公开(公告)号：CN102957697A

公开(公告)日：2013-03-06

申请号：CN201210418000.4

申请日：2012-10-26

Applicant: 上海交通大学

Inventor： 潘理 ,  訾小超 ,  周鑫 ,  张清源

IPC: H04L29/06

Abstract: 一种多域间基于RBAC模型的访问控制策略合成方法，包括：首先在单个域内进行角色树合并，接着计算角色间接权限集，A继承权限集和I继承权限集，最后递归地比较域间角色的权限集，确定需要进行分裂的角色，建立域间角色映射，形成全局访问策略。本发明将需要进行策略合成的多个域的RBAC策略作为方法的输入，根据原域内的角色权限分配关系、角色层次关系以及角色间的SOD约束，建立域间角色映射集合，形成全局访问控制策略输出。

公开(公告)号：CN101286978B

公开(公告)日：2011-08-31

申请号：CN200810037823.6

申请日：2008-05-22

Applicant: 上海交通大学 ,  上海鹏越惊虹信息技术发展有限公司

Inventor： 李建华 ,  訾小超 ,  姚立红 ,  潘理

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/56 ,  H04L1/16

Abstract: 一种保证语义完整的TCP连接隔离与控制方法和系统，属于信息安全领域。本发明方法修改后TCP处理步骤保证收到SYN报文后，将该报文特征信息通知到另外一个网络处理单元，由另外一个网络处理单元重新生成该SYN报文，发送到网络上，待另外一个网络处理单元收到ACK后，再由本协议栈生成对应的报文。本发明系统包括包括TCP握手处理模块、TCP连接检查模块、应用层数据检查模块、应用层协议处理模块、安全数据交换通道模块。本发明不仅能够隔离内外网络之间的TCP连接，进行应用层数据交换，也能够保证TCP的语义完整性，不会出现服务器关闭而客户端也能建立起TCP连接的情况。

公开(公告)号：CN101286871B

公开(公告)日：2010-12-01

申请号：CN200810037822.1

申请日：2008-05-22

Applicant: 上海交通大学 ,  上海鹏越惊虹信息技术发展有限公司

Inventor： 李建华 ,  訾小超 ,  姚立红 ,  潘理

IPC: H04L12/24 ,  H04L9/32 ,  H04L29/06

Abstract: 一种基于数字证书和安全协议的隔离系统配置方法，属于信息安全领域。本发明采用证书验证管理终端和用户身份的合法性和可靠性，并通过SSL协议实现管理终端和网络隔离系统配置信息的安全性，同时通过内网管理单元来实现对外网处理单元配置信息的的认证和转发，这样不再需要隔离系统管理员进行两次配置。最终由外网处理单元对配置信息进行接收，内网处理单元的配置信息和外网处理单元的配置信息通过不同的SSL连接发送。本发明主要利用安全通信协议，同时利用数字证书方面的成果来保证管理的安全性，具有非常高的可靠性，能有效解决目前系统管理不够方便，安全性低的缺点。

公开(公告)号：CN101286978A

公开(公告)日：2008-10-15

申请号：CN200810037823.6

申请日：2008-05-22

Applicant: 上海交通大学 ,  上海鹏越惊虹信息技术发展有限公司

Inventor： 李建华 ,  訾小超 ,  姚立红 ,  潘理

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/56 ,  H04L1/16

Abstract: 一种保证语义完整的TCP连接隔离与控制方法和系统，属于信息安全领域。本发明方法修改后TCP处理步骤保证收到SYN报文后，将该报文特征信息通知到另外一个网络处理单元，由另外一个网络处理单元重新生成该SYN报文，发送到网络上，待另外一个网络处理单元收到ACK后，再由本协议栈生成对应的报文。本发明系统包括包括TCP握手处理模块、TCP连接检查模块、应用层数据检查模块、应用层协议处理模块、安全数据交换通道模块。本发明不仅能够隔离内外网络之间的TCP连接，进行应用层数据交换，也能够保证TCP的语义完整性，不会出现服务器关闭而客户端也能建立起TCP连接的情况。