一种可信度动态调节的RBAC策略模型

在基于角色的访问控制（RBAC）策略中,用户的身份识别口令可能会因为意外泄露或者他人盗取而使数据信息不安全,因此需对访问过程中的用户行为实施控制。提出了一种可信度动态调节的RBAC策略模型。该模型将可信计算技术与访问控制策略有机地结合,采用层次分析法对系统可信度进行评估;通过引入动态调节可信度,将用户的可信度作为系统在进行用户角色指派时的依据。实验将此模型应用于数据库环境中仿真,结果表明,该策略模型通过实施层层可信的访问控制,最终有效地提高了数据库访问的安全性。     

Kylin操作系统中一种动态角色转换方法

本文基于安全操作系统中角色定权的强制访问控制框架(RBA),吸取了认证可信度模型中对用户可信度的一些描述手段,在Kylin操作系统中提出了一种基于用户可信度的隐式角色动态转换机制。通过量化认证系统不确定性和限定角色的转换及转换范围,增加了用户权限的灵活度,在实现了透明角色转换的同时,保证了系统的安全与稳定。     

基于PMI的Web资源安全访问控制系统设计

针对Web资源的安全控制问题,设计了一种基于授权管理基础设施PMI技术的安全访问控制系统。该系统依据身份证书对用户进行身份认证,使用权力证书为用户授予访问权限,通过角色策略控制对Web资源的访问。同时,还提出一种获取并管理Web资源信息的方案。该系统对Web资源的安全访问控制提供了一种有效的解决方法。     

访问控制策略的研究

访问控制策略在软件系统中起着重要的作用,与软件系统的安全性和可靠性有着直接的联系。选取何种访问控制策略,如何对系统的访问控制权限进行规划,是摆在软件分析设计人员面前的一个复杂课题。介绍了自主访问控制、强制访问控制和基于角色的访问控制三种主流的访问控制策略,并进行了对比分析。基于角色的访问控制策略依据两个重要的安全原则,强化了对访问资源的安全访问控制,并且解决了具有大量用户和权限分配的系统中管理的复杂性问题,广泛应用于当前流行的数据管理系统。     

访问控制策略的研究

访问控制策略在软件系统中起着重要的作用，与软件系统的安全性和可靠性有着直接的联系。选取何种访问控制策略，如何对系统的访问控制权限进行规划，是摆在软件分析设计人员面前的一个复杂课题。介绍了自主访问控制、强制访问控制和基于角色的访问控制三种主流的访问控制策略，并进行了对比分析。基于角色的访问控制策略依据两个重要的安全原则，强化了对访问资源的安全访问控制，并且解决了具有大量用户和权限分配的系统中管理的复杂性问题，广泛应用于当前流行的数据管理系统。     

协同企业建模中的动态访问控制方法

为了保证在网络化的协同企业建模系统中对模型的安全访问,需要建立一套有效的访问控制机制。在分析基于角色的访问控制、自主型的访问控制及强制型访问控制的基础上,结合协同企业建模系统的特点,提出在模型节点状态约束下,基于角色和任务的动态访问控制方法。该方法确定用户在建模工作中的岗位、该岗位负责的任务和充当的角色,考察任务中对应的模型节点状态及确定访问权限,利于实现用户与受控对象的细粒度的访问控制。给出了系统的实现方法。     

基于密码的访问控制研究*

针对现有访问控制策略和机制复杂的特点,结合标签机制和多级安全的策略,以强制访问控制为基础,提出了一种新的访问控制机制。该机制的思想是根据客体的访问密钥来最终决定主体对客体有何种访问权限。基于这种思想将访问控制策略和机制进行了设计,给出了一种在LSM(Linux安全模块)框架下基于密钥对文件进行访问的策略实现方法。该访问控制方法通过设置密钥给了用户一定的自主权,限制了高级用户的部分权限,实现了文件共享。     

基于角色的访问控制

基于角色的访问控制(RBAC)是一个最新的授权方案。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。整个访问控制过程被分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。它比强制访问控制(MAC)和自主访问控制(DAC)更适用于非军事的数据处理。本文从以下几方面介绍了基于角色的访问控制:概述,定义,最小特权策略,职责分离和结论。     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题，讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略，利用公钥证书实现对用户的身份认证，结合角色证书实现对用户的授权访问。     

网上教学系统的角色控制的设计与实现

基于角色访问控制的权限访问控制系统能严格地控制与防止用户接触与其身份角色不相关的数据信息,有效地避免用户的非法操作,从而切实地提高系统的可用性和健壮性.本文以一个网上教学系统的权限访问系统实现为例,研究和探讨了实际应用中用户访问控制的设计及实现.     

一个基于视图的数据访问模型

多用户共享一个数据库必然存在一些安全隐患,须加以特定的控制措施以防止非法访问。提出一个基于视图的数据访问模型(VBAC),根据用户名创建与之联系的视图(视图成为该用户访问属于他的数据的惟一窗口),回收所有用户的权限,并将视图的访问权限授予给与之对应的用户,当一个用户登录系统,将他与对应的视图绑定起来,用户的数据访问通过视图间接完成,一旦回收视图的授权,与之对应的用户将不能对数据库进行任何存取。通过授权的数据视图,将用户对数据的操纵限定在特定的行和列,在用户和数据库之间建立信息安全防火墙。在Microsoft SQL Server 2000下测试了该模型的有效性。     

认证可信度理论研究

认证是操作系统安全的基础之一,没有经过用户认证,系统安全的3个基本特性：秘密性、完整性和可用性将会严重地受到破坏．但是由于当前系统在用户认证过程中存在一些不确定性因素,如认证机制的不确定性、认证规则的不确定性和认证结论的不确定性,借鉴专家系统中不确定性推理的思想,提出认证可信度的思想,并给出了认证可信度因子模型．该模型对认证过程存在的不确定性因素给出了度量,针对需要多种认证机制的重要、特殊系统给出了认证可信度因子在多认证机制之间的传播公式,并进行了证明．通过在认证过程中引入认证可信度,可以很好地描述认证过程中的不确定性因素,并且可以更好地增强系统在多种认证机制情况下的安全性．     

基于认证可信度的BLP模型研究

该文扩展认证可信度的相关概念,描述当前系统中认证和授权相脱节的情况下如何将两者通过认证可信度结合起来,提出认证可信度与BLP相结合的模型:基于认证可信度的BLP模型,要求主体对客体的访问必须经过可信度安全特性和BLP模型安全策略的双重判定。模型体现了实际系统对不同用户认证可信度授予不同访问权限的需要,防止通过弱认证机制获得低认证可信度的用户访问高敏感信息。     

一种基于进程的访问控制模型的研究

病毒、木马在互联网环境下对终端计算机系统造成的危害越来越严重。一个主要的原因是传统访问控制模型将进程作为用户的代理赋予其用户的全部权限,从而导致用户权力被滥用。基于进程的访问控制模型遵循最小特权原则,通过约束进程的权限,避免权限滥用,从而达到阻止计算机病毒、木马在终端中传播和扩散的目的。     

一种基于Harn数字签名的双向认证访问控制方案

针对信息保护系统,该文在于Harn数字签名方案和零知识证明构造了一种双向认证访问控制方案。在该方案中,用户与系统不必暴露秘密信息就可以进行双向认证,并且用户和系统的共享密钥可用于认证有 访问保密信息体的请求的合法权限。因此,该方案与已有该问控制方案相比要更加安全。该方案能够执行像改变存取权限和插入／删除用户或信息体这样的该访问操作,而不影响任何用户的保密密钥,不需重建信息保护系统。因此,该方案动态特性好。基于Harn数字签名方案和零知识证明给出的这一认证访问控制方案的计算安全性不低于求解“离散对数问题”的计算复杂性。     

一种Web应用环境下安全单点登录模型的设计

文章面向Web应用系统,提出了一种实现安全单点登录模型的设计思想。该模型基于Java平台设计,可提供本地及异地系统间的用户身份认证,确保用户在任意点安全登录并赋予相应访问权限,提高了Web应用系统整体安全性。     

组播用户安全管理系统设计与实现

为了克服IP组播模型的开放性,使得在现有互联网条件下能够为组播管理者提供用户对频道的访问控制,在原有安全组播模型的基础上,提出了一种基于IPv6网络环境的组播用户安全管理系统模型的设计方案。该方案采用钩子(hook)机制在接入路由器上挂载了认证与访问控制模块,任何想要监听组播流的用户,都要通过该模块进行身份认证与频道访问权限的判定,从而实现了基于频道的组播用户安全管理。并在教育科研骨干网中实验验证了该系统的身份认证和访问控制功能。     

一种隐私的角色认证方法

给出一种新的兼顾隐私保护的角色认证方洗该方法认证具有普遍意义的主体角色,既满足认证需求又保护用户身份隐私,还方便对主体进行角色授权.方法内嵌的用户身份标识具有随机性和唯一性,能唯一地确定角色拥有者.服务方不能统计或链接该标识以推测用户行为或揭露用户真实身份.对方法的相关分析表明,该方法兼顾认证及隐私需求,且实现流程简易,计算效率高,便于应用部署.     

基于角色的安全互操作模型

针对当前域间安全互操作中存在的不足,如不同粒度控制域之间的用户进行安全互操作时,带来的身份识别和规则冲突等一系列的问题,提出一种基于角色的安全互操作模型:RBSIM.在该模型中,引入角色,实现用户权限的分离,方便管理,角色--权限进行二次指派,方便系统对用户行为的细粒度控制.同时,该模型可解决安全域之间规则约束、粒度冲突等问题.用户通过发送请求申请访问资源,通过证书认证分配角色授予权限.角色的引入在带来管理方便的同时,充分解决了粗细粒度控制的冲突问题.