共查询到19条相似文献,搜索用时 140 毫秒
1.
访问控制策略的描述与执行是信息系统资源保护的一种重要方式,影响到系统的业务化运行。针对目前评估效率较低的问题,研究人员提出了基于属性缓存和重排序等策略的评估方法,该方法提高了策略的评估效率,但尚未解决策略评估需要遍历所有相关规则的问题。针对此问题,在分析XACML(eRxtensible Access Control Markup Language)描述特点的基础上,利用属性与或矩阵和类型分析,提出一种基于属性与或矩阵和类型分析的XACML策略查询方法,以减少策略评估实施时的规则匹配数量。该方法修改了现有Context Handler的处理过程,增加了一个访问控制规则匹配预处理环节,在该环节中计算得出每个规则属性的区分度,利用区分度和属性与或矩阵筛选掉与当前访问控制请求无关的规则,然后对筛选后的规则集合进行匹配,提高策略评估效率。最后通过实验验证了所提方法的有效性。 相似文献
2.
细粒度授权需要设置大量访问控制策略,由此带来了检索效率方面的问题。针对现有检索方法应用于大规模访问控制策略时检索效率低下的问题,提出了一种基于属性分组的访问控制策略检索方法,通过对策略集进行基于属性的分组而缩减策略检索的范围,从而减少不必要的计算以及比较过程,由此实现对访问控制策略的高效率检索。实验结果表明,相对于现有方法,基于属性分组的访问控制策略检索方法具有更高的检索效率。 相似文献
3.
针对云计算下基于属性访问控制策略容易被第三方修改造成资源被恶意访问的情况和现有策略检索方法效率低的问题,提出基于默克尔-帕特里夏树(MPT)和布隆过滤器(Bloom Filter)的属性访问控制策略管理方法.为访问控制策略集合构建一棵MPT树,通过PDP进行验证的方式监督策略是否被修改,把策略集合通过Hash函数映射到... 相似文献
4.
为应对当前访问控制动态变化、策略合约安全性以及策略检索效率的需求,以属性访问控制模型(ABAC)为基础,提出一种基于区块链和策略分级访问控制模型BP-ABAC。结合ABAC和区块链技术,使访问控制策略通过智能合约的方式储存在区块链,合约中对访问控制策略进行策略分级;用户根据等级评估获得相应策略集的访问权限;当请求属性和策略集中的策略相匹配时,获得访问资源权限。实验结果表明,该模型实现了对不同用户访问权限控制和提高访问控制的效率与灵活性,加强了访问控制策略的安全性和隐私性。 相似文献
5.
针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton, FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化;提出基于重排序的策略评估算法,重排序策略中的规则以及每个规则中的属性-值对(attribute-value pairs, AVP),减少评估访问请求过程中遍历的规则数和属性比较次数。实验结果表明,与传统策略评估引擎相比,该方案检测策略异常效率以及评估效率均有很大提升。 相似文献
6.
针对OpenFlow网络中流表配置错误引起转发回路、路由黑洞和访问控制规则失效等问题,提出一种并行的基于MapReduce的OpenFlow网络属性验证算法。通过在Map阶段划分规则等价类,在Reduce阶段为规则等价类构建基于交换机端口谓词的网络转发图并分析可达性,实现对网络属性的并行验证。同时,通过采用原子谓词将传统可达性分析中的规则匹配域多维集合运算转换为整数集合运算,以进一步提高可达性分析效率。此外,基于原子谓词的谓词表达方式可消除交换机端口谓词集合中的冗余项,降低存储开销。最后,通过理论分析和仿真实验验证了算法的正确性及在时间和存储开销方面的优越性。 相似文献
7.
基于属性访问控制的CSP模型 总被引:1,自引:0,他引:1
从可用性的角度提出一个基于属性的访问控制模型.首先介绍了属性、属性项等相关概念,在此基础之上,通过约束满足问题建立了访问控制规则的形式化模型;其次,证明了在给定属性项值域的前提下,正向规则与负向规则可以互相转化,从而提出一致性策略的概念,并分别根据肯定优先及否定优先规则合成算法,给出了一致性策略的形式化模型,研究了策略可允许访问操作集合;最后,通过实例阐述了基于属性访问控制模型的表达能力. 相似文献
8.
9.
10.
《计算机应用与软件》2015,(11)
为应对开放网络环境以及跨域访问的需求,提出一种基于属性的访问控制概念。针对此概念设计一种多优化技术的ABAC(Attribute Based Access Control)模型。采用XACML(extensible access control markup language)标准实现了ABAC模型,在进行属性检索和策略检索时引入业务逻辑,以业务为索引值建立索引机制,加快属性和策略检索的匹配效率,并在策略评估时加入了缓存机制,进一步提高评估效率。仿真实验的结果表明该模型的效率与传统ABAC模型相比具有优势。 相似文献
11.
在新型大规模计算环境下应用ABAC(基于属性的访问控制)面临着属性数量多、来源复杂、质量参差不齐、难以人工修正、难以直接应用于访问控制的问题。针对属性标称值的优化问题,设计了一种基于权限聚类的属性值优化算法,通过将实体表示成对应的权限集合,对实体进行基于密度的聚类,为实体赋予权限对应的类别标签,而后基于粗糙集理论对属性值进行化简与修正。最后在 UCI 公开数据集上对算法进行了验证,证明应用该算法后,ABAC策略挖掘在真阳性率和F1得分上均具有较大的提升。 相似文献
12.
Many efforts in the area of computer security have been drawn to attribute-based access control (ABAC). Compared to other adopted models, ABAC provides more granularity, scalability, and flexibility. This makes it a valuable access control system candidate for securing platforms and environments used for coordination and cooperation among organizations and communities, especially over open networks such as the Internet. On the other hand, the basic ABAC model lacks provisions for context, trust and privacy issues, all of which are becoming increasingly critical, particularly in high performance distributed collaboration environments. This paper presents an extended access control model based on attributes associated with objects and subjects. It incorporates trust and privacy issues in order to make access control decisions sensitive to the cross-organizational collaboration context. Several aspects of the proposed model are implemented and illustrated by a case study that shows realistic ABAC policies in the domain of distributed multiple organizations crisis management systems. Furthermore, the paper shows a collaborative graphical tool that enables the actors in the emergency management system to make better decisions. The prototype shows how it guarantees the privacy of object’s attributes, taking into account the trust of the subjects. This tool incorporates a decision engine that relies on attribute based policies and dynamic trust and privacy evaluation. The resulting platform demonstrates the integration of the ABAC model, the evolving context, and the attributes of actors and resources. 相似文献
13.
14.
可扩展的访问控制标记语言(eXtensible Access Control Markup Language,XACML)逐渐成为访问控制的标准之一。为了确保系统可用性,访问控制系统需要高效的XACML策略评估引擎。针对这一问题,从XACML策略本身潜在的不足出发,从冗余消除和属性数值化两个方面对XACML策略进行了优化。冗余消除在不影响策略评估结果的前提下去除策略库中的冗余规则,同时结合规则压缩消除规则间的冗余状态。属性数值化将文本的XACML策略属性转化为数值属性,使评估引擎匹配使用高效的数值匹配方式而不是低效的字符串匹配方式,同时使用Hash表结构存储数值属性与文本属性的映射关系有利于策略维护。仿真实验结果表明,提出的策略优化方法的性能与原始Sun XACML 相比有较大提升。 相似文献
15.
一种XACML规则冲突及冗余分析方法 总被引:11,自引:0,他引:11
基于属性的声明式策略语言XACML表达能力丰富,满足开放式环境下资源访问管理的复杂安全需求,但其自身缺乏对规则冲突检测、规则冗余分析的支持.文中利用规则状态思想描述分析了属性层次操作关联带来的多种冲突类型,在资源语义树策略索引基础上利用状态相关性给出规则冲突榆测算法;利用状态覆盖思想分析造成规则冗余的原因,给出在不同规则评估合并算法下的冗余判定定理.仿真实验首先分析了冲突检测算法的运行效率;然后针对多种策略判定系统,验证了基于语义树的策略索引和冗余规则处理可以显著提高判定性能. 相似文献
16.
基于XACML的策略评估优化技术的研究 总被引:3,自引:0,他引:3
为了提高XACML策略评估逐层匹配的效率, 在规则优化方面提出按规则的请求权重对规则进行排序的思想; 同时在策略评估方面提出XACML合并算法的优先级及主体的规则索引表, 优先选择符合匹配条件的策略和规则来提高匹配速度。仿真实验验证了采取这些措施后, 缩短了PDP 进行评估的时间, 提高了评估效率。 相似文献
17.
18.
为解决开放式系统环境中基于属性的访问控制(Attribute—Based Access Control,ABAC)策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言(swRL)处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。 相似文献
19.
基于属性的访问控制(Attribute-Based Access Control, ABAC)因其灵活、表达能力丰富等特性,成为最常见的访问控制模型之一。然而,ABAC的策略决策点(Policy Decision Point, PDP)繁琐的策略查询任务以及PDP与策略执行点(Policy Enforcement Point, PEP)之间的网络通信影响其访问控制决策的效率。访问控制决策结果的回收利用是解决以上问题的有效方法之一。本文提出一种支持访问控制策略动态变化的、带策略的ABAC访问控制决策结果的回收利用方案。方案针对ABAC的3种变体模型给出如何创建和更新访问控制决策结果的缓存、如何由缓存内容进行精确和近似的访问控制决策。最终,通过原型系统对方案的可行性和有效性进行实验验证,实验结果显示本文提出的方法一定程度上能降低系统的访问控制决策时间并减少PDP的工作负荷。 相似文献