基于量化权限的门限访问控制方案

研究了在引入量化权限观点后从访问控制角度实现秘密保护的问题.元权限是从哲学上"质"和"量"的角度认识传统意义上的权限所探究出的新概念,较以往访问控制中认识和使用权限而言,它全面而深入地反映了权限这一概念的本质.进一步结合门限思想和基于角色的访问控制机制所提出的基于量化权限的门限访问控制方案,从访问控制的角度研究了秘密保护问题.在秘密保护方面,基于量化权限的门限访问控制方案具有一些独特的优点,比如分发给参与者的秘密分片和要保护的秘密无知识上的联系、可以反映出参与者信任度的差异以及运算量低.     

基于用户组和客体抽象的权限控制模型

提出一种基于用户组和客体抽象(UGOA)的权限控制模型.该模型在权限管理以及实现系统安全的策略中,通过对主体和客体同时进行抽象,引入了用户组、客体型、客体域的概念,并提出了基于UGOA的访问控制模型的八元组形式定义,通过对功能点实现细粒度的权限定义和功能权限管理,降低管理了复杂度,对传统的基于角色的访问控制模型(RBAC)进行了有效扩展.该模型已在中国地质大学(北京)软件学院在线教学系统开发中得到验证.实际证明,模型简单实用,安全稳定,具有更强的通用性和表现现实世界的能力.     

同步协同应用访问控制

提出了一个同步协同访问控制结构、协同小组共有权限算法,应用规则资源编码方法进行动态信息的访问控制策略制定,解决了同步协同应用信息共享引起的非法访问问题、访问决策效率问题和协同动态信息访问控制问题。应用表明,同步协同应用访问控制结构能够减少访问控制通信量50%以上,共有权限算法和规则资源编码方法是实用的。     

基于访问控制列表机制的Android权限管控方案

Android采用基于权限的访问控制方式对系统资源进行保护,其权限管控存在管控力度过粗的问题。同时,部分恶意程序会在用户不知情的情况下,在隐私场景下偷偷地对资源进行访问,给用户隐私和系统资源带来一定的威胁。在原有权限管控的基础上引入了访问控制列表（ACL）机制,设计并实现了一个基于ACL机制的Android细粒度权限管控系统。所提系统能根据用户的策略动态地设置应用程序的访问权限,避免恶意代码的访问,保护系统资源。对该系统的兼容性、有效性的测试结果表明,该系统能够为应用程序提供稳定的环境。     

面向资源所有者访问控制模型的设计与实现

传统访问控制模型由于其主体的单一性,其策略的制定和实施均无需考虑其他主体,因此当资源所有者和使用者是两个主体时,传统模型无法同时体现两者的安全需求.以区域医疗信息共享系统为应用背景,针对系统中资源使用者与资源所有者分离时传统访问控制模型仍然是一种粗粒度管理的缺陷,在RBAC模型基础上构造一种面向资源所有者的访问控制模型O-RBAC,引入客体类和角色域等概念,使资源所有者和资源使用者能够共同对资源进行有效权限管理,从而达到资源在所有权使用权分离下的细粒度管理.     

基于角色的权限访问控制在CMS中的研究与应用

针对CMS（内容管理系统）的特点,在基于角色的权限访问控制的基础上,分析CMS中的访问主体与客体,涉及到的访问权限以及约束属性,提出一个带有附加主体、客体约束属性和约束机制的权限访问控制算法。该算法通过适用用户范围、信息状态、用户信用、用户级别四个方面对访问进行约束,使拥有同一角色的不同用户对信息资源的访问表现出各自不同的访问控制特征,从而,减少角色的数量,提高CMS中权限分配和访问控制的灵活性与安全性。     

多域环境下工作流访问控制时序策略组合研究

多域环境下工作流访问控制策略往往表现为异构策略的时序组合,其基本需求是使访问主体在一定的时间段或者时间周期内具有对客体的访问权限.XACML在描述策略组合时,并没有体现异构策略组合时态约束.根据GTRBAC提出的时态约束种类,定义了相关时态策略并进行了图解说明;并对XACML进行了扩展,引入了相应的时态约束元素.最后,...     

多自治域协同的数据库访问控制

多自治域的协同工作领域中,资源拥有者应该对数据库资源的操作方式及粒度有最终决定权;用户域对用户的职能作明确规定。显然角色直接映射权限的RBAC模型在多自治域协作环境中是不合理的。针对多自治域协同的数据库访问,提出基于角色的四层访问控制模型及其设计,资源域定义资源角色与权限的映射,用户域与资源域协商来映射用户角色与资源角色。该方案简单合理,分清职责,符合数据访问安全需求。     

基于HBase的细粒度访问控制方法研究

为增强HBase的安全访问控制能力,提出一种针对HBase的细粒度访问控制方法。该方法通过修改优化HBase源码,扩展访问控制权限、重写访问控制器达到细粒度访问控制的目的。归纳出应用于HBase的RBAC模型,内建数据库角色以解决权限扩展后细粒度权限管理难度增大的问题。通过设计实验测试用例,验证了提出的细粒度访问控制方法能更全面地保护HBase数据,解决了原有方法带来的权限过粗的问题,降低了数据可能被恶意地执行修改、删除等操作所带来的巨大安全风险。     

一种基于角色和部门的访问控制模型

文在典型RBAC的基础上,结合实际应用需要提出了一种基于角色和部门的访问控制模型,将部门从角色的一个属性独立抽象出来,成为权限控制中的一个要素,使角色和部门共同决定主体对客体的访问权限.对该模型的实现方法进行了分析和研究,设计了模型实现的三层框架结构和控制访问策略的一个算法.     

云计算下基于动态用户信任度的属性访问控制

为便于对云中资源的管理,云计算环境通常会被划分成逻辑上相互独立的安全管理域,但资源一旦失去了物理边界的保护会存在安全隐患。访问控制是解决这种安全问题的关键技术之一。针对云计算环境多域的特点,提出了一种基于动态用户信任度的访问控制模型(CT-ABAC),以减少安全域的恶意推荐的影响并降低恶意用户访问的数量。在CT-ABAC模型中,访问请求由主体属性、客体属性、权限属性、环境属性和用户信任度属性组成,模型采用动态细粒度授权机制,根据用户的访问请求属性集合来拒绝或允许本次访问。同时,该模型扩展了用户信任度属性,并考虑时间、安全域间评价相似度、惩罚机制对该属性的影响。仿真实验结果表明,CT-ABAC模型能够有效地降低用户的恶意访问,提高可信用户的成功访问率。     

一种改进的基于量化权限的门限访问控制方案

在一些特殊领域,部分权限同时具备质的属性与量的属性.对基于量化权限的门限访问控制方案进行了改进与扩展,解决了权限概念引入权限量后导致的访问控制系统权限及角色数量巨大、管理负荷沉重以及不适应权限量动态演化的问题.改进后的模型在时空效率、表达能力方面显著提高.     

网格的访问控制模型

网格要达到资源共享和管理的目的，必须解决资源的访问控制问题。网格的访问控制必须建立在现有的访问控制系统之上，但是网格计算的环境经常跨越多个不同的自治管理域，每个域的访问控制策略和需求可能十分不同．这就使得对网格资源的访问控制更加复杂，现有的访问控制系统必须进行扩展才能移植到网格系统中。文中将讨论三种基于不同方式的网格访问控制模型。每个都有其自身特点，可以根据不同需求来选用。     

基于量化角色的细粒度授权委托方法

目前基于角色的访问控制模型大多数都不支持细粒度操作。为此,提出一种细粒度的授权委托方法。利用为权限元组分配量值的方法,实现对角色内任意部分权限的表达和控制。引入量化角色,将普通角色与权限量值组合,用于描述不同的权限范围。在胜利油田滨南采油厂物资供应系统中的应用结果表明,该方法能提供更细化的授权和委托粒度,减少过多临时角色的创建,降低系统的管理和维护 代价。     

基于RBAC的XML访问控制研究

目前XML技术的应用范围越来越广泛,XML文档中可能包含不同程度的敏感信息,需要受到访问控制策略的保护.基于角色访问控制(role-based access control,RBAC)是一种灵活、高效的访问控制方法.在RBAC96模型的基础上,提出一种扩展权限的角色访问控制模型(extended permission role-based access control,EPRBAC),并讨论了XML授权机制.XML的授权可以定义在模式、实例甚至元素和属性级别上,从而实现了对XML文档灵活、细粒度的访问控制.     

信息系统中一种访问控制的实现策略

在信息系统的开发与应用中,经典基于角色的访问控制(RBAC)模型存在一定的不足。该文在实现基于角色的访问控制模型的同时,改进了原经典模型的不足,并将这种模型应用到对于资源的管理当中。在实现完整的访问控制过程中,该文分析和实现在两个维度下,功能权限维度与资源权限维度的权限管理和访问控制策略。经过这一分析与设计,将访问控制从系统业务逻辑当中分离,包括功能访问控制与资源访问控制的分离,进而增加了系统的灵活性和扩展性。     

进程内细粒度保护域模型及其实现

提出了一种利用细粒度保护域方法实现进程权限动态改变的机制。根据进程的不同执行阶段对系统资源和程序地址空间访问方式的不同，将其划分为多个保护域。设置各个保护域对程序地址空间的访问方式，使之能有效地防御用户态代码注入攻击；保护域对系统资源访问的控制通过一个强制访问控制框架来实施，以此满足系统的安全策略。     

基于量化角色的Web服务访问控制研究

引入权限量值和量化角色的概念,建立一个细粒度的Web服务访问控制模型。通过定义Web服务和服务属性资源以及访问模式集,扩展权限集的定义;研究Web服务权限量值的定义和分配,以及量化角色的验证和表示形式;提出Web服务主体的行为量值的概念,建立与主体的角色量值的关联,实现根据Web服务主体的行为和上下文环境动态计算行为量值并调整主体权限的方法。