多层次动态权限策略的CAD模型安全保护

着眼于CAD安全模型的创新,针对CAD文档保护系统的现状,分析并提出了目前CAD文档保护系统存在的问题,提出了一个以多层次动态权限策略为基础的CAD模型／文档保护算法。该算法通过对产品设计生命周期中不同角色在不同阶段的权限／行为分析,结合访问控制、权限管理、加解密技术等,实现了对CAD产品模型在整个产品设计周期内的安全控制。     

一种面向PDM系统基于权限位的访问控制方法

访问控制技术是保障信息系统安全的关键技术。在对已有的访问控制技术进行了回顾和分析的基础上,提出了PDM-RBAC访问控制模型。该模型针对PDM系统中存在的用户层次多、数据量大、数据细粒度的控制等因素造成的系统性能低效和管理困难的问题,引入了用户组层次来替代RBAC访问控制模型中的角色层次,并增加了权限层次结构来管理数据权限,同时结合在某企业PDM系统设计和实现中的实践,设计了基于权限位的访问控制算法,用于解决正负权限引起的策略冲突问题。实验结果表明了该模型和算法在大型信息系统权限管理的高效性。     

数据分片技术在数据访问控制中的应用

文章指分析了基于角色的访问控制方法的局限性,简单介绍了基于角色的数据访问控制模型、数据分片技术的类型和原则。在．此基础上提出了将数据分片技术与角色权限控制相结合的访问控制思想,并应用于教务管理系统中。     

动态访问控制技术的研究与应用

权限访问控制模块是每一个多功能管理信息系统所必有的最重要功能模块之一。通过权限访问控制可以增强应用系统的安全性,保护应用程序和后台数据。文中主要介绍了基于RBAC模型的动态访问控制机制,详细阐述了应用RBAC模型的设计思想和实现方法以及数据库设计,并且对RBAC模型的角色与角色、权限与权限之间的关系做了进一步扩展和细化,增强了RBAC模型的灵活性和安全性。文中提出的实现方案已成功应用于“黄陵县人事管理信息系统”中。     

访问权限实时更新的模型与实现

为了保证在动态环境下信息系统的安全性，需要一个良好的访问控制模型，对访问控制策略的实时变化立即作出反映，并采取必要的措施。描述了一种支持访问权限实时更新的访问控制模型和实现，并进行了并发性分析。在这种模型中，访问权限实时更新的并发控制算法简单且易于实现。在并发环境中，多个主体读写数据和修改访问控制策略并互相影响时，可直接应用该模型与算法。     

动态访问控制技术的研究与应用

权限访问控制模块是每一个多功能管理信息系统所必有的最重要功能模块之一。通过权限访问控制可以增强应用系统的安全性，保护应用程序和后台数据。文中主要介绍了基于RBAC模型的动态访问控制机制，详细阐述了应用RBAc模型的设计思想和实现方法以及数据库设计，并且对RBAC模型的角色与角色、权限与权限之间的关系做了进一步扩展和细化，增强了RBAC模型的灵活性和安全性。文中提出的实现方案已成功应用于“黄陵县人事管理信息系统”中。     

身份管理：现代ILM之魂

身份认证管理所解决的问题决不仅仅限于“哪个用户具有哪些数据的访问权限”,而是充分考虑到在当今数字时代中实现数据使用、共享和访问的所有方式,并且为整个数据生命周期提供访问控制的蓝图。     

混合云环境下面向数据生命周期的自适应访问控制

混合云模式下企业业务应用和数据经常跨云流转迁移,面对多样复杂的云服务环境,当前大多数混合云应用仅以主体为中心制定数据的访问控制策略并通过人工调整策略,无法满足数据在全生命周期不同阶段时的细粒度动态访问控制需求.为此,提出一种混合云环境下面向数据生命周期的自适应访问控制方法 AHCAC.该方法首先采用基于关键属性的策略描述思想去统一混合云下数据全生命周期的异构策略,尤其引入“阶段”属性显式标识数据的生命周期状态,为实现面向数据生命周期的细粒度访问控制提供基础;其次针对数据生命周期同阶段策略具有相似性和一致性的特点,定义策略距离,引入基于策略距离的层次聚类算法实现数据生命周期各阶段对应访问控制策略的构建;最后通过关键属性匹配实现当数据所处阶段变化时,触发策略评估引擎上数据对应阶段策略的自适应调整和加载,最终实现面向数据生命周期的自适应访问控制.在OpenStack和开源策略评估引擎Balana上通过实验验证了所提方法的有效性和可行性.     

一种访问权限管理的格模型

描述了一种以格为基础的访问控制模型,与访问对象相关的访问权限用格的结点表示,访问权限的变化映射在格上成为一个结点到另一个结点的变换。在这种模型中,访问控制策略实时更新的并发控制算法简单且易于实现。在并发环境中,多个主体读写数据和修改访问控制策略并互相影响时,可直接应用文中的模型与算法。     

分级的行列级权限系统的设计和实现

为实现权限系统中用户授权的灵活性和数据级的权限控制,在传统权限访问控制模型的基础上,设计了一种基于内存数据库的分级的行列级权限控制模型。通过分级授权实现授权的灵活性和可继承性,通过分级行列级权限实现数据级权限控制,通过内存数据库和预排序遍历树算法实现数据的快速查询。开发了相应的软件系统,与传统权限模型进行了比较,结果表明了该模型的可行性和高效性。     

基于角色-页面的访问控制方法与实现

访问控制是一种重要的信息安全技术,基于角色的访问控制(RBAC)模型因其灵活性和相对易维护性而被广为接受和应用.介绍了基于角色的访问控制,然后以基于角色的访问控制理论为基础,结合B/S应用模式的特点,通过控制应用系统各个web页面对于不同用户角色的可见性,设计和实现了基于角色-页面的访问控制(RPBAC)模型,并给出了部分关键的实现源代码.实践结果表明,该模型满足了对不同用户访问控制的需求,具有安全性好,灵活性高、便于管理等特点.     

Management of access control policies for XML document sources

The development of suitable mechanisms for securing XML documents is becoming an urgent need since XML is evolving into a standard for data representation and exchange over the Web. To answer this need, we have designed Author-X [1, 3], a Java-based system specifically conceived for the protection of XML documents. Distinguishing features of the access control model of Author-X are the support for a wide range of protection granularity levels and for subject credentials. Another key characteristic of Author-X is the enforcement of different access control strategies for document release: besides the traditional, on user demand, mode of access control, Author-X also supports push distribution, for document dissemination. Managing an access control system based on such a flexible and expressive model requires the design and implementation of suitable administration tools to help the Security Administrator in efficiently performing administrative operations related to access control policies management. In this paper, we present the strategies and related algorithms we have devised for policy management in Author-X , with particular emphasis on information push support. In the paper, besides presenting the algorithms and the related data structures, we provide a complexity study of the proposed algorithms. Additionally, we describe the implementation of the proposed algorithms in the framework of Author-X .     

基于Web的管理信息系统的安全模型设计

基于Web的管理信息系统的安全问题要从数据的访问控制和Web的访问控制两个方面来考虑。文中在数据访问控制方面采用了基于角色的安全策略，设计了数据访问控制的逻辑模型和基本方法。在Web访问控制方面，利用了．NET的Forms认征方式。最后把二者结合起来形成一个完整的安全模型。     

基于两级角色管理的访问控制

访问控制一直是企业信息系统中安全性的重点内容,目前存在很多种访问控制,基于角色的访问控制近来备受关注,分析了目前在信息系统中基于角色访问控制技术所存在的一些问题,提出了基于两级角色管理的访问控制思想,并给出相应的模型,同时给出了用两级角色管理在企业信息管理平台中的应用模型,讨论了两级角色管理方法的优点,两级角色管理即行政角色和操作角色管理,将行政意义上的权限和计算机操作上的权限分离,从而在角色的管理模式上进行了改进.     

基于容器的安全接入虚拟化

面对电力系统中信息网络、互联网边界海量电力物联网终端的访问需求,针对传统安全接入边界各类装置实现方法资源分配不均、兼容性差、扩展性差以及性能瓶颈等问题,提出一种基于容器的安全接入虚拟化模型。该模型采用DPDK高性能数据包处理框架、成熟容器集群管理框架、服务计算节点编排等关键技术,将数据平面与控制平面完全分离,构建独立的数据虚拟化转发平面,并采用SR-IOV技术实现硬件资源的虚拟化和统一调度管理,将安全接入能力服务化。基于该模型的安全接入装置集群具有高性能、高可用、灵活编排、可扩展性强等优势。实验结果表明,该模型方法能够高效合理利用硬件资源,大幅提升电力系统边界安全接入的效率。     

面向设计过程的项目管理系统安全访问模型

信息访问控制是信息共享系统不可缺少的功能。在项目管理系统中,协同的工作环境需要一种新的访问控制模式。文中提出了一种新的静态访问控制模型和动态访问模型相结合的安全模型,并给出了一种有效的缺省授权机制,大大简化了的系统的授权和访问控制。     

公共卫生事件中医疗数据访问控制与安全共享研究

随着新冠疫情的持续发展,许多国家和地区都对确诊患者及密接者的个人信息数据和位置数据进行了严密的监管。与此同时,如何在共享患者必要信息的同时,确保患者及密接者的个人隐私不被泄露,访问过程透明化、可溯源、数据不被篡改,已成为当今亟需解决的关键问题。基于此,本文提出了一种可追责的医疗属性通行证(AMAP)访问控制方案,方案首先将区块链与基于属性的访问控制模型相结合,在引入区块链对访问过程进行溯源的同时,将访问控制策略和访问时系统中的关键步骤以智能合约的形式部署到区块链上,使整个系统既能保障用户对数据的安全访问,又能够对整个访问过程进行溯源。特别地,方案引入了医疗属性通行证模块,用户以通行证的方式申请访问,避免了传统访问控制模型中主体属性与访问控制策略的多次匹配,在实现医疗数据细粒度访问控制的同时,一定程度上提高了访问效率。最后,通过安全性分析表明本方案可以抵抗拒绝服务攻击、恶意篡改攻击、单点失效攻击、主体伪装攻击、重放攻击等。实验及性能分析表明本方案与其他方案相比,在相同访问控制策略的情况下访问次数越多,本方案的优势越明显;在相同访问次数情况下访问控制策略个数越多,本方案的优势越明显。     

一种基于Xen的信任虚拟机安全访问设计与实现

结合信任计算技术与虚拟化技术,提出了一种基于Xen的信任虚拟机安全访问机制,为用户提供了一种有效的安全访问敏感数据的模式。其核心思想是利用虚拟机的隔离性,为数据信息应用提供一个专用的隔离环境,同时利用信任计算技术保证该虚拟平台配置状态的可信性。     

Authorization and Access Control of Application Data in Workflow Systems

Workflow Management Systems (WfMSs) are used to support the modeling and coordinated execution of business processes within an organization or across organizational boundaries. Although some research efforts have addressed requirements for authorization and access control for workflow systems, little attention has been paid to the requirements as they apply to application data accessed or managed by WfMSs. In this paper, we discuss key access control requirements for application data in workflow applications using examples from the healthcare domain, introduce a classification of application data used in workflow systems by analyzing their sources, and then propose a comprehensive data authorization and access control mechanism for WfMSs. This involves four aspects: role, task, process instance-based user group, and data content. For implementation, a predicate-based access control method is used. We believe that the proposed model is applicable to workflow applications and WfMSs with diverse access control requirements.     

协同设计环境中数据库安全共享关键技术研究

在支持航空产品研制的协同设计平台中，满足设计数据库共享模式的平台架构与安全控制结构是两项关键技术。本文在分析设计数据库特殊的管理与共享模式的基础上，提出了基于CORBA的协同设计平台结构，以及基于数据库访问网关的安全控制方法。在数据库访问网关核心技术的研究中，提出了利用CORBA拦截机制保证数据库网关有效性的方法，为增强型安全产品开发提供了一种新思路。本文最后给出了系统实现与性能测试结果。