共查询到20条相似文献,搜索用时 109 毫秒
1.
面向XML文档的细粒度强制访问控制模型 总被引:25,自引:0,他引:25
XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制. 相似文献
2.
基于角色的访问控制是目前应用最广泛且先进的安全控制机制.针对它被广泛应用于新软件,却未被遗留系统普遍采用的问题,提出一种访问控制策略的再工程方法.方法定义了描述、操作和评估访问控制策略的面向转换的访问控制策略语言,研究了提取遗留访问控制策略的方法,并给出将角色引入遗留访问控制策略的转换规则和算法.案例分析表明方法是可行的,它能够使用角色和角色层次重组遗留访问控制策略,以改善遗留系统的访问控制机制. 相似文献
3.
4.
访问控制策略在软件系统中起着重要的作用,与软件系统的安全性和可靠性有着直接的联系。选取何种访问控制策略,如何对系统的访问控制权限进行规划,是摆在软件分析设计人员面前的一个复杂课题。介绍了自主访问控制、强制访问控制和基于角色的访问控制三种主流的访问控制策略,并进行了对比分析。基于角色的访问控制策略依据两个重要的安全原则,强化了对访问资源的安全访问控制,并且解决了具有大量用户和权限分配的系统中管理的复杂性问题,广泛应用于当前流行的数据管理系统。 相似文献
5.
多域环境下的访问控制是域间进行协作必须要解决的问题之一。本文对域间互操作的信任传播问题进行了分析,给出了自主策略、深度策略和角色策略。通过角色委托和角色映射,使角色的管理权和使用权分别传递。并对实现方案进行了讨论。 相似文献
6.
吴立军 《计算机技术与发展》2004,14(8)
访问控制一直是信息安全的重要保证之一.它包括三种主要的策略,即自主访问控制、强制访问控制和基于角色的访问控制.文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书,以此为基础讨论了基于角色的PMI体系结构,然后探讨了基于角色PMI的访问控制安全模型. 该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点,目前正将该模型使用到大型网络信息管理系统中,实现系统的访问控制. 相似文献
7.
基于角色的访问控制 总被引:3,自引:0,他引:3
王广慧 《网络安全技术与应用》2002,(9):21-22
基于角色的访问控制(RBAC)是一个最新的授权方案。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。整个访问控制过程被分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。它比强制访问控制(MAC)和自主访问控制(DAC)更适用于非军事的数据处理。本文从以下几方面介绍了基于角色的访问控制:概述,定义,最小特权策略,职责分离和结论。 相似文献
8.
一种基于角色PMI的访问控制安全模型 总被引:4,自引:0,他引:4
访问控制一直是信息安全的重要保证之一。它包括三种主要的策略,即自主访问控制、强制访问控制和基于角色的访问控制。文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书,以此为基础讨论了基于角色的PMI体系结构,然后探讨了基于角色PMI的访问控制安全模型。该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点,目前正将该模型使用到大型网络信息管理系统中,实现系统的访问控制。 相似文献
9.
近年来,随着企业信息系统的广泛使用,系统安全问题受到越来越多的关注,而访问控制技术是解决安全问题的关键。基于角色的访问控制(RBAC)策略作为目前主流的访问控制策略,相比传统的自主访问控制(DAC)和强制访问控制(MAC),体现了更高的灵活性和扩展性。本文对企业信息系统中采用基于角色的安全访问控制(RBAC)技术进行了理论研究和实践探讨。 相似文献
10.
RBAC技术以角色为访问主体,将访问权限与角色相联系,通过给用户分配适合的角色,使角色成为访问控制的主体,可以提高管理的效率,减少授权管理的复杂性。设计了一个基于Web方式的软件自主实验平台,并且利用RBAC技术实现了对自主实验的访问控制管理。介绍了基于RBAC的软件自主实验平台的总体设计、部分关键技术及实现。 相似文献
11.
12.
基于LSM的安全访问控制实现 总被引:5,自引:0,他引:5
LSM是Linus Torvakls提出来的支持多种安全策略的底层架构。而细粒度的自主访问控制和强制访问控制是安全操作系统中必不可少的一部分。文章介绍了LSM项目的结构与设计,并以此为基础讨论了细粒度的自主访问控制和强制访问控制在其上的实现。 相似文献
13.
14.
15.
《Computer Architecture Letters》2006,5(2):15-15
Disintermediated active communication (DAC) is a new paradigm of communication in which a sending thread actively engages a receiving thread when sending it a message via shared memory. DAC is different than existing approaches that use passive communication through shared-memory - based on intermittently checking for messages - or that use preemptive communication but must rely on intermediaries such as the operating system or dedicated interrupt channels. An implementation of DAC builds on existing cache coherency support and exploits light-weight user-level interrupts. Inter-thread communication occurs via monitored memory locations where the receiver thread responds to invalidations of monitored addresses with a light-weight user-level software-defined handler. Address monitoring is supported by cache line user-bits, or CLUbits. CLUbits reside in the cache next to the coherence state, are private per thread, and maintain user-defined per-cache-line state. A light weight software library can demultiplex asynchronous notifications and handle exceptional cases. In DAC-based programs threads coordinate with one another by explicit signaling and implicit resource monitoring. With the simple and direct communication primitives of DAC, multi-threaded workloads synchronize at a finer granularity and more efficiently utilize the hardware of upcoming multi-core designs. This paper introduces DAC, presents several signaling models for DAC-based programs, and describes a simple memory-based framework that supports DAC by leveraging existing cache-coherency models. Our framework is general enough to support uses beyond DAC 相似文献
16.
17.
Access control models play an important role in database management systems. In general, there are three basic access control
models: Discretionary Access Control (DAC), Mandatory Access Control (MAC), and Non-Discretionary Access Control (NAC). Currently,
the majority of commercial DBMSs provide only DAC, and some temporal access control models have been derived based on either
DAC or NAC. In the context of video database applications, since the structure of video data is complex in nature, it requires
a specific and tailor-made access control mechanism which should include MAC as well as DAC and NAC. However, only few efforts
have been put on access control models for video database systems. In this paper, a transitive and temporal access control
mechanism for collaborative video database production applications has been proposed, which subsumes the properties of DAC,
MAC, and NAC. Moreover, our proposed mechanism is integrated with the intellectual property concerns by constructing an access
control hierarchy of video data with authorization rules. In particular, our mechanism can derive novel authorization rules
not only on conventional client-data access control, but also on data–data access control. Besides video data, the proposed
model is applicable to other data types which exhibit a hierarchical data structure. 相似文献
18.
19.