基于角色的工作流系统存取控制模型研究

工作流系统中不同的业务流程之间资源的共享必然会引起一系列安全问题,安全策略在工作流系统中集中表现为存取控制策略。基于工作流系统的安全需求,给出了基于角色的工作流系统存取控制模型（WfRBAC）。在该模型中,引入任务来扩充RBAC模型的动态性。WfRBAC的6要素是用户、角色、任务、客体、权限和约束,约束分为动态约束和静态约束,能够满足工作流系统中的静态性和动态性存取控制要求。     

面向任务控制的柔性工作流模型的研究

针对柔性工作流在任务处理过程中动态实时进行安全管理提出一种面向任务控制的柔性工作流模型,该模型从任务的角度建立安全控制,动态地控制主体访问资源的权限,同时也实现了柔性工作流动态进行路由选择,实现了访问控制流与柔性工作流的同步,具有较好的灵活性。     

基于PMI的工作流管理系统安全模型

将PMI引入到工作流管理系统经典的安全模型中,建立了一个基于PMI的工作流管理系统安全模型.同时将基于角色和任务的访问控制引入到工作流管理系统安全模型的PMI授权策略中,扩展了基于角色的PMI授权策略.     

WMNs中基于节点可信度的机会路由改进算法

机会路由提高了WMNs的可靠性和吞吐量,但同时由于节点候选集中存在恶意节点,导致网络性能下降。对于如何及时识别、隔离网络中的恶意节点的问题,建立了一种节点可信度评估模型。基于贝叶斯网络算法,考虑到非恶意因素带来的网络异常行为,引入不确定交互因子,改进了直接信任的评估方法,利用熵为信任值的计算和更新分配权重。引入反映节点真实参与度的行为积极因子并结合信任值得出节点的可信度,对可信度处于待定状态的节点进行未来可信度的预测,以甄别潜在的恶意节点。最后将该模型应用于机会路由ExOR中,提出了一种基于节点可信度的机会路由算法BTOR。实验结果表明,该算法可以有效检测恶意节点,在各项性能指标上比原路由算法更具优势。     

无线传感网络交叉覆盖节点路由删除仿真研究

针对无线传感网络中节点的覆盖范围较小,删除无用路由所用时间较长,导致网络覆盖率低和路由删除效率低的问题,提出无线传感网络交叉覆盖节点路由删除方法。建立节点覆盖模型,在节点覆盖模型的基础上将无线传感网络的覆盖率和连通性当做综合评价函数,构建无线传感网络交叉覆盖节点优化布局的数学模型,并采用罚函数结合无约束优化模型代替传统约束优化模型。运用自适应遗传算法求解无约束优化模型,实现无线传感网络中交叉覆盖节点的优化布局,进而删除无线传感网络中存在的无用路由。分析实验结果得出,所提方法的网络覆盖率高、路由删除效率高,说明所提方法实际应用性强。     

改进的网络服务资源定位算法

针对对等网络中Chord模型的不足,以网络资源定位为研究对象,将减少资源定位的等待时间作为改进目标,在分析现有解决思路和方法的基础上,引入双向路由机制和考虑后继节点列表的路由选择机制。针对模型的改变,对原有路由方法、稳定机制和路由信息的维护方法进行修改,并加以实现。模拟实验证明,与原算法相比,该改进资源定位算法减少了资源定位的等待时间。     

一种适用于无线多媒体传感器网络的节点不相交多路径路由协议

设计了一种适用于无线多媒体传感器网络的高效节点不相交多路径路由协议.以源路由的方式建立多路径,中间节点通过有选择的转发RREQs,降低路由建立开销.将链路质量量化为数据接收率,利用数据接收率、节点能量及路径跳数等,定义了路径效率模型,将路径效率模型引入到路由建立过程中.仿真结果表明,与SMR及TinyONDMR协议相比,新协议建立路由的开销更低,所建路径上节点能量分布更理想,进行数据传输时的能量效率更高,同时不会显著增加路径的传输时延.     

基于信任模型使用随机分散路由的安全数据收集协议

在无线传感器网络(WSNs)安全问题中,节点复制、节点损坏和拒绝服务是其存在的三种主要攻击方式.节点复制攻击方式直接危害传感器节点、破坏力强、对网络安全造成严重影响.现有的多路径路由算法产生的路由路径是确定的,攻击者一旦得到路由算法,便可计算出正确的路由路径,危及经此路径传送的所有信息.基于节点行为信任模型和节点复制攻...     

基于关键节点的域内路由保护算法

随着互联网规模的膨胀,大量的实时应用部署在互联网上,这些实时应用对网络时延提出了更加严格的要求。然而,目前互联网部署的域内路由协议无法满足实时应用对网络时延的要求,因此提高域内路由可用性成为了一项亟待解决的关键性科学问题。学术界和工业界提出利用路由保护方案来提高路由可用性,从而减少由于网络故障造成的网络中断和报文丢失。已有的路由保护方案将网络中的节点同等对待,没有考虑节点在网络中的重要程度,然而实际情况并非如此。因此,提出了一种基于关键节点的域内路由保护算法(Intra-domain Routing Protection Algorithm Based on Critical Nodes,RPBCN)。首先,建立路由可用性模型,以定量衡量路由可用性;其次,建立节点关键度模型,以定量衡量网络中节点的重要程度;最后,基于路由可用性模型和节点关键度模型,提出基于关键节点的域内路由保护方案。实验结果表明,RPBCN在保证路由可用性的前提下极大地降低了算法的计算开销,从而为ISP解决路由可用性问题提供了一种全新的高效解决方案。     

一种节能的Ad hoc网络路由协议

针对Ad hoc网络中移动节点能量有限的问题,综合考虑节点剩余能量和节点能量消耗速率两方因素,提出一种基于节点生存时间的路由算法MRL（Maximum Routing Life）。通过估算节点使用寿命,选择生存时间最长的路由,均衡移动网络中各节点的能量。引入NS能量模型,与Ad hoc网络中典型路由协议进行比较;仿真结果表明,与传统路由协议相比,新的路由协议有效地提高了Ad hoc网络性能。     

基于角色的工作流多层访问控制安全模型

随着工作流技术的发展,工作流管理系统对访问控制权限管理也提出了更高的要求.针对实际应用的需求和工作流管理系统的特点,结合已有的基于角色访问控制模型,提出了基于角色的工作流多层访问控制安全模型,并将该模型成功应用到汽车零配件业质量监管流程中.该模型在该质量监管系统中较好地运用了基于角色的访问控制策略,并且考虑到系统整体和实时授权的因素,通过将工作流模型层次分为工作流层、控制层、数据层3层分层授权,从而使模型的安全性得到进一步提高.     

基于TBAC的分布式工作流访问控制模型研究

基于分布式的工作流系统面临着日益复杂的数据资源安全管理难题,基于TBAC的访问控制可以与工作事务处理流程紧密结合,因此可根据工作流中任务和任务状态实现对数据资源的动态访问控制。本文在分析基于任务的访问控制原理基础之上,将基于角色的授权机制与基于任务的访问控制相结合,采用任务层次分解方法建立全局工作流图,应用
用分散管理策略建立分布式工作流的安全访问控制模型,并对该模型实现进行了详细阐述。     

基于多层状态机的安全工作流模型

本文介绍了安全工作流以及状态机的基本概念,通过对工作流中安全属性的研究,提出了一种基于多层状态机的安全工作流模型。该模型架构分为工作流层、控制层和数据层三个层次,我们分别从任务、事件和数据角度来分析安全工作流的执行。最后,我们介绍了多层状态机中的授权函数,并详细阐述了安全工作流模型中各个层次的授权过程。     

面向工作流的RBAC模型研究

针对传统的基于角色的访问控制(RBAC)模型存在数据对象划分不清晰、权限分配不够灵活等问题,基于RBAC模型提出了工作流的概念.即将所有数据对象抽象成业务表单,为每个业务表单分配一个工作流,通过工作流的结点及分配的角色来解决用户与数据对象的权限控制问题.实验结果表明,该模型有效地实现了对数据实例的细粒度控制,具有较好实用性与可操作性,较好解决了相同角色对不同数据对象的不同访问权限控制问题.     

S-Shark安全工作流管理系统设计与实现*

以工作流信息模型安全机制不足为研究对象,通过模型扩展的方法,建立一种安全工作流访问控制模型ETRBAC。该模型在典型T-RBAC模型基础上,提出了职责分离约束和基数约束等问题的解决方案。结合优秀开源工作流管理系统Shark,设计并实现了ETRBAC模型中的相关安全机制,形成S-Shark(secure-Shark)工作流管理系统。S-Shark具有安全性、易用性和可扩展性等优势。     

基于动态控制机制的工作流安全访问模型

为确保工作流系统安全可靠地工作,在传统基于角色的访问控制模型中引入目标案例、用户管理和目标3个关系元素,设计动态授权机制,构建一种基于动态控制机制的工作流安全访问模型,通过基本约束关系与动态约束条件,保证模型的安全运行,并将其与工作流引擎组件进行集成,为独立安全领域应用提供安全授权服务。应用结果表明,该模型可将动态职责与互惠职责较好地分离,对动态职责进行绑定,为系统工作流安全访问提供技术支持。     

面向应用对象的访问控制模型研究

基于任务的访问控制模型能较好地适应分布式应用系统的访问控制需求,但其存在难以映射到具体的信息系统和缺乏安全规则的问题.采用面向对象思想建模,形式化描述了应用对象的内部特征及外部依赖关系,完成了任务实例到应用对象的映射,通过定义角色安全向量和客体安全向量实现了客体到应用对象的关联,通过客体保护态对逆向信息流进行限制,提高了模型的可用性和安全性.     

工作流系统中一个基于双权角色的条件化RBAC访问控制模型

传统的RBAC访问控制模型已经不能表达复杂的工作流安全访问控制约束。基于传统的RBAC模型,提出了一个新的基于双权角色的条件化RBAC访问控制模型CRDWR(conditioned RBAC based on double—weighted roles)。阐述了基于动态角色分配的条件化RBAC策略,定义了基于双权角色的工作流系统访问授权新概念,并针对多个角色协同执行任务的序约束问题,给出了基于令牌的序约束算法。该模型能够表达复杂的工作流安全访问控制约束。     

Authorization and Access Control of Application Data in Workflow Systems

Workflow Management Systems (WfMSs) are used to support the modeling and coordinated execution of business processes within an organization or across organizational boundaries. Although some research efforts have addressed requirements for authorization and access control for workflow systems, little attention has been paid to the requirements as they apply to application data accessed or managed by WfMSs. In this paper, we discuss key access control requirements for application data in workflow applications using examples from the healthcare domain, introduce a classification of application data used in workflow systems by analyzing their sources, and then propose a comprehensive data authorization and access control mechanism for WfMSs. This involves four aspects: role, task, process instance-based user group, and data content. For implementation, a predicate-based access control method is used. We believe that the proposed model is applicable to workflow applications and WfMSs with diverse access control requirements.     

工作流系统上下文相关访问控制模型

访问控制是提高工作流系统安全性的重要机制。基于角色的访问控制（RBAC）被绝大多数工作流系统所采用,已成为工作流领域研究的热点。但是,现有的基于角色的访问控制模型没有考虑工作流上下文对任务执行授权安全的影响,容易造成权限冗余,也不支持职责分离策略。该文提出一种工作流上下文相关访问控制模型WfCAC,首先,定义该模型的构成要素和体系结构,然后讨论工作流职责分离和访问控制机制,并对模型性质进行分析。WfCAC模型支持用户组及其层次结构,支持最小权限授权策略和职责分离策略,实现了工作流上下文相关访问控制。