基于逻辑合一的访问控制规则描述

现有的访问控制规则描述方式不易表达一类主体、客体间具有包含关系的访问控制规则。针对此问题,提出 一种基于逻辑中合一思想的算法。算法首先将访问控制请求转换为逻辑提问,同时根据逻辑回答给出相应的访问控 制请求应答;然后使用事实描述访问控制规则中的各个要素,并通过在系统运行过程中对非ground事实的变量的动 态例化实现灵活的访问控制。最后,通过一个实例及分析说明了算法的有效性。     

基于情景演算的动态访问控制模型

访问控制模型定义了安全系统访问控制的整体框架。现有的访问控制模型大多是静态授权模型,尽管可以通过扩展来实现局部动态性(比如可以通过定义条件来实现角色的临时激活等),但在应用时受到了扩展元素的限制,并且已有的大部分模型无法描述授权的动态变化过程。针对以上问题,提出了一种基于情景演算的动态访问控制模型(SCDAC)。SCDAC用逻辑事实和规则来描述访问控制属性和策略,把授权在某一时刻的状态(逻辑事实和规则集合)看作一个情景,通过动作来实现情景的变化,同时刻画了动作执行的前提条件和后续状态的变化情况。最后通过一个实例说明了用SCDAC来描述授权状态的动态变化是可行的。     

基于二进制序列的属性访问控制策略检索方法

在基于属性访问控制策略中,如何快速响应检索的访问控制请求至关重要,而通过遍历策略集合每条规则中的所有的属性值去匹配相应规则的检索方法是低效的。提出一种基于二进制序列的属性访问控制策略检索方法,采用二进制标志和二进制编码表示基于属性的访问控制策略和访问控制请求,通过对二进制标志的逻辑运算选择合适的分组,在组内,通过访问控制请求的二进制编码和所有规则的二进制编码的匹配来查找合适的规则,减少策略集合内规则的属性与访问控制请求属性匹配的过程,从而提高策略检索效率。在实验中从策略预处理、策略评估时间和策略检索总时间三个方面类比相似检索方法的效率,实验结果表明,提出的策略检索方法具有更高的检索效率。     

分布式环境下的访问控制

为适应分布式环境下的安全需求,提出了一种描述访问控制策略和判定访问请求的方法。采用类似于无函数的扩展逻辑程序的表示方法对安全访问策略进行描述,限定权限传播的深度,利用不同的优先次序定义了多种消解冲突的规则,并给出了类似扩展逻辑程序的回答集语义解释。结合确定性推理和可能性推理,描述了如何判定访问请求的算法。解决了3个问题：分布式授权、私有权限和冲突消解方法。     

基于属性的内部文档访问控制

采用基于属性的访问控制模型思想,实现了分布式环境下的内部文档访问控制.采用F-Logic语言,描述了访问控制策略,具有良好的结构化知识的描述能力.采用FLORA-2作为逻辑推理引擎,具有更好的通用性.在统一的访问控制框架下,以具体应用为例,描述了基于属性的内部文档访问控制实现过程中的各个要素,包括属性描述、访问控制请求描述、策略描述.     

基于本体的多域访问控制策略集成研究

本体是共享概念模型的形式化规范说明,是一种能在语义和知识层次上描述信息系统概念模型的建模工具,为解决多域环境中的安全互操作提供了一种新的方法.使用本体及其描述语言,对基于角色的访问控制策略进行了描述,形成一个概念和属性的公理集合（TBox）,并采用ALCN（含有个数限制和补算子的描述逻辑语言）对TBox进行形式化的描述.利用域间角色映射方法来解决多域访问控制策略的集成.使用基于规则的推理技术,定义多域访问控制中的一系列推理规则,实现访问控制领域的推理.基于前述方法实现了OntoAC系统,实验结果表明该方法是有效的.     

基于逻辑的访问控制研究

描述了访问控制和逻辑的关系,并将访问控制授权判决问题归约成逻辑蕴涵问题;总结了基于逻辑的访问控制的基本逻辑问题,即逻辑基础、可判定性和安全性分析;分析了一些访问控制模型的基本逻辑问题,包括基于身份的访问控制模型、基于信任管理的访问控制模型和基于属性的访问控制模型;指出了结构化属性描述能力和安全性分析是基于逻辑的访问控制需要进一步研究的问题.     

基于规则推导的特权隐式授权分析

介绍了一种研究系统特权安全问题的方法.由于其特有的迁移系统安全状态的能力,使得分析及保护系统特权都很困难,因此,传统访问控制研究中所采用的技术无法复制到该领域.在访问控制空间理论下,检查了系统特权的来源问题及其特点,从而将系统规则划分为约束规则与执行规则两类,分别描述授权的限制与效果.进一步对规则逻辑形式进行推导,发现特权操作问的特殊授权关系以及相关属性,并设计了一种快速构造授权推导图的算法.在此基础上,分析隐式授权安全问题可能存在的滥用特权威胁.最后对POSIX(portable operating system interface)标准的权能机制进行形式化描述,计算并构造其授权推导图.对标准设计中存在的滥用威胁提供了对策,有效地实现了与最小特权原则的一致性.     

基于语义技术的软件用户访问控制方法

在应用软件中广泛使用的访问控制模型不能根据用户上下文来动态改变资源的访问权限。针对上述问题提出一种基于语义技术的访问控制方法,实现了对用户的动态授权。提出基于语义信息的用户模型和资源模型并构建面向用户模型和资源模型的基础本体,定义一组与访问控制相关的语义规则及推理规则,并设计基于语义推理过程的判定算法。访问控制过程是接收并分析访问请求,根据语义规则从显示的本体知识中获取相关联的用户信息,调用判定算法得出用户与资源间的访问权限关系。最后通过某综合减灾应用系统案例来验证该方法的有效性。     

面向大规模网络的基于政策的访问控制框架

研究防火墙(或过滤路由器)应用于传输网络中的管理问题与吞吐量问题.一方面,手工配置分布在各个接入点的大量防火墙,无法满足开放的、动态的网络环境的安全管理需求;另一方面,大量过滤规则的顺序查找导致了防火墙吞吐量下降.针对一个典型的传输网络和它的安全政策需求,提出了一种基于政策的访问控制框架(PACF),该框架基于3个层次的访问控制政策的抽象:组织访问控制政策(OACP)、全局访问控制政策(GACP)和本地访问控制政策(LACP).根据OACP,GACP从入侵监测系统和搜索引擎产生,作为LACP自动地、动态地分配到各防火墙中,由防火墙实施LACP.描述了GACP的分配算法和LACP的实施算法,提出了一种基于散列表的过滤规则查找算法.PACF能够大量减轻管理员的安全管理工作,在描述的安全政策需求下,基于散列表的规则查找算法能够将传统顺序查找算法的时间复杂度从O(N)降低到O(1),从而提高了防火墙的吞吐量.