基于UCON的空间访问控制模型的研究

虽然UCON模型包含了传统访问控制、信任管理、DRM三个问题领域,是下一代访问控制技术的发展方向,但是它不能解决空间数据库系统和基于移动用户位置的信息服务系统中空间动态授权。本文将空间授权规则引入到UCON模型中,提出了一个支持空间特性的面向使用的访问控制模型GEO—UCON,并给出了在空间环境下的授权规则,扩展了传统的UCON模型的空间安全描述能力。     

基于角色的跨域使用控制模型及其应用研究

针对网络环境下多自治域之间互操作安全需求,提出了一个基于角色和映射规则的跨域使用控制模型CD_UCON(Cross-Domain UCON)。该模型结合了基于角色的访问控制(RBAC)模型的权限机制和使用控制模型(UCON)的框架。为实现属性易变性和访问控制连续性,CD_UCON对UCON模型中的属性和授权规则进行扩展;通过映射规则实现跨域交互。以CD_UCON模型在物资采购管理系统中的应用分析说明了该模型的可行性。     

时态约束下的数据挖掘问题及算法

对于一个大型数据库而言,为了提高挖掘效率,必须考虑减少数据库的扫描次数,同时使内存需求量保持在一个适当的水平上.把时态约束应用到事务数据库的挖掘中,可以获得更好的效率.本文首先利用时态区间代数操作实现原始数据库的过滤和挖掘时态区间的合并;然后在定义项目序列集操作的基础上,提出一个称为TISS-DM的发现频繁项目序列集的高效算法;最后讨论了这个算法的效率.     

安全工作流管理系统体系结构研究

采用多种技术集成的方法进行安全工作流管理系统体系结构研究。以工作流管理联盟提出的工作流参考模型为基础，建立一种安全工作流管理系统体系结构。引入基于数字签名的工作流安全认证机制，提出扩展的工作流访问控制模型，并定义了多级安全工作流授权规则。     

面向多维数字媒体的访问控制机制

在多维数字媒体场景中,用户期望利用环境、时态等因素实现访问权限的自我约束。针对该需求,综合环境、时态、角色定义授权属性,提出面向多维数字媒体的访问控制机制,该机制定义用户—授权属性分配关系和授权属性—访问权限分配关系,根据用户的ID、属性信息、所处环境和时态、角色,用户—授权属性分配关系为用户分配相应授权属性;根据用户所赋予的授权属性,授权属性—访问权限分配关系为用户分配相应访问权限。引入约束条件,用户通过设置约束条件进行访问权限的自我约束,实现访问权限随环境、时态、角色等因素的变化而动态缩减。使用Z符号对该机制进行形式化描述,通过实例分析验证其可行性,与现有工作的比较表明所提机制支持最小权限、职责分离、数据抽象等安全原则,支持访问权限的动态缩减。     

面向社会网络的个性化隐私策略定义与实施

为了实现社会网络中个性化隐私保护,提出了支持个性化隐私偏好授权模型,采用基于一阶逻辑隐私偏好描述语言,表达用户个性化隐私需求;引入基于主体属性的访问者－角色授权规则和基于客体标签的角色－权限指派规则,解决了动态用户授权和细粒度访问权限指派问题;分析了隐私策略冲突各种情况,实现了基于Prolog逻辑编程的策略一致性自动验证;设计了面向社会网络个性化隐私策略管理和实施中间件,将个性化隐私策略管理有效地集成到对既有资源的访问控制系统中,实验表明策略冲突分析具有良好的执行效率。     

基于角色权限管理扩展模型的设计与实现

基于角色权限管理模型对于大规模授权具有优势,但缺少了对一个用户授权的灵活。提出了合理可行的改进模型。采用J2EE经典的开源工具实现了这个扩展型基于角色权限管理模型。在保留角色授权的同时,增加了给某个用户单独授权的机制。扩展模型很好的丰富了基于角色权限管理模型的授权方式。     

属性驱动的多策略网格授权机制研究

网格系统存在大量动态的访问用户和每个自治域有自己的访问控制策略,因此具有动态性和自治性的访问控制需求。基于属性的访问控制和网格系统的授权需求提出了一个属性驱动的多策略访问控制模型（MP_ABAC,Multipolicy_supported Access Control based on Attribute）并基于继承和封装思想和可扩展访问控制标记语言（XACML）设计了MP_ABAC授权框架。框架在网格访问控制中存在很大的优势,为网格授权系统提供了开放的架构,且能够集成第三方基于属性的授权系统。     

基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。     

基于信任协商的开放系统授权服务模型的设计

提出了一种第三方的授权服务模型,对现存的信任协商系统起到支撑作用.模型作为一个授权代理,在实体使用信任协商确定一个适当的资源访问策略后,可以在一个开放的系统中发布访问资源的令牌.模型的体系结构设计允许集成新的信任应用程序,也可以间接集成现存传统的应用程序.讨论模型、模型使用的通信协议的设计和实现,以及它的性能.     

多约束的基于角色的访问控制扩展模型

基于角色的访问控制模型是访问控制中一个被广为接受的模型,但作为静态的被动控制模型,权限没有时间约束,在动态授权约束上存在局限性。引入任务的概念并阐述相关约束,提出多约束的基于角色的访问控制扩展模型,模型中通过任务或任务实例将角色和权限联系在一起,使得权限管理更为灵活,减轻了管理员的负担,满足动态职责分离原则、最小权限原则和限制权限继承原则等。     

Scalable Key Management Algorithms for Location-Based Services

Secure media broadcast over the Internet poses unique security challenges. One important problem for public broadcast location-based services (LBS) is to enforce access control on a large number of subscribers. In such a system, a user typically subscribes to an LBS for a time interval (a, b) and a spatial region (x_bi, y_bi, x_tr,y_tr) according to a 3-dimensional spatial-temporal authorization model. In this paper, we argue that current approaches to access control using key management protocols are not scalable. Our proposal, STauth, minimizes the number of keys that needs to be distributed and is thus scalable to a large number of subscribers and the dimensionality of the authorization model. We also demonstrate applications of our algorithm to quantified-temporal access control (using V and 3 quantifications) and partial-order tree-based authorization models. We describe two implementations of our key management protocols on two diverse platforms: a broadcast service operating on top of a publish/subscribe infrastructure and an extension to the Google Maps API to support quality (resolution)-based access control. We analytically and experimentally show the performance and scalability benefits of our approach over traditional key management approaches.     

基于策略的RBAC统一授权模型研究

现有的授权方式难以满足多种应用要求。提出一种基于策略的RBAC统一授权模型,并给出其实现方案。该模型以策略为基本构成要素,实现了根据多种属性的角色自动授予、角色冲突检测等功能。利用该模型能够以细粒度、灵活及与具体应用无关的方式授予用户权限,解决了大规模、海量用户系统难以自动授权的问题。基于该模型实现的统一授权与访问系统验汪了模型的有效性,可用在多种类型的应用系统上。     

RB-RBAC模型的研究与改进

在RB—RBAC模型的基础上提出了动态角色-权限分配的概念,克服了其角色-权限分配过于复杂的问题。此外,还结合多元判决的思想对其进行了改进,增强了其授权规则的灵活性,给出了改进后模型的基本要素及其相互关系,描述了其访问控制流程。改进后的模型进一步降低了权限管理工作的复杂性,具有更好的灵活性,在资源众多且访问控制策略复杂的系统中可以取得较好的效果。     

改进的RBAC模型在大型OA系统中的应用

基于某研究所的大型OA系统安全访问控制的实际需求,分析了传统的RBAC模型所存在的问题,提出一种改进的RBAC模型,该模型中引入用户组进行了改进,增加了用户组对数据资源的授权,使用户的权限变为功能权限和资源权限之和,定义了访问规则,对特定的IP和用户的角色激活时间加以控制,采用独立的安全审计,对用户的每个角色的操作和超级管理员的操作进行审计,防止非法操作和滥用权力,在实际OA项目中应用时,该模型安全有效,并且适用于同类大型系统。     

EasyCar: Location-Aware Assistance System Based on Smartphone in Automotive Aftermarket

Cloud databases provide facilities for large scale data storage and retrieval of distributed data. However, the current access control techniques provided in database systems for maintaining security are not sufficient to secure the private data stored in public cloud databases. In this paper, a new secured data storage algorithm for effective maintenance of confidential data is proposed. To perform storage and retrieval operations of data in the cloud data storage effectively, map reduce algorithms are developed in this work which performs data reduction and fast processing. In order to consider the temporal nature of documents to be retrieved, we propose a new algorithm called Temporal Secured Cloud Map Reduced Algorithm which integrates temporal constraints with map reduce algorithms and also the chaining Hill Cipher encryption algorithms which is proposed newly in this work. The main advantages of the proposed algorithm is that they reduce the processing time and maintains security effectively. The experimental results obtained from this work depict that the proposed model is optimizing cost and it ensures data security.

     

基于RBAC的动态授权模型在SSL VPN系统中的应用

授权模块是SSL VPN系统的基础模块,主要是对系统内的用户进行访问控制。动态授权模型是在RBAC的基础之上,为了满足SSL VPN系统的访问控制需求,引入了客户端的安全状态值,根据用户的角色和安全状态值来判定用户的最终访问权限,用于控制不同安全状态客户端的访问请求,进一步提高了SSL VPN系统的安全性能。     

On Supporting Secure Information Distribution in Heterogeneous Systems Using Standard Technologies

This paper presents an integrated security architecture for heterogeneous distributed systems. Based on the MPEG-21 standard data structures and the MPEG-M standard services, the proposed architecture provides a unified, fine-grained solution for protecting each information unit circulated in the system. In this context, a novel scheme for translating the access control rules, initially expressed by means of the standard MPEG-21 Rights Expression Language, into Ciphertext-Policy Attribute-Based Encryption access trees is introduced, thereby enabling offline authorization based on the users’ attributes, also encapsulated and certified using MPEG-21 licenses. The proposed framework provides a detailed approach in all the steps of the information protection process, from attribute acquisition to data encryption and decryption.     

基于企业网格的作业管理系统中的安全机制

企业网格是建立在Internet的基础之上,必然会面临网络中各种各样的安全问题.针对企业网格分布式、多层、多用户的特点,提出了一种基于企业网格的网格安全模型.该模型对用户采用混合式账户管理方式,具有高效、安全的特点;通过基于PKI体系的数字证书进行用户认证,根据网格用户种类的区别提供不同的单点登录方案;综合使用RBAC与ACL的访问控制机制,既能保证用户访问资源的安全,又能简化用户授权的管理.     

支持多种访问控制方法和策略继承的授权系统

分布式计算环境下访问控制技术的一种发展趋势是采用集中式的身份与权限管理,即由一专门的系统为企业、机构的各类计算机系统、应用服务系统提供集中的身份与授权策略管理,但这种集中式的授权管理系统在实际应用中也面临一些技术问题,论文提出了一种集中式的授权系统,它通过Manager-Provider（管理者-提供者）架构支持、扩展多种不同的访问控制方法,基于资源策略树定义可继承的授权策略,并提供面向不同访问控制方法的在线授权决策服务。