面向用户角色的细粒度自主访问控制机制

基于访问控制表(ACL)的细粒度自主访问控制机制可以实现针对单个用户或用户组的访问授权,但是在实际使用中可能造成不适当授权或权限撤销不及时的缺陷.基于可信Kylin操作系统的角色定权(RBA)机制,在自主授权中引入了用户角色约束,提出了一种面向用户角色的细粒度自主访问控制机制,实现了针对单个用户在承担特定角色时的访问授权,一旦用户不再承担该角色,访问授权可以及时撤销,有效解决了ACL不适当授权的问题.     

支持动态授权和文件评价的访问控制机制

针对传统的访问控制方法不支持动态授权和文件评价、且存在恶意再分享隐患,设计了一种支持动态授权和文件评价的访问控制机制(DAFE-AC)。DAFE-AC采用的动态授权机制能够对已授权用户进行实时监控,保证了用户之间的相互监督;采用的文件评价机制可以支持文件解锁阈值的动态更新。基于Hash/索引数据库,DAFE-AC确保了文件在系统中的唯一性。在DAFE-AC中,用户授权值会随着其他用户行为动态变化,且用户可以通过对文件进行评价以消除恶意再分享。     

基于信任约束的用户安全管理

在开放的网格环境中,用户行为的动态性和不确定性,使得现有的基于证书的静态用户管理难以及时地将用户的恶意行为进行标识并对用户后续行为进行控制。针对该问题,提出一种基于信任约束的用户安全管理方法。该方法基于对用户信任计算的结果,根据用户信任等级的变化,建立用户信任黑名单和白名单;并基于用户信任等级与资产价值之间的关系,建立一种信任策略。实验结果表明,该方法建立的用户信任黑名单、白名单和信任策略,作为访问控制机制的一种动态信任约束,加强了对系统授权的约束,使得用户能够获得的访问能力与其历史行为相关联,加强了对用户行为的控制,提高系统安全。     

网格访问控制与授权模型的设计与实现

访问控制和资源授权是网格系统中资源与用户的关系策略的集合,分析了访问控制与资源授权的设计原则,提出了一种基于禁止表和允许表的网格用户访问控制层次式AB4L访问控制模型.给出了该模型的形式化定义,叙述了基于Postgres数据库的资源访问控制模型和授权的实现方法,并从完备性、可扩展性、自主控制和安全性方面对该模型进行了性...     

电子政务基于属性证书的访问控制模型

随着我国电子政务的发展,如何保障电子政务中的资源信息不被非法访问已成为当务之急。如何进行用户对资源和服务使用的限制,决定主体是否对客体有权限进行某种操作,即对用户进行访问控制的问题信息安全研究中的重要方面。授权来源于访问控制,即先对用户进行授权,然后根据用户具有的权限来进行访问控制。属性证书包含了一系列用户的权限信息,所以属性证书可以看作是权限信息的载体。根据属性证书中用户的权限信息可以对用户访问资源进行控制,基干角色的访问控制(RBAC)是一种新兴的访问控制技术和理念,是将用户划分成与其职能和职位相符合的角色,根据角色赋予相应操作权限,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境,是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。NRBAC模型是一种更接近现实情况的模型。基于属性证书和电子政务中存在的特殊要求和特点,结合RBAC96、ARBAC97模型以及NRBAC模型,构造了一个适合电子政务系统使用的基于角色的安全访问控制模型eGA-NRBAC;利用该访问控制模型解决了电子政务工程中授权管理系统和授权服务系统的工程化实现问题。测试和实际使用都证明了此访问控制模型的正确性、可行性和可靠性。     

TRBAC:基于信任的访问控制模型

访问控制是根据网络用户的身份或属性,对该用户执行某些操作或访问某些网络资源进行控制的过程.对现有访问控制模型进行分析,并针对其不足对RBAC模型进行了扩展,提出了基于信任的访问控制模型TRBAC(trust based access control model).该模型可以提供更加安全、灵活以及细粒度的动态访问授权机制,从而提高授权机制的安全性与可靠性.     

基于云数据的应用访问安全控制

本文提出了一种授权无限访问控制策略和临时授权有限访问控制策略,授权无限访问控制策略解决了应用需要无限时的用户离线、在线情况下都可以处理用户提交的处理任务的需求,临时授权的有限访问控制策略解决了用户需要使用应用来临时处理某些数据的需求。     

基于可信度的访问控制模型的设计与分析

针对CAS授权模型的局限性,提出了一种基于认证可信度的访问控制模型。在CAS授权模型中,虚拟组织中的成员通过向服务器添加访问策略达到访问控制的目的。在开放式环境下,由于节点频繁加入或退出,导致服务器开销增大。在基于可信度的访问控制模型中,资源提供方通过向服务器注册信任阎值和信任权重代替访问控制策略,达到控制用户访问的目的。模型既运用了认证机制,同时还考虑到用户的信任度,因而模型具有灵活性和可靠性两个特点。     

一种增强的自主访问控制机制的设计和实现

自主访问控制是安全操作系统的基本安全机制之一,传统的文件保护位方式无法满足高安全等级操作系统对于自主访问控制机制的要求.对基于访问控制表的自主访问控制机制的设计和实现进行了研究.在此基础上提出并实现3种重要的增强和改进措施.     

支持策略隐藏的加密云存储访问控制机制

使用密码技术对云存储数据实施机密性保护和访问控制,是当前云计算安全研究的重要内容.选择加密(Selective Encryption)技术根据访问控制策略产生密钥推导图来分发密钥,在保证云存储数据机密性和细粒度访问控制的前提下,具有简化文件存储加密、系统密钥量少的优势.然而,已有选择加密方案需要完全或部分地公开访问控制策略,以用于密钥推导;该信息反映了用户/文件之间的授权访问关系,泄露用户隐私.基于现有的研究工作,本文提出了一个新的访问控制策略隐藏机制,在支持加密云存储数据的细粒度访问控制和高效密钥分发的前提下,能更好地隐藏访问控制策略信息;而且在密钥获取计算速度上有明显优势.     

服务网格中基于属性自动合并的访问控制模型

基于属性的访问控制模型具有授权灵活、控制粒度细的特点,针对服务网格的特点,提出基于属性自动合并的访问控制模型.沿服务有向图的服务组合路径,自动进行属性集合的合并计算,从而实现访问控制约束属性在网格虚拟组织内自动生成.授权不需要人工干预和具有用户的先验知识,可使用户在执行需要跨越多个自治域组合服务所需的约束属性集合一次性指派给用户,用户访问时一次性完成多个自治域的访问授权.具有极大的灵活性、动态性和可扩展性.     

Hadoop云平台中基于信任的访问控制模型

Hadoop云计算平台是当下最流行的云平台之一,其现有的访问控制模型采用Kerberos进行身份验证,结合基于ACL的访问授权机制,通过Delegation Token和Block Access Token等令牌,实现了该平台中简单的访问控制。该模型具有明显的缺点,即仅仅在授权时考虑了用户身份的真实性,没有考虑用户后期行为的可信性,而且权限一经授予就不再监管。提出一种适用于Hadoop云平台的基于信任的访问控制新模型——LT。LT模型基于现有的Hadoop访问控制模型,为每个用户设定信任值,通过用户在集群中的行为记录实时地更新用户信任值,并根据这个信任值动态地控制用户对平台的访问。与Hadoop平台现有的访问控制模型相比,该模型所实现的访问授权不再是一个关口控制,而是一个实时动态的过程,其粒度更细并且具有更高的安全性和灵活度。实验证明,该模型不仅正确有效,而且克服了现行Hadoop平台中访问控制安全性不足的缺点,能够动态、有效地控制用户对集群中资源的访问及使用。     

基于动态授权机制的自适应云访问控制方法研究

随着云计算的快速发展,其新型计算模式为我们提供了高效、便捷的服务。但这种计算方式拥有大量敏感性数据,如果不对数据加以有效保护,后果不堪设想。目前解决数据泄露的有效方法之一,云访问控制能够保障云服务只被授权的用户合法操作,得到广泛应用。然而传统的访问控制方法,当用户的行为方式发生改变,无法及时发现并动态调整访问控制策略,存在紧耦合、静态性等问题。在当前的云环境中,用户所拥有的角色数量众多,其职责经常性发生改变,云服务与用户之间的访问授权关系不易建立和维护。针对以上不足,提出基于动态授权机制的自适应云服务访问控制方法。方法中,采用基于信誉模型和用户角色树构建模型的动态授权机制,对用户的行为特征进行信誉评估,提前预测及实时监控,确保授权结果的高实时性和高可靠性。并为每一云服务引入可信认证模块,由云服务自主控制云用户的可访问性,增强所提方法的安全性和准确性。模拟实验表明,该方法能够较好地预测和监控云用户行为变化,及时调整云用户的服务访问权限,有效保障敏感数据的安全性。     

协作环境中基于场所的访问控制模型

授权模型是协作环境中不可缺少的关键部件,为协作系统提供合适的授权机制很具挑战性.直接应用于协作系统的传统访问控制模型对多用户之间的协作支持不够,一些协作相关的访问控制必须在应用层上实现;针对特定协作应用背景的访问控制模型,仅适用于特定应用背景的协作系统,不能满足协作环境中更广泛的安全性需求;而现有的协作环境中通用的访问控制模型授权约束比较单一,不能满足协作环境中对授权的灵活性要求.针对这些问题,以Locale-BAC模型为基础提出协作环境中基于场所的访问控制模型,对角色、权限、场所等主要模型部件进行重新定义,实现全局访问控制和协作小组内部自主访问控制相结合的灵活的分层授权机制.     

Apache服务器部署中的目录访问控制实施方案

Apache中的站点默认允许所有的客户端都可以访问，如果要对Web站点的客户端进行控制，需要设置目录访问控制。目录访问控制只针对某个目录进行授权访问，可通过IP地址和域名、用户身份认证方式来实现对客户端的访问控制。     

家庭网络环境下基于OSGi的灵活授权

在家庭网络环境下,OSGi平台在控制不同用户进行访问时,授权就显得非常重要。OSGi平台虽然支持基于角色的访问控制(RBAC),但并不支持RBAC模型中的所有功能。本文针对OSGi平台动态部署不足的问题,通过增加了相对角色的概念并使用委托模型激活了其访问控制,提出了一个多样化的访问控制机制,扩展了OSGi平台现有的授权机制。     

基于CP-ABE的可撤销属性加密访问控制算法

为了增强计算机网络的安全性,保证网络中的信息资源不被非法使用,需要进行访问控制。当前基于网格虚拟组织的访问控制算法通过在网格中建立不同的信任域、在主机之间建立基于身份和行为的访问控制策略,实现以任务发起者为中心的网格虚拟组织的跨域访问控制,建立互信的核心算法并进行逻辑推理,从而实现访问控制算法。但是,这类算法可能会使非法使用的网络被判定为安全网络,因此访问控制的准确度不高。为此,提出一种基于CP-ABE的可撤销属性加密访问控制算法,为实现访问控制,首先 构建基于CP-ABE的可撤销属性加密访问控制的访问树,并通过CP-ABE完成访问控制的初始构建和密钥生成。在此基础上,为提高可撤销属性加密访问控制算法的访问控制效果,在加密算法以及解密算法中写入新文件创建、新用户授权、吊销用户、文件访问等方面过程的设计,实现基于CP-ABE的可撤销属性加密访问控制算法。实验结果表明,采用所提算法进行访问控制时耗时缩短,控制效果较好,且实现过程有所简化,对该领域的研究发展起到了积极作用。     

SQL Server中基于角色的访问控制应用

在数据库系统里面,有大量敏感信息并且被不同用户共享,需要对他们安全保护,防止未经授权的访问。访问控制作为一种强有力的保护系统的方式,能保证信息的完整性和机密性。此文先介绍基于角色的访问控制机制,然后在SQL Server平台上应用基于角色的访问控制策略,以保证数据库的安全。     

SQL Server中基于角色的访问控制应用

在数据库系统里面．有大量敏感信息并且被不同用户共享,需要对他们安全保护,防止未经授权的访问。访问控制作为一种强有力的保护系统的方式,能保证信息的完整性和机密性。此文先介绍基于角色的访问控制机制,然后在SQL Server平台上应用基于角色的访问控制策略．以保证数据库的安全。     

一种结构化文件的访问控制模型的设计和实现

随着控制的粒度要求越来越细,传统的文件访问控制和权限管理已经逐渐无法完全满足当前一些应用中控制的要求。文章给出了一种结构化文件访问控制和权限管理的模型和解决方案,使得控制的粒度达到文件内容和语义的层次,能和现有的文件访问控制兼容,同时具有可扩展、用户自定义的特点。