基于行为的访问控制模型及其行为管理

访问控制模型是对信息资源进行授权决策的重要方法之一.首先给出了环境的定义,结合角色、时态和环境的概念,给出了行为的定义.在不同的信息系统中,行为可以用来综合角色、时态状态和环境状态的相关安全信息.然后介绍了行为、时态状态和环境状态的层次结构,提出了基于行为的访问控制模型ABAC(Action-Based Access Control Model),并讨论了在ABAC模型中角色、时态状态和环境状态之间的相互关系.在此基础上,通过引入受限的时态状态和环境状态,给出了管理行为的定义和ABAC管理模型的结构;描述了ABAC管理模型下用户-管理行为、管理行为-管理权限的控制关系,使用Z-符号形式化地描述了行为状态管理中使用的管理函数AddAction、ModifyAction和DeleteAction,以及和ABAC管理模型相关的管理方法.与已有其他模型相比,ABAC模型更加适用于解决网络环境下支持移动计算的信息系统中的访问控制问题.     

基于属性的访问控制研究进展

 基于属性的访问控制(ABAC)能够解决开放网络环境下资源保护所面临的细粒度问题以及网络系统所面临的大规模用户问题,为未来的开放网络环境提供了较为理想的访问控制策略方案．本文从ABAC理论和应用研究两个方面详细分析和总结了ABAC国内外的现有研究成果,分析了ABAC研究尚待解决的问题及未来研究趋势,为未来开放网络环境中的复杂信息系统访问控制研究提供借鉴和文献参考．     

访问控制模型研究进展及发展趋势

 访问控制的任务是保证信息资源不被非法使用和访问,冲突检测与消解主要解决不同信息系统安全策略不统一的问题.随着计算机和网络通信技术的发展,先后出现了自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、基于任务的访问控制模型、面向分布式和跨域的访问控制模型、与时空相关的访问控制模型以及基于安全属性的访问控制模型等访问控制模型.本文从理论和应用研究两个角度分析和总结了现有访问控制技术、访问控制策略冲突检测与消解方法的研究现状,提出了目前访问控制模型及其冲突检测与消解研究在面向信息物理社会的泛在网络互联环境中存在的问题,并给出了细粒度多级安全的访问控制模型及其策略可伸缩调整方法的发展趋势.     

云计算环境下任务行为访问控制模型研究

近年来,云计算环境下访问控制机制成为研究热点。针对传统的访问控制模型不能满足云系统中的资源被非法用户恶意访问或处理的访问控制需求的问题,在传统访问控制基础上,通过对基于行为的访问控制(Action Based Access Control)模型的策略和授权机制的研究,基于ABAC模型中的优缺点,引入了用户信任度,给出了模型的形式化定义和信任相似度的算法,设计了基于信任相似度的权限授予机制,提出基于任务行为的访问控制模型(Task-action Based Access Control,TABAC)。安全及性能分析表明,该方案使访问控制灵活可靠,适用范围更广泛。     

扩展了信任与隐私的ABAC模型研究

基于属性的访问控制模型(ABAC)特别适用于大规模分布式网络。然而,由于其访问控制决策依赖于属性的暴露,又没有有效的敏感属性保护机制,使得访问主体的敏感属性存在非法暴露的风险。本文提出了一种扩展了信任与隐私的ABAC模型,它包含了信任与隐私这两个特殊属性,并使访问控制决策敏感于跨组织的协作上下文,以解决ABAC模型本身不含敏感属性保护机制的问题。设计了一种促使管理者在危机管理系统中做出更优决策的图形化原型工具,并验证本文方法的有效性。     

面向多维数字媒体的访问控制机制

在多维数字媒体场景中,用户期望利用环境、时态等因素实现访问权限的自我约束。针对该需求,综合环境、时态、角色定义授权属性,提出面向多维数字媒体的访问控制机制,该机制定义用户—授权属性分配关系和授权属性—访问权限分配关系,根据用户的ID、属性信息、所处环境和时态、角色,用户—授权属性分配关系为用户分配相应授权属性;根据用户所赋予的授权属性,授权属性—访问权限分配关系为用户分配相应访问权限。引入约束条件,用户通过设置约束条件进行访问权限的自我约束,实现访问权限随环境、时态、角色等因素的变化而动态缩减。使用Z符号对该机制进行形式化描述,通过实例分析验证其可行性,与现有工作的比较表明所提机制支持最小权限、职责分离、数据抽象等安全原则,支持访问权限的动态缩减。     

一种基于属性证书和角色的访问控制模型

基于角色的访问控制是安全系统中保护资源的有效手段之一.基于对面向对象RBAC模型的分析,引入PMI属性证书,提出一种面向对象的访问控制模型AC-ORBAC,给出形式化描述,该模型通过属性证书实现角色授权访问控制,使访问控制的管理更为灵活,对职责分离进行了讨论.同时结合PKI实现了一种面向对象的基于角色和属性证书的访问控制方法.     

基于ABAC模型的高校Web服务访问控制研究

本文针对日益严峻的校园网络安全问题,提出一种基于ABAC模型的高校Web服务访问控制方法。通过新旧用户区别访问控制,并加入CA环境,增加了访问控制的安全性,规范了用户访问行为,有效提高了资源访问效率。     

一种基于角色的使用控制授权模型

综合基于角色的访问控制RBAC模型和使用控制UCON模型各自的优势,提出了一种基于角色的使用控制授权模型.该模型基于属性分配角色,通过授权规则、上下文信息约束和属性更新机制来实现动态授权并能有效降低授权管理的规模.对该模型的基本元素进行了形式化描述,并用动作时态逻辑TLA来分析该模型的动态性和安全性,最后分析了该模型的特点.     

基于SOA的属性访问控制模型研究

在面向服务的架构的环境下,由于服务的动态性,常见的自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）等传统访问控制机制,已经不能完全满足面向服务的架构（SOA）环境的要求,导致访问控制策略管理非常复杂。为了简化面向服务的架构下的访问控制策略管理,通过采用将基于属性的访问控制（ABAC,Attribute-Based Access Control）方法,可以简化对于面向服务的架构下的异构属性的授权策略。研究发现,ABAC拥有更高的灵活性和更细的访问控制粒度,能够表现语义更丰富的访问控制策略,更适用于SOA环境。