使用控制访问模型的研究

分析了现今高度动态和分布式环境下,传统的访问控制模型已不能满足信息访问的需要,并由此引出了下一代访问控制模型--使用控制模型(usage control,UCON).将UCON与传统访问控制模型进行了比较,分析了UCON的定义及组成成分,给出了UCON的16种基本核心模型形式化描述及应用实例,分析了UCON的具体实现框架,最后指出了目前研究的难点和需要解决的关键问题.     

使用控制授权模型的安全性研究*

在基于策略的模型中,研究了使用控制授权模型的安全特性,首先分析了在一般使用控制授权模型中安全问题的不确定性;然后在限定属性值范围和无生成策略的条件下,说明了安全问题的确定性;最后通过释放生成策略的限制,在非连通的属性生成图和包含生成父属性的属性更新图中,证明了安全问题的确定性.     

使用控制模型的研究

讨论了使用控制框架的动机,并定义了一个使用控制的访问控制模型,包括传统访问控制。诸如必须遵循的、自由选定的和基于角色的访问控制,以及最近要求如责任管理,数字正确性管理等。最后,讨论了基于使用控制的引用监视器及其应用系统中的层次结构。     

使用控制支持的动态Web服务访问控制模型研究*

提出了使用控制支持的动态Web服务访问控制模型(WS-DAUCON)。该模型提供了足够的灵活性,能够根据分布式开放网络环境中的属性信息,基于authorization、obligation和condition三种决定策略来检查访问控制决策,实施动态的细粒度Web服务访问控制;同时保留了传统RBAC模型的优点。最后给出了WS-DAUCON的实施框架。     

基于上下文的普适计算使用控制模型

目前普适计算中的访问控制绝大多数采用基于角色访问控制模型(RBAC);然而使用控制(UCON)模型具有可变性和持续性,更适合普适计算,但没有充分考虑上下文信息。在UCON模型中增加对上下文信息考虑的同时将义务和条件决策因素分为静态和动态,提出了基于上下文的普适计算使用控制(Con_UCON)模型,动态义务和条件作为使用过程中的决策因素;同时建立了模型的核心规则集,并给出了形式语言描述。该模型能满足普适计算环境中访问控制的需求。通过普适计算智能办公系统中的三个实例,证明此模型具有有效性、灵活性和安全性。     

基于动态属性的域间使用控制模型研究

在分析多域交互主要特性的基础上,提出了一种多安全域下的动态使用控制模型(DAB-UCON).该模型以下一代访问控制UCON_(ABC)核心模型为基础,将属性、授权(A)、义务(B)、条件(C)等各个组件作为一个动态实体进行扩展.提出一种属性分类方法,即按照属性定义时间和应用范围分别进行模型描述.最后对模型进行讨论,引入属性谓词等来满足动态多域交互条件下的系统需求.扩展后的模型有助于访问控制中动态的策略构建和授权.     

基于使用控制和上下文的动态网格访问控制模型研究

网格环境动态、多域和异构性的特点决定其需要灵活、易于扩展和精细的授权机制.近来在网格环境下的访问控制方面做了大量研究,现有的模型大多在相对静止的前提下,基于主体的标识、组和角色信息进行授权,缺乏具体的上下文信息和灵活的安全策略.本文提出了网络环境下基于使用控制和上下文的动态访问控制模型.在该模型中,授权组件使用主体和客体属性定义传统的静态授权;条件组件使用有关的动态上下文信息体现了对主体在具体环境中的动态权限控制.在该模型的基础上,本文实现了一个原型系统,以验证模型的效率和易于实现性.     

多主体多方向的可管理使用控制模型研究

在高度动态的分布式环境下,传统单方向的访问控制已经不能为系统提供足够的可信赖性。本文分析了多种主体之间的相互关系,针对隐私保护问题提出了可管理的使用控制模型。该模型能够解决多种主体之间的并行控制、系列控制和使用控制问题。本文还对实现AUCON的安全体系结构和相关的安全机制进行了细致的描述。分层的方法可以为解
决问题提供一个完整而高效的安全解决方案。     

一种基于权限的使用控制委托模型

使用控制（Usage Control）作为下一代访问控制模型,综合并扩展了传统访问控制模型,提出了属性可变性和决策连续性的概念,能为现代开放性网络环境下的数字资源提供丰富的细粒度的访问控制保护。权限委托是访问控制系统的组成部分,是实现角色备份、权力分散和协同工作的重要途径。针对UCON的委托需求和已有研究成果的不足,提出了一种基于权限的委托模型,利用委托授权、委托职责和委托条件三个委托决策因素控制和约束委托过程。给出了模型的形式化定义,利用一个定义的最小断言集合实现了权限的委托和撤销过程。该模型延续了UCON的可变性和连续性特点,是一种易操作的权限委托机制,能够方便实现UCON系统用户间使用权限的相互委托。     

应用于数字内容使用控制的支付模型研究

现有的电子支付模型应用在数字权利管理领域,存在操作不便,需要银行电子体系配合,难以满足数字内容脱机实时支付等要求的问题。提出一种能满足数字内容使用控制的支付模型。该模型不需要专用设备,能实现脱机情况下基于数字内容使用控制的实时支付模型,并能灵活地表达各类数字内容付费策略。对该模型的体系、支付协议及其安全性做了说明,进行了应用示例,并与相关方法进行了对比。     

带空间特性的角色访问控制研究

以自主开发的内嵌式安全空间数据库管理系统SECVISTA为平台,研究带有空间特性的角色访问控制SR-BAC(Spatial Role-Based Access Control)模型的特性。定义在空间环境下的空间对象区域范围约束、空间对象区域大小约束、空间对象责任分离约束和空间对象角色激活基数约束;对RBAC模型会话进行扩展,确定任一空间位置的无阻塞会话集合;讨论分析了空间环境下的角色继承关系;最终建立一个通用的、描述能力强的SRBAC模型。     

访问控制模型的改进研究及应用

传统的基于角色访问控制模型无审计功能,易造成权限的滥用。本文提出了一种可审计的控制访问模型RBAC-a,进行了较详细的可行性和实用性分析,并结合一个实际项目阐述了RBAC—a的具体应用。最后在对论文进行总结的基础上,提出了访问控制未来可能的发展方向。     

基于带时间特性RBAC的使用控制模型及其管理

介绍和分析了基于角色的访问控制管理模型与使用控制模型,指出使用控制核心模型存在的不足。将权利的授予与撤消分离的授权机制引入使用控制模型,提出一种带时间特性的基于角色的使用控制模型,给出了模型的描述及模型管理的实现。     

数据库访问控制研究综述

信息技术的迅速发展使数据库面临的安全更加复杂,访问控制(Access Control)是数据库安全领域的一个重要部分。本文首先回顾了传统的数据库访问控制各自存在的缺点,并总结了传统访问控制的不足之处,由此引出了现代访问控制方法——使用控制(Usage Control,UCON),在此基础上总结了数据库访问控制技术的发展现状,并指出了在此方面进行研究的难点和需要解决的关键问题,并对今后发展的趋势进行了展望。     

一种面向应用的基于访问权限的动态控制方法

信息安全是当今的热点问题之一,它又可分为数据库管理系统安全、操作系统安全、网络安全等。在MIS等应用软件中,常利用菜单进行访问控制。这种方法很容易实现,一般是利用程序逻辑直接控制,或将控制信息预先生成且保存在数据库中。然而,在系统需求发生变化或开发其它的系统时,一般要重复开发这些控制逻辑。该文介绍了一种在数据库中存储权限控制信息,并利用深度优先算法遍历菜单从而进行权限控制方法。这种方法弥补了上述不足,从而实现了软件的重用,提高了软件开发效率。     

一种基于云端信息保护的汉字计算模型

提出了一种基于信息内容保护的信息安全模型。该模型利用将汉字笔画抽象为有向图的方法,设计了汉字笔画图抽象的具体方案,实现了对汉字字形结构的动态描述;建立了动态汉字字形描述库,设计了汉字字形的生成算法,实现了汉字字形的Web存储和特征字形的客户端输出。所提模型为汉字信息的云端存储和云端数据安全性保护提供了一种解决方案,不仅有助于汉字信息的安全保护,而且有助于汉字认知计算、语义计算等深度汉字信息计算。