支持多策略的安全数据库系统体系结构

提出了在DBMS中支持多种安全策略的需求,指出了在DBMS中支持多安全策略所面临的主要问题,针对这些问题提出了支持多安全策略的DBMS体系结构(MSDA).在抽象层次上该体系结构与GFAC一致,主要区别表现在性能优化和面向DBMS的适应性改造.为了提高系统性能,MSDA在客体管理器中引入了访问判定缓存.而为了适用于DBMS,MSDA在体系结构层次引入了重写来支持高效的细粒度访问控制.此外还引入了访问上下文栈来支持视图和存储过程这类的受控访问机制.给出了MSDA在LOIS SDBMS v3.0中的实现,并通过实验给出了MSDA对目标系统的性能影响分析.结果表明,MSDA将访问控制判定与实施分离,既能充分解决数据库系统中支持多安全策略的相关问题,同时能够与当前主流关系数据库系统相匹配,不会造成目标系统性能的显著下降.     

一种感知情景的存取控制策略的规范和分析方法

对RBAC的角色激活过程增加情景约束,建立了感知情景的存取控制策略;利用D ata-log逻辑语言来建立感知情景存取控制策略模型的形式化规范;使用一阶逻辑语言描述策略的一致性、完整性等性质,借助D atalog实现了一个控制策略自动决策原型系统。     

一种Ad Hoc网络收方发起的媒体接入控制算法

在结合多包接收技术以及功率控制的基础上提出了一种发射能级可控的应用于AdHoc网络的收方发起的媒体接入控制算法,并对其吞吐量和能耗作了分析。与RTS/CTS(requesttosend/cleartosend)握手机制相比,在一定假设条件下,网络吞吐量有着明显的提高,与此同时,系统发射功率最多可降低60%以上。     

开放系统中基于信任度和上下文的访问控制模型

开放系统中,访问控制机制不仅要能处理数量庞大且身份无法预先确定的用户的访问请求,而且能充分反映用户访问请求时上下文环境信息。本文提出了一种基于信任度和上下文的访问控制模型TC-RBAC,并给出了用户信任度计算方法。通过信任度为未知身份用户分配合适角色,上下文约束实现了对不同的访问请求上下文信息做出不同授权决策,从而满足开放环境下访问控制的设计要求。     

基于免疫的轻量级存储系统访问控制模型

为实现高效的安全存储系统,在分析现有访问控制模型的基础上,引入人工免疫算法,提出面向安全存储系统的轻量级访问控制模型IBLSAC.首先介绍人工免疫算法基本原理的基础,以及人工免疫算法的特性.再给出IBLSAC的构成,以及IBLSAC中主要元素的定义,介绍差异选择算法和访问请求检查算法等的流程,从安全性能、成本和适应性3方面分析IBLSAC的性能.最后实现IBLSAC的原型系统,设置不同的匹配阈值,测试当自体数量不同时,原型系统识别全部非法访问请求所需的检测器数量.结果表明IBLSAC在保证较好安全性能的同时,安全开销较小且开销稳定,能够满足实现能保持较高I/O性能的安全存储系统的要求.     

基于可信计算的CSCW系统访问控制

针对现有的CSCW系统不能有效地保障终端平台的可信性以及安全策略和上层应用实施的完整性等问题,提出了基于可信计算技术的CSCW访问控制架构和协作站点间的基于角色的委托授权策略,分别描述了安全策略与共享对象密钥的分发协议、角色委托协议及策略完整性实施协议等.应用实例表明:该框架基于完整的协作实体-平台-应用信任链的构建,提供了可信的协作实体身份与访问控制平台,依赖平台远程证明和策略分发实现了在本地站点上的完整性实施;同时角色委托提高了协同工作能力,也减轻了服务器端集中式策略执行的负担.     

General attribute based RBAC model for web services

Growing numbers of users and many access policies that involve many different resource attributes in service-oriented environments cause various problems in protecting resource. This paper analyzes the relationships of resource attributes to user attributes based on access policies for Web services, and proposes a general attribute based role-based access control（GARBAC） model. The model introduces the notions of single attribute expression, composite attribute expression, and composition permission, defines a set of elements and relations among its elements and makes a set of rules, assigns roles to user by inputing user＇s attributes values. The model is a general access control model, can support more granularity resource information and rich access control policies, also can be used to wider application for services. The paper also describes how to use the GARBAC model in Web services environments.     

一种基于格的访问控制模型

描述了一种新型的访问控制模型,用格的结点表示与访问对象相关的访问权限,访问权限的变化映射在格上成为一个结点到另一个结点的变换.在模型中,实现了访问控制策略实时更新,加强了并发控制环境中系统的安全性.为保证访问控制策略更新的合法性,建立了访问权限与授权级别相结合的复合格,可按权限级别进行访问权限控制.在并发环境中,多个主体读写数据和修改访问控制策略并互相影响时,可直接应用文中的模型与算法.     

基于用户行为评估的Hadoop云平台动态访问控制

为解决现有Hadoop云平台访问控制缺乏动态性的问题,提出一种基于用户行为评估的Hadoop云平台动态访问控制模型（DACUBA）.该模型采用指令序列学习（CSL）算法从用户指令序列中提取用户行为模式,利用全局模式库对用户行为进行分类并对分类结果进行行为评估,然后将评估值应用于Hadoop云平台的访问控制机制中实现动态访问控制.验证实验结果证明了DACUBA的有效性,与其他方法相比,该方法对云请求的访问控制效率较高,且稳定性较好.      

基于动态协商的网格访问控制模型

为解决网格用户访问权限的全局一致性问题,基于NIST RBAC访问控制模型和网格特性,提出一种改进的动态协商访问控制模型,通过访问策略及其动态协商机制,为网格访问控制中用户对资源访问权限的全局一致性定义及自动恢复协同提供支持.测试结果表明该机制是可实现的.     

企业信息管理系统柔性访问控制模型

如何对企业信息管理系统进行有效的访问控制,关系到整个系统的安全性和可靠性。文章通过分析EIMS中的实际访问控制需求和相关信息管理系统的访问控制模型,尤其是在分析基于角色的访问控制模型的基础上,提出了一种基于面向对象的柔性访问控制模型,并以此模型设计了一个访问控制器来说明其应用。     

Ajax技术在Web Services应用中的安全研究

分析了Ajax技术的工作原理,讨论了其在Web Services应用中存在的安全问题,给出了用户服务请求．中包含的敏感信息的保护方案,重点介绍了一种在Ajax技术下的Web Services的访问控制策略,充分利用了基于角色的访问控制策略,并对其做了扩展,提出了基于逻辑的访问控制策略。     

一种适用于Hadoop平台的基于属性访问控制模型

针对Hadoop平台缺乏有效访问控制机制的问题,提出一种适用于Hadoop平台的基于属性访问控制模型H-ABAC.该模型将传统ABAC模型扩充为五元组,加入安全等级属性增加了灵活性,选择XACML为策略描述语言并提供标准化、可大规模扩展的访问控制策略.对该模型进行形式化定义,构建模型框架并详述各个模块的功能与实现,对模型的适用性和优势进行了分析.分析得出:该模型可以满足自主、细粒度以及动态授权的需求.仿真实验显示:H-ABAC可以有效控制策略数量并且减少系统的开销,所增加时间开销也在可控范围之内.     

基于受控实体的访问控制技术

在简要分析传统的基于角色的访问控制模型、基于任务的访问控制模型和一些基于它们的扩展模型的基础上,针对这些模型在实际应用中的问题,提出了基于受控实体的访问控制模型(称为EBAC).EBAC模型以受控实体为访问客体,并以其为中心实现安全控制机制.一方面,用户通过对受控实体的管理能力间接获取访问权限;另一方面,受控实体动态地对用户对其实例集和属性集的访问进行自主控制.该模型强化从企业/组织的资源管理视角实施访问控制策略,能够有效加强企业信息系统中访问控制的灵活性和安全性.     

Context-Aware Usage-Based Grid Authorization Framework

Due to inherent heterogeneity, multi-domain characteristic and highly dynamic nature, authorization is a critical concern in grid computing. This paper proposes a general authorization and access control architecture, grid usage control （GUCON）, for grid computing. It＇s based on the next generation access control mechanism usage control （UCON） model. The GUCON Framework dynamic grants and adapts permission to the subject based on a set of contextual information collected from the system environments; while retaining the authorization by evaluating access requests based on subject attributes, object attributes and requests. In general, GUCON model provides very flexible approaches to adapt the dynamically security request. GUCON model is being implemented in our experiment prototype.     

工作流系统UCON模型的研究

目前,随着工作流模式的大规模应用,任务访问控制管理变得越来越复杂,同时信息系统也对访问控制管理提出了新的要求．针对现有的访问控制模型方面的不足,笔者提出了一种在工作流模式下的使用控制模型WUCON,并形式化的表达了其18个核心子模型及其使用策略．     

移动计算环境下多信道并行广播策略

在移动计算环境中,数据广播已成为数据发布和获取的重要手段.为适应信息量的不断增大,使一个用户请求一次能访问多个数据项,提出了一种移动环境下的多信道并行广播模型.在多信道广播中采用高效的数据调度策略,使得该模型大量减少了移动客户机的访问时间,同时又保证了电量消耗没有大幅增加.最后通过仿真试验表明该广播模型有效地提高了移动数据广播的性能.     

P2P网络环境下基于信任度的动态访问控制模型

综合信任管理和RBAC模型的优势,提出了一种P2P网络环境下基于信任度的动态访问控制模型.该模型通过自动信任协商为用户分配普通角色,在陌生实体间建立动态信任关系,然后网络实时计算用户的信任值,大于信任度阈值的普通角色派生系列带有特权限集的临时角色,临时角色能够访问网络资源,从而实现了细粒度的动态授权策略.     

可变队列长度固定优先级访问控制策略

提出了时间敏感业务和时间非敏感业务共享系统的一种新的访问控制策略——可变队列长度固定优先级访问控制策略，并且给出了它的抽象模型，以及这一控制策略与该类系统其它控制策略的比较．这种控制策略可用了综合业务数据网等其它两种或两种以上不同业务共享信道的通信系统中，以实现特定的性能要求     

一种扩展的基于角色访问控制模型ERBAC的研究及其应用

访问控制是系统安全的重要技术。对常用的几种访问控制策略进行了比较,介绍了RBAC模型的基本概念及其特点、优势和不足;着重研究了一种对用户和角色混合授权的ERBAC模型,分析了ERBAC模型的优点;最后对ERBAC模型提出改良意见,建立了改良模型;并介绍其在某大型系统中的有效应用和实现。