基于自治域的RBAC访问控制模型

针对传统的基于角色访问控制(role-based access control, RBAC)模型在大规模企业应用中存在的不足,提出一种基于自治域的RBAC改进模型(autonomy domain-based RBAC, AD-RBAC)。该模型引入“自治域”描述企业组织结构,将组分为管理组和普通组,增强组的表达能力,参照组织结构域描述模型构建组层次结构和组类型,简单、直观地实现多级用户授权管理。在专家信息服务网格中,使用AD-RBAC实现网格节点基于虚拟域的服务和数据授权访问,证明了模型的可行性和有效性。     

一种基于CAS的网格按需授权模型

提出一种按需网格授权模型,在安装了GLOBUS的环境中部署CAS,让CAS来完成宏观上的静态访问控制与授权。由用户编写"作业描述"表示对资源的需求,由访问控制与授权系统解析用户的权限需要,分配给用户适当的权限来完成本次的作业,从而实现按需的、动态的授权。该模型通过对每次作业所需权限的描述,为本次作业分配恰当的权限,减少多余权限授权带来的风险,可实现网格访问控制的最小权限原则。     

面向工作流系统的柔性策略访问控制模型

针对现有的访问控制模型应用于工作流系统时的不足,提出了一个面向工作流的柔性策略访问控制模型.该模型通过引入授权许可的概念,定义了各任务执行期间各角色可被授予的权限及相应的情景约束,实现了工作流中的动态访问控制和灵活的授权策略定义.为了描述工作流系统中的复杂授权规则,模型扩展了一种与授权许可相关的约束,并提供了有效的授权约束冲突检测与消解方法.分析表明模型具有良好的安全性与实用性,能较好地满足工作流系统对访问控制的需求.     

基于推理的上下文感知RBAC模型设计和实现

为了解决现有基于角色的访问控制（RBAC）模型缺乏对上下文约束条件的动态调整和生成,无法根据调整后的感知条件对用户权限实时进行调节的问题,在融合上下文感知RBAC模型和基于推理的RBAC模型基础上,提出了基于推理的上下文感知RBAC扩展模型.该扩展模型采用逻辑推理方法实现了上下文约束条件的动态调整,启用相应的公共感知器和自定义感知器感知约束条件的属性值;利用感知获得的动态上下文值进行角色和权限规则的推理,实现了访问主体对客体控制权限的实时更新.应用实例表明,该模型能提高分布式环境中用户动态访问控制的灵活性,并降低实时访问控制管理的复杂度．     

基于情景约束的工作流柔性访问控制模型

针对现有的访问控制模型在工作流系统中,基于情景的动态授权和灵活的任务相关授权等问题,提出一个应用于工作流系统的基于情景约束的柔性访问控制模型.模型定义了基于情景约束的角色指派策略和角色授权策略,分析了策略间的关系,对策略间可能存在的冲突进行了分类,给出策略冲突的静态和动态检测规则,并提出优先级规则和冲突消解策略的概念,安全管理员可以根据系统需求灵活地确定冲突消解的方式;模型还给出基于最小角色指派策略集和最小角色授权策略集的角色分配与授权决策算法,实现了工作流系统中基于情景的动态授权,并支持用户-角色和角色-权限的自动指派.     

基于XML服务管理信息的访问控制模型

提出了一种基于XML细粒度的服务管理信息的访问控制模型,用于控制服务管理站对服务管理信息的访问.采用了形式化方法定义服务管理信息的访问控制模型的主体、客体和授权规则;讨论了授权规则的冲突解决方法,设计了标记XML文档中哪些节点的元素或属性可以被操作的标签树算法;描述了服务管理系统中细粒度访问控制模型的4种操作.该模型能控制服务管理站对服务管理信息的访问控制,控制粒度可以达到XML文档中的元素或属性.     

避免授权冲突的新方法的设计与分析

在访问控制系统中,授权可以确保合法用户获得请求的资派然而,不受限的授权转移可能导致访问权限的冲突.首先分析了授权冲突的产生原因和类型;然后通过扩展访问控制列表,提出了新的授权方法,给出了新的处理授权的过程;最后分析和总结了提出方法的性质.分析表明,新方法能有效地避免授权冲突并具有授权容错、授权深度管理等其他特性.     

访问控制中基于粗糙集的授权规则知识发现

为实现访问控制中客体对主体预授权的准确和及时,针对基于信任的访问控制信任和权限的映射问题,将成功交互的实体授权信息作为用于知识发现的数据决策信息表,结合访问控制的授权规则,提出了一种基于粗糙集的授权规则知识发现方法,实现授权规则中的属性约简、知识决策规则的提取.最后,通过算例分析验证了基于粗糙集的授权规则知识发现方法的有效性.     

一种适用于698~806MHz频段的认知MAC协议

针对广播系统与认知系统共存场景下的认知用户接入问题,提出一种适用于698⁸06MHz频段的认知MAC协议。该协议以分布式的方式对授权信道侦听,认知用户之间以协调的方式共享信道侦听结果,并采用基于竞争的方式接入空闲授权信道。利用蒙特卡洛仿真方法对所提出的协议进行了仿真。仿真结果表明,与传统MAC协议相比,该协议能够有效提高授权频段的频谱利用率,提升系统性能。     

基于属性上下文可知的Web服务访问控制

Web服务本身的特性和分布式网络环境的复杂性使得访问控制成为一个富有挑战性的问题.该文提出了一种新型访问控制模型,引入了上下文参数,使得模型是上下文可知的,并能根据当时的上下文情况进行控制决策;采用基于用户属性的Web服务访问授权和控制方式,用户通过提供相关的信任证证明其拥有的属性.该模型较好地解决了Web服务的访问控制的新问题,适合分布式的、动态变化的Web服务环境.     

基于可信级度量的智能终端安全模型研究

为解决开放环境下智能终端无法提供有效保护用户隐私及通信实体之间的信任问题,提出一种基于可信级度量的stTLM智能终端安全模型。该模型基于一种轻量级可信级度量机制,通过对任务安全分级及集成奖惩机制,可提供细粒度的安全访问授权性能。模型评估结果表明,stTLM模型具有优异的环境适应性及动态性能。模型容易实施,可有效增强开放环境下智能终端的安全性。     

基于Web日志的用户访问模式挖掘

利用相对访问率——支持一偏爱度的概念,设计了网站访问矩阵及时间矩阵,并利用这两个矩阵得到用户浏览偏爱路径．实验表明该算法能够准确地反映用户的浏览兴趣,可应用于个性化推荐服务中．     

云计算环境下支持高效撤销的新型属性基加密方案

为了解决开放云计算环境下用户属性变化导致的用户权限撤销及变更问题,提出一种基于代理重加密和密钥分割技术的属性基代理重加密方案,该方案支持用户权限的即时撤销,当发生用户撤销时,只需要更新云存储服务器中的密文组件以及代理服务器中未撤销用户的属性无关私钥组件.当发生用户属性撤销时,只需更新用户属性撤销列表,解密时根据用户属性撤销列表控制撤销属性用户的访问,可减少密文更新和用户私钥更新的计算量,提高系统撤销用户权限的执行效率,保护用户属性的隐私信息.     

机械产品配置知识自适应方法研究

配置知识的组织与管理方式直接影响了配置设计的效率和配置结果的正确性.为了提高产品配置设计的效率和正确性，将配置知识与产品零部件相结合形成多个智能配置单元（ICU），提出了基于ICU的产品配置知识自适应模型，通过ICU的消息机制和执行机制实现了产品配置知识的自适应.根据配置知识的作用范围将自适应分为主动式自适应和被动式自适应，主动式自适应通过优化配置规则搜索顺序和减少配置实例等自适应方法有效地提高了产品配置设计的效率，克服了一般配置设计效率随配置规则和实例增加而降低的缺点；被动式自适应方法，通过多个ICU协商保证了产品零部件在增加、删除和更改等操作过程中配置知识的正确性和一致性.该方法已经在某电梯厂的配置知识管理中得到了较好的应用.     

基于交互式级联布隆过滤器的一体化网络访问控制缓存系统

通过深入研究基于级联布隆过滤器的缓存方案,重新构造了基于角色的访问控制(RBAC)系统的缓存结构,设计并实现了基于交互式级联布隆过滤器的访问控制缓存系统。在访问控制决策点(PDP)上设计了专门的数据结构来存储基于角色的访问控制规则及其散列函数值,并根据这些信息高效地生成、更新辅助决策点(SDP)的级联布隆过滤器,降低了SDP对缓存存储空间的需求,提高了级联布隆过滤器的更新效率。该系统可应用于大规模、分布式的应用系统和网络系统,以加快访问控制速度,提升系统整体服务质量。     

基于角色的工作流平台访问控制安全模型

基于角色的访问控制模型作为一个组织内安全策略系统的实现方法,因其简易高效的授权方式和便捷的授权维护模型,被广泛应用于各类工作流管理系统。针对工作流环境的诸多不安全因素,提出了一个适应于工作流环境的基于角色控制的工作流安全访问的改进模型。该模型在传统RBAC模型中引入了任务案例(TC)、用户管理(UM)、任务(T)的3种关系元素,设计了动态授权机制,并在某公司电气销售系统应用中初步实现了该模型与工作流引擎组件的框架集成,提供了独立安全域内的安全授权服务。研究表明,该模型能较好地解决工作流管理系统中动态职责分离、动态职责绑定、案例间约束、互惠职责分离等系统不安全因素,可为工作流管理系统的安全运行提供技术支持。     

无人机网络中基于状态迁移的访问控制模型

由于传统的访问控制机制在无人机网络资源类型众多且高速移动的情况下缺乏灵活性,所以为了实现无人机网络的授权变更与无人机间任务转移时的权限弹性管理,提出一种基于状态迁移的访问控制模型．该模型依据细化的客体资源访问性质来制定状态迁移规则,在无人机网络授权变更和权限转移时不仅实现了弹性权限管理,而且确保了主体优先级访问控制．在无人机网络环境中的实验结果表明,该方案的执行时间随主体和客体数量增加呈近似线性增长,且在无人机网络复杂的访问控制场景中是可行的．     

无线异构网络中终端的能耗分析模型

为了对无线异构网络中多模终端的能耗分析问题进行研究,通过考察终端的工作机理,利用半马尔科夫链描述终端的通信状态,从而得到终端的能耗分析方程. 相比已有的工作,提出的模型更全面地考虑了终端的工作状态,还考虑了终端发现wireless local area network(WLAN)的概率和业务类别等因素的影响. 分析结果表明,终端能耗随呼叫到达强度和呼叫持续时间增大而增大;终端能耗与话音业务的比例和发现WLAN的概率均成近似线性关系;使WLAN模块进入低能耗的等待状态并不会节省终端能耗.     

基于JAAS和J2EE Web容器的验证与授权

在Borland应用服务器的基础上,使用JAAS与J2EE Web容器内在的安全机制,并借助Oracle数据库的用户验证,实现了Web应用中对用户的验证和授权。把用户能访问到的资源控制到页面级,将开发阶段需要考虑的安全问题转移到部署阶段,实现了应用逻辑与安全逻辑的彻底分离。实践表明,使用JAAS可以提高整个系统的开发效率,而Web容器提供的验证与授权可以很好地和数据库安全域相结合。     

面向网络化制造系统的用户访问控制研究

针对网络化制造系统的安全和管理问题，集成了基于角色的访问控制（RBAC）、基于任务的访问控制（TBAC）、关系驱动的访问控制（RDAC），以及基于企业联盟的访问控制（CBAC）方法，提出了一种综合访问控制模型。模型包括网络化制造系统的用户和资源层次关系模型、访问控制参考模型和访问控制过程模型，定义了各模型中的相关元素和关系，给出了各级约束验证和授权的表达，并利用可扩展的访问控制标记语言（XACML）实现了该方法。在绍兴轻纺区域网络化制造系统中的应用结果表明，该方法有效地减轻了系统安全维护与管理的代价。