要比其它站点多。但有一点我们要注意，在登记站点时，我们一定要注意关键字Keyword的筛选并推敲，对此要有足够的重视。

就像上面提到的，一个搜索站点可能会包含十分多的内容。这样，当我们要搜索某一个站点时，会搜索出成千上万个，而更多的站点已经埋没在了后面。这里有些经验值得一提：只有在排在前10名的搜索结果时，被点击到的可能性才会高些。因而怎样提高自己站点的排位变成了是否成功登记的关键，因为即使我们登记到一个搜索站点上面，但被排在了后面，那么效果就差得太远了。这种情况在自动登记的站点出现得多些。对于提高站点的排位是件值得研究的问题，而网络上也出现了为站点提升排位的服务，当然是有代价的，但我们要记住第一位只能有一个。

(1)META的利用

META标签的作用是提供有关HTML文档信息，而它所包含的内容并不出现在网页上。有很多网页制作者很少注意这个标签，因为即使把它删除不用，它也不会影响网页的外观。META最大的作用就是提供搜索引擎关于本站的描述关键字。简单的说，当搜索站台的机器人搜索到你的网站时，会首先检查META所描述的关键字，然后把这些关键字加入到数据库中。所以，利用好META标签会让你在搜索引擎中被搜索到的机会增加。

META标签的用法是这样的:

metaname= Keywords CONTENT= 关键字，关键字，关键字

在CONTENT处，你尽可能把热门的关键字列出在这里，即使你网页上并不包含这些内容。虽然这种做法感觉上有点“欺骗”，但值得放心的是，我们只是欺骗机器人。所以放心加入最热的关键字，比如Clinton(克林顿)。这里还有个技巧，我们可以重复某一个关键字，这样可以提高自己网站的排行位置，如:

metaname= Keywords CONTENT= stock，stock，stock，stock

不过，现在新式的搜索引擎不再关注META标签了，可能它们发现了那个欺骗，所以机器人避开了，只是来扫描你的网页，并把出现最多的词作为关键字，或者把网页顶部的词作为关键字，这样META失去了作用，怎么办?其实没有问题，我们还有更多的方法“欺骗”机器人。

因为目前的搜索引擎多数会扫描你的整个网页，这样我们可以把热门的关键字放到网页上，这样每个人都能看到关键字了，当然包括机器人。我们要设法把关键字隐藏到网页里面，很简单，把关键字与背景颜色弄成一致即可。

还有一个更好的方法：制作一个网页，把我们知道的关键字全部放到这个网页上，想怎么放就怎么放，因为这一页只是给机器人看的。我们可以利用以上两种方法设置关键字。要记住，我们还要做一个链接，连接到您的网站，这样做是最好的方法，因为我们可以尽可能提供机器人最全，最好，最热的关键字，而这一页并没有人看到。

(2)广告的交换

广告交换被许多网站利用，但即使利用了广告，也没有带来更多访客。原因在那呢?

首先，我们来看第一种广告交换，即个人之间，这是目前最多的广告交换。许多个人站点互相交换着LOGO，很容易就建立了一个连接。但可惜，有些连接没有起到作用，所以，很多个人站点提出了几个条件，第一，访问量相当;第二，首页交换。显而易见，这种做法是对的。以笔者的经验，当与一个个人站点交换连接时，对方把我的LOGO放到了友情连接一页，而不是首页，很奇怪，友情连接那一页包含了许多其它的交换LOGO，与我意料中一样，没有一个访客来自那里。所以，过了几天，我提出了上面两个条件，效果的确好。

接下来，就是所谓商业广告交换了，提供这种服务的地方有很多，国内的，国外的，交换的规则很简单，表面上是很公平的，我没有更多的技巧给你，只是提醒你，选择一个最热的广告交换商，这是个很简单的技巧，但并没有人注意。

获得奖励

一些组织提供我们一些机会，让我们获得某一个奖励，一些顺序被确定，第一名，第二名，而参加者都想排在第一位，这样能增加曝光度，而这非常符合站点的宣传策略，让更多的人知道你，获得一个好奖励将给你更多机会，网站访问量或其它什么。

对于奖励，大型组织所给的奖励，更吸引人，因为它们能让你有更多的机会曝光，可能是在报纸，杂志，或者电视上，这种奖励，我们都要争取得到它，即使你没有能力取得第一，但只要在它们那里，总有点机会给你。

而对于网络，我们更多趋于参与与网络有关的活动，比如网页制作比赛，网络知识比赛，虽然这种活动并不是很多，但只要有，你就要去参与，即使感觉上有点困难，但只要做了，总会有点收获。

5条经验

还有更多的经验，而且它们只需要简单的实践，就能产生效果，试试吧。

(1)利用电子邮件签名，每天我们都要与其它人交流，比如在BBS或者EMAIL，这里我们都要利用到签名，我们可以加入网站地址，而邮件程序会自动转换成链接，所以，收件人会很容易连接到您的站点

(2)邮件列表，有许多邮件列表可以参加，你可以参加某一个热门邮件列表，然后试着发表你的讨论，当你的讨论内容被其它人适应的时候，就可以开始宣传你的个人主页了，在这个邮件列表里的人都可以看到你所发表的消息，包括你的URL。记住，别一开始就说出你的网站在那里。

(3)印刷出网站地址，在所有的对外媒体上都应该标明此URL。因为传统的媒介上宣传在目前的国情下还是最有宣传效果的。

(4)新闻组发言，新闻组与邮件列表有点相似，但新闻组比起邮件列表来，它所覆盖的空间更大，你只需要使得自己发言更吸引人，那么你的URL也会同时被人访问。

(5)建立网上信誉，我们在任何地方宣传时，永远记住告诉对方：在我这里能得到什么。这样当别人访问网站时，发现的确是如同我们说的一样，而不要说一套，做一套，即使我们能让别人来一次，也不保证他们的再次来访。所以网上信誉非常重要，用符合站点特点的宣传策略，而不是夸大。

最有效的办法——滴水满瓶!

对于提高站点的访问量，最有效的办法是：在做好站点的同时，不放过每一次的宣传机会!我们都清楚：即使是滴水也能装满瓶子!

让登录访问安全又方便篇3

使用重设盘记密码

为了保护系统登录安全，相信很多人都为自己的计算机系统设置了登录密码；不过，如果将系统设置成自动登录的话，用户可能会长时间不要输入密码，这样反而容易使自己忘记登录密码，那么一旦自己忘记了系统登录密码时，我们该如何登录系统呢?面对这种现象，相信很多人会下意识地使用光盘版WinPE工具来重新启动计算机系统，之后借助专业的密码修改工具修改系统登录密码，再用新设定的密码完成系统登录操作。虽然这样的方法可以解决问题，但是对于普通菜鸟级别的个人用户来说，显然有点复杂了；其实，在Windows 7系统环境中，我们只要使用该系统自带的密码重设盘功能来记忆系统登录密码，日后一旦忘记了系统登录密码时，只要通过该重设盘重新设定一个新的登录密码，就能轻松完成系统登录操作了。

在使用密码重设盘记忆系统登录密码时，可以先将自己的优盘插入到Windows 7系统中，依次单击该系统桌面上的“开始”、“控制面板”命令，打开系统控制面板窗口，逐一单击“用户账户”、“创建密码重设盘”链接，弹出忘记密码向导对话框，单击“下一步”按钮，选中自己优盘的分区符号，继续单击“下一步”按钮，弹出如图1所示的设置窗口，输入当前用户登录系统的密码，之后再按默认设置完成剩余操作，就能创建好密码重设盘了。

日后，当自己忘记了系统登录密码时，只要将密码重设盘插入到对应计算机系统中，随后系统屏幕上将会自动弹出“重设密码”的功能选项，通过该选项重新设置一个新的登录密码，再通过这个新密码就能顺利地登录进本地系统了。

让IF自动记忆密码

在初次登录微博或电子信箱时，IE浏览器默认会弹出提示，询问用户是否要保存访问密码，一旦用户进行确认回答后，日后再次登录操作时，IE浏览器就不需要用户输入密码，自动完成登录操作。但是，有的用户由于调整了IE浏览器的设置，造成浏览器不能自动记忆密码，面对这种问题，我们该如何才能让IE自动记忆密码呢?

此时，可以先打开IE浏览器窗口，依次单击工具栏中的“工具”、“Internet选项”，展开Internet选项设置对话框，点选“内容”标签，弹出如图2所示的标签设置页面，在该页面的“自动完成”位置处单击“设置”按钮；在其后界面中依次选中“表单上的用户名和密码”、“在保存密码之前询问我”选项，再按“确定”按钮保存设置操作，这样IE浏览器日后发现用户初次输入密码时，会自动提示保存密码，用户只要进行确认回答，IE浏览器就具有自动记忆密码的功能了。

当然，有的IE浏览器在启用了自动记忆密码功能后，下次进行登录操作时还要求用户输入密码，这种现象很可能是IE浏览器在关闭窗口时，启用了自动删除临时文件的功能。这个时候，只有关闭自动删除临时文件功能，才能恢复IE浏览器的自动记忆密码“本领”，下面就是具体的恢复步骤：

首先依次单击“开始”、“运行”命令，在弹出的系统运行框中，输入“regedit"命令，单击回车键后，打开系统注册表编辑窗口，将鼠标定位到如下注册表分支HKEY LOCAL_MA CHINE＼SOFTWARE＼MicrosoftkInternet Explorer＼MAIN，用鼠标双击目标分支下面的字符串键值“DeleteTemp_Files_On_Exit”，在其后界面中将其数值修改为“no”，再刷新系统注册表就能使设置生效了。

用凭据管理器记密码

在局域网工作环境中，当我们远程管理某些重要主机系统时，会被要求输入登录账号与密码信息；如果需要管理的主机数量比较多的话，那么记忆这么多账号与密码不但会加重用户的记忆负担，而且频繁输入这些内容也会导致网络访问效率下降。不过，在Windows 7系统环境下，我们可以利用凭据管理器功能，来有效管理若干台主机系统的登录密码，这不但能消除记忆密码的烦恼，而且还能提高系统登录效率。

一般来说，我们在初次登录主机或站点时，登录对话框中都有“记住我的密码”、“记住我的凭据”等选项，当用户选中这些选项后，用户名和密码内容将会被自动保存到凭据管理器中，下次不用输入账号名称与密码就能直接登录了。当然，我们也可以直接打开Windows 7系统的凭据管理器窗口，将需要管理的登录账号与密码添加进来；在进行这项操作时，依次单击“开始”、“控制面板”命令，在弹出的系统控制面板窗口中，单击“凭据管理器”图标，进入凭据管理器窗口；单击该窗口中的“添加Windows凭据”按钮，打开如图3所示的设置窗口，在这里输入局域网中远程主机的IP地址或计算机名称，再将登录密码输入其中，并按“确定”按钮保存设置操作，这样日后我们访问局域网远程主机中的共享资源时，不需要输入账号与密码就能自动进行登录操作了。需要提醒大家注意的是，如果要管理网上银行等在线交易页面的密码时，必须使用“添加基于证书的凭据”功能，要是只想管理普通论坛或博客的登录密码时，只要使用“添加普通凭据”功能就可以了。

用360密码箱记密码

上面的方法只能记忆Windows系统、IE浏览器页面中的登录密码，如果要记忆MSN、QQ、网上银行、证券软件等网络应用程序的登录密码时，该如何实现呢?这个时候，我们可以考虑使用360密码保护箱工具，来记忆网络应用程序的登录密码，而且该工具还具有保护登录密码的功能。

用360密码保护箱记忆网络应用程序的登录密码时，可以先启动运行该工具软件，在初次启动运行过程中，它会自动对本地硬盘进行全面扫描，以便判断当前在本地系统中究竟运行了哪些应用软件，扫描结束后，所有正在运行的应用程序都会被罗列出来，我们只要不停地单击“下一步”按钮，就能将这些网络应用程序保护起来了。

当然，我们也可以采用手工方法，来保护记忆特定应用程序的登录密码；例如，要保护QQ程序的登录密码时，可以在360密码保护箱主程序界面中单击

“添加”按钮，弹出如图4所示的添加保护对象对话框。在“软件位置”处单击“浏览”按钮，打开文件选择对话框，从中将QQ程序的启动文件选中并导入进来，之后分别设置好“显示名称”、“所属类别”等参数，再将这里的“前扫描保护”和“后扫描保护”选项选中，最后单击“添加”按钮，这样QQ程序的登录密码日后就能被360密码保护箱记忆并保护了，日后我们只要在360密码保护箱中双击QQ程序图标，就能自动完成登录操作了，而且该登录过程非常的安全。

用Lastpass记忆密码

每位用户可能有多个电子邮箱账号，在自动登录了第一个账号的邮箱后，如果要切换进入其他账号的信箱中时，那就需要手工输入登录账号与密码了，那么有没有办法同时登录记忆多个邮箱的密码呢?很简单!我们可以借助Lastpass工具来管理、记忆多个账号的访问密码，它采用了强大的密码加密算法(使用了256位的AES密匙)，保证了在本机上不获取得到用户的信息，所以用户可以在任何时候和地点取回自己的信息。

在用Lastpass工具记忆多账号的登录密码时，可以先从网上下载获得该工具的安装程序，按照常规方法对其进行安装操作，在安装过程中必须要选中“简体中文”语言，同时要选择安装Chrome、IE插件程序；在安装成功后，我们再依照向导屏幕的提示，依次注册每一个账号，并尝试进行登录操作。在登录过程中，该程序会自动提取每个账号的登录密码，同时提醒用户要记得保存站点信息；单击“保存站点”之后，屏幕上会弹出“新增Lasspass站点”界面，将其中的“自动登录”选中，如果不希望自动登录的话，也可以选中这里的“将此选为收藏”选项，最后单击“保存站点”按钮完成设置保存操作，这么一来我们日后只要在该程序的主界面中，就能对多个访问账号进行随心所欲地切换登录了，而且我们还能对该程序的主界面设置访问密码，来保护多个账号的登录安全。

要是我们不小心忘记某个账号的登录密码时，可以打开Lastpass程序的主界面，在对应账号的项目下单击“编辑”按钮，再单击密码选项后面的“显示”按钮，那么目标账号的密码内容就能以明文方式显示出来了。

让系统自动记忆密码

在家庭网络环境或其他可信任工作环境中，用户在登录Windows系统时，系统每次都可能要求输入用户名和密码，非常麻烦，那么有没有办法让系统自动记忆登录密码呢?很简单，只要进行如下设置操作就能达到目的了：

首先依次单击“开始”、“运行”选项，在系统运行对话框中执行“regedit”，弹出系统注册表编辑窗口，将鼠标定位到如下注册表分支“HKEY_LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”(如图5所示)，双击目标分支下的“DefaultUserName”键值，将其数值设置为系统自动登录时需要记忆的用户名称，当然该用户名称必须事先在系统中已经创建好；

安全访问策略论文篇4

IPSec是实现VPN的一种协议, 正在得到越来越广泛的应用, 将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议, 但却仍然不能算是适用于所有配置的一套完整的方案, 其中仍然存在一些需要解决的问题。本文在对IPSec相关协议进行分析的基础上, 针对IPSec协议族在安全策略方面的不足, 提出在远程访问模型中使用集中式策略管理, 并对该管理系统进行了研究。

一、IPSec VPN及相关协议

IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层, 并保护上层的协议。这些服务通过使用两个安全协议:认证头和封装安全载荷。

1. 认证头 (AH) 协议。

协议的目的是用来增加IP数据包的安全性。AH协议提供无连接的完整性、数据源认证和抗重播保护服务。

2. 封装安全载荷 (ESP) 协议。

协议的目的和认证头 (AH) 一样, 是用于提高IP的安全性。ESP提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保护。

二、IPSec策略管理分析与设想

1. IPSec VPN中的策略管理。

在一个IPSec中, IP-Sec功能的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略, 这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的安全隐患。而且, 即使每个安全域策略的制订是正确的, 也可能会在不同的安全域中, 由于策略之间的交互, 出现在局部范围内安全策略的多样性, 从而造成端到端间通讯的严重问题。

2. 远程访问模型中策略系统的构想。

构建一个策略系统, 需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。目前RFC尚未制定关于策略系统的标准, 因此还没有成熟的实现方案。

现在较为流行的方案是:策略系统由四个部分组成包括安全策略仓库、策略服务器、安全网关、策略客户端。其中安全策略仓库 (Repository) 用于存储策略信息, 能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器, 除了储存管理员已经编辑好的策略信息, 还可以存储其它的网络信息和系统参数。策略决策点 (Policy Decision Point, PDP) 通常也被称为策略服务器, 是整个系统的决策中心。它负责存取策略仓库中的策略, 并根据策略信息做出决策, 然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突, 从而采取应对措施。策略执行点 (Policy Enforcement Point, PEP) 是接受策略管理的网络实体, 通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备, 负责执行由策略决策点分配来的策略。同时, 它还向策略决策点发送信息, 使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP (轻量级目录访问协议) 与数据库交互, 安全网关通过COPS (普通开放式策略服务协议) 与服务器交互, 策略服务器之间以及服务器与客户端之间通过SPP (安全策略协议) 进行通讯。

三、结束语

安全访问策略论文篇5

使用UPnP功能，保证网络速度与安全

所谓UPnP功能，其实就是通用即插即用功能，这种功能是在TCP/IP协议的基础上开发、制定的针对设备相互通讯的新Internet协议，这种协议常用于对等网络连接结构，在办公和个人应用中比较受欢迎。UPnP功能以HTTP、TCP/IP标准和XML技术为基础，使相关的应用程序和网络设备自动借助端口映射功能彼此能够自动连接，并且能够自动进行协同工作，从而使网络访问操作变得更快捷、简便。UPnP功能支持任意两个网络设备之间的信息通讯，支持UPnP功能的网络设备能够方便地动态加入到指定的网络中，并能自动获得IP地址。

要正常使用UPnP功能时，我们先要将本地Windows的UPnP功能启用起来;在Windows XP系统环境下启用UPnP功能时，我们可以依次单击系统桌面中的“开始”/“设置”/“控制面板”菜单选项，打开对应系统的控制面板窗口，用鼠标双击其中的“添加或删除程序”功能选项，进入添加或删除程序列表界面;

用鼠标单击该列表界面中的“添加/删除Windows组件”选项卡，当屏幕上出现Windows组件安装向导对话框时，从该对话框中选中“网络服务”选项，同时单击该选项下面的“详细信息”按钮，打开对应系统的网络服务组件列表框，看看“UPNP用户界面”项目此时有没有被选中，如果发现它还没有被选中时，我们只要重新选中它，再单击“确定”按钮执行保存操作，这样的话Windows XP系统内置的UPNP功能就能被启用成功了。

一旦本地系统的UPNP功能被启用好后，我们再设置一下局域网路由器，以便让其也能够支持UPNP功能，

通常情况下，路由器设备都具有UPNP功能，不过该功能在默认状态下并不会自动启用，我们可以尝试按照下面的操作来将该功能启用起来：

首先运行IE浏览器程序，在对应浏览窗口的地址框中输入路由器设备缺省的后台管理地址，之后输入该设备的后台管理员账号，打开路由器设备的后台管理界面;

在对应配置页面中单击“路由”选项卡，打开路由参数设置页面，点选其中的“转发”选项卡，在其后出现的选项设置页面中单击“启用UPNP”按钮，最后记得执行保存操作，并重新启动一下路由器设备，那样的话路由器自带的UPNP功能也被成功打开了。

使用虚拟转发，保证网络速度与安全

对于应用层来说，虚拟服务器其实是通过转发技术实现网络访问目的的，它的作用与我们平时提到的局域网代理服务器几乎相同;对于网络访问者来说，虚拟服务器实际上可看成是一台普通的上网工作站，它有单一的网络访问入口点;对于局域网网络来说，虚拟服务器其实是整个局域网访问外部网络或Internet网络的唯一出口，局域网中的所有工作站都可以为它服务。

局域网网络通过宽带路由器访问外部网络时，为安全起见，网络管理员往往都会在宽带路由器设备中启用网络防火墙功能，那样一来外部网络或Internet网络中的普通工作站要想通过宽带路由器访问局域网内部的某些资源服务器时，在缺省状态下是无法通过防火墙保护的。这时就发生了矛盾，宽带路由器的防火墙功能虽然有效保护了局域网网络不被非法攻击，但是又影响了外部网络的合法、高速访问，而巧妙地使用虚拟服务器，往往可以让网络访问同时兼顾速度与安全，因为虚拟服务器常常能够允许用户自行定义一个网络服务端口，所有连接访问该端口的外部网络服务请求都能够被重新定位转发到局域网内部的特定工作站或服务器上，如此一来外部网络或Internet网络中的普通工作站就能高速地访问到局域网内部的特定工作站或服务器了，这个网络访问过程并不会影响局域网网络的运行安全性。

基于WEB数据库安全的访问技术篇6

关键词：WEB数据库；ODBC；安全增强器

1引言

在网络发展的早期。由于用户对安全还不是很重视，原来数据库的结构是客户机ODBC－数据库服务器3层体系结构。随着现代网络技术的发展，网络服务器数据库安全越来越重要，为了提升网络数据库的安全，本文提出从客户机 -ODBC一安全增强器一数据库服务器这样的一个4层结构。使得所有使用ODBC访问接口的应用系统对数据库的访问操作都将首先被提交给安全增强器接受安全检查，只有检查通过后才能访问后台的RDBMS。考虑到目前在国内流行的RDBMS如Oracle等都仅只有C2级的安全，在安全增强系统中实现的安全模块只需提供强制访问控制(MAC)和B1级所要求的扩充审计功能，就可以将原来只具有C2级安全的数据库管理系统的安全性能增强到B1级，从而可以满足对数据安全要求较高领域的应用需要。由于对安全模块的操作需要有一个扩充的数据安全子语言，而标准的ODBC并不具备处理该语言的能力，因此需要对ODBC所使用的SOL语言进行适当的扩充，以增加对安全操作命令的处理能力。

2WEB数据库安全性的内容

WEB数据库的安全性包括：机密性、完整性和可用性，数据库在3个层次上的异构，客户机、服务器通过开放的网络环境，跨不同硬件和软件平台通信，数据库安全问题在异构环境下变得更加复杂。而且异构环境的系统具有可扩展性。能管理分布或联邦数据库环境，每个节点服务器还能自治实行集中式安全管理和访问控制，对自己创建的用户、规则、客体进行安全管理。如：由DBA或安全管理员执行本部门、本地区或整体的安全策略，授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要a异构环境的数据库安全策略有：全局范围的身份验证；全局的访问控制，以支持各类局部访问控制(自主和强制访问控制)：全局完整性控制；网络安全管理，包括网络信息加密、网络入侵防护和检测等。

3WEB数据库的安全增强器基本原理

在当前，数据库应用系统和关系数据库管理系统(RDBMS)之间的交互—般都是采用典型的客户机，服务器(C／S)结构，通过ODBC(Open Database Connectivity)来进行的。其中应用系统和ODBC驱动程序管理器放在客户机上，提出对数据库访问的请求，而RDBMS放在后台服务器上，提供服务，ODBC通过网络传输负责这两者之间的访问命令和结果数据的交互。由此看出，如果能够截获应用系统通过ODBC发送到数据库服务器的访问命令，就可以在ODBC和第三方的RDBMS之间加入我们提供的安全模块，以达到增强数据库系统的安全功能的目的。目前的数据库系统具有3种标准形式的网络访问接口：ODBC接口、JDBC接口和专用接口，而目前大部分应用程序约90％以上均使用ODBC接口来连接后台数据库。

基于上述设计思想，一个通用RDBMS的安全增强器主要由3部分内容组成：

(1)ODBG接口：该接口是连接客户端软件与后台RDBMS的标准接口，通过网络传输负责维护这两者之间命令和数据的交互。

(2)安全模块：该模块实现强制访问控制检查及安全审计功能，ODBC将客户端应用的SQL访问请求传送到服务器端后，由安全模块负责对SQL语句执行安全检查，只有在主体和客体的安全级别符合规定的访问要求后才能进入RDBMS进行相应操作。同时安全模块还将负责此次访问的安全审计工作。

(3)与RDBMS的接口模块：该模块负责将经过安全检查的SQL语句转换成RDBMS的标准语句并进入数据库进行相应的访问操作。为了确保应用系统-ODBC-安全模块一数据库服务器访问通道的封闭，与RDBMS的接口模块采用的是后台数据库的非网络访问接口，并封闭其原有的网络访问接口。

4ODBC的结构及主要内容

ODBC的4个组成部分：应用程序、驱动程序管理器、驱动程序、数据源以及每部分的功能。ODBC驱动程序是Microsoft推出的访问数据库的统一接口。这个接口提供了最大限度的互操作性，每一种对应某种DBMS的拓扑结构，它们分别是一级驱动器、二级驱动器、三级及多级驱动器。一级驱动器可以说是一种单机结构，数据库和驱动器放在同一台机器中，其程序设计接口由文件I／O构成，如Access、Foxpro、dBase等。二级驱动器就是目前流行的客户／服务器系统，如Oracle、Sybase、SQL Serve等。三级驱动器就是在二级驱动器的客户和服务器之间增加一个网关服务器，而这个网关服务器可以与多个DBMS相连，而网关服务器将用户的请求加载适当的ODBC驱动器后发送到相应的数据库服务器上。考虑到目前的需要，在基于RDBMS的安全增强器中，ODBC的实现采用二级驱动器方式。

在基于RDBMS的安全增强器中，为了保证整个数据库系统的安全性，要求安全模块本身就构成一个安全子系统，即安全模块的操作命令也必须受到强制访问控制的检查和进行安全审计。这就要求OD8C能够处理数据安全子语言的访问命令，但是在ODBC的标准规范中。只有对标准SQL语句的操作，并没有包含任何有关B1级安全的命令函数，因此必须在ODBC许可的范围内对ODBC进行适当的扩展，以增加对数据安全子语言的处理能力。使得任何对安全模块的操作命令都必须经由ODBC发送到安全模块，以达到增强系统安全的目的。

为提供对安全模块的操作与管理，对标准ODBCSOL语言的语法成分进行了如下扩充：

(1)层次等级的创建与删除；

(2)范畴的创建与删除；

(3)客体的标识、修改、删除；

(4)代理的标识、修改，删除；

(5)主体的标识、修改、删除；

(6)特权的授予与回收；

(7)MAC的启动与关闭；

(8)安全信息浏览；

(9)设置安全管理员口令；

(10)审计的启动与关闭；

(11)安全审计选项的设置与撤消；

(12)审计报警的打开与关闭；

(13)审计信息的浏览与删除；

(14)设置审计员口令。

5ODBC的设计与实现

基于RDBMS的安全增强系统中的ODBC的实现采用目前比较常用的Cllent／Server体系结构，主要包括客户端和服务器端的实现。从ODBC要实现的函数的内容来看。不仅包括常见的数据定义和数据操纵命令，还包括安全操作命令和数据字典

访问命令，在数据库服务器端需要调用不同的数据库访问函数。

5.1客户端的设计与实现

客户端主要是根据ODBC V3.0的规范来提供一个标准统一的用户接口，使得具体的实现对用户来说是透明的。在客户端主要包括3个句柄：

(1)环境句柄HENV：为全程信息标识内存存储。包括有效链接句柄和当前活动连接句柄并维护有关环境的错误集：

(2)链接句柄HDBC：为特定链接的信息标识内存存储，每个链接句柄与环境句柄有关。存放本次链接的必要信息，包括网络连接的信息和维护有关连接的错误集：

(3)语句句柄HSTMT：为SQL语句信息标识内存存储。用于存放每次操作的相美信息，以及返回的结果集和有关语句的错误集。一个语句句柄必须与一个连接句柄相连，但一个连接句柄上可以有多个语句句柄。客户端就是通过这3个訇柄来维护用户的访问信息的。

5.2服务器端的设计与实现

在网络环境下，用户对数据库的访问量可能高于在单机环境下访问的几个数量级。而且在同一时刻会有多个用户对数据库进行访问，这就要求服务器端能够并发地处理用户的访问请求。在接口的具体实现中，我们借助于操作系统的多任务多线程的特性，以实现多用户的数据库并发访问操作。在数据库服务器启动后将首先产生一个主线程，通过它再创建其他的服务线程。服务器端在接收到一次连接请求后都派生出一个线程来处理这次连接中的所有操作。而数据库内部的并发控制由后台的RDBMS来负责维护。线程产生后，就开始监听网络，当它从网络上接收到请求时，首先进入语法分析模块，对于MAC管理语句和审计管理语句，将分别进入MAC管理模块和审计管理模块；对于SQL请求，则进入安全模块进行安全检查，如果安全检查不能通过，则进行相应的处理并返回错误，否则将调用RDBMS的API函数进行处理，并将执行的结果发回客户端。在同一时间内。服务器端可以派生出多个线程进行并发操作。

6ODBC在安全增强系统中的应用

利用上述ODBC研究成果。我们实现了一个基于Oracle数据库系统的安全增强系统，并利用该安全增强系统对我们自主实现的ODBC访问接口进行了功能测试和性能测试。

整个测试采用1999年江苏省的网上招生系统，该系统共定义了基表38个、视图30个、存储过程10个，测试数据量总共在40万条记录左右。在对ODBC的功能测试中一共选取了85个例子，分为两个部分：一是按照QDBC的标准对ODBC函数进行测试(70个例子)；二是进行应用综合测试(15个例子)。测试用例共使用了61个ODBC函数，对所有ODBC v3.0调用函数都进行了测试，测试结果表明系统功能完全符合ODBCV3.0的要求。

我们利用Oracle数据库及其专用的ODBC访问接口进行了性能对比测试。首先利用Oracle数据库的专用ODBC访问接口直接访问Qracle数据库，然后再使用我们实现的ODBC接口通过安全增强系统访问O-racle数据库，记录在每次运行过程中，从应用程序发出一条SQL访问命令开始，一直到获取该次访问的执行结果所需的执行时间。在测试过程中共选取了15个应用例子，每个例子执行3次。经过测试使用安全增强器时整个系统的效率仅下降5％左右。

7小结

访问控制策略失效案例篇7

近几年网络安全工作受到越来越多的重视, 由于一些公司内网的建设的不完备导致公司在网络层面上遭受着巨大安全风险。因此公司内部也加大了对安全防护工作的考核。从事安全工作的朋友都知道, 要想构建一个稳定且强健的内部网络, 除了及时给终端服务器打补丁、开防火墙之外, 对网络设备实施恰当的安全访问控制策略实在是非常重要, 因为它不仅是一种有效的技术手段, 亦是一种管理手段。

不过笔者有两次遇到过因某种特定原因, 致使访问控制策略失效的案例, 由于它们具有一定的参考意义, 特记录于此, 以免大家遭遇类似麻烦。

案例一VLAN1透传引起的ACL策略失效

分公司总部工作人员密集, 有两台核心路由器与五台三层交换机, 每台三层交换机的上联端口都配置有安全访问策略, 一直运行很稳定。由于特殊的原因, 我们将其中的两台三层交换机直连, 将一台三层交换机下的一个VLAN透传到另一个三层交换机 (互连线是access端口) 。本以为没有改动三层交换机的上联线路, 这个变更不会影响到两台三层交换机的安全策略, 结果很快在省公司的例行扫描中, 发现了其中一台三层交换机下许多本已屏蔽的漏洞, 而且交换机中不停的有拓扑变更警告。

原来一般支持802.1Q的华为交换机在端口没有配置的时候默认都是属于VLAN1, 也就是默认不打标签的VLAN, 它一般不承载用户数据也不承载管理流量, 只承载控制信息。即使配置了端口为其他VLAN号, 这种不打标签的数据包也是默认允许通过的。所以这就不难解释为什么我们在比较新一点的华为交换机上配置trunk端口时, 往往会看到“port trunk allowpass vlan 2 to 4094”的配置, 因为VLAN1默认就是开放的。那么这对我们这个案例场景的影响就是, 这根增加的网线, 使得路由器至两个三层交换机无形多了一条通路 (经过另一个交换机的VLAN1透传) , 而在这根网线互联的端口上是没有安全策略的, 这也就是有一台三层交换机ACL策略失效的原因。解决的方法很简单, 只需要将互联端口改成trunk口, 并且显式的定义禁止的VLAN号与允许的VLAN号:

案例二DHCP改造引起的ACL策略失效

分公司各个端局使用的是城域网退役下来的老设备华为MA5200F, 在全局视图配置之下, 都有对上联端口的安全策略。由于近年来公司内部改革变动力度较大, 人员机构调整频繁, 为了减少网络维护的压力, 我们进行了DHCP改造。可是在新增了域、新增了地址池, 并且将此域加到上联子端口实现DHCP功能以后, 我们才忽然发现, 原来的ACL策略对这个新增的地址池失效了。

查询了许多资料后我们才找到问题的原因, 原来MA5200F与三层交换设备DHCP配置方法不同, ACL策略生效方式也有差异。MA5200F需要先对域指定ucl-group, 然后针对这个ucl-group配置ACL策略, 最后再在全局启用此策略, 这样才能对域内地址池的访问流量进行过滤。

下面给出了相关的参考例子 (DHCP安全策略部分) :

叠加式访问控制策略的构思篇8

一般来讲, 在一个访问控制系统中都包括3个要素[1]:

主体:发出访问操作的主动方, 通常指用户或用户的某个进程。

客体:被访问的对象, 包括:网络中的一些活跃元素 (例如:程序、进程等) 、数据、信息、各种网络服务和功能、网络设备设施。

授权策略:一套规则, 确定某个主体是否对某个客体拥有访问能力。

访问控制的目标主要有4个方面[2]: (1) 机密性:防止信息泄露给未授权的用户; (2) 完整性:防止未授权用户对信息的修改; (3) 可用性:保障授权用户对系统信息的可访问性; (4) 可审计性:防止用户对访问过某信息或执行过某一操作进行否认。

根据授权策略的不同, 传统使用的计算机信息系统访问控制技术主要有:自主访问控制DAC (discretionary access control) 和强制访问控制MAC (mandatory access control) 。20世纪90年代又出现了一种基于角色的访问控制技术RBAC (role-based access control) 。它们在计算机信息系统安全访问控制中发挥了重要作用。

随着信息系统的安全需求日益增强, 保密标准越来越高, 与应用领域有关的安全需求也大量出现。同时, 网络和分布技术的发展使得访问控制在以单位或部门的网络设计、实施的基础上, 要考虑其开放性, 以便相互间的系统互联[3]。这些都对访问控制技术提出了新的要求, 而独立使用的传统访问控制技术很难应对, 并逐步显现出若干缺陷。

1 传统访问控制技术及其缺陷

DAC技术的本质是客体主人控制客体的访问权限。它的主体可以按自己的意愿决定哪些用户可以访问他们的资源, 亦即主体有自主的决定权, 一个主体可以有选择地与其他主体共享他的资源[4]。因此, 系统管理者就很难确定哪些用户对哪些资源有访问权限, 不易实现统一的全局访问控制, 不便于用户间关系的管理。DAC根据用户的身份及允许访问权限决定其访问操作, 这种访问控制机制的灵活性较高, 在商业领域它被广泛使用, 尤其是在操作系统和关系数据库系统上。然而, 也正是由于这种灵活性使信息安全性能有所降低。同时, DAC在抵御病毒攻击的能力较弱, 例如特洛伊木马 (trojan horse) 的攻击, 木马程序会嵌入在系统的合法程序中致使重要信息泄漏和损坏, 甚至篡改对信息资源的访问权限设置。所以, DAC不能应用于有高级别安全要求的系统。

MAC是系统强制主体服从访问控制政策。用户 (或其他主体) 与文件 (或其他客体) 都被标记了固定的安全属性 (如安全级、访问权限等) 。这对合法用户造成了限制, 致使用户共享数据的机制不灵活[5]。另外, MAC对用户恶意泄漏信息无能为力, 虽然MAC增强了信息的机密性, 但不能实施完整性控制, 而网络应用对信息完整性具有较高的要求。因此, MAC可能无法胜任某些网络应用。此外, MAC过于强调保密性, 对系统的授权管理不便。它的应用领域范围较小, 如多用于军事等特殊领域。

RBAC是权限与角色相关联, 用户依据它的责任和资格来被指派相应的角色, 对系统操作的各种权限不是直接授予具体的用户, 而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后, 该用户就拥有此角色的所有操作权限。这样做的优点是, 不必在每次创建用户时都进行分配权限的操作, 只要分配用户相应的角色即可, 而且角色的权限变更比用户的权限变更要少得多, 这样将简化用户的权限管理, 减少系统的开销[6]。

与DAC和MAC相比, RBAC技术的优势非常明显[7]。RBAC易于权限管理, 能实现最小权限分配并可灵活定义角色间的关系。其应用领域也较广, 如多用在数据库管理系统、PKI (public key infrastructure) 、工作流管理系统等领域。但RBAC也存在不足, 一是RBAC还不很成熟, 有很多方面需要进一步的研究发展;二是RBAC在规定大量角色和访问权限及其他们之间的关系时比较复杂。

总之, DAC限制太弱, MAC限制太强, 且二者的工作量较大, 不便管理。RBAC则可以折衷以上问题, 角色控制相对独立, 根据具体的系统需求可以使某些角色接近DAC, 某些角色接近MAC。

2 叠加式策略的构思及分析

叠加式访问控制策略的基本思路是, 在角色的访问控制的基础上, 将自主访问控制和强制访问控制技术也应用进来, 三者叠加应用, 构成交集。模型如图1所示。根据安全策略划分角色, 为不同角色分配不同的操作权限, 为不同用户分配不同的角色, 而且可以对用户在除了角色之外还能对相关的权限进行限制或添加一些特殊权限。同时, 对用户和对象 (资源) 分级, 使用安全级别限制用户对角色的操作。叠加式策略构思如图2所示。因此, 为了达到叠加控制的目的, 需要完成3个方面的规划:角色定义和角色分配、权限定义和权限分配、安全策略规定和级别划分。

角色定义和角色分配是指根据安全策略对角色进行定义, 对用户在系统中所应具有的角色进行规定。用户和角色之间是多对多的关系, 也就是说, 一个用户可以有许多角色, 一个角色可以分配给多个用户。

权限定义和权限分配是指对数据库信息的访问和对功能模块的操作的权限界定, 对用户的权限进行限制、添加, 也对角色的权限进行分配。用户权限由角色、增添权限、限制权限、安全级别来最终形成。

安全策略规定和级别划分是指建立用于系统安全访问的规则, 并对用户和对象 (资源) 进行安全级别划分。其中, 对象 (资源) 安全级别的划分是指根据对象 (资源) 本身具有的特点界定出其安全级别, 如分为普通级、特殊级等;用户级别的划分是指分配用户能访问不同对象 (资源) 的身份级别, 如分为系统管理员、高级用户、普通用户等。

在实际应用中, 多数信息系统设计都是基于B/S模式的。用户使用系统前应先进行注册。基于安全因素考虑, 用户注册后不能立即使用系统, 需要管理员对用户信息审核并授权, 在用户得到授权后才可访问相关资源。不同用户所拥有的角色和权限不同, 用户在登录系统访问资源时, 访问控制根据用户所拥有的角色和权限来返回用户具有相应功能模块的操作界面, 从而简化了系统操作的复杂性, 增强了系统安全性。权限分配过程如图3所示。

需要注意的是, 在用户的角色分配上, 对一个用户可分配到的最大角色数和一个角色可拥有的最大用户数要有一定的限制。同时, 在访问控制权限分配上, 要限制一个访问控制权限最多可被分配给多少个角色, 以及一个角色可拥有多个访问权限。对于上述各种分配限制, 可按照最大基数约束原则进行。

3 小结

在信息系统中应用叠加式访问控制策略, 可对用户所拥有的角色和权限进行严格分配, 同时也可对角色的权限根据实际访问需求进行相关约束, 从而严格控制了用户对资源的安全访问, 增强了系统安全性。

摘要：在分析传统访问控制技术缺陷的基础上, 提出了叠加式访问控制策略, 即将基于角色的访问控制与自主访问控制和强制访问控制技术结合起来, 交合使用, 构成叠加控制方式。从而能够严格限制用户和角色的访问权限, 增强了系统的安全性。

关键词：叠加,访问控制,权限

参考文献

[1]GB17859-1999, 计算机信息系统安全保护等级划分准则[S].

[2]林闯.新型网络环境下的访问控制技术[J].软件学报, 2007, 18 (4) .

[3]安之廷.Web服务加密与签名技术实现[D].大连理工大学, 2003.

[4]什么是自主访问控制[EB/OL]. (2006-4-26) .http://www.gxu.edu.cn/college/hxhgxy/sec/COURSE/ch08/2-1.htm.

[5]强制访问控制[EB/OL]. (2010-9-27) .http://baike.baidu.com/view/4420215.htm.

[6]基于角色的访问控制[EB/OL]. (2007-10-30) .http://baike.baidu.com/view/1227497.htm.

通用数据安全访问模型篇9

本文提出了一种通用数据安全访问的模型CDSA, 它实现数据的抽象访问与同步, 帮助工程师们管理好系统软件的数据, 保持数据的一致性和完整性。基于此模型可以实现远程过程调用 (RPC) , 其机制、原理和标准的RPC调用以及分布式计算原理完全相同, 不同之处在于这种调用方式可用于跨进程、跨系统、跨计算机边界、跨平台等复杂的环境中。

1 通用数据安全访问模型

首先, CDSA模型把各种系统软件对公用数据的访问划分为高级访问 (调用者需要理解数据以及各参数和返回的含义) 和原始访问 (调用者无需理解数据以及各参数和返回的含义) 。高级访问针对数据应用, 原始访问针对数据传递过程。

(1) 原始接口:输入和输出为数据流, 不理解协议本身以及任何应用数据结构, 供通讯使用。

(2) 高级接口:输入和输出为实际应用数据, 理解协议本身以及应用数据结构, 供业务使用。

其次, 考虑到一般的系统软件中数据的传递过程分为进程组内部数据传送 (交换) 和远程数据交换, CDSA模型规定进程组内的数据传送通过消息队列进行通讯, 在进程组外的数据传送, 主要通过SOCKET进行通讯。CDSA模型还约定这两种数据传输均通过原始模式进行, 不需要理解数据的含义以及输入和返回。

(1) 对于本地应用进程 (服务器进程) , 通过消息队列和主进程进行通讯, 达到数据读写的目的。为什么这样处理呢?主要是因为CDSA模型支持保存复杂的数据结构, 而共享内存只能适用于简单的数据结构, 如果采用复杂数据结构, 必须实现空间管理, 这非常复杂且可移植性不强。

(2) 对于其他进程, CDSA选用SOCKET作为通讯的手段, 通过抽象和复用代码等方法完成完整的数据通讯和交换过程。既达到RPC的效果, 又降低系统复杂程度, 同时满足了高效数据通讯的需求。

(3) CDSA模型规定, 服务器启动后, 主进程负责将全部的数据加载到内存, 主进程有义务通过消息队列或SOCKET等方式为其他服务进程 (包括远程管理进程、客户端进程) 提供数据共享, 并惟一直接操作数据库, 以维持数据的统一性。

(4) 如果系统软件有独立的远程管理进程, 由于多次远程读取数据需要耗费大量的带宽和时间, 所以CDSA模型规定管理端进程与服务端连接后, 首先下载并且维护一份和远程服务端一致的数据, 如此一方面保证本地数据和服务器数据的一致性, 一方面降低数据读取的消耗。

(5) CDSA为了保证数据的一致性, 采用了读取共享、写入独占的方式。具体来说, 本地应用进程在系统启动后自动获取数据库的修改权限, 第一个连接进入的管理进程可以抢占该写入权限, 直到该进程退出后, 如果系统中已经存在有一个管理连接, 后连接进入的进程将只能获取读取的权限, 并不能剥夺第一个管理进程的写入权限。

最后, CDSA模型定义数据访问的触发 (回调) 机制, 用于在设置变更或读取的状态下做出某种响应 (如配置系统、数据同步传递、数据重读、数据更新等) 。

2 CDSA模型的实现

CDSA模型存取的数据可以是数据库, 可以是配置文件、系统环境等。对数据库的操作没有定义专门类, 需要各系统软件自行考虑。对配置文件、系统环境等的存取, CDSA模型定义了实现IBoot DBIPlugin接口的Csvr Cfgtor类。通过这个专门类去处理实际的数据存取, 该专门类还支持调用IAdvBootDBI接口, 以便远程重新获取数据、远程修正数据。

CDSA模型还定义了两个实现IRaw Boot DBI或者IAdv BootDBI接口的类, 用于完成对数据的存储和数据格式的转换。

(1) 数据直接访问类

完成数据的直接访问, 对数据库进行直接操作, 通过IBoot DBIPlugin接口调用Csvr Cfgtor类来完成数据的存储以及存储的事件通知。

该类实现了IRawBootDBI、IAdvBootDBI这两个接口。其他进程可以通过这两个接口调用来存取数据。

(2) 数据中继访问类

完成数据的转换, 可以将复杂的数据结构转换为标准的数据流, 或者将数据流还原成复杂的数据结构。这些数据流包括两个部分:输入流和输出流, 通过这两个部分完成参数的传递和返回值的获取。

该类实现了IAdvBootDBI这个接口, 支持调用其他类的IRawBootDBI接口去传递、存取数据。其他进程可以通过这两个接口调用来存取数据。

(3) 客户端SOCKET类 (数据通讯模块)

数据通讯模块本身即为一个基于IRawBootDBI的对象, 他们完成的工作即将输入流送入其他服务进程或者服务器端, 然后等待其他服务进程或者服务器端返回一个输出流。一个CBootDBRelay的对象可以成功地将高级的数据转换为 (序列化) 流格式, 然后调用通讯模块的接口IRawBootDBI, 等待通讯模块完成数据请求后, 将返回流还原成 (反序列化) 高级格式, 返回给调用者。

数据通讯模块对数据的序列化与反序列化是成对出现的, 如果有多对序列化的格式, 就要分配协议号以示区别, 协议号本身被序列化成流格式的第一个字节, 反序列化时先读取第一个字节, 了解序列化的格式, 再对后续的流格式进行反序列化。

3 CDSA模型中数据访问的流程

模型中涉及配置数据的各进程对数据访问的逻辑示意如图1。

(1) 数据服务进程的直接数据访问

数据服务进程负责数据库的管理, 是数据的直接处理进程, 该进程通过消息队列实现数据的对外共享。

如图1所示, 在请求到达后, 该进程通过CBootDBDirect访问数据, 并同时完成系统配置:[消息队列服务器端]->IRawBootDBI (CBootDBDirect) ->DB (->IBootDBIPlugin (CSvr Cfgtor) ->系统配置) 。

(2) 本地进程间的数据访问

本地应用进程是本地的数据消费者之一, 该进程不能直接访问数据库的数据, 但可以通过高级访问接口存取数据:[本地应用进程]→IAdvBootDBI (CBootDBRelay) ->IRawBootDBI (消息队列客户端) 。其过程如图2所示。

(3) 远程进程间的数据访问—服务端

远程管理进程的服务端是数据的转发层, 对外衔接网络, 对内衔接数据服务进程。

[远程管理进程的服务器端]->IRawBootDBI (消息队列客户端) 其过程如图3所示。

(4) 远程进程间的数据访问-客户端

如图4所示, 远程管理客户端进程为数据的消费进程, 存在两种访问数据库的方式:

本地缓存数据:[管理]->IAdvBootDBI (CBootDBDirect) ->CacheDB

远程数据:[管理]->IAdvBootDBI (CBootDBDirect) ->IBoot DBIPlugin (Csvr Cfgtor) ->IAdvBootDBI

(CBootDBRelay) ->IRawBootDBI (SOCKET客户端)

4 CDSA模型的应用

图5说明了一个无盘站引导服务系统使用CDSA模型进行数据访问的实际情况。

说明:

(1) 图中数据守护进程不但是主无盘站引导服务软件的主进程, 还是数据服务进程, 它直接进行数据访问, 通过消息队列实现数据的对外共享。

由于系统软件本身功能不同, 操作的数据类型肯定也不同, 这就要根据实际需要去定义具体的实现类。图5中定义了无盘配置数据, 系统数据, 系统配置数据, 缓存数据等类。

(2) 图中DHCPBINL服务进程和TFTP守护进程对应了本地应用进程。

D H C P B I N L和T F T P守护进程是本地的数据消费者, FTFP还会fork出新的进程进行数据消费, 这些进程通过高级访问接口存取数据。

(3) 图中的管理服务器进程对应远程进程的服务端

管理服务器进程是数据的转发层, 对外为管理工具提供数据, 对内向数据服务进程取得数据。

(4) 图中的管理工具进程对应远程进程间的客户端

管理工具进程是数据消费进程, 刚建立连接时, 把数据从服务端请求到本地缓存, 以后的操作在缓存内进行。操作完成后, 如果缓存数据被修改过, 就调用CsvrCfgtor类的IBoot DBIPlugin接口回写数据。也可以通过IBoot DBIPlugin接口从远程取得最新的数据。

摘要：本文提出了一个称为CDSA的数据安全访问模型, 该模型可以被用在各应用软件中保证服务端与客户端数据的一致性, 也可以用在本地进程间通信、远程进程间通信等领域, 保证共享数据的一致性。

关键词：数据存取,数据一致性,回调

参考文献

安全访问策略论文篇10

一、医院信息系统访问控制研究现状

对于信息系统访问控制策略,学术界做了大量研究和探讨,许多安全策略被引入到医院信息系统中。Sandhu R S,Coyne E J,Feinstein H等人在《Role-based Access Control Models》一文中,设计并论述了基于角色的访问控制模型,其后学术界对这种模型做了大量的改进,并将其广泛应用于各种信息系统的安全策略当中,而医院信息系统也在其中。1998年,朱莹、金凌紫、朱鸿在《医院信息系统安全性需求分析与总体设计初探》一文中,对医院信息系统的安全性需求进行了分析,并提出将整个系统分解成多个子系统,分别完成不同的功能需求,并分别安装在不同的计算机上,为各子系统建立局部数据库。这一思路在今天看来是有时代局限性的,但这对其后的医院信息系统整体框架设计还是有指导意义的。此后学术界对医院信息系统的安全性问题做了大量研究,针对各种信息安全隐患,从硬件设施、网络环境、人员管理、管理制度等方面阐述了各自的解决方案。

但是,医院信息系统安全策略的研究水平总是滞后于信息技术的发展水平,而且医院信息系统在应用各种计算机、网络和通讯技术时,普遍存在盲目套用的问题,不能针对其自身需要的特殊性,合理利用各种现有技术成果。除此之外,现有医院信息系统访问控制策略往往缺乏对访问行为的时间、空间等环境属性限制,而且在网络环境变化日趋加快的今天,其授权机制也显得不合理,很容易造成越权操作和非法访问,这无疑增加了医院信息系统的安全性。本文正是基于这些突出问题,设计了一种针对医院信息系统的访问控制策略。

二、医院信息系统访问控制需求分析

安全性需求分析的基础是系统功能需求描述。图1描绘了当今比较先进的医院信息系统的整体框架和层次结构。对于这样一个复杂的系统,医院中各职能科室在开展自身业务的时候,分别利用各自的子系统来进行数据的采集、分析、处理及传递。

不难发现,现阶段医院信息网络正逐步覆盖全院的每个部门,涵盖病人来院就诊的各个环;越来越多的信息资产同时运行,管理着医院工作的各个方面,医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。因此,要保持医院信息系统可靠、高效地运行,必须保证其核心数据、信息的机密性、完整性、可用性以及防抵赖性;要对软、硬件和网络设备进行安全维护,做好病毒查杀和必要的硬件冗余;实施高效、可行的访问控制、授权、身份认证等安全策略;建立合理的信息安全管理制度。

在网络服务日益发达的今天,伴随着VPN、P2P等技术的发展,医院信息系统也在从传统的C/S(Client/Server)结构向B/S(Browser/Server)结构过渡。医院信息系统的用户经常处在一种动态拓扑环境中,每个节点可以随时随地地动态地进入或退出网络系统,这又增加了信息系统安全的威胁;另外,目前医院广泛采用基于角色的访问控制模型和基于用户名/口令的身份认证方式,由于采用的是静态授权,对用户使用信息系统的限制显得非常不足。种种问题都给传统的访问控制模型在多态环境下的应用带来了挑战。在分析前人研究的基础上,本文设计了一种基于时间、空间环境制约因素的角色访问控制模型--TlrbAC(Time-location-role-based Access Control)和一种在分布式环境下的层次化授权策略。

三、TlrbAC模型设计分析

该模型的基本思想是:信息系统主体作为其相应角色,为实现系统功能服务、访问系统客体资源,必须受时间和空间因素影响的环境状态制约,从而根据具体的访问行为,实施动态的访问控制。

1、模型制约因素分析

分析医院信息系统的实际运行状况,我们认为时间和空间是对访问的安全性影响较大的环境因素,将其作为访问控制的环境制约因素。

(1)时间(Time)

时间的范畴包括在职时间与离职时间、工作时间与非工作时间。下面具体分析一下各种情况。

在职时间是指医院信息系统的用户就职于医院的某个部门或科室的时间。从就职开始,医院信息系统管理部门为其分配相应的权限及身份认证凭证,如口令、个人持证等,直至该用户离职为止。则转入离职时间。届时收回其权限,取消其用户口令及密码、销毁其个人持证,使其不再具有任何原先的专用权限。

工作时间按是指用户处于每个工作日可以行使其权限的时间。一般来说,从用户每天上班开始,直至下班,其间都可以行使其访问权限,因此可以将此做诶工作时间。非工作时间即用户下班离岗的时间。

时间分析是有必要的,因为医院赋予其内部用户的权限仅限于以上两种时间,当其工作人员下班或离职后,就不应该再拥有其原权限的,否则可能对信息系统的安全性造成威胁。

(2)空间(Location)

空间针对的是用户接入医院信息系统、行使其访问权限的物理方位。一般对于其权限的行使仅限于各自的工作岗位。例如,医生和护士对应于各自的工作站,不允许在其他节点登陆;网管人员对应于信息部门的主机,对数据库和网络的管理不能在其他主机上操作。

2、模型设计分析

(1)模型基本定义

①主体集Subject:是所有此系统的使用主体,包括内部主体和外部主体。内部主体是医院内部工作人员。外部主体是访问者病人和其他信息查询者。对于在医院就诊的病人,可以临时赋予查询自己信息的权限。医院网站、社保等接口的信息查询者没有组织接口。

②角色集Roles:是系统中所有的角色,内部角色的划分按照组织结构的层次划分,与各层次的具体岗位对应,从而使角色也具有了层次关系。上级角色不一定完全具有下级角色的全部权限,但是上级角色具有的两者的公共权限代表了其监督职能。

③会话集Sessions:其中包含了主体和与其可激活角色的对应关系,这些角色可能是主体所分配的全部角色的集合的其一个子集。

④权限集Permissions:功能集所支持的操作活动与其实施对象—客体资源的对应关系集合。权限集包含了功能、操作与客体三个集合:

⑤功能集Functions:医院信息系统的各子系统所提供的功能总和。

⑥操作集Operations:操作就是主体的具体行为,包括计算机行为人"读"、"写"、"发送"、"存储"等,操作集中可以实施的各类操作是由系统功能决定的。

⑦客体集Object:信息系统所承载、保护的信息资源,包括图一中支持层的软硬件、网络、数据库及各类数据、信息。

(2)访问控制原理

TlrbAC模型的基本原理如图2所示。

①形成医院信息系统的各类表单,并建立相关的数据库文档。这包括有以下工作:

在医院信息安全部门在主体用户分类和信息资产识别的基础上,创建主体用户表和客体资源表,描述两者特征;

依据主体用户的行政级别和职责范围,创建医院信息系统的角色表;

确立主体和角色的对应关系,形成会话集;

依据医院信息系统包含的功能模块,创建功能可实现的操作与客体资源对应的权限表。

②根据会话集中包含的对应关系,实现主体到角色的用户指派。对角色表中各类角色进行权限指派,为其分配权限。当主体、客体和操作行为发生更改、增加、删除时,可以临时地对主体直接权限指派,避免繁琐的角色授权调整。

这样就建立了主体用户与系统功能之间的间接联系,使得主体用户可以对客体资源进行访问和操作。同时,会话集中主体-角色对对应关系、角色集中角色以及角色与权限对的对应关系,又受TL环境约束集对限制。

(3)对于TL环境因素约束集的说明

TL环境因素约束集包括两个约束因素一时间和空间。约束集对于访问控制的约束作用体现在以下三个方面:

约束条件A:对角色集中参与映射的角色进行约束。这样做是为了达到这样的目的一对所有具有相同角色的用户进行统一的角色控制,使得仅在约束集规定的时间、空间状态下,他们的角色才能被激活,而在除此以外对状态下,该类角色是不能激活的。比如,规定了,某个科室的所有医生,只有在本科室的主机上、在医院工作时间内,才允许某类角色进行操作,在此以外的状态下,信息系统不允许角色进行操作。

约束条件B:对角色获取的权限范围进行约束。这样可以对某类角色进行整体的权限约束,使得角色要获得权限,必须受到环境因素的约束。

约束条件C:在会话集中,规定了主体和角色的对应关系。这种对应关系是受时间和空间两个因素约束的。某一个用户只有在系统规定的时间、空间状态下,其所属角色才能被激活。例如,约束集可以规定,某工作站医生只有在其工作时间内利用所属科室的终端登陆,其所属角色才能被激活,而在其非工作时间内或利用自己的移动信息设备访问医院信息系统,这名医生只具有外部主体的角色属性。

四、授权策略

随着医院信息系统的子应用系统不断增多、远程医疗快速发展以及社保、新合疗等接口的介入,系统中用户、资源的数量和种类不断增加,主体用户日益分散,集中式的授权方式已经不能完全满足当前医院信息系统的要求。因此可以采用层次化授权策略。这种授权策略包括两个方面的层次化思想:层次化的权限管理机构和层次化的授权策略。其内涵如下:

1、在分布式环境的各授权管理机构中设立最高层授权管理机构,由医院专属信息安全管理部门担任,主要负责对所有的信息资产进行识别,然后将系统资源的访问控制权限分配给分布式环境下的各个子授权管理机构,即第二层授权机构的管理者。后者再依据其下属角色的层次结构分级授权。比如,可以由医院院长和信息管理员联合组成最高权限角色层,给医院行政管理层和各医务部门的主要负责人授权;他们再给下属的主任医师进行授权,主任医师再对其所管理的各医师授权。所有赋予角色的权限要符合最小权限原则和职责分离原则。授权方式如图3所示.

2、不同分布点由不同的管理者管理,各管理者可以在系统整体授权和访问控制系统的原则下,根据需要制定自己的策略来约束系统中的授权行为。因此,较高层管理者制定的策略就构成了上层策略,各分布点管理者制定的策略就构成了下层策略。上层策略对下层策略具有约束作用。

五、结论

本文在充分分析先进医院信息系统的分布式发展方向及功能涵盖面日益广泛的基础上,分析了其访问控制策略的不足之处,并指明了访问控制模型中必要的时间、空间环境约束条件,建立、分析了基于时间和空间制约因素的角色访问控制模型--TlrbAC。时间、空间环境约束条件对访问控制的制约作用体现在对角色集中参与映射的角色进行约束、对角色获取的权限范围进行约束以及对会话集中主体和角色的对应关系进行约束。最后,本文提出了分布式层次化授权策略,在分布式化境下,对各个职能部门、科室的主体用户,依据其角色层级,进行层次化授权,从而避免对角色统一授权的繁重工作和可能出现的错误。

参考文献

[1]Sandhu R S,Coyne E J,Feinstein H,et al.Role-based Access Control Models[J].IEEE Computer,1996,29(2):38-47.

[2]Ferraiolo D F.Proposed NIST Standard for Role-based Access Control[J].ACM Transactions on Information and System Security, 2001,4(3):224-25.

[3]Chinnici R,Gudgin M,Morea J-J,et al.W3C Working Draft, Web Services Description Language(WSDL)Version2.0Part1:[EB/OL] CoreLanguage.http://www.w3.org/RT/2004/WD-wsd120-200403026, August 2004.

[4]Joshi J B D,Bertino E,Latif U,et al.A Generalized Temporal Role-based Access Control Model[J].EEE Transactions on Knowledge and Data Engineering,2005,7(1):4-23.

[5]Kandala S,Sandhu R.Secure Role-Based Workflow Models [A].In:proceedings of the 15th IFIP WG 11.3Working Conference on Database Security[C].Niagara,Ontario,Canada:[s.n.]2002.45-58.

[6]Lampson B W.Requirements and Technology for Computer Security[M].Washington:National Academy Press,1991:74-101.

[7]O'Neil M,allam-Baker P,Cann S M,et al.Web Services Security [M].McGraw-Hill,2003.

[8]牛少彰,崔宝江,李剑.信息安全概论.第2版[M].北京:北京邮电大学出版社,2007年:121-123.

[9]颜学雄,王清贤,马恒太.Web服务访问控制模型研究[J].计算机科学,2008,35(5):38-41.

安全访问策略论文篇11

【摘要】本文以某公司高层领导chen1、chen2出差在外，欲访问公司内部财务报表为背景，设计实现了在win2008、win2003、winxp不同操作系统下，基于VPN安全远程访问的实现。其中win2008为域控制器，win2003作为域中存放财务报表的成员，winxp为高层领导所用客户端。

【关键词】VPN；远程访问；域

本文以某公司高层领导chen1、chen2出差在外，欲访问、修改公司内部财务报表为背景，利用VPN技术妥善地为出差在外的公司高层提供方便、安全、快捷的财务报表远程访问服务。VPN（VirtualPrivateNetwork，虚拟专用网络）利用公网来构建专用的网络，通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同网络的组件和资源之间的相互连接，并提供同专用网络一样的安全和功能保障。

一、虚拟专用网为用户提供的功能[1]

加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露；信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份；提供访问控制，不同的用户有不同的访问权限。

二、基于Windows操作系统安全远程访问的实现方案

VMWare虚拟机软件是一个“虚拟PC”软件，VMware可以使你在一台机器上同时运行多个操作系统。VMWare是真正主系统“同时”运行多个操作系统的平台，就如标准Windows应用程序之间的切换。而且每个操作系统都可以进行虚拟的分区、配置而不影响真实硬盘的数据，可以通过网卡将几台虚拟机用网卡连接为一个局域网，极其方便。安装在VMware操作系统性能上比直接安装在硬盘上的系统低不少，因此比较适合学习和测试。本文首先在虚拟机上安装win2008、win2003、winxp三个操作系统，之后在win2008上进行DNS服务器的安装、配置与测试[2]，创建域，将服务器win2003加入到域中。至此Win2008作为域控制器，安装有活动目录AD、DNS服务器；win2003作为成员服务器，即存放公司内部财务报表的服务器；winxp为客户端，代表高层领导。本文依据虚拟专用网络VPN实现资源的远程访问，远程访问的网络传输协议采用PPTP协议，允许L2TP连接。[3]原理图如下：

三、具体实现过程

基于Windows操作系统安全远程访问的实现主要包括一）在域中发布文件夹共享并设置权限；二）VPN服务器配置：（1）安装VPN服务（2）启用“路由和远程访问服务”（3）配置路由和远程访问服务；三）客户端配置和测试PPTP客户端。具体实现过程如下：

（一）在域中发布文件夹共享并设置权限

1.在win2003中创建文件夹，名称为财务报表，在文件夹中创建文本文档，名称为2015-12财务收支.txt；2.在win2008AD中新建用户。在“ActiveDirectory用户和计算机”窗口中，右击users-->新建用户chen1、chen2，设置密码；3.赋予chen1、chen2”完全控制”权限。在“计算机管理”窗口中，右击共享-->新建共享，创建文件夹共享中选择“财务报表”-->选择chen1、chen2，赋予”完全控制”权限；4.在文件夹“财务报表”属性框“安全”选项卡中，赋予chen1“读取”权限，chen2“读取”“写入”权限

（二）VPN服务器配置

1.安装VPN服务。在“服务器管理器”界面中，添加角色-->依据添加角色向导，在服务器角色中选择“网络策略与访问服务”-->选择“路由和远程访问服务”，进行安装。

2.启用“路由和远程访问服务”。（1）网络配置，使本地连接2的IP地址、DNS服务器与内网不在一个网段；（2）在“路由和远程访问”界面中，右击win2008-->选择“配置并启用路由和远程访问”-->选择VPN，配置此服务器接受VPN连接-->选择将此服务器连接到internet的网络接口本地连接2-->为远程客户端分配IP地址；（3）在chen1、chen2属性对话框“拨入”选项卡，设置网络访问权限“允许访问”“不回拨”。

3.配置路由和远程访问服务。（1）在“路由和远程访问”窗口，右击win2008，打开属性对话框-->在“安全”选项卡中，选择“允许L2TP连接使用自定义IPsec策略”，输入欲共享的密钥-->重启路由和远程访问服务；（2）右击“端口”，在端口属性对话框中，选择PPTP，配置最多端口数-->选择L2TP，配置最多端口数。

（三）客户端配置和测试PPTP客户端

1.在网络连接中创建一个新的连接，虚拟专用网络连接，输入公司名称client及VPN服务器的IP；2.右击虚拟专用网络client，在属性对话框中选择包含windows登录域；3.右击client-->連接-->输入用户名chen1、密码、域-->点击“连接”，显示client已连接；4.在开始-运行中输入win2003的IP地址，可以看到共享文件夹，远程访问成功-->尝试chen1用户只能读取，不能写入的权限；5.重复3.4.尝试chen2的连接及读取写入权限。

参考文献

[1]张冬英.VPN技术在计算机网络中的应用[J].网络信息化，2015（10）：116-117.

[2]曹立志.常见WindowsServer2008服务功能的应用[J].技术研究，2014（19）：83-85.

安全访问外包数据的研究篇12

1 相关研究

参考文献[1]提出最有效的隐藏访问模式是采用分层结构算法。在分层结构算法中，如果洗牌算法采用AKS网络排序[3]算法，则平均时间复杂度为O(clog4N)，其常数项c大约为6 000。当采用巴切排序网络算法[4]时平均时间复杂度为O(clog4N)，其常数项c大小较为合理[5]。

许多学者在参考文献[1]的基础上又提出了一些新的结构[5,6,7,8,9]。其中参考文献[5,6]在平均时间复杂度方面进行了深入的研究。若客户端存储容量为O(1)时，参考文献[5]得到的平均时间复杂度为O(log2N)，但一些研究人员已经发现参考文献[5]所提的结构存在安全问题[6]。在参考文献[6]所提出的结构中，当客户端存储量为O(1时，获得最好的平均时间复杂度为O(log2N);若客户端存储容量为时，可获得的平均时间复杂度O(log N)。参考文献[7,8,9]在最坏时间复杂度方面做了研究。参考文献[7]得出最坏时间复杂度为，但其平均时间复杂度也是。参考文献[8]提出一种新的O-RAM结构，当客户提供存储空间时，其平均时间复杂度为O(log2N)，最坏时间复杂度为。参考文献[9的最坏时间复杂度为O(log3N)。

以上所提算法均由两个阶段构成，即访问阶段和洗牌阶段，算法的瓶颈就在洗牌阶段。在洗牌时，客户与服务器之间需要进行大量的数据交换，使得客户无法忍受洗牌过程占用的大量时间。如果能把洗牌过程分解到每次访问操作中，对服务器的访问时间保持在常数量级，这样就能将理论应用于实践中。因此，本文提出一种新的结构，在需要少量客户端存储空间和线性级服务器存储容量的情况下，使得每次操作的代价为O(1)。典型算法的性能比较[9]如表1所示。

2 常量级访问模式

本文假设客户端可信而服务器端不可信。O-RAM的目标就是对服务器完全隐藏数据访问模式，即从服务器角度观察，客户端每次读或写数据块请求将产生一个完全随机的数据访问序列。

2.1 数据结构

假设客户的数据大小为N块，每块大小为L字节，在云存储中，L的典型值一般为64 KB～256 KB。本方案需要占用服务器存储容量为3N块，利用均匀随机函数将N个数据块均匀随机地分布到3N个存储块中，其余2N个存储块存放哑元块。

在客户端设置一个缓存队列Q、两张数据表SerMap和PosMap。

缓存队列Q用来管理从服务器读取的数据块，本文假定最多可存储32个数据块。对缓存队列的操作有：Q.in(b)将数据块b插入队尾;Q.out()从队首移出数据块;Q.remove(b)将数据块b从缓存队列中移出;Q.getLen()返回缓存队列中存放的数据块数;Q.getSit(b)返回数据块b在缓存队列中的位置;Q.getSitF()返回队首数据块的块号。

Ser Map[3N]用来表示存储在服务器上各数据块的存储位置，它有3个域，分别是FlData、FlAcc和Fresh。FlData表示存储类型，其值为1表示该块为数据块，否则为哑元块;FlAcc表示其对应的存储块最近是否被访问过。当读/写存储块后，该变量的值设置为1。在查找一个哑元块时，若其值为0则选中该块，若其值为1则改为0，继续查找下一个哑元块;Fresh表示服务器存储块的新鲜度，在对服务器的每次读操作后都会使该变量的值增1，以保证相同数据在加密后结果不一样。

PosMap[N]用来表示用户数据块在服务器中存放的位置映射，包括flag和blockAdd两个域。flag表示数据块存放在服务器/本地的标志，若其值为1时，则表示数据块存放在服务器端，否则存放在Q中;blockAdd指数据块在Ser Map/Q中的位置。

2.2 访问模式

定义1：设客户对服务器的操作为(op,u,data)，其中，op表示read(u)或者write(u,data)操作，u表示将要读或写的数据块标识，data表示要写的数据块。

无论op是读操作还是写操作，其访问服务器的序列由Lookup算法决定。

2.2.1 Lookup算法

在该算法中第1行和第7行共读服务器6次，其中随机读取2个数据块和4个哑元块，需要把所读的数据块保存在Q中。第2行至第6行读取指定的数据块u并保存在Q中。如果数据块u已在Q中，则随机读一哑元块。根据程序局部性原理可知，最近访问的数据块在最近的将来仍有可能再被访问到，因此对Q的管理并不按照严格意义上的先进先出策略，而是当访问的数据块在Q中时，将该块从Q中移出并放到队尾，以保证从Q中踢出的数据块是不常用的数据块。

当op是写操作时，将要写的内容覆盖Q中保存数据块u的缓冲区(第9行)。在每一次Lookup调用中，不停地有数据块存入Q中，Q总会变满，因此需要定期将Q中的数据块写入服务器以防止Q溢出，第10行是调用Evict将Q中的最久未用的数据块写入服务器。

2.2.2 Evict算法

Q中最多可存放32个数据块，调用一次Lookup最多有3个数据块进入Q中。因此，在Evict算法中，当Q的长度超过29时，则将超出的数据块写入服务器以保证Q在下一次Lookup操作时不会溢出。Evict算法描述如下：

第1行至第5行将数据块写入服务器。Evict踢出算法每次写6次服务器，先将缓存队列中的数据块写入服务器，然后用哑元块补足6块(第6行至第7行)。

2.3 洗牌

每执行一次Lookup都会将任意两个数据块读入Q中，当Q长度超过29时，就将超出的数据块写到服务器端的任意位置，实现洗牌操作，这样可将整个洗牌操作分摊到每次Lookup中，避免了集中洗牌造成的突发访问。

2.4 性能

假定存储块大小为64 KB,参考文献[9]与本文性能对比如表2所示。当数据文件小于等于16 TB时,所用客户存储空间小于参考文献[9],当数据文件大于16 TB时,所需客户存储量超过参考文献[9]。本文算法的优势在于所需服务器存储空间较少,实际性能恒定。参考文献[9]采用集中洗牌,当洗牌时需要大量的数据交换,当客户在读写操作时,若正好遇上洗牌操作,则需要等待很长时间。

2.5 安全

定义2：设y=((op1,u1,data1)，(op2,u2,data2)，…，(opM,uM,dataM))是客户请求访问数据块的一个序列，其长度为M。设A(y)表示存取访问模式，当客户的请求序列是y时，用A(y)表示存取访问服务器的序列。如果对于任何两个客户访问序列y和y′，只要其长度相等，对任何人(除客户本人)来说A(y)和A(y′)都是计算上不可区分的，则称该O-RAM结构是安全的。

在Lookup中，数据块u在服务器上的存储位置是随机分布的，读取u和6次随机读数据块操作混在一起，攻击者很难猜到哪一块是真实的块，并且攻击者很难知道下一次它将存放在哪一个位置。

在访问服务器的过程中可能出现刚被淘汰出的数据块又要被访问的情况。这种情况下，攻击者仍然无法获取有用的信息,因为至少有2/3的数据块是随机选取读到Q中的,最多有1/3的数据块是客户所读的数据块,但Evict算法采用最久未用块淘汰策略,攻击者无法知道所读的块是否为所需的数据块,也无法知道什么时间该块会写入服务器,即攻击者从被踢出后又要被访问的数据块中无法获取有用的信息,因此系统是安全的。

本文提出的常量级访问模式仅需占用线性级服务器存储量就可实现无关访问服务器,但它需要占用客户端存储空间,当文件长度超过16 TB时,比参考文献[9]的算法占用更大的客户端存储空间。下一步工作将在减少占用客户端存储空间方面进行研究,找到一个需求客户空间更少的算法。

摘要：在存储外包应用中,无关RAM允许客户对不信任服务器隐藏数据存储模式。提出一种新的无关RAM结构,对客户的每个请求仅需常量级代价和少量客户端存储空间即可实现无关访问。

关键词：无关RAM,访问模式,数据外包

参考文献

[1]GOLDREICH O,OSTROVSKY R.Software protection andsimulation on oblivious RAMs[J].Journal of the ACM,1996,43(3):431-473.

[2]GOLDREICH O.Towards a theory of software protection andsimulation by oblivious RAMs[C].New York:STOC,1987.

[3]AJTAI M,KOLMOS J,SZEMEREDI E.An O(nlogn)sortingnetwork[C].Boston:STOC,1983.

[4]BATCHER K.Sorting networks and their applications[C].NJ:AFIPS Spring Joint Computing Conference.1968.

[5]PINKAS B,REINMAN T.Oblivious ram revisited[C].California:CRYPTO.2010.

[6]GOODRICH M T,MITZENMACHER M.Privacy-preserving access of outsourceddata via oblivious ram simulation[J].Automata,Languagesand Programming,2011(6756):576-587.

[7]BONEH D,MAZIERES D,POPA R A.Remote oblivious storage:Makingoblivious ram practical[EB/OL].[2011-3-30].http://dspace.mit.edu/bitstream/handle/1721.1/62006/MIT-CSAIL-TR-2011-018.pdf.

[8]STEFANOV E,SHI E,SONG D.Towards practical obliviousram[C].California:NDSS,2012.

【安全访问策略论文】推荐阅读：

数据安全访问11-29

访问安全性08-15

访问策略11-05

远程访问05-18

访问机制05-20