关系数据库细粒度访问控制设计与实现

通过扩展SQL语句支持关系数据库细粒度访问控制(FGAC)策略的描述,扩展的SQL语句同时支持封闭式细粒度访问控制策略和开放式细粒度访问控制策略的描述,即支持细粒度的否定授权.给出了基于查询改写思想的动态查询改写算法,实现了细粒度访问控制,同时给出了细粒度访问控制实现框架,并在数据库管理系统(DBMS)中实现.实验验证了该实现方法的可行性.     

网格身份认证和细粒度访问控制模型的研究与设计

网格是继因特网(Internet)、万维网(Web)之后,互联网发展的第三个里程碑。网格系统具有数据量大、地理上分布、数据库结构异构、其应用环境网络化、用户人数众多、分散的特点。开放的网络环境对信息的传输没有足够的安全保证。网格系统的安全问题已经成为网格研究的热点问题,国内外研究机构正在对网格安全问题进行广泛的研究。身份认证和访问控制机制是网格安全的重要研究方面,产生了集中式层次认证模型、混合交叉认证模型等网络安全认证模型。这些方法都存在各种各样的缺陷,如证书管理复杂,路经选择困难,不能进行细粒度的访问控制等。探讨在网格环境中跨域身份认证和细粒度访问控制系统方面,提出了基于多种认证组合和资源代理的网格身份认证及访问控制模型,通过混合身份认证和票据交换达到身份认证的及时性、有效性和细粒度资源控制,在用户数量大、更新频繁的情况下,达到系统响应速度快的要求。     

细粒度授权的Web页面自动生成器——WPAG

现有的Web应用框架在一定程度上能够降低业务逻辑处理的难度,但缺乏页面细粒度授权机制的支持,对页面及页面上操作的访问控制问题仍要编写大量代码处理．本文设计并实现了一种面向细粒度授权机制的Web页面自动生成器（Web Pages Automatically Generator）WPAG．该生成器采用组件化页面自动生成技术,与基于角色的细粒度访问控制模型相结合．开发者只需对交互模型接口进行简单参数设置,即可实现细粒度访问控制的页面代码自动生成,并提供二次开发能力,适应复杂的逻辑业务的应用．     

细粒度授权的Web页面自动生成器——WPAG

现有的Web应用框架在一定程度上能够降低业务逻辑处理的难度,但缺乏页面细粒度授权机制的支持,对页面及页面上操作的访问控制问题仍要编写大量代码处理．本文设计并实现了一种面向细粒度授权机制的Web页面自动生成器（Web Pages Automatically Generator）WPAG．该生成器采用组件化页面自动生成技术,与基于角色的细粒度访问控制模型相结合．开发者只需对交互模型接口进行简单参数设置,即可实现细粒度访问控制的页面代码自动生成,并提供二次开发能力,适应复杂的逻辑业务的应用．     

支持授权委托的细粒度角色访问控制模型

针对传统RBAC模型在大型综合集成系统中的权限管理以及访问控制的不足,从授权委托和访问控制的细粒度方面对RBAC模型进行扩充,通过将客体资源按主体的意图以尽量小的粒度分解和设置角色属性以实现细粒度的访问控制,附加时间约束来增强模型对角色、权限、委托等的约束能力,并且引入授权委托机制以及角色组的概念,解决了综合系统授权管理的复杂性和集中性问题.     

实现细粒度访问控制的元模型研究

从用户要求对数据对象达到细粒度访问控制的需求出发,借助元模型的概念,对基于OB4LAC的权限维度进行细粒度扩充,充分融合数据对象的时间期限、安全限制、上下文环境等属性特征,建立了关于数据对象和操作客体的细粒度元模型,并探讨了两者的粒度归并规则,提炼出功能权限集和功能菜单.由此为系统角色的界定和划分提供参照标准,更加方便了角色的统一管理,达到灵活的细粒度访问控制目标,有利于制定优化的访问控制策略.     

网格计算环境下基于角色的细粒度协作访问控制

针对网格中大量协作访问资源的需求,提出了一种基于角色的细粒度协作访问控制方案.该方案将基于角色的访问控制方法用于网格计算环境,并修改了其中的权限配置规则,添加了时空属性以及细粒度的协作访问属性,可以更好地适应网格计算环境下协作访问控制共有资源的要求.     

网络第三方服务器中用户信息的细粒度访问控制方法

针对传统访问控制方法存在的访问控制粒度粗、访问效率低、实用性差的问题,提出一种新的网络第三方服务器中用户信息的细粒度访问控制方法。分析了整体方案设计过程,以分组与联系度两个属性为例对细粒度进行刻画。通过初始化阶段、加密阶段、密钥生成阶段、解密阶段和传输阶段实现属性基加密。在非分组成员向用户信息发出访问请求时,网络第三方服务器通过当前关系图,依据Dijkstra法确定成员的信任距离,如果该信任距离能够达到既定阈值,则网络第三方服务器向密钥生成中心提供参数以实现密钥解密,从而实现用户信息的细粒度访问控制。实验结果表明,所提方法效率高、访问控制能力和实用性强。     

基于ABE的云计算安全研究

综述了基于属性加密的研究现状,给出了云计算安全的基本问题,提出了细粒度访问控制的基本原理、核心问题和实现方法.     

一种在云计算下的细粒度数据访问控制算法

经过对现存数据访问控制算法和数据加密算法的研究与分析,在一个由云服务商、数据拥有者和用户组成的云数据访问控制模型的基础上,将细粒度控制和基于角色访问策略的思想相结合,把要存放在云中的数据,根据用户需要按照数据内容对其进行多层次的细粒度划分,在此基础上提出一种基于用户角色权限的细粒度数据访问控制算法,从而避免访问信息时容易泄漏数据的弱点.     

支持多策略的安全数据库系统体系结构

提出了在DBMS中支持多种安全策略的需求,指出了在DBMS中支持多安全策略所面临的主要问题,针对这些问题提出了支持多安全策略的DBMS体系结构(MSDA).在抽象层次上该体系结构与GFAC一致,主要区别表现在性能优化和面向DBMS的适应性改造.为了提高系统性能,MSDA在客体管理器中引入了访问判定缓存.而为了适用于DBMS,MSDA在体系结构层次引入了重写来支持高效的细粒度访问控制.此外还引入了访问上下文栈来支持视图和存储过程这类的受控访问机制.给出了MSDA在LOIS SDBMS v3.0中的实现,并通过实验给出了MSDA对目标系统的性能影响分析.结果表明,MSDA将访问控制判定与实施分离,既能充分解决数据库系统中支持多安全策略的相关问题,同时能够与当前主流关系数据库系统相匹配,不会造成目标系统性能的显著下降.     

电力终端基于信任和信誉的灵活数据访问控制

为了解决当前电力缴费终端身份认证和访问控制中存在的口令嗅探、重放攻击、越权操作等问题,提出了一种基于信任和信誉的灵活数据访问控制方案,结合云计算技术将其应用到电力终端设备数据访问控制中。该方案通过使用基于属性的加密和代理重加密、终端设备评估的信任级别和由多个信誉中心生成的用户信誉来共同控制电力终端的数据访问,将用户信任级别和信誉评估的概念集成到加密系统中,以支持各种控制方案和访问策略。通过对所提出方案的安全性和性能分析,证明该方案访问控制的细粒度,数据保密性良好,通信开销灵活可控,计算复杂度低,减少了电力终端设备的负担。     

一种适用于Hadoop平台的基于属性访问控制模型

针对Hadoop平台缺乏有效访问控制机制的问题,提出一种适用于Hadoop平台的基于属性访问控制模型H-ABAC.该模型将传统ABAC模型扩充为五元组,加入安全等级属性增加了灵活性,选择XACML为策略描述语言并提供标准化、可大规模扩展的访问控制策略.对该模型进行形式化定义,构建模型框架并详述各个模块的功能与实现,对模型的适用性和优势进行了分析.分析得出:该模型可以满足自主、细粒度以及动态授权的需求.仿真实验显示:H-ABAC可以有效控制策略数量并且减少系统的开销,所增加时间开销也在可控范围之内.     

一种基于查询请求授权的XML访问控制方法

在信息系统中访问控制是一种基本的安全机制,当多用户系统将XML作为数据存储方式的时候,出现了XML文档的访问控制问题,XML文档具有层次结构,对其访问可以是细粒度的,因此,可以不去访问文件全部信息而限制用户访问文件的部分信息。传统的方法在每次用户请求处理过程中都要将策略文件和数据文件进行比较,因此在数据量比较大的时候就会降低处理效率。将用户请求和策略规则进行分类,并通过比较二者的类型获得授权结果。结果表明,该方法在处理用户访问的过程中减少了访问数据的需要。     

一种基于NFA查询重写的XML过滤技术

研究了可扩展的标志性语言(XM L)存取控制策略。通过基于不确定的自动机(NFA)的XM L查询重写技术,实现了支持精细粒度的XM L文档存取控制策略。通过构造XM L文档存取控制策略的NFA以及基于NFA的查询语句重写技术,有效地实现了独立于视图的、高效的XM L精细粒度的存取控制。     

大规模数据库实时自主存取控制方法研究

近年来数据库存取压力逐渐增大,当前存取控制方法扩展性差、效率低、并发性能低。为此,提出一种新的大规模数据库实时自主存取控制方法。通过贝尔-拉帕丢拉模型对大规模数据库关系分析,将其划分成能够完成操作的主动元素和储存信息的被动元素。大规模数据库关系模型依据元素级的密级标识将密级划分成4个等级:绝密、机密、秘密、公开,依据密级实现对数据库模型的定义。介绍了大规模数据库关系模型中的密级区间、用户与角色及数据范围。依据实际应用中的特点,针对某类信息或某些"字段"将数据的密级划分至属性级,实现大规模数据库实时自主存取控制。给出数据库存取规则,详细分析了读规则、更新规则和插入规则。实验结果表明,所提方法查询效率、读取和更新效率及插入效率均较高,存取性能优。