计算机网络分布式系统中角色访问控制的授权策略

文章给出了一种基于角色的PMI系统的授权策略的构成与实现,可以为大型企业多种信息应用平台和网络中分布式应用系统提供一种用户权限的集中统一的管理。并从几个方面对怎样实现RBAC授权策略作了详细的说明,通过对策略的管理,能很好地实现基于RBAC的授权。     

面向ASP页面资源的细粒度访问控制方法研究

Web网页的访问控制是保证网页信息安全性的重要途径。通过对ASP(Active Server Pages)页面结构的分析,研究了ASP页面中资源的分类并给出了各类资源的表示格式,设计了面向ASP页面资源的细粒度授权策略,基于ASP的页面结构提出了一种细粒度访问控制方法。实验结果表明该方法能有效的控制用户对ASP页面资源的访问,为授权提供方便,具有较好的通用性。     

基于策略的RBAC统一授权模型研究

现有的授权方式难以满足多种应用要求。提出一种基于策略的RBAC统一授权模型,并给出其实现方案。该模型以策略为基本构成要素,实现了根据多种属性的角色自动授予、角色冲突检测等功能。利用该模型能够以细粒度、灵活及与具体应用无关的方式授予用户权限,解决了大规模、海量用户系统难以自动授权的问题。基于该模型实现的统一授权与访问系统验汪了模型的有效性,可用在多种类型的应用系统上。     

基于访问控制日志的访问控制策略生成方法

为解决其他访问控制机制向基于属性的访问控制机制迁移过程中所面临的策略生成问题,该文提出一种基于访问控制日志的访问控制策略生成方法,利用基于机器学习分类器的递归属性消除法实现策略属性的选择,基于信息不纯度从日志记录中提炼出蕴含的属性-权限关系,结合实体属性选择的结果,构建策略结构树,实现基于属性的访问控制(ABAC)策略的生成,并设计了基于二分搜索的策略生成优化算法实现对最优策略生成结果的快速计算。实验结果表明,只需原始实体属性集中32.56%的属性信息即可实现对日志中95%的策略覆盖,并且能够将策略规模压缩为原有规模的33.33%,证实了该方案的有效性,能够为ABAC策略管理提供有力支撑。     

电子政务中实现授权及访问控制的研究

在对PMI体系进行介绍和分析的基础上,提出了一种适用于职责相对稳定、用户规模大、安全性高的电子政务环境中的访问控制策略。最后使用此策略构造了一个基于属性证书的授权和访问控制模型,能够灵活方便地实现电子政务中的安全访问控制。     

基于ABE算法的访问控制方法研究

访问控制是信息安全的一种重要技术,目前的主要方法是基于角色的访问控制方法,但在管理和安全性方面存在不足。在ABE算法发展史的基础上,给出了一种基于ABE算法的访问控制模型,模型将RBAC中的角色用一组可描述的属性标识。然后具体实现了基于CP-ABE算法的访问控制方法,从算法复杂度、安全性、函数实现等方面分析其性能,给出了相关性能测试。实验结果表明算法在这些方面有一定的优势,能有效抵抗联合攻击,体现了良好的安全性。最后根据实验结果提出几种算法优化方案,旨在设计出更高效安全的访问控制方法。     

基于行为类型的XML文档访问控制模型

 随着XML应用的飞速增长,XML正逐渐成为Internet上交换半结构化信息的标准。为了实现每个新增加的操作,访问控制技术变得很复杂。本文中提出了一个访问控制模型,该模型利用行为类型来分类处理不同的操作,改进了现有访问控制中新增操作复杂的问题;同时,本文还提出使用树标记算法作为XML文档的转换处理器,因为行为类型的分类,使有的操作减少了不必要的重复检索,所以它比现有的节点过滤访问控制的效率高。     

面向云存储的基于属性加密的多授权中心访问控制方案

已有基于属性加密的访问控制研究多是基于单授权中心来实现,该种方案在授权方不可信或遭受恶意攻击的情况下可能会造成密钥泄露。提出一种基于属性加密的多授权中心访问控制模型PRM-CSAC。基于CP-ABE方法,设计多授权中心的属性加密方案以提高密钥安全性;设计最小化属性分组算法,使用户访问文件时,能够按需分配密钥,减少不必要的属性密钥分配,降低重加密属性数量,提高系统效率;增加读写属性加强加密方对文件的访问控制,使访问控制策略更加完善。安全性分析及仿真实验表明,相比已有方案,PRM-CSAC对用户访问请求的响应时间更短,开销较小,且能够提供很高的安全性。     

基于中间件技术的分布式应用系统中访问控制的研究

在分布式应用系统中,利用中间件技术的访问控制,目的是限制计算机系统的合法用户所能进行的操作.文章首先对现有的.NET安全、Java安全平台、CORBA安全服务等中间件技术的访问控制现状进行描述和比较,随后介绍了三个重要的研究方向,讨论它们的应用前景,并分析研究热点和发展趋势.     

办公自动化系统中基于RBAC的授权模型

在基于角色的访问控制(RBAC)中,只给角色分配权限,用户必须成为角色中的一员才能取得相应的访问权限。基于角色授权的基本思想是:系统中某个成员将自己所拥有的权限授予另外一个成员,使之代表自己完成一定的工作。由于授权特征的多样性,授权模型有多种不同的状态。首先归纳出与授权有关的几种基本特征,然后根据办公自动化系统的具体业务情况将授权特征的组合进行精简,找出一组合适的状态,从而建立起办公自动化系统的授权模型。     

数字电视CAS中授权解码的设计与实现

条件接收系统是数字电视系统的重要组成部分之一,也是推广数字电视服务的必要条件。文中提出了一种数字电视条件接收系统授权解码部分的设计方案,介绍了解密、解扰以及节目流的解复用等系统中的关键技术,并采用VerilogHDL语言编程实现,在QuartusⅡ下编译仿真通过,设计出稳定可靠,占用资源少且能够完成要求的系统。     

基于加权熵的访问控制策略安全性分析研究

为解决访问控制策略的安全性分析问题,提出了一种基于信息熵的策略量化分析理论.首先,根据信息论中加权熵的知识定义了策略安全熵,提出了非授权访问行为的最大不确定性计算方法.然后,分别给出了典型访问控制策略的一维安全熵和N维安全熵,并对结果进行了证明.最后,依据安全熵分析了典型访问控制策略的安全性.     

基于Agent的认证与网络访问控制系统

身份认证与网络访问控制验证用户的合法身份,授权网络资源的访问.针对目前相关系统的缺陷,设计并实现了基于Agent技术的多因素认证与粗、细粒度网络访问控制系统.通过分析和设计Agent软件的通信安全性、认证和访问控制的关键环节和流程,结合硬件特征属性密钥和用户信息,实现多因素认证,并根据网络服务资源的敏感和保密程度,划分不同密级的用户.以Windows XP为例,具体论述Agent软件利用HOOK技术实现以上关键功能.实验结果表明,该系统效率高,可扩展性、通用性好.     

云计算的服务安全体系结构和访问控制模型

Security is a key problem for the development of Cloud Computing. A common service security architecture is a basic abstract to support security research work. The authorization ability in the service security faces more complex and variable users and environment. Based on the multidimensional views , the service security architecture is described on three dimensions of service security requirement integrating security attributes and service layers . An attribute-based dynamic access control model is presented to detail the relationships among subjects , objects , roles , attributes , context and extra factors further. The model uses dynamic control policies to support the multiple roles and flexible authority. At last, access control and policies execution mechanism were studied as the implementation suggestion.     

跨域访问控制策略合成的可视化框架

The rapid increase in resource sharing across domains in the cloud computing environment makes the task of managing inter-domain access control policy integration difficult for the security administrators. Although a number of policy integration and security analysis mechanisms have been developed, few focus on enabling the average ad-ministrator by providing an intuitive cognitive sense about the integrated policies, which considerably undermines the usability factor. In this paper we propose a visualization framework for inter-domain access control policy integration, which integrates Role Based Access Control (RBAC) policies on the basis of role-mapping and then visualizes the integrated result. The role mapping algorithm in the framework considers the hybrid role hierarchy. It can not only satisfy the security constraints of non-cyclic inheritance and separation of duty but also make visualization easier. The framework uses role-permission trees and semantic substrates to visualize the integrated policies. Through the interactive policy query visualization, the average administrator can gain an intuitive understanding of the policy integration result.     

一种基于Xen的TPM访问控制改进方法

针对可信平台模块(TPM)访问受重放攻击和替换攻击威胁的问题,提出一种改进的TPM访问控制方法.首先建立TPM长期访问控制功能,通过创建额外授权数据以保证进程结束后继续授权会话,同时将TPM地址与Domain U的身份标识号相关联,以保护其地址免受替换攻击.其次,建立TPM所有权共享功能,允许多个DomainU使用相同的TPM地址并防止死锁,因共享地址不能被重写,可保护敏感数据免受攻击.最后基于Xen实现了该方法并评估了其性能.实验结果证明了该方法的可行性和有效性,TPM访问性能开销在可接受的范围内.     

一种扩展的TBAC访问控制模型研究

基于任务访问控制模型(TBAC)与传统的访问控制模型不同,它不是将访问许可与角色或用户联系起来,而是将许可与任务联系。本文在基于任务的访问控制对象建模的基础上,为使不同的异质的工作流系统下的任务可以安全地迁移,授权的紧密性得到保证,引入了授权单元的概念,并在工作流系统中讨论了授权单元的应用,将授权与工作流紧密结合,强调上下文联系,最后就实际解决TBAC模型中存在的授权原子性和事件触发等问题讨论了解决方案。