基于行为的云计算访问控制安全模型

针对当前流行的云计算技术,分析了其所面临的安全问题。以BLP(Bell-LaPadula)模型和Biba模型为参考,通过基于行为的访问控制技术来动态调节主体的访问范围,实现BLP模型和Biba模型的有机结合,提出了CCACSM(cloud computing access control security model)。该模型不仅能保护云端服务器中数据完整性和保密性,而且使云计算环境具有相当的灵活性和实用性。最后给出了该模型的组成部分、安全公理和实现过程。     

云计算环境下任务行为访问控制模型研究

近年来,云计算环境下访问控制机制成为研究热点。针对传统的访问控制模型不能满足云系统中的资源被非法用户恶意访问或处理的访问控制需求的问题,在传统访问控制基础上,通过对基于行为的访问控制(Action Based Access Control)模型的策略和授权机制的研究,基于ABAC模型中的优缺点,引入了用户信任度,给出了模型的形式化定义和信任相似度的算法,设计了基于信任相似度的权限授予机制,提出基于任务行为的访问控制模型(Task-action Based Access Control,TABAC)。安全及性能分析表明,该方案使访问控制灵活可靠,适用范围更广泛。     

基于行为类型的XML文档访问控制模型

 随着XML应用的飞速增长,XML正逐渐成为Internet上交换半结构化信息的标准。为了实现每个新增加的操作,访问控制技术变得很复杂。本文中提出了一个访问控制模型,该模型利用行为类型来分类处理不同的操作,改进了现有访问控制中新增操作复杂的问题;同时,本文还提出使用树标记算法作为XML文档的转换处理器,因为行为类型的分类,使有的操作减少了不必要的重复检索,所以它比现有的节点过滤访问控制的效率高。     

开放网络环境中基于动态信任管理的通用访问控制模型

综合基于角色的访问控制和信任管理的各自优势,通过引入信任级别概念,文章提出了一个适用于开放式环境的动态信任通用访问控制模型--DTMGAC(Generic Access Control Model Based on Dynamic Trust Management).模型依据用户身份信任和信任的动态度量,由信任级对角色分配关系实施约束,通过信任级动态调整角色权限分配关系,实现对角色可信授权委托控制.该模型具有良好的自治特性,不仅能细化访问控制粒度,增强系统实用性,而且还能有效降低威胁风险.     

基于反馈的访问控制模型研究

现有访问控制模型中,用户一旦通过身份验证后其权限就固定了,而当用户变成不再可靠并在其权限范围内进行危害系统的操作时,现有访问控制模型不能动态调整其权限来避免危害。在权限管理基础设施（PMI）访问控制模型基础上定义了可靠因子及其计算方法来度量用户的可靠程度,并引入反馈机制,即用户登录时安全状况及行为操作都将对其权限产生反馈,有效地消除了现有模型所存在的隐患,为访问控制提供了新思路。     

访问控制聚合模型研究

文中在研究授权关系表的基础上,通过对访问控制信息在用户端、权限端的聚合处理,形成基于角色、基于分组的权限管理方法,实现对复杂信息系统的授权管理.文中还对上述两种方法进行了分析对比,并对访问控制聚合的有效性进行了分析.结果表明,访问控制聚合是解决大型复杂信息系统访问控制的有效方法,且基于角色的方法通常更易于满足系统的安全要求.     

基于组的细粒度访问控制模型

本文对传统访问控制模型进行分析,根据传统访问控制技术难以适应目前信息管理系统用户数量多,数据量大,更新频率快的需求,提出了基于组的细粒度访问控制模型。该模型摒弃了传统的“角色是权限的集合”的思想,引入“组”概念,实现数据与用户之间的多对多权限分配。同时由于可能存在特殊需要,引入“细粒度”,使得一些一对一权限分配得以相应的延续。该模型能有效地实现权限的分配和维护工作。     

基于团队和任务的RBAC访问控制模型

文中提出了一个新的访问控制和授权管理模型,即基于团队和任务的RBAC模型（TT-RBAC）。通过在TT-RBAC模型中增加团队和任务,扩展了NISTRBAC模型。TT-RBAC的基本思想是将用户指派给角色和团队,角色和任务指派给团队,权限指派给角色和任务。通过为团队用户分配任务,使用户可以访问团队资源。但是,用户从团队获得的权限决定于用户的激活角色及团队的激活任务。所以TT-RBAC模型比传统的RBAC模型更加灵活。     

基于角色和部门的访问控制管理模型的研究

为了满足信息化技术在大型企业规模化应用的安全性和方便性要求,在经典的ARBAC97模型基础上,结合传统访问控制模型RBAC的改进模型RDBAC的应用,提出了一套管理RDBAC模型的模型——ARDBAC,它最大的特点是引入部门作为管理域最小单位,取消管理继承性,实现分布式管理,规避管理风险。详细描述了其权限管理过程,讨论了其管理的域和管理继承性问题,并应用于实际信息系统中,阐述了其应用价值。     

基于动态认证的远程数据库访问控制模型

结合动态口令认证技术,在研究己有的RBAC模型基础上提出一种基于动态口令的网络数据库角色访问控制模型.重点研究了基于动态口令的网络数据库用户认证以及角色分配,给出了模型实现的框架.与静态口令认证系统相比,此方案计算量小,安全性好,能有效抵御重放攻击,具有较好的实用性.     

Action-Based Access Control Modelt

Access control is one of the powerful and generalized approaches for restricted resource access. The environmental state is introduced and the term “action” is defined based on roles, temporal states and environmental states. Actions can be used to capture security-relevant aspects of roles, environmental and temporal states in different information systems. Then, the action hierarchy, environmental hierarchy, temporal hierarchy and Action- based access control （ABAC） model are presented. ABAC is compared with the existing models and the result shows that the ABAC model can solve the problem of access control in information systems with mobile computation for its convenient and flexible designs. An application example of ABAC model is described at the end of the paper.     

基于角色的时态对象存取控制模型

以基于角色的存取控制模型RBAC₃为基础,提出一种新的时态对象存取控制模型TRBAC,讨论了模型的构成要素,体系结构,时态多重继承机制和存取控制方法.它支持时态用户、时态角色和时态客体及其层次结构,具有动态存取控制功能,在时态数据库和工作流系统等领域会得到广泛应用.     

网络访问控制的层次模型

划分安全域是保护资产的一项重要措施。面向安全域划分的需要,提出了网络访问控制的层次模型,把网络访问控制划分为网络边界访问控制、安全域边界访问控制、主机网络访问控制3个层次,并探讨了网络组织、非军事区、地址转换、访问控制策略等关键问题。网络访问控制的层次模型有效地做到了纵深保护信息资产的目的。     

一种改进的安全访问控制矩阵模型

操作系统安全保密的核心是访问控制。基本访问控制矩阵作为一种数学模型,在许多实际系统的访问控制中得到了应用,但是它不能满足对安全性有特殊要求的操作系统。本文在基本访问控制矩阵的基础上加上了访问条件,提出了一种三维访问控制矩阵;并且就主体和客体按访问条件的分类对这种矩阵的简化提出了一些看法。作为上述观点的实际例子,本文还介绍了一种非接触式IC卡的访问控制机制。     

基于主机标识的访问控制模型研究

身份认证和访问控制是Internet应用的重要方面,传统的实施方案通常针对于特定的应用,也不能用于普适计算环境下的移动终端。文中提出了一个新的访问控制模型,利用了由IETF定义的主机标识协议（HIP）,并扩展了HIP基本交换过程来实现对用户的认证,并通过客户端主机标识和用户标识的绑定认证来建立主机和用户的绑定关系,从而实现对用户访问请求的判断。     

基于SOA的属性访问控制模型研究

在面向服务的架构的环境下,由于服务的动态性,常见的自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）等传统访问控制机制,已经不能完全满足面向服务的架构（SOA）环境的要求,导致访问控制策略管理非常复杂。为了简化面向服务的架构下的访问控制策略管理,通过采用将基于属性的访问控制（ABAC,Attribute-Based Access Control）方法,可以简化对于面向服务的架构下的异构属性的授权策略。研究发现,ABAC拥有更高的灵活性和更细的访问控制粒度,能够表现语义更丰富的访问控制策略,更适用于SOA环境。     

一种基于策略的跨自主域访问控制模型研究

针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题.     

基于承诺-担保的访问控制模型

访问控制模型是信息安全领域研究的重点之一.现有文献中可以见到许多访问控制模型,但其只能依据已有的事实由授权系统单方面对授权请求进行判定处理,不适合电子商务环境下根据用户对未来可满足条件的承诺进行交互式访问授权的需要.提出了新的基于承诺-担保的访问控制模型(PABAC)以满足上述访问控制需要.讨论了模型体系结构,承诺担保机制,授权职责分离以及访问控制.模拟实验结果表明了模型的有效性.     

基于信任授权的模糊访问控制模型

在开放式信息系统中,访问控制是保证信息系统安全的一项重要措施。传统访问控制模型在授权过程中没有考虑主体的信任度和权限集合划分等问题。文中引入模糊逻辑的思想,提出了基于信任授权的模糊访问控制模型,运用模糊综合评判法计算出主体在开放式信息系统中的信任度,并建立模糊控制规则,通过模糊判决自动授予主体相应的权限,使其能够更好的满足开放式信息系统中访问控制的要求。