收藏本站
《北京工业大学》 2017年
收藏 | 手机打开
二维码
手机客户端打开本文

基于博弈理论的主动式访问控制关键技术研究

张伊璇  
【摘要】:近年来,随着计算机技术及网络技术的发展,信息安全成为人们日益关注的问题。访问控制作为一项保护网络中敏感信息与关键资源的核心安全技术,在抵御网络威胁与攻击中发挥着重要的作用。过去传统访问控制是在访问主体提出访问请求后,根据既有的访问控制策略进行授权,主要面向局域网,授权方式被动,同时拥有一个权威的中心节点管理网络用户,并且网络用户的真实身份已知,因此可以对访问主体的非法行为进行惩罚。而当前的网络环境已经从过去面向特定用户的、封闭式的、静态的环境转变为面向公共用户的、开放式的、动态的环境。开放式网络中动态变化的网络环境与用户身份的不确定性,使得传统的访问控制机制无法满足其中的安全要求。访问控制技术作为把守信息安全的重要门户,面临着更加错综复杂的安全状况,承担着越来越重要的安全责任。如何使访问控制机制主动地应对开放式网络中的安全风险和威胁,是需要解决的重要安全问题。博弈论为开放式网络中的主动式访问控制技术研究提供了一个新的思路。基于动态博弈的访问控制通过将博弈论的相关概念与理论引入到传统访问控制技术中,使得访问控制机制能够适应开放式网络中不断动态变化的网络环境,从而满足开放式网络的安全需求。面对访问控制在网络应用中缺乏主动的自御能力的致命弱点,运用博弈论中的相关理论,设计一个基于博弈理论的主动式访问控制技术架构,采用主动手段对访问主体的不规范甚至恶意访问行为进行有效遏制。以该技术架构为基础,本文主要从理论基础、机制设计、博弈分析几个层面开展了以下四个方面的研究工作:(1)提出一个基于纳什均衡的主动式访问控制机制,以解决访问控制中访问主体与被访问客体的授权问题,提高系统应对开放式网络中安全攻击与风险的能力,构建了以博弈论为支撑的主动式访问控制理论基础。访问主体与被访问客体是访问控制中天然存在的博弈者,运用博弈论中的纳什均衡等相关理论和方法研究访问控制中主体与客体之间的动态博弈关系,建立一个主动式访问控制机制。通过访问主体与被访问客体的策略与收益进行博弈,得到纳什均衡策略,进而对纳什均衡策略进行分析。最终得到的策略中包含访问控制机制对主体已提出的访问请求在不同博弈策略的分布情况的推测,以及客体将会采取的访问控制策略在不同博弈策略的分布情况的推测,据此确定访问控制的权限分配方案。(2)提出一个基于不完全信息静态博弈的PE访问控制机制,结合传统访问控制高效授权的特点和主动式访问控制动态授权的优势,在确保访问控制满足动态安全需求的同时,提升机制的访问效率。在访问过程中,尤其是密集访问中,访问控制机制每次赋予用户权限之前都进行双方博弈会耗费系统资源,造成访问延迟等问题。根据不完全信息静态博弈理论,设计事后评估的PE(Post-Evaluation)访问控制机制,使访问机制在兼顾安全的前提下,提高访问过程中的效率。为了达到该目的,将每次访问开始之前的评估转移到一次或一段访问结束之后进行。虽然该方法会牺牲实时性因素对安全性的影响,但是由于不必担心访问效率问题,可以增加博弈策略的数量来弥补实时性因素对安全性影响,以权限的全部子集作为博弈策略,根据评估和双方博弈结果给予主体权限的子集。(3)提出一个基于聚类分析和合作博弈的DDoS(Distributed Denial of Service)攻击抵御机制,以解决访问控制中以DDoS攻击为主的多主体并发访问带来的安全问题,通过资源分配博弈的手段保证系统正常运转。作为并发访问中最常见的攻击方式,DDoS攻击在网络攻击中所占的比重越来越大,如何对客体资源进行分配,使得在保证客体安全性和可用性的前提下,多个主体的并发访问请求得到高速有效的回馈,是研究的重点内容。为了应对开放式网络中的DDoS攻击,以数据挖掘中的聚类分析和博弈论中的合作博弈相关理论为基础,提出了一个DDoS攻击抵御机制。先通过聚类分析中的相关方法建立聚类机制,将攻击数据聚类到多个簇中,再将这些簇通过合作博弈的相关理论进行博弈,然后根据博弈结果分配资源,从而使DDoS攻击不再对系统造成威胁,保证系统的安全性和可用性。(4)提出一个基于重复博弈的隐私保护机制,以解决访问控制中隐私信息的叠加效应问题,保护信息的隐私性。在开放式动态网络中,信息的隐私保护是多数访问控制机制忽略的一个重要问题。在重复博弈的基础上,提出了一个基于访问控制的隐私保护机制,从收益的角度出发,使主体在访问客体中用户隐私信息的时候,考虑多次访问获得的信息造成的隐私信息叠加效应,使历次访问到的隐私信息的集合不超过用户对隐私泄露的容忍度,从而有效阻止访问主体获取超过用户对隐私泄露容忍度的隐私信息的访问行为,为系统中用户的隐私信息提供有效的保护。综上所述,本文提出了一个基于博弈理论的主动式访问控制技术架构,从不同的角度设计了访问控制机制,使被访问客体与访问主体之间形成一种相互制衡的均衡状态,从而保证系统的安全性,提高访问控制在保护安全信息和隐私信息方面的有效性。
【学位授予单位】:北京工业大学
【学位级别】:博士
【学位授予年份】:2017
【分类号】:TP393.08

【相似文献】
中国期刊全文数据库 前10条
1 谭湘;顾毓清;包崇明;;移动Agent访问控制机制研究[J];计算机科学;2005年12期
2 钮小勇;韩桂明;;访问控制机制在数据库中的应用研究[J];科技传播;2010年21期
3 徐小龙;窦孝晨;;一种对等社区网络多层次可靠访问控制机制[J];计算机技术与发展;2011年04期
4 关德君;王吉;;基于角色的访问控制机制在考试系统中的研究与应用[J];科技信息;2013年09期
5 郑卫斌,张德运,李胜磊;防火墙的动态访问控制机制[J];计算机工程与应用;2003年32期
6 雷芸;刘恒;;用动态代理实现网上考试系统的访问控制机制[J];玉林师范学院学报(自然科学版);2007年03期
7 张志军;郭渊博;刘伟;吕金娜;袁顺;;容忍入侵服务器中组通信认证与访问控制机制[J];计算机工程与设计;2009年21期
8 刘波;郭少辉;陈晖;王海涛;陈磊;;数据统一访问中访问控制机制的研究[J];军事通信技术;2013年03期
9 赵洪彪;;访问控制机制概述[J];计算机安全;2002年12期
10 韩兰胜,刘辉;基于角色的访问控制中角色的划分[J];湖北工学院学报;2002年03期
中国重要会议论文全文数据库 前5条
1 周钢;;操作系统访问控制机制的安全性分析和测试[A];第14届全国计算机安全学术交流会论文集[C];1999年
2 尚卫卫;张卫民;;一种气象领域的安全模型及其访问控制机制[A];2010年全国通信安全学术会议论文集[C];2010年
3 吴波;戴跃发;顾亚强;;SOA环境下访问控制机制研究[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
4 周集良;王正华;;基于CIST的访问控制器设计与实现[A];第十九次全国计算机安全学术交流会论文集[C];2004年
5 于洁;董占球;赵战生;;在开放式网络环境中加强用户安全管理的途径[A];第十二届全国计算机安全技术交流会论文集[C];1997年
中国重要报纸全文数据库 前4条
1 ;发布新框架以改善云服务[N];网络世界;2013年
2 《网络世界》记者 于翔;CA AppLogic 3.0快速构建云应用[N];网络世界;2012年
3 李瀛寰;3Com推出第三层无线LAN安全解决方案[N];中国计算机报;2000年
4 CPW记者 曾宪勇;Sinfor M5100-AC访问控制机制完善[N];电脑商报;2005年
中国博士学位论文全文数据库 前4条
1 张伊璇;基于博弈理论的主动式访问控制关键技术研究[D];北京工业大学;2017年
2 程勇;云存储中密文访问控制机制性能优化关键技术研究[D];国防科学技术大学;2013年
3 颜学雄;Web服务访问控制机制研究[D];解放军信息工程大学;2008年
4 涂山山;云计算环境中访问控制的机制和关键技术研究[D];北京邮电大学;2014年
中国硕士学位论文全文数据库 前10条
1 薛莹芳;虚拟化环境下安全多级访问控制机制研究与实现[D];西安电子科技大学;2014年
2 蒋夷;命名数据网络中基于身份的访问控制机制研究[D];重庆邮电大学;2016年
3 孟祥光;基于加密文件系统的访问控制机制研究[D];华中科技大学;2015年
4 马佳敏;基于固件的虚拟化系统集成访问控制机制研究与实现[D];上海交通大学;2014年
5 李禛宇;基于行为的可信交易管理平台的访问控制机制研究[D];西安电子科技大学;2014年
6 李舒扬;铁路计算机信息系统访问控制机制的设计与实现[D];四川大学;2003年
7 霍亮;云存储环境下访问控制机制研究[D];国防科学技术大学;2016年
8 陈乐思;分布安全代理体系及其授权访问控制机制的设计与实现[D];南京理工大学;2004年
9 寇嘉星;面向云环境下数据平台的访问控制机制的研究与实现[D];北京邮电大学;2017年
10 王峰;基于NETCONF的访问控制机制研究[D];北京邮电大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026