云计算下基于用户行为信任的访问控制模型

针对当前云计算访问控制中角色不能随着时间动态改变的问题,提出了一种基于用户行为信任的云计算访问控制模型。该模型根据综合用户的直接和间接信任值得到的信任值确定其信任等级,激活其所对应的角色以及赋予该角色一定的访问权限,提供请求的资源,从而达到访问控制的目的;并给出了基本组成元素和实现过程。实验结果表明,所提出的访问控制模型能够提高用户行为信任值评估的客观性,能够抵抗各类非法用户访问云计算,增强了云计算中资源的安全性和可靠性。     

Web中基于用户行为预测的动态角色访问控制

本文针对RBAC模型在Web环境下的局限性,增加了用户行为预测级别集合,建立了一种新的UBP-DR-BAC访问控制模型。该模型实现了基于身份信任和行为信任相结合的动态授权机制,并解决了角色扩散问题,适应了Web环境的用户多、动态性强的特点,是一种较好的Web访问控制模型。     

基于用户信任的动态多级访问控制模型

在角色访问控制的基础上,增加用户动态信任级别和静态信任级别,建立一种基于用户信任的动态多级访问控制模型。该模型通过用户的静态信任值和角色,获得静态权限,判断用户获得权限的资格,通过用户的动态信任值,判断用户的行为可信性,决定用户在实际访问操作中的具体权限。给出应用实例及模型安全性分析,结果表明该模型能实现动态授权,且满足最小特权原则。     

SaaS模式下基于用户行为的动态访问控制模型研究与实现

SaaS服务共享的特性决定了用户可信的访问行为对于云服务安全的重要性。而在传统的访问控制中,一旦用户被赋予了某种角色,便会一直拥有该角色所对应的权限,缺乏一定的动态性。针对以上两点,在传统访问控制模型以及用户行为信任值特点分析的基础上,文章提出了一种SaaS模式下基于用户行为的动态访问控制模型（cloud-RBAC）。模型中的租户更好地实现了访问控制中安全域的控制,而用户组和数据范围则更好地实现了粒度的控制,体现了云服务访问控制的灵活性。根据用户访问云服务过程中各行为证据值,模型利用模糊层次分析法,确定其行为信任等级,再根据权限敏感等级,最终确定用户可行使的权限,体现了云服务访问控制的动态性。结果分析表明,文章提出的访问控制模型能够对用户的非法访问行为做出快速的反应,同时又能够有效地控制合法的访问行为,从而保证了云服务的安全性和可靠性。     

一种基于信任的Web Services动态访问控制模型

服务请求者身份的不可知性及其行为的动态不确定性,给Web Services的安全带来了严峻的挑战.在研究和分析现有信任模型不足的基础上,提出一种基于信任的Web Services动态访问控制模型（DWTBAC）.新模型引入时间权重、上下文和推荐强度等客观因素,改进信任值的计算方法,根据信任值-信任等级-权限强度的三元映射关系进行授权管理,实现部分授权.为了抵制恶意行为,提出一种基于服务质量惩罚机制的直接交互经验值更新算法.仿真结果表明,新的访问控制方式,很好地实现了实体信任值随其行为而改变的动态特性,能有效地遏制恶意用户的不良行为,满足Web Services访问控制的安全性和动态性需求.     

基于用户及其行为社会属性的信任测度模型

信任测度是信任机制的核心和基础,现有的信任机制面临着恶意用户操纵信誉的安全威胁。基于用户及其行为社会属性的信任测度模型对传统的信任机制进行了扩充,引入用户及其行为所映射的本质特性即社会属性来描述和分析恶意用户及其行为的特征,在信任测度过程中增加信誉评审过程来修正对信任测度的攻击,从而保证了分布式环境中的信任测度的可信性。模拟实验表明,该信任测度模型能有效地应对恶意用户对信誉的操纵攻击。     

一种基于多域安全信任的访问控制模型

访问控制是一种可同时服务于用户与资源的安全机制。安全域通过使用访问控制机制为用户访问资源提供方便,同时亦对用户行为进行监视与控制。然而,由于P2P网络缺乏集中控制,现有的访问控制技术无法对P2P网络的网络节点进行控制,特别是网络中节点行为缺乏指导和约束。基于当前P2P网络访问控制中存在的不足,提出一种基于多域安全信任的访问控制模型：MDTBAC。MDTBAC模型通过扩展多级安全机制来实现访问控制,将信任算法计算所得的节点信任度作为访问级别划分标准,根据各个节点的信任度来分配相应的访问控制级别,不同的访问控制级别拥有不同的权限。     

一种基于角色PMI的访问控制安全模型

访问控制一直是信息安全的重要保证之一。它包括三种主要的策略，即自主访问控制、强制访问控制和基于角色的访问控制。文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书，以此为基础讨论了基于角色的PMI体系结构，然后探讨了基于角色PMI的访问控制安全模型。该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点，目前正将该模型使用到大型网络信息管理系统中，实现系统的访问控制。     

基于信任约束的用户安全管理

在开放的网格环境中,用户行为的动态性和不确定性,使得现有的基于证书的静态用户管理难以及时地将用户的恶意行为进行标识并对用户后续行为进行控制。针对该问题,提出一种基于信任约束的用户安全管理方法。该方法基于对用户信任计算的结果,根据用户信任等级的变化,建立用户信任黑名单和白名单;并基于用户信任等级与资产价值之间的关系,建立一种信任策略。实验结果表明,该方法建立的用户信任黑名单、白名单和信任策略,作为访问控制机制的一种动态信任约束,加强了对系统授权的约束,使得用户能够获得的访问能力与其历史行为相关联,加强了对用户行为的控制,提高系统安全。     

基于用户信任值的HDFS访问控制模型研究

目前,越来越多的用户使用云存储来保存或备份数据,以增强数据的可移动性,但针对云存储的安全性问题,研究人员主要关注隐私泄露、数据容灾、副本消除等方面,对访问控制的研究较少。在前人研究的基础上,提出了一种基于用户信任值的HDFS(Hadoop distributed file system)访问控制模型。该模型结合可信赖第三方认证系统Kerberos实现对用户的认证,并为每个用户设定一个信任值,通过信任值与信任值阈值的比较动态控制用户对HDFS的访问。实验结果表明,该模型不仅可以克服HDFS访问控制上的缺陷,而且能够动态、有效地控制用户对HDFS中资源的访问。     

结合信任的Web Services属性访问控制模型

针对目前Web Services访问控制模型中存在访问控制粒度较粗、授权不灵活及请求者的行为可信性不固定等缺点,设计了一种新的WebServices属性访问控制模型,并在该模型中引入一种改进的信任评估算法。该算法用来衡量WebServices请求者的信任值,提出了一种结合信任的Web Services属性访问控制模型——T-WSAACM(web services attribute access controlmodel combined with trust)。模型及算法分析结果表明,该模型不仅有效地阻止了不可信的Web资源请求者,使得Web Services的安全性得到进一步增强和保障,而且可以依据Web Services请求者不同的信任等级授予强弱级别的权限,这种灵活的权限授予机制更能满足实际的需求。     

基于平台可信等级的RBAC模型研究与改进

针对RBAC模型仅仅依靠用户身份进行角色和权限分配,未考虑用户平台的安全及可信性的问题,提出一种基于平台可信等级的改进RBAC模型(TLPRBAC)。TLPRBAC模型引入可信平台和可信等级两个实体元素,改进了实体关系和授权规则。改进的RBAC模型采用将角色与可信等级、可信等级与访问客体相关联的方法,实现不同可信等级主体对不同安全级别客体的细粒度访问控制。最后提出一个TLPRBAC模型在政府内网中的文件访问控制应用方案。     

基于动态信用等级的密文访问控制方案

针对属性基加密机制（ABE）在移动互联网环境中计算开销较大且不够灵活的问题,提出了一种基于动态信用等级的密文策略属性基加密（CP-ABE）方案。首先,该方案引入"信用等级"属性用来标识用户的"信用"并以此划分用户等级,高"信用等级"用户仅需常数级的计算开销即可解密;同时,中央授权中心（CA）在设定的时间阈值评估用户的访问行为并动态更新用户的"信用等级",更新算法避免私钥的完全重新生成。理论分析和实验结果表明,随着高"信用等级"用户占比升高,所提方案系统总时间开销不断减少,最终达到稳定并优于传统方案。该方案在保证安全性的前提下,总体上提高了移动互联网环境中访问控制的效率。     

A computational trust model for access control in P2P

Trust brings a new method for building scalable and fine-grained access control mechanism in P2P systems. The quantificational expression of trust and the calculation of trust in a trust network are the basis of trust degree based access control. In this paper, the properties of trust is analyzed by referring to the fruits from social science; the semantics of trust in the context of access control is described, and a trust degree based access control model named TDBAC is introduced. Basing on the propertie...     

云计算环境下基于信任模型的动态级访问控制

云计算是通过Internet实现节点间的交互,目前Internet提供两种方式来保障安全机制：访问控制和安全通信。主要研究访问控制,借鉴社会学中人际关系信任模型,提出“可信”动态级访问控制（Trustworthy and Dynamic Level Access Control,TDLAC）方法,该方法建立云节点的信任机制,计算节点间的信任值的同时,还综合考虑节点的处理能力,在候选节点中选择最优节点进行交互。仿真证实,考虑节点处理能力的算法能适用于云计算环境,并能在尽可能少的成本花费下提高系统的可靠性和正确性。     

RBAC中基于信任的细粒度访问控制研究

针对传统的角色访问控制模型权限控制粒度较大,提出一种基于信任的细粒度访问控制模型,该模型在RBAC基础上引入授权信任约束,采用了一种基于忠诚度的信任度计算方法,有效地遏制恶意行为,实现细粒度访问控制。该模型不仅具有RBAC模型的所有优点,而且比RBAC模型具有更好的通用性、灵活性和可扩展性。     

网格环境下基于信任度的资源访问控制研究

首先给出了网格计算中访问控制的特点和需求。现有的访问控制技术以及分布式授权模型,均不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上,提出了基于信任度的访问控制机制。为了提高资源的利用率,提出了Ticket机制。最后给出模拟实验结果,验证有效性。     

基于用户集扩展的任务和角色访问控制模型

通过分析基于任务和角色的访问控制模型,以及静态授权和动态授权各自的优缺点,针对目前访问控制模型很少考虑企业组织结构对其实现影响的不足,引入企业人员的组织方式,提出了一种基于用户集扩展的任务和角色访问控制模型,并详细介绍了建模思想.其基本思想是因企业人员具有一个固定的职能角色和多个动态的业务角色,职能角色采用静态授权、业务角色采用动态授权.最后利用形式化描述对模型进行了验证,并简述了其实现的策略.     

信任在访问控制中的应用及研究

根据大规模、开放式的分布式网络环境的特点,分析了传统安全机制的不足,把信任机制引入到访问控制中,并给出了信任的定义和分类,重点讨论了行为信任的性质和计算方法,给出相应的访问控制模型.通过同时对身份信任和行为信任的验证,增强了资源访问的安全性.     

基于属性约束的工作流访问控制模型

针对在工作流环境中不具备相应资质和能力的用户可能通过其担任的角色获取任务,进而获得访问权限的问题,提出在任务分配之前进行属性约束。用户和任务都具有属性和相应的属性表达式,用户属性反映用户具备的资质和能力,任务属性反映任务对用户资质和能力的要求,只有对应的属性表达式满足策略规则时系统才向用户进行任务授权。实例分析表明,该方法能够防止不具备相应资质和能力的用户获取任务权限,消除安全隐患,实现更加细粒度的访问控制。