BeyonDB:一种地理空间数据库矢量数据授权与实现

针对矢量数据在授权和应用中的安全需求以及现有工作中在授权策略上存在的表达能力的不足,高可信空间数据库管理系统 BeyonDB采用一种基于谓词的矢量数据授权模型,并通过查询改写的方法实现矢量数据的访问控制和有效授权.此外,BeyonDB为数据属主提供一个遵循SQL99规范的SQL接口对矢量数据实施授权;同时提供图形化管理界面,更加直观地为BeyonDB矢量数据的授权策略进行管理.     

基于活动和环境约束的访问控制模型

本文通过对基于任务的访问控制模型的扩展，提出了一种基于活动和环境约束的访问控制模型。该模型可以用四元组{授权策略，授权约束定义，授权环境，授权事物对象}表示。文章用一阶谓词对该模型的访问控制约束规则进行了形式化描述，并讨论了该模型在业务流程管理系统中的实现方法。     

基于多最小支持度的空间关联规则发现

空间关联规则挖掘可应用于发现空间数据库中大量空间谓词与非空间谓词之间的特定空间关系。论文针对区县道路交通数据提出了一种基于多最小支持度的空间关联规则挖掘算法,并给出了在GIS中进行空间关联规则挖掘的一般方法和流程。该挖掘算法可以从城市道路地理信息数据库中发现用户感兴趣的空间关联规则,经实际应用于城市道路规划管理系统,证明该算法是有效、可行的。     

基于多最小支持度的空间关联规则发现

空间关联规则挖掘可应用于发现空间数据库中大量空间谓词与非空间谓词之间的特定空间关系。论文针对区县道路交通数据提出了一种基于多最小支持度的空间关联规则挖掘算法,并给出了在GIS中进行空间关联规则挖掘的一般方法和流程。该挖掘算法可以从城市道路地理信息数据库中发现用户感兴趣的空间关联规则,经实际应用于城市道路规划管理系统,证明该算法是有效、可行的。     

基于谓词检测方法的上下文感知案例研究

当前,开发灵活的适应环境变化的上下文感知应用较为复杂。在上下文感知应用开发过程中,很多未知情况无法事先被充分考虑到,实际的开发又需要处理很多意外情形,因此有效地表示和处理上下文尤为重要。谓词检测作为实现上下文感知的重要方法之一,能够有效对上下文信息进行建模,但在实际应用中对于真实物理设备的支持如何在很大程度上仍然是未知的。为了应对以上问题,通过构建一个简单的物理场景,将谓词检测方法应用于真实的机器小车上,支持其在一个既定轨道上完成运行任务。在该场景下对原始的上下文环境进行建模,将环境特性逐步规约成特定的快照谓词和序列谓词,并在案例研究中,对规约化的谓词进行检测,将谓词检测应用于真实的机器小车实验上。实验分析的结果表明,谓词检测的方法能有效检测小车的上下文特性并成功支撑小车完成既定的行走目标。     

多级安全DBMS的通用审计策略模型

提出了一种基于多级安全数据库管理系统的通用审计策略模型.该模型具有丰富的表达能力,既可以表达基于时间的审计策略,也可以实现基于规则的审计策略推衍.通过引入对象的属性谓词,还可以表达细粒度的审计策略.证明了该模型的可判定性,并给出了判定任意一个事件是否需要审计的算法.     

空间网络间的空间关系的表示和推理

空间网络间的空间关系的表示和推理在空间数据库领域具有重要的意义.为了对复杂的空间网络间的空间关系进行定义和区分,首先提出了空间网络间的空间关系的谓词表示和交集模型表示方法,给出了空间网络间的空间关系模型的特征条件式和蕴涵条件式,进一步给出了空间网络间的空间关系的划分定理和推论;系统研究了空间网络间的空间关系的推理方法,针对空间网络间的空间关系推理特点,提出了推理相斥规则和推理蕴涵规则.研究成果为空间网络间的空间关系在空间数据库中的应用奠定了基础,极大地增强了空间数据库处理复杂对象的空间关系的能力.     

基于抽象和搜索空间划分的安全性判定方法

为满足访问控制策略安全性快速判定的要求,提出一种基于谓词抽象和验证空间划分的访问控制策略状态空间约减方法,将在访问控制策略原始状态机模型上的安全性分析工作转移到包含较少状态的抽象模型上,并进一步划分抽象模型的验证空间,以提高效率.理论分析和实验数据均表明,其安全性分析所需的时间和空间都得到有效约减.与传统方法相比,它具有速度更快、自动化程度更高等优点.     

安全空间数据库动态审计策略的研究与应用

提出了一种基于安全空间数据库管理系统的动态审计策略模型。该模型不仅能够充分表达基于时间和空间的审计策略，还可以根据约束机制对系统用户行为进行实时监控。通过引入复合属性表达式，表达细粒度的审计策略。最后在自主开发的安全空间数据库管理系统Sec_Vista中，内嵌了审计规则触发模块、约束规则触发模块和日志触发模块，实现了本审计策略。     

关系数据库空间栅格数据扩展模型及方法研究

针对海量遥感影像数据有效管理需求,在国产数据库管理系统X-Base内核上,研究并实现空间栅格数据扩展机制。设计基于X-Base关系数据库的空间栅格扩展体系结构,建立了栅格数据扩展体系结构模型,提出基于XML方式的空间栅格数据管理方法。使得扩展后的X-Base数据库能够有效存储、管理空间栅格数据,从而进一步扩展X-Base的功能。     

A formal model for access control with supporting spatial context

There is an emerging recognition of the importance of utilizing contextual informa tion in authorization decisions. Controlling access to resources in the field of wireless and mobile networking require the definition of a formal model for access control with supporting spatial context. However, traditional RBAC model does not specify these spatial requirements. In this paper, we extend the existing RBAC model and propose the SC-RBAC model that utilizes spatial and location-based information in security policy definitions. The concept of spatial role is presented, and the role is assigned a logical location domain to specify the spatial boundary. Roles are activated based on the current physical position of the user which obtained from a specific mobile terminal. We then extend SC-RBAC to deal with hierarchies, modeling permission, user and activation inheritance, and prove that the hierarchical spatial roles are capable of constructing a lattice which is a means for articulate multi-level security policy and more suitable to control the information flow security for safety-critical location-aware information systems. Next, constrained SC-RBAC allows express various spatial separations of duty constraints, location-based cardinality and temporal constraints for specify fine-grained spatial semantics that are typical in location-aware systems. Finally, we introduce 9 invariants for the constrained SC-RBAC and its basic security theorem is proven. The constrained SC-RBAC provides the foundation for applications in need of the constrained spatial context aware access control.     

PMI授权管理系统设计与实现

企业的安全应用面临着资源信息需共享,跨组织边界的用户和服务资源会随时调整,安全策略中的安全属性种类繁多,权限决策辅助因素的多变等问题。文中介绍的PMI授权管理系统为上述问题提供了一个可行的解决方案。该系统将GB／T16264．8-2005和ISO／IEC9594-8（2005）相结合,遵循属性证书的X．509协议,利用改进的RBAC模型建立授权机制,将各类权限信息存储在LDAP数据库及属性证书中。应用结果表明,系统将访问控制机制从具体应用的开发和管理中分离出来,不仅屏蔽了安全技术的复杂性,也拥有很强的灵活性、适应性和可扩展性。文中给出了系统总体设计、授权体系与访问控制模型及LDAP数据库设计方案。     

多自治域协同环境中群组通信的安全访问控制

支持多自治域协作的安全通信环境是大规模分布式应用的基础,群通信由于高效、可伸缩等特点,成为这种协作环境的一种基本通信方式．然而,由于没有集中的控制中心,实体分别隶属于异构的自治域且动态变化,引发了大量新的安全访问控制问题．针对多域协作的异构性和动态性特点,提出一套基于角色的分布式信任管理的解决方案,重点解决了动态联合授权以及基于属性的委托授权．在此基础上建立了一套较完整的安全通信体系,包括安全策略的协商、信任证的颁发、信任证与安全策略的一致性验证以及用户访问权限论证等．它为多域协作环境的群通信提供了更加灵活、可靠、安全的访问控制模式．     

ERBAC模型的改进与实现*

阐述了RBAC96模型在实际应用中存在授权、访问规则、细粒度访问控制等方面的不足,分析了基于角色对用户和角色混合授权的ERBAC模型的不足,提出了一种改进ERBAC模型,使其授权更加灵活,安全性更高,并采用引入访问规则和模糊时间约束机制以及把系统模块和角色进行绑定的方法予以实现。访问规则和审计功能及模糊时间约束机制的引入能使安全性更高,把系统模块和角色进行绑定达到细粒度的访问控制。改进ERBAC模型的授权更加灵活,其安全性更高。     

DBMS权限管理和滥用侦测的设计与实现

文中介绍了一种DBMS权限管理和数据库滥用侦测系统的设计和实现。在其于角色访问控制的基础上,利用DBMS的审计功能,将用户审计信息与实际的权限管理信息相比较,从而侦测出内部合法用户的滥用行为。这种方法填补了目前安全模式存在的漏洞,是一种有效的安全措施。     

基于可信验证的DBMS访问控制模型

针对目前访问控制模型在系统的安全实现方面存在的不足,在RABC的基础上,提出了可信操作环境下基于可信验证的DBMS访问控制模型,该模型满足系统的保密性和完整性需求,最大程度实现信息双向流动,同时支持最小特权安全特性,是一个权限分配灵活的访问控制模型。     

应用特征码的角色存取控制实现方案

提出应用特征码的基于角色的存取控制实现方案，由特征码表示角色、权限，特征码的合成，即用角色导出信息来表示角色间的继承关系．文中方案提供了角色授权、角色继承、数据存取授权等方面的安全管理，考虑了系统动态变化时的处理方法，并扩展了对角色私有权限及多角色同时控制数据存取等情况的处理．该方案权限存取管理简单，更适用于大型网络应用系统。     

数据库安全综述

数据库技术是应用最广泛的一门计算机技术，它的安全越来越重要。该文从数据库安全的定义入手，对用户认证、存取控制、安全管理和数据库加密等数据库安全技术的几个方面进行了讨论。并对国内目前采用改造数据库的方式来提高数据库安全的几个主要应用，进行了详尽的阐述，壤后指出了数据库安全现存的问题和将来研究的方向。     

基于SAML的网格策略部署和认证机制

引进了安全断言标记语言技术，采用基于属性的访问控制策略和安全断言映射方法，讨论了访问控制的流程及相关的授权、认证服务，为校园网格引入了一种访问控制模型，该模型和网格中资源提供者与消费者之间的界面——Portal充分集成，提高了访问的灵活性和可靠性。