细粒度的基于信任度的可控委托授权模型

综合基于角色的访问控制和信任管理各自的优势,提出了一个适用于开放式环境的细粒度可控委托授权模型--FCDAM(fine-grained controllable delegation authorization model),基于信任度实现了对角色中具有不同敏感度的权限传播控制.提出了为本地策略中的权限分配信任度阈值的方法,为RT₀添加了信任度支持,给出了在这种扩展后的信任管理系统中计算实体信任度的算法,并结合具体实例对模型的使用进行了说明.     

一种面向信任管理的委托授权模型及其在P2P安全中的应用

在信任管理中现有的委托授权模型并未涉及对角色、匿名用户等实体间信任关系的定义与度量,且缺少相关的细粒度形式化模型和委托授权安全协议其无法有效地满足信任管理系统的应用需求。现面向信任管理提出了一种能够刻画实体间信任关系的形式化委托授权模型DAMfor TM(Delegation Authorization Model for Trust Management),通过引入信任罚函数对实体的信任度量值加以动态调整。同时给出了支持可信计算的信任委托与角色委托等安全协议,以及在P2P安全中的应用实例。该实例表明,所提出的模型及安全协议构建了Peer间的信任委托关系,并通过终端完整性的远程证明确保了计算平台与共享资源的安全性。     

一种带有信任度的基于角色的信任管理模型*

在RT（一族基于角色的信任管理语言）的基本部分RT0的基础上提出了新的带有信任度的基于角色的信任管理模型（RTDOT）,将信任度结合到信任管理中,并给出了模糊集合的语义。新模型体现了信任的主观性和模糊性,并可对委托深度进行控制,与模糊理论的结合为信任管理提供了一个新方向。     

委托授权模型在协同设计中的应用

提出一种面向信任的角色委托授权模型(Trust-RBDM)。在基于角色的访问控制模型的基础上引入信任基,并在用户和信任基之间建立映射关系,依靠可信链的传递实现委托授权,有效解决了传统委托授权模型委托操作分散和安全性差的问题。将该模型应用于基于HOOPS的3D协同设计中,实验结果表明,该模型能够增强分布式协同设计环境中委托授权的灵活性和安全性。     

基于映射机制及带信任度的灵活委托授权模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播可控性上存在的不足,提出一种基于映射机制及带信任度的灵活角色委托授权模型FDMTPM。该模型基于坐标化与量化算子的复合运算,考虑角色成员关系的动态委托提出模式度量角色的概念,并以其为委托粒度充分考虑广度和深度上的部分委托限制需求;同时引入信任度实现了对角色中具有不同敏感度的权限传播的控制和灵活的委托需求。最后对委托约束机制和撤销机制进行讨论,确保其在多步委托过程中委托能力的收敛性。     

基于层次角色委托的服务网格授权执行模型

针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求.     

权限可控传递的物联网共享设备委托授权访问机制

为了解决在共享模式下设备所有者在委托授权时权限敏感度保护以及中间代理滥用授权的问题,综合基于信任度访问控制模型和代理签名的特征,提出了一种基于信任度的可控部分权限委托授权机制。该机制采用基于角色和信任度值的授权策略,通过代理签名实现可控的部分权限委托传递。经安全分析证明,该机制可满足权限传递所需的可验证性、不可否认性、可区分性、可识别性和不可滥用性等安全属性,确保了设备所有者权限的可控安全传递,有效防止中间代理过度授权的问题。     

基于用户信任的多域访问控制模型

在角色访问控制的基础上,提出本域角色表和外域角色表的概念,引入域间信任度,提出一种基于用户信任的多域访问控制模型——UT-MDAC。UT-MDAC模型通过不同域之间的信任度,获得用户访问外域的资格,并通过用户的信任值,判断用户的行为可信性。结合域间信任度和外域角色表,系统分配用户外域角色,用户根据外域角色对应的权限,对外域资源信息进行实际访问操作。给出UT-MDAC模型的定义和授权机制,访问控制流程,并给出模型的实际应用分析,比较分析模型的性能和安全性。分析结果表明该模型能实现动态授权,且满足最小特权原则,具有普遍适用性。     

基于信任度和协作安全策略的委托模型

为提高委托过程的可信度并保证系统的安全性,提出一种基于信任度和协作安全策略的委托模型.利用信任资历、信任经验和信任推荐综合计算不同用户的信任度,选取值得信任的受托对象,采用互斥角色约束间接实施协作分工策略的方法,进一步选取保证系统安全性的受托对象.理论分析与应用实例证明,与现有模型相比,该模型通过量化计算信任度及最小约束构造算法确定的受托用户能够较好地体现委托的可靠性,并且满足系统状态的安全性要求.     

基于反馈机制的网格动态授权新模型

网格现有的授权系统存在静态性问题,表现为没有提供机制来反馈用户对授予的权限的使用情况.当一个本来可信的用户或服务变成不可信时,授权系统不能及时发现,对其权限进行调整可能导致恶意用户对网格系统的破坏.因此,在授权系统中建立反馈机制,根据用户的行为动态地调整用户角色,对于网格系统的安全具有重大意义.文中分析了网格中现有的授权系统及信任模型的特点,指出它们存在的不足.在此基础上提出一种基于反馈机制的动态授权新模型,很好地解决了现有授权系统的静态性的缺点.该模型是对CAS授权系统的改进,增加了反馈机制和信任度计算机制.其中,信任度计算机制中提出的基于行为的分层信任新模型较以往的信任模型相比,使用服务权值来区分重要服务和普通服务,从而保护了网格中的重要服务并且能有效地抑制恶意节点的行为;文中提出了一种新的更加精确地计算域间推荐信任度的方法,从而解决了不诚实反馈的问题.反馈机制则利用基于行为分层信任模型给出的用户信任度的变化,实现了根据用户的行为动态调整他的角色.文中还设计了三组模型实验,分别验证新模型的特点、对网格中恶意实体行为的抑制情况,从不同的角度对模型进行了实验,对基于行为的分层信任模型对行为的敏感性、收敛性、有效性及合理性加以了证明.     

P2P网络动态精细粒度访问控制研究*

分析了现有P2P系统中访问控制的不足,结合RBAC(角色访问控制)和TBAC (基于任务访问控制),加入环境约束条件,提出了一种精细粒度的动态访问控制模型——ETRBAC。该模型对角色、权限、子任务进行层次划分,角色分为本地角色和协作角色,由子任务选择必要的角色和权限并进行合理配置。多个子任务协作构成一个会话。最后详细描述了ETRBAC模型的结构及实施流程。对比分析表明,本模型可以很好地应用到动态协作环境中。     

普适计算环境下基于信任度的模糊自适应访问控制模型*

在信任模型基础上,提出一种基于信任度的模糊自适应访问控制模型。该模型扩展信任度的概念,建立权限的区间值模糊策略规则,通过对与主体相关的上下文信息的模糊推理实现授权的有效控制。描述模型的构成要素,研究模型的区间值模糊推理算法,为解决普适计算环境下动态访问控制授权问题提供了一定的技术手段。     

一种P2P网络服务环境的信任度计算模型

首先依据新实体能力属性给出了初始信任度计算算法,然后根据实体的直接交互满意度与其他信任实体的推荐信息,设计了直接信任度和推荐信任度计算算法。综合三种信任度,提出了信任度计算模型。该模型为网络实体间信任关系的建立和信任行为的决策提供了有力依据,从而减少实体交互风险,提高网络运行稳定性。     

一种新的P2P安全信任管理模型

由于P2P网络的特性,传统的信任机制难以对其应用中存在的冒名,诋毁等安全问题,进行合理的解决。在现有信任模型的基础上提出了一个新的P2P安全信任管理模型,该模型负责节点信任度的评估、更新,信任度的评估方法不仅考虑了节点自身的交易历史,同时也考虑了其他节点的推荐,并且每次交易后,都要根据本次交易的情况,及时修改节点之间的个人交互度和推荐节点的推荐可信度,使信任度能正确地反映节点的信誉,能够有效地预防冒名、诋毁等现象。     

扩充角色层次关系模型及其应用

基于网络的大规模软件应用系统面临着日益复杂的数据资源安全管理的难题.基于角色的访问控制方法(role-based access control,简称RBAC)实现用户与访问权限的逻辑分离和构造角色之间的层次关系,从而方便了数据的安全管理.该文在RBAC96模型的基础上,对角色之间的层次关系进行了扩充,定义了角色的公共权限和私有权限,引入了一般继承和扩展继承机制,形成了一个能描述复杂层次关系的角色访问控制模型EHRBAC(extended hierarchy role-based access contro     

预算管理信息系统访问控制策略的研究与设计

针对预算管理的特点,讨论了一种在预算管理信息系统中的角色、权限的表示法,并据此给出了一个预算管理信息系统的访问控制策略。将权限分为功能模块访问权限和数据访问权限,将角色分为系统角色和自定义角色,并将功能模块访问权限与系统角色关联,将数据访问权限与自定义角色关联,简化了访问控制机构的实现,提高了访问控制机构的工作效率。     

An Android runtime security policy enforcement framework

Today, smart phone’s malwares are deceptive enough to spoof itself as a legal mobile application. The front-end service of Trojans is attractive enough to deceive mobile users. Mobile users download similar malwares without knowing their illegitimate background threat. Unlike other vendors, Android is an open-source mobile operating system, and hence, it lacks a dedicated team to analyze the application code and decide its trustworthiness. We propose an augmented framework for Android that monitors the dynamic behavior of application during its execution. Our proposed architecture called Security Enhanced Android Framework (seaf) validates the behavior of an application through its permissions exercising patterns. Based on the exercised permissions’ combination, the mobile user is intimated about the dangerous behavior of an application. We have implemented the proposed framework within Android software stack and ported it to device. Our initial investigation shows that our solution is practical enough to be used in the consumer market.     

P2P data replication and trustworthiness for a JXTA-Overlay P2P system using fuzzy logic

P2P systems are very important for future distributed systems and applications. In such systems, the computational burden of the system can be distributed to peer nodes of the system. Therefore, in decentralized systems users become themselves actors by sharing, contributing and controlling the resources of the system. This characteristic makes P2P systems very interesting for the development of decentralized applications. Data replication techniques are commonplace in P2P systems. Data replication means storing copies of the same data at multiple peers thus improving availability and scalability. The trustworthiness of peers also is very important for safe communication in P2P system. The trustworthiness of a peer can be evaluated based on the reputation and actual behaviour of peers to provide services to other peers. In this paper, we propose two fuzzy-based systems for data replication and peer trustworthiness for JXTA-Overlay P2P platform. The simulation results have shown that in the first system, replication factor increases proportionally with increase of number of documents per peer, replication percentage and scale of replication per peer parameters and the second system can be used successfully to select the most reliable peer candidate to execute the tasks.