支持用户撤销的多授权机构的属性加密方案

目前多数基于属性加密的云存储访问控制研究是基于单授权机构,系统内仅有一个授权机构为用户颁发属性密钥,可信而好奇的单授权机构会凭借用户提交的属性对用户的身份、职业等隐私信息进行判断和推测,特别是在单授权机构不可信或遭受恶意攻击的情况下,可能造成密钥泄露而导致云端数据被非法解密。为了避免上述两种安全问题,结合现有的多授权机构的思想,使不同权限的授权机构管理不同属性并进行属性相关密钥分发,大大降低了单一信任机构的工作量,解决了单授权机构下的密钥泄露或滥用问题,同时提高了用户的隐私数据保护;通过访问树技术实现了AND、OR及Threshold灵活访问策略,且将用户身份标识设置在访问树中来实现用户的撤销,撤销出现后只需更新部分密文而无需更新属性密钥,因而减少了计算开销。在标准模型下证明了该方案在选择身份属性攻击模型下是安全的,其安全性规约到判定性双线性Diffie-Hellman(decisional bilinear Diffie-Hellman, DBDH)问题。     

Web应用系统中RBAC模型的研究与实现

访问控制是Web系统中安全防范和保护的主要策略,传统的访问控制已不能满足日益增长的安全性需求。本文在web应用系统中,使用基于角色的访问控制(RBAC)模型,通过引入角色的概念,将用户映射为在一个组织中的某种角色,将访问权限授权给相应的角色,根据用户在组织内所处的角色进行访问授权与控制,从而提高了在web系统中权限分配和访问控制的灵活性与安全性。     

一种层次信任的多粒度RBAC扩展模型

针对企业级网络应用集成环境中授权和访问控制要求,提出一种以信任角色授权的分层和多粒度的访问控制扩展模型(EmRBAC),结合NIST-RBAC的标准模型,利用可信凭证扩展用户和角色之间的层次,增加角色的信任层次,并从系统、应用、操作对象的功能和级别、操作数据的时间周期等多个维度对标准模型进行了访问权限的粒度细化,加强访问权限的多粒度控制,并通过角色状态分层预处理,降低权限判别时的复杂性,提高访问控制效率。最后以开源门户eXo Platform为实验平台,给出了模型的访问控制流程以及应用实例,以验证提出模型的有效性。     

用户并发访问过程的系统负载分析模型

构建了用户并发访问过程的系统负载分析模型.首先建立用户与应用的对应关系及访问权限矩阵,作为原始数据模型;然后按每个用户并发访问应用的次数建立访问频度矩阵.在访问频度矩阵中增加负载因子,生成系统负载矩阵,即分析模型,并分别以用户和应用为主线进行了相应的量化分析,最后用实例验证了模型的有效性.     

几种访问控制模型的比较

访问控制就是通过某种途径显式地准许或限制用户访问的能力及范围,从而限制对敏感资源的访问,防止非法用户的侵入,避免合法用户因操作不慎而造成破坏。本文对自主访问控制模型、强制访问控制模型、基于角色的访问控制和基于任务的授权控制作详细介绍及分析。     

RBAC优化模型在嵌入式Web系统中的应用研究

针对嵌入式Web应用系统的自身安全,结合嵌入式Web应用系统的自身特点,通过分析现有基于角色的访问控制模型的不足,提出了一种改进的RBAC模型。通过引入用户组和部门概念,对RBAC模型进行了重新描述和形式化定义。通过优化,将用户实体之间的关系理顺,利用对用户分组,更进一步降低授权管理的复杂度,减少授权管理中的失误,使其能够更加符合实际应用中的需求。同时,在此访问控制模型的基础上,实现嵌入式Web应用系统的访问控制功能,并对实现的Web应用系统进行测试,以验证访问控制方案的性能。     

Web访问控制推理研究

Web服务的访问控制机制是实现综合信息系统多系统开放交互行为所面对的安全问题的关键问题,也是解决这样的大型整合开放系统建立的基础支撑技术.在完成这些跨域系统的开放交互的整合需要考虑到web服务访问控制所具有的处理跨域访问能力.现有的web服务访问控制主要存在着动态授权、跨域访问控制以及系统实现标准化等具有挑战性的问题上.在本课题中通过对web服务现存的挑战性问题进行分析的基础上研究提出了web服务访问控制的模型,它是将结构化属性表达能力融入到了现有的访问控制模型上,也将授权机制的关联策略关系修改为属性间的关联关系,使得授权的针对性更强也使访问的对象可以集中管理控制.通过实现具有逻辑推理机制的推理系统对web服务访问控制的授权进行访问裁决,实现跨域授权访问的智能可控性,通过引入逻辑推理授权机制使得web服务的控制访问系统设计及实现得以简化,为整合的访问开放web系统提供了统一的访问控制机制.     

基于PBDM划分权限的授权代理模型

在PBDM授权代理模型的基础上, 提出一种新的授权代理模型PBDM P, 将角色划分为常规角色、 私有角色和临时代理角色, 将权限划分为可代理权限和不可代理权限. PBDM P通过划分角色和权限实现了用户 用户授权代理、 角色 角色授权代理, 从而有效解决了角色名空间爆炸和空角色等问题, 保证了系统的安全访问, 使授权代理更灵活.     

基于UCON改进模型在云环境虚拟访问控制中的应用研究

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

基于角色授权的Web service访问控制模型

访问控制是一种实现信息安全的有效措施,可防止对资源的未授权访问.针对目前Web服务本身的安全控制不能很好地适应企业级用户的安全需求这一问题,构造了一种基于角色授权的Web服务访问控制模型.该模型将权限同角色联系起来,根据服务特征及访问状态给用户赋予不同的角色,用户通过得到的相应角色获得访问权限,从而实现对服务本身的保护,防止未授权用户获取 服务信息.另外文中还讨论了该模型实现中的几个关键问题.     

基于RBAC的具有时空约束的工作流授权模型

结合具体工作流系统实例,提出一个基于RBAC的具有时空约束的工作流授权模型TSCWAM.与传统的访问控制授权模型不同,该模型提出了时空权限的概念,表示基于RBAC的工作流授权不仅受时间约束,还受空间范围限制,即被授权者只能在某个时间段和空间范围内才能对某个任务执行某种操作,从而既可以保证组成工作流的任务只能被属于某个特定角色的用户执行,又可以保证在授权流与工作流同步的基础上,实现授权流与空间范围动态变化的相互协调.     

基于RBAC的可复用的权限管理设计与实现

研究和探讨了一个基于RBAC的可复用权限管理方法的设计和实现。通过用户、角色、人员的管理以及身份验证和菜单访问控制,实现登陆系统用户的访问权限控制,并应用于实际的刀具管理系统开发中。人员不能操作其授权之外的菜单项,从而避免了用户的非法操作,保证了系统的安全性。     

一种优化的认知无线电网络资源协同分配算法

在目前的认知无线电研究中,多用户OFDMA系统中如何实现子载波和功率的合理分配是研究的重点之一.针对认知无线电资源分配过程中出现的多认知用户资源分配不公平的问题,研究了认知无线电网络中授权用户占用子载带时,认知用户的吞吐量受限制的问题,提出了一种基于underlay频谱共享模式下的OFDMA认知无线电网络功率与子载带协同分配优化算法.该算法利用干扰门限的设置,使用原始感知信息(RSI)和信道状态信息(CSI)进行功率与子载波分配,然后分别进行功率控制和用户选择的计算,找到最优化传输功率与每个子载带最优使用用户,在保证授权用户免受有害干扰的前提下,使授权用户存在时,也可共享频谱传输,确保了系统的稳定性,提高了网络吞吐量.理论分析与仿真结果表明,相比传统的功率与子载波联合分配算法,该算法可以提高系统的平均加权吞吐量.     

基于解码转发的认知无线电机会功率控制算法

频谱感知是认知无线电网络正常工作的基础,而功率控制问题的解决是认知网络和主用户网络正常运行的保证。文中研究协作认知无线电通信,在保证授权用户服务质量和认知用户最大功率受限条件下,将高信噪比时的解码转发(decode-and-forward,DF)和基于频谱感知结果的机会功率控制算法结合,提出新的机会DF功率算法。通过基于对主用户感知结果的最优中继选择策略,在保证主用户正常通信不受影响的前提下,最大程度提高次用户信道信噪比,提高认知网络容量,并且认知系统能够获得空间满分集度。理论和仿真结果同时表明,基于主用户出现概率的最优中继选择最大程度的消除了次用户对主用户的干扰,提高了认知系统容量。     

具有负授权的角色访问控制

在RBAC中,用户拥有权限就可进行相应的访问,没有授权给用户的权限被隐含禁止了。为了防止被隐含禁止的权限将来授权给用户,增强RBAC的安全性,引入显式的负授权是有必要的。本文在FBAC模型基础上,分别在用户分配和权限分配中引入了负授权。讨论了负授权的实现方式及其特点。     

基于授权系统通信状态和波束形成对认知中继系统吞吐量的改进

提出了一种认知中继系统采用半双工放大转发(amplify forward,AF)模式下的功率分配方案,在保证授权用户通信质量不变和认知系统总发射功率受限条件下,最大化认知网络吞吐量,在此基础上分两步实现吞吐量的最大化。首先,在认知中继端采用多天线利用波束成型方法滤除接收转发的干扰信号,然后,根据授权用户通信状态制定不同的最优功率分配方案。仿真结果表明,相比传统的授权用户干扰受限算法,该算法可有效提高认知网络的吞吐量。     

A Family of RBAC-Based Workflow Authorization Models

A family of RBAC-based workflow authorization models, called RWAM , are proposed. RWAM consists of a basic model and other models constructed from the basic model. The basic model provides the notion of temporal permission which means that a user can perform certain operation on a task only for a time interval, this not only ensure that only authorized users could execute a task hut also ensure that the authorization flow is synchronized with workflow. The two advance models of RWAM deal with role hierarchy and con straints respectively. RWAM ranges from simple to complex and provides a general reference model for other researches and developments of such area.     

基于博弈论多个授权用户的空闲频谱分配

针对认知无线电系统中授权用户的空闲频谱共享问题,利用博弈论的基本模型,改进一种线性导数迭代的频谱分配方法。该方法利用授权用户前一时刻的分配策略,根据系统的收益函数变化最快方向,并且自适应地进行迭代,达到快速纳什平衡。与传统线性迭代算法相比,避免了根据用户通信参数确定调整因子的过程,使认知用户在考虑自身条件,不影响授权用户正常通信的条件下,得到通信质量较好的频段,有利认知用户的通信,同样也使授权用户获得较多的频谱分配收益。仿真结果表明：该算法与传统线性迭代相比,在相同误差下缩短了迭代周期。     

基于角色的工作流访问控制模型

提出了一个基于角色的工作流访问控制模型WACBR(Workflow access control model based on role)。WACBR中加入了“任务”的概念,任务是工作流系统执行时的最小工作单元。由于工作流中的任务分别对用户和权限进行授权,采用两种不同粒度的角色分别作为这两种授权的中介。     

基于活动目录的高校机房用户授权管理方法探讨

针对高校机房学生上机用户方面存在的问题,根据活动目录的工作原理,以班级为例,详细讲述活动目录的规划、批量建立授权用户、管理授权文件夹,从而高效地管理机房各种用户。