一种基于格的访问控制模型

描述了一种新型的访问控制模型,用格的结点表示与访问对象相关的访问权限,访问权限的变化映射在格上成为一个结点到另一个结点的变换.在模型中,实现了访问控制策略实时更新,加强了并发控制环境中系统的安全性.为保证访问控制策略更新的合法性,建立了访问权限与授权级别相结合的复合格,可按权限级别进行访问权限控制.在并发环境中,多个主体读写数据和修改访问控制策略并互相影响时,可直接应用文中的模型与算法.     

自动信任协商中的策略一致性问题

对自动信任协商中的策略一致性问题进行了研究.分析了策略不一致性问题产生的原因,将其分为策略语言所引起的策略不一致、角色互斥导致的策略不一致、内容冲突导致的策略不一致和策略描述错误造成的策略不一致4类.根据各类冲突的特征,引入数字逻辑中的0-1表和分划的概念,对访问控制策略进行策略一致性检查和策略有效性检查,保证了策略的一致性和有效性.在解决策略不一致问题的同时,给出了最小满足访问控制策略的策略集合.     

基于可信计算的CSCW系统访问控制

针对现有的CSCW系统不能有效地保障终端平台的可信性以及安全策略和上层应用实施的完整性等问题,提出了基于可信计算技术的CSCW访问控制架构和协作站点间的基于角色的委托授权策略,分别描述了安全策略与共享对象密钥的分发协议、角色委托协议及策略完整性实施协议等.应用实例表明:该框架基于完整的协作实体-平台-应用信任链的构建,提供了可信的协作实体身份与访问控制平台,依赖平台远程证明和策略分发实现了在本地站点上的完整性实施;同时角色委托提高了协同工作能力,也减轻了服务器端集中式策略执行的负担.     

面向服务的柔性异构数据集成模型研究

为了解决多个异构遗留系统中数据的集成问题,提出了一个具有访问控制层、协同层、数据层的面向服务的柔性异构数据集成模型。访问控制层能够连接各种数据源,通过柔性操控平台对数据源和集成映射方案进行描述,采用消息机制进行消息传递。协同层对传送过来的消息进行分发执行数据同步与描述信息更新操作,消息检测器对消息进行校验和错误处理,同步检测器实时检测数据同步情况,协同反馈器对错误的消息与不同步的数据进行反馈处理,保证模型各层协同工作。数据层用来存储集成的数据、数据源描述信息、集成映射信息、异构数据类型信息。模型最终以服务的形式进行发布,可单独使用也可以进行二次开发供其他系统调用。最后,通过将该模型应用到燕山大学财务查询系统中,说明了模型的有效性。     

基于XML的上下文约束访问控制策略管理

结合当前研究成果和自身实践中应用系统访问控制需求的特点, 从灵活、通用、易实现的角度和标准参考模型的高度提出了一种带上下文约束的访问控制理论模型, 阐述了该模型的理论以及基于模型的应用系统访问控制体系架构; 进而在理论模型和访问控制架构的基础上, 用一种基于 XML 的策略描述语法规范X-Grammar 对访问控制策略进行描述和建模, 给出了模型中各实体和关系的形式定义。最后讨论访问控制系统的设计与实现, 并给出了整体的功能描述和结构设计。     

办公自动化系统中基于任务的访问控制

针对访问控制策略难以适应办公自动化系统中对访问权限控制的问题,提出了办公自动化系统中基于任务的访问控制模型,对其进行了形式化描述,就一个典型的办公流程进行了模型化。     

目录服务设计中的常用安全策略

本文论述了目录服务部署中的两种主要安全策略:认证机制和访问控制列表,并用JNDI访问LDAP目录服务的实例描述了安全设计在目录服务中的实现。     

基于策略框架的防火墙安全管理平台体系结构

文章论述的基于策略框架的防火墙安全管理平台是一种信息模型统一的、独立于具体硬件的分布式软件平台。采用Policy工作组的策略框架实现XML统一描述和目录服务器统一存储防火墙策略,采用SNMP-Conf工作组的策略框架实现防火墙策略的翻译和配置,利用SNMPv3、LDAP4-IPsec、HTTP4-SSL达到策略的安全分发、安全访问和网页保护。并提出用策略数据的XML结构与SNMP结构相互转换来达到安全分发。     

基于策略的网络管理技术

策略管理被认为是解决传统的电信网络和IP网络综合管理的有利工具。策略的定义和执行无疑增加了网络管理行为的智能化,改善了以往基于SNMP的网络管理系统在网络监控方面的弱势。本文通过分析基于策略的网络管理技术,给出了一种有关资源的访问控制的策略算法,分别用三种访问控制策略进行描述,最后展望了未来的管理并进行了总结。     

云环境下基于RBAC的权限渗透问题

针对基于角色的访问控制模型在云计算跨域访问方面安全性不足的问题,在基于角色映射技术的基础上引入网络中跳数的定义,提出一种基于跳数的访问控制策略以解决在角色映射过程中所产生的权限渗透问题.从访问过程和形式化定义两方面对该策略进行了研究,并进行了仿真性能实验.与其他策略进行了比较,该策略通过在角色集和用户集中添加相应的字段来实现对跨域访问距离的细粒度控制,因此并未产生新的集合,进行跨域访问时也无须建立任何的镜像角色.实验结果表明该策略与传统跨域访问策略相比具有更高的效率以及更低的存储消耗.     

Access Request Trustworthiness in Weighted Access Control Framework

Weighted factor is given to access control policies to express the importance of policy and its effect on access control decision. According to this weighted access control framework, a trustworthiness model for access request is also given. In this model, we give the measure of trustworthiness factor to access request, by using some idea of uncertainty reasoning of expert system, present and prove the parallel propagation formula of request trustworthiness factor among multiple policies, and get the final trustworthiness factor to decide whether authorizing. In this model, authorization decision is given according to the calculation of request trustworthiness factor, which is more understandable, more suitable for real requirement and more powerful for security enhancement than traditional methods. Meanwhile the finer access control granularity is another advantage.     

入侵检测系统中数据共享与合作策略

针对分布式入侵检测系统(DIDS:Distributed Intrusion Detection System)面临的协作和自身安全问题,提出了一个分布式入侵检测系统和多组件入侵检测系统间的数据共享策略和合作访问控制策略模型。在模型中将每个主机的数据共享策略定义为由访问控制策略、完整性策略、合作策略组成的三元组,用这些策略形式化定义了主机间的关系。通过Take-Grant改进模型将主机间关系和权限联系结合,形成了入侵检测系统(IDS:Intrusion Detection System)的合作集合和识别广泛攻击的规则。该策略模型对分布式入侵检测系统中组件间的合作和信息共享提供了一个安全保障。各参与主机通过合作集合检测广泛入侵并抵御复杂攻击的潜在威胁。     

可扩展约束的基于角色访问控制策略的XML表示

通过对基于角色访问控制基本原理及约束的分析,设计了XML表达RBAC元素的方案,增强了系统表达不同策略的能力,适应分布式环境的要求. 策略的XML表示把系统管理和访问控制的实施技术分离,提高了系统开发的灵活性. 对于扩展的约束表达,采用分离的模块实施约束检查,从而实现了较好的约束可扩展性. 特定应用的访问控制系统可以根据已有的策略和现实的需求灵活定制.     

基于物联网农田环境数据的安全访问控制

随着当前物联网边缘计算技术的发展,使得物联网数据安全访问的问题日益严峻,传统的基于用户权限的数据访问控制策略不能很好解决相关数据安全访问控制问题。为此,从用户身份认证和数据访问控制等方面研究物联网数据安全共享问题的解决方案。以物联网农田环境数据安全共享系统为应用背景,提出了一种基于用户属性和用户行为的数据安全访问控制模型,该模型以用户行为构建信任机制,并结合用户属性的设置与判定共同实现系统的数据安全访问控制。本文给出了模型的规则定义与构建、具体结构设计、数据处理控制流程以及用户信任度评价体系设计的详细过程及实例分析。通过分析结果表明,该模型设计具有较好的动态性和扩展性,能够实现物联网中用户对农田环境数据的安全访问,从而解决物联网数据安全共享问题。     

A Hybrid Authorization Model For Project-Oriented Workflow

In the context of workflow systems, security-relevant aspect is related to the assignment of activities to (human or automated) agents. This paper intends to cast light on the management of project-oriented workflow. A comprehensive authorization model is proposed from the perspective of project management. In this model, the concept of activity decomposition and team is introduced, which improves the security of conventional role-based access control. Furthermore, policyis provided to define the static and dynamic constraints such as Separation of Duty (SoD). Validi-ty of constraints is proposed to provide a fine-grained assignment, which improves the performance of policy management. The model is applicable not only to project-oriented workflow applications but also to other teamwork environments such as virtual enterprise.     

安全访问控制体系总体设计

从安全访问控制系统的总体设计出发,将访问控制抽象表示成通用的框架模型,并对此访问控制模型的基本工作原理、认证以及授权管理策略和实现此设计的基本功能组件做一个概要性的介绍,通过这种访问控制模型为个性化安全访问控制的建设提供了一种方法,以解决企业信息网络在访问控制上针对不同需求下的对不同开放等级的信息的访问控制和授权等具体要求.     

一种基于NFA查询重写的XML过滤技术

研究了可扩展的标志性语言(XM L)存取控制策略。通过基于不确定的自动机(NFA)的XM L查询重写技术,实现了支持精细粒度的XM L文档存取控制策略。通过构造XM L文档存取控制策略的NFA以及基于NFA的查询语句重写技术,有效地实现了独立于视图的、高效的XM L精细粒度的存取控制。     

9AC访问控制策略的研究

自主访问控制（DAc）模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。这种技术通常应用于一些实际的单安全级的系统中,在web系统的安全访问控制中有一定的优势,也存在一些弊端。