Web Services中基于信任的动态访问控制*

在Web Services系统中,用户行为的动态不确定性,使得现有的访问控制模型难以控制用户的恶意行为。针对这一问题,提出一种基于信任的动态访问控制模型。该模型将安全断言标记语言和可扩展的访问控制标志语言相结合,并采用了一种基于忠诚度的信任度计算方法。仿真结果显示,该访问控制方式能有效地遏制恶意行为,实现访问控制的动态性,具有较好的通用性、灵活性和可扩展性。     

分散式角色激活管理中的角色查找

角色激活是基于角色的访问控制中的重要环节,用户通过激活系统为他分配的角色子集来执行与角色相对应的权限。目前基于角色访问控制主要特点是用户主动、系统被动,从而给用户带来记忆各种角色-权限分配情况的负担。本文提出一种分散式的基于查找的角色激活管理方法．与传统方法不同之处在于它是一种用户为被动、系统为主动的智能访问控制。在对企业环境下的动态约束提供有效支持外,减轻了在传统角色激活方式下用户需要掌握角色一权限分配情况的负担。     

基于动态授权机制的自适应云访问控制方法研究

随着云计算的快速发展,其新型计算模式为我们提供了高效、便捷的服务。但这种计算方式拥有大量敏感性数据,如果不对数据加以有效保护,后果不堪设想。目前解决数据泄露的有效方法之一,云访问控制能够保障云服务只被授权的用户合法操作,得到广泛应用。然而传统的访问控制方法,当用户的行为方式发生改变,无法及时发现并动态调整访问控制策略,存在紧耦合、静态性等问题。在当前的云环境中,用户所拥有的角色数量众多,其职责经常性发生改变,云服务与用户之间的访问授权关系不易建立和维护。针对以上不足,提出基于动态授权机制的自适应云服务访问控制方法。方法中,采用基于信誉模型和用户角色树构建模型的动态授权机制,对用户的行为特征进行信誉评估,提前预测及实时监控,确保授权结果的高实时性和高可靠性。并为每一云服务引入可信认证模块,由云服务自主控制云用户的可访问性,增强所提方法的安全性和准确性。模拟实验表明,该方法能够较好地预测和监控云用户行为变化,及时调整云用户的服务访问权限,有效保障敏感数据的安全性。     

一种基于用户行为信任的动态角色访问控制

在基于角色的访问控制(RBAC)模型基础上,引入了属性的概念,增加了用户行为信任级别集合,建立了一种基于用户行为信任评估的动态角色访问控制(UT-DRBAC)模型。对新的模型进行了详细的形式化描述并讨论了模型的授权流程,最后从动态性、信任机制、角色数量和性能方面对模型的优越性进行了分析。新的访问控制模型通过角色属性的动态指派实现了模型授权的动态性,通过把用户信任级别作为一个必需的角色属性实现了基于身份信任和行为信任相结合的访问控制,改变了现有访问控制模型单一基于身份信任的静态授权机制;通过设置角色属性减少角色数量,从而缓解了因角色过多而带来的角色管理问题,同时提高了性能。     

基于多维度量和上下文的访问控制模型

在分布式系统中,用户身份难以确定、接入平台复杂,且网络环境动态多变,传统的基于角色或身份的访问控制模型已无法满足用户需求。为此,结合基于角色访问控制(RBAC)和信任管理(TM)的特点,在RBAC的基础上,引入信任与上下文的概念,对用户身份、接入平台及用户行为进行多维度量,根据网络环境和用户状态的动态多变性,提出一种基于多维度量和上下文的访问控制模型(MCBAC),该模型主要依据用户的身份信息和可信度分配角色,通过上下文约束,实现动态角色授权控制,具有较高的安全性及较好的灵活性。     

基于用户信任的动态多级访问控制模型

在角色访问控制的基础上,增加用户动态信任级别和静态信任级别,建立一种基于用户信任的动态多级访问控制模型。该模型通过用户的静态信任值和角色,获得静态权限,判断用户获得权限的资格,通过用户的动态信任值,判断用户的行为可信性,决定用户在实际访问操作中的具体权限。给出应用实例及模型安全性分析,结果表明该模型能实现动态授权,且满足最小特权原则。     

云计算下基于用户行为信任的访问控制模型

针对当前云计算访问控制中角色不能随着时间动态改变的问题,提出了一种基于用户行为信任的云计算访问控制模型。该模型根据综合用户的直接和间接信任值得到的信任值确定其信任等级,激活其所对应的角色以及赋予该角色一定的访问权限,提供请求的资源,从而达到访问控制的目的;并给出了基本组成元素和实现过程。实验结果表明,所提出的访问控制模型能够提高用户行为信任值评估的客观性,能够抵抗各类非法用户访问云计算,增强了云计算中资源的安全性和可靠性。     

利用规则RBAC模型实现门户的安全访问控制

基于角色的访问控制(Role—Based Access Control，RBAC)是一种安全、高效的访问控制机制，并不能满足门户中根据用户特征的动态改变而动态地改变用户角色的需要。结合RBAC模型思想和门户的需要提出一个基于规则的RBAC模型，在用户和角色之间增加规则，并通过定义规则表达式实现了动态的用户角色分配，克服了标准的基于角色访问控制模型应用于门户的缺陷。讨论了以规则RBAC模型为基础的门户中资源访问控制的实现，有效地解决了门户中的安全访问控制问题。     

基于角色访问控制的动态建模

基于角色的访问控制（RBAC）技术随着网络的迅速发展而发展，在RBAC中，角色是重要概念，它根据用户在组织内所处的角色进行访问授权与控制，通过角色沟通主体与客体，已有的RBAC模型往往忽略了角色的动态特征，介绍了一种动态模型，提出角色登台（Role-PLAYing)以实现特定语境中激活角色的动态特征和用户的交互，该模型适合分布式交互式应用系统，并能提高系统的访问控制效率。     

SaaS模式下基于用户行为的动态访问控制模型研究与实现

SaaS服务共享的特性决定了用户可信的访问行为对于云服务安全的重要性。而在传统的访问控制中,一旦用户被赋予了某种角色,便会一直拥有该角色所对应的权限,缺乏一定的动态性。针对以上两点,在传统访问控制模型以及用户行为信任值特点分析的基础上,文章提出了一种SaaS模式下基于用户行为的动态访问控制模型（cloud-RBAC）。模型中的租户更好地实现了访问控制中安全域的控制,而用户组和数据范围则更好地实现了粒度的控制,体现了云服务访问控制的灵活性。根据用户访问云服务过程中各行为证据值,模型利用模糊层次分析法,确定其行为信任等级,再根据权限敏感等级,最终确定用户可行使的权限,体现了云服务访问控制的动态性。结果分析表明,文章提出的访问控制模型能够对用户的非法访问行为做出快速的反应,同时又能够有效地控制合法的访问行为,从而保证了云服务的安全性和可靠性。     

动态存取控制新方案及其在特殊情况中的应用

在用户层次结构的动态存取控制问题上，本文提出了一种安全有效的方案。这一方隶是基于离散对数及多项式内插的方式，解决了指定的低层用户在高层用户缺席的情况下如何暂时代替高层用户执行部分权力的问题，以及在高层用户回来的情况下如何安全地收回权限的问题。     

基于信任的动态多级访问控制模型

针对传统基于角色的访问控制(Role-Based Access Control, RBAC)系统中的访问资源共享伸缩性有限、安全性不足及权限需预先设定分配等问题，为了提高权限控制的兼容性，细化访问控制粒度，本文提出一种基于信任的动态多级访问控制模型(Trust-Based Dynamic Multi-level Access Control Model, TBDMACM)，通过用户的静态角色及动态信任度获得相应的权限授权，保证数据机密性和访问过程安全可控。实验结果表明，这种访问控制方式能够有效地防止恶意访问，较好地解决系统权限伸缩性问题。     

B/S应用系统中的细粒度权限管理模型①

针对B／S模式下的油库网络信息系统的实际需求,为提高用户权限管理的动态性和授权访问的安全性,结合基于角色的访问控制原理,提出了一种在B／S应用系统中针对用户人员复杂、职务变动频繁特点的细粒度权限管理模型。该模型把资源的访问权限按细粒度分解,实现了由粗到细,不同级别的权限控制,既可进行角色授权也可直接用户授权,大大改善了用户权限管理的灵活性和可扩展性。     

一种新的Web 用户群体和URL聚类算法的研究

提出一个基于Web日志的web用户群体和站点URL聚类算法．使用用户浏览行为描述和用户浏览时间离散化方法建立了Web站点的用户事务矩阵，并在此基础上对Web用户群体和站点URL进行聚类．由于在聚类过程中同时考虑了用户对URL的浏览时间和访问次数，使算法的精度和效率都大大提高．同时，该算法能较好地处理类间重叠问题，使算法具有较好的实用性．最后对算法的有效性和可伸缩性进行了研究．     

基于动态信用等级的密文访问控制方案

针对属性基加密机制（ABE）在移动互联网环境中计算开销较大且不够灵活的问题,提出了一种基于动态信用等级的密文策略属性基加密（CP-ABE）方案。首先,该方案引入"信用等级"属性用来标识用户的"信用"并以此划分用户等级,高"信用等级"用户仅需常数级的计算开销即可解密;同时,中央授权中心（CA）在设定的时间阈值评估用户的访问行为并动态更新用户的"信用等级",更新算法避免私钥的完全重新生成。理论分析和实验结果表明,随着高"信用等级"用户占比升高,所提方案系统总时间开销不断减少,最终达到稳定并优于传统方案。该方案在保证安全性的前提下,总体上提高了移动互联网环境中访问控制的效率。     

基于可信验证的DBMS访问控制模型

针对目前访问控制模型在系统的安全实现方面存在的不足,在RABC的基础上,提出了可信操作环境下基于可信验证的DBMS访问控制模型,该模型满足系统的保密性和完整性需求,最大程度实现信息双向流动,同时支持最小特权安全特性,是一个权限分配灵活的访问控制模型。     

一种基于指纹特征的远程通行字双向认证方案

提出了一种基于指纹特征并且不泄露指纹特征的远程通行字双向认证方案。在该方案中,根据用户的指纹特征生成通行字,系统服务器中不存储用户指纹模板库,也不存储通行字表,系统管理员无法推导出用户的指纹特征,入侵者不能导出任何用户的通行字和任何保密信息,系统可对来访的用户进行认证,用户也可以对系统的真实性进行认证;该方案能抵御重试攻击,能防止系统内部人员伪造访问记录。     

基于生物击键特性的访问控制

访问控制在安全领域起着越来越重要的作用,个人的一些生物特征具有唯一性而且难以改变,利用这些特征识别用户身份,从而进行系统访问控制具有很强的优势。论文首先通过对人体生物击键特性的分析,阐述了基于生物击键特性的访问控制过程;然后对已有的击键序列识别算法进行分析,提出了一种新的自适应击键特性识别算法。该算法能够适应用户敲击键盘熟练程度的变化,并可防止输入过程中的个别“奇点”影响整体的识别效果。算法改进的讨论中,通过改变特征数据的存储结构使得用户修改密码后,算法仍然能够从历史数据中挖掘击键特性,提高学习效率。最后的测试结果和理论分析都表明该方法对于因密钥丢失导致的系统失控具有很好的防护作用。     

对等网络安全访问控制方案

提出一个安全对等访问控制方案,该方案采用两层访问控制策略：一层主要对成员资格进行审核,屏蔽一些不符合对等网络安全要求的成员;另一层基于可信值的访问控制策略,对进入对等网络后的成员行为进行评估,根据评估的可信值来决定赋予该成员访问网络资源的权限。当发现恶意成员时,网络能废除这些成员,实现对等网络的安全访问控制。     

面向服务的角色访问控制技术的研究

面向服务的体系结构由于其结构的松散性和计算的动态性等特点,使得其安全管理更加复杂。文中通过对工作流的访问控制机制的具体分析,给出了一个面向服务的基于角色和工作流状态的访问控制模型,在授权时使用增强权限约束机制,以提供一种更为灵活的授权方法。该模型可以保证授权有效时间与任务执行时间的同步,有效地加强系统的安全性和访问控制的灵活性,实现了最小特权原则和动态职责分离。