具有特征判断能力的使用控制模型研究

传统访问控制的研究重点是授权策略,关注的是如何为主体分配权限以及如何限制主体使用分配得到的权限.目前绝大多数访问控制策略仍无法识别与控制具有访问权限的非法用户.在分析传统访问控制策略不足的基础上,提出了一种基于UCON的具有访问特征判断能力的使用控制模型--C_UCON.该模型通过在UCON的基础上引入既定义务、待定义务、即定条件、待定条件以及特征和激活规则来对访问进行主观判断,从而降低或者排除具有访问权限的非法用户所带来的安全威胁.     

分布式环境下基于角色的访问控制

本文通过扩展权限的定义:给权限增加一个标示位来区别主体、访问的客体属于相同域和属于不同域时的权限,这样解决了采用对等角色时授予给非本域主体过大权限的问题.同时主体在访问非本域的客体时可以申请临时角色,这样避免了仅仅采用对等角色去访问非本域客体的简单化,更有利于最小权限的实现.通过这两点的改进,使基于角色的访问控制模型更加适合分布式访问控制的特点.     

基于TRBAC的协同设计动态访问控制

针对协同设计过程中由于任务执行的动态性承担任务的角色与权限之间的动态分配问题,在协同设计访问控制中引入任务关联,提出一种基于任务/角色的动态访问控制模型TRBAC,给出TRBAC的形式化描述。论述基于TRBAC的协同设计动态访问过程,设计其访问授权及控制算法。以凸轮组协同设计为例,通过引入TRBAC模型,实现其动态访问控制。     

同步协同应用访问控制

提出了一个同步协同访问控制结构、协同小组共有权限算法，应用规则资源编码方法进行动态信息的访问控制策略制定，解决了同步协同应用信息共享引起的非法访问问题、访问决策效率问题和协同动态信息访问控制问题。应用表明，同步协同应用访问控制结构能够减少访问控制通信量50%以上，共有权限算法和规则资源编码方法是实用的。     

一种基于活动序列的协同设计访问控制模型

为了确保在多用户协同设计环境中对文档及视图访问权限的动态分配与回收、提出了基于活动序列的访问控制模型,采用赋色Petri网描述并实现了模型中活动序列依赖关系约束、角色构造、分配与回收,权限冲突检测等功能。该模型将共享的文档和视图空间按照活动序列划分,把角色分配、回收与活动序列相关联,解决了使用单用户设计软件协同设计中授权用户对访问对象具有持久权限的问题。最后,以协作角色申请过程为例,说明了模型是如何实现访问权限动态分配与回收,以此说明该模型能够适应协同设计中权限随活动变化的访问控制需求。     

电子政务中通用RBAC模块的实现

通过对电子政务安全需求及现有访问控制技术的分析,设计并实现了一个基于角色的访问控制模型.为了满足电子政务中对权限管理的灵活性要求,该模型引入UBAC、功能权限与数据权限、用户组、原子权限等机制改进了原有模型的不足.通过分析现实中的访问控制流程得到访问控制系统模块,提出了系统实现的技术架构并实现了该模型.     

协同设计中层次访问控制模型的研究

访问控制是系统安全的重要技术,但在协同设计中应用较少。该文提出一个基于零件层次建模的多层访问控制框架用于协同设计,其中的层次权限模型为3D图形设计提供了部件层和特征层的多级访问许可,通过结合层次权限概念和传统的角色访问控制,实现基于角色的扩展层次访问控制模型。     

一种访问权限管理的格模型

描述了一种以格为基础的访问控制模型,与访问对象相关的访问权限用格的结点表示,访问权限的变化映射在格上成为一个结点到另一个结点的变换。在这种模型中,访问控制策略实时更新的并发控制算法简单且易于实现。在并发环境中,多个主体读写数据和修改访问控制策略并互相影响时,可直接应用文中的模型与算法。     

基于Petri网工作流的动态访问控制

访问控制是信息系统的一项重要安全保护机制,它是通过限制主体对资源的访问权限,从而保证资源的可用性、完整性和可信性的机制.此种机制通过访问控制矩阵实现,但现在的访问控制矩阵是静态的,它们不随时间的变化而改变.文中通过访问控制矩阵和基于Petri网的工作流结合提出了动态访问控制.访问权限是根据工作流的状态来赋予的,这样减少了对资源和数据的误操作,提高了系统访问的安全性和适时性.文中的工作流模型采用Petri网来描述,Petri网具有坚实的数学分析基础,很适合于表述工作流这样的离散模型.     

扩展的ARBAC访问控制模型

信息安全是分布式协同建模仿真环境必须考虑的重要问题.访问控制是信息安全措施的重要内容之一.针对ARBAC模型没有涉及人员管理、不支持负权限、没有对角色的赋予过程进行控制、只定义了角色权限、灵活性欠佳等不足,提出了扩展的ARBAC访问控制模型.设计了具有层级结构的用户管理模型,提出了运用资质对角色赋予进行控制的方法,进而提出了组权限、角色权限、个人权限三者相结合的访问控制模型.所述访问控制模型能够支持复杂的权限定义,能够对用户实施分层管理,降低管理成本.根据思想设计的访问控制管理系统已在航空二集团某厂实施,收到了良好的效果.     

一个基于信任的P2P访问控制模型

多数访问控制模型都针对集中式的和相对静态的系统,不适宜主客体动态变化的协同环境。文章分析了P2P系统的信任机制,介绍了考虑事务上下文因素的信任度计算方法,提出一种基于信任的动态访问控制模型dTBAC,以解决P2P环境的安全问题。该模型从网络个体信任的角度建立访问控制体制,根据主客体的信任值对访问权限进行动态管理。文章还就P2P应用中不同的访问服务类型给出了具体的访问授权策略。     

协同CAD中基于角色视图技术的存取控制*

提出了协同CAD中信息存取的机制,这种机制是以基于角色的视图技术为基础的。通过对3D模型的几何分割,使基于角色的访问控制成为可能。提取一个被适当简化的、对协同设计单个设计者的存取权限适宜的模型,这种提取由复杂的存取机制所驱使。     

基于角色-页面的协同设计

访问控制是对资源使用的限制,是系统安全运行的保障。基于角色的访问控制模型因其灵活性和相对易维护性而被广为接受和应用。本文介绍了基于角色的访问控制理论,然后以该理论为基础,结合B/S模式的特点,采用类似SQLServer的安全管理架构机制,设计了面向协同设计(CSCD)系统的基于R-P的访问控制模型,并从系统全局考虑综合运用多种安全方法,保证了协同设计系统的安全性。     

基于角色的CSCW系统访问控制模型

针对现有的方法不能很好地满足CSCW系统对访问控制提出的新的需求,该文提出了一个基于角色的CSCW系统访问控制模型RBCSAC(role-based collaborative systems access control).该模型形式化地描述了数据、操作、权限、角色和用户等要素及其相互间的关系,提供访问控制信息的记录方法,通过分配和取消角色来完成对用户权限的授予和取消,并且提供了角色分配规则和操作合法性检查规则.该模型针对CSCW系统的多用户、交互、协作、实时、动态等特性,能较好地满足CSCW系统对访问控制的需求.     

An extended attribute based access control model with trust and privacy: Application to a collaborative crisis management system

Many efforts in the area of computer security have been drawn to attribute-based access control (ABAC). Compared to other adopted models, ABAC provides more granularity, scalability, and flexibility. This makes it a valuable access control system candidate for securing platforms and environments used for coordination and cooperation among organizations and communities, especially over open networks such as the Internet. On the other hand, the basic ABAC model lacks provisions for context, trust and privacy issues, all of which are becoming increasingly critical, particularly in high performance distributed collaboration environments. This paper presents an extended access control model based on attributes associated with objects and subjects. It incorporates trust and privacy issues in order to make access control decisions sensitive to the cross-organizational collaboration context. Several aspects of the proposed model are implemented and illustrated by a case study that shows realistic ABAC policies in the domain of distributed multiple organizations crisis management systems. Furthermore, the paper shows a collaborative graphical tool that enables the actors in the emergency management system to make better decisions. The prototype shows how it guarantees the privacy of object’s attributes, taking into account the trust of the subjects. This tool incorporates a decision engine that relies on attribute based policies and dynamic trust and privacy evaluation. The resulting platform demonstrates the integration of the ABAC model, the evolving context, and the attributes of actors and resources.     

一种基于委托逻辑的协作环境访问控制模型

提出了一种基于委托逻辑的访问控制模型——DLBAC,将凭证、RBAC元素和访问策略转化为统一的委托逻辑规则。引入了访问控制单元的概念来表示一个访问控制系统,并且定义了标准的规则传递接口,将跨实体企业的访问控制转换成企业内部传统的访问控制。这个访问控制模型既能保护企业资源的安全,同时义能实现协作环境内的资源共享。     

Annotation-based access control for collaborative information spaces

Web 2.0 social platforms (e.g., Flickr, YouTube) and Collaborative Working Environments (e.g., Microsoft SharePoint, BSCW) provide Web-based collaborative information spaces which enable common users and/or professionals to work together and share their online resources. Most of these collaborative information spaces provide role-based or group-based, coarse-grained access control policies which cannot successfully cope with the requirements posed by massive and open collaboration. In this paper, we present an annotation-based access control (AnBAC) model supported by a Collaboration Vocabulary (CoVoc) as a more flexible and user-centric access control approach. Based on this, we developed two tools: Uncle-Share is a gadget that provides annotation-based access control and can be equipped with CoVoc for annotating collaborative relationships. Who-With-Whom uses CoVoc to visualize extended social networks in order to help users to select appropriate contacts to grant access to resources.     

协同环境下CAD模型的多层次动态安全访问控制

提出一个专门针对协同环境下CAD模型的多层次动态的安全访问控制(multi-level and dynamic security access control,简称MLDAC)模型.该模型利用一种多层次的权限模型,以简化权限定义及其分配过程,丰富了权限表达能力,实现了产品模型的多粒度访问控制.通过参照工作流的基本理念,引入权限的依赖关系及权限状态迁移概念,实现了权限的动态授权管理.通过实践证明,MLDAC模型可以对协同设计操作进行更加有效的控制,符合设计任务间的分工性、依赖性和交互性的特点.     

协同企业建模中的动态访问控制方法

为了保证在网络化的协同企业建模系统中对模型的安全访问,需要建立一套有效的访问控制机制。在分析基于角色的访问控制、自主型的访问控制及强制型访问控制的基础上,结合协同企业建模系统的特点,提出在模型节点状态约束下,基于角色和任务的动态访问控制方法。该方法确定用户在建模工作中的岗位、该岗位负责的任务和充当的角色,考察任务中对应的模型节点状态及确定访问权限,利于实现用户与受控对象的细粒度的访问控制。给出了系统的实现方法。