基于互信属性调配机制的访问控制模型

在基于属性的访问控制中一个重要的问题是对属性资源的获取以及对敏感属性和敏感访问控制策略的保护。传统访问控制属性资源的获取方法已经不能满足开放式的网络环境下的访问控制要求。在自动信任协商机制基础上提出了一种新的授权决策机制——互信属性调配机制（MTAD）,并将其应用到基于属性的访问控制模型中。通过对模型的分析可以看到该模型较好地解决了动态授权、访问效率、授权粒度、属性信息的安全性和敏感属性的保护等问题。     

基于XACML的EPCIS访问控制模型

根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型.模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象.访问控制服务组件基于决策上下文对象中包含的用户、资源、环境和动作属性实现对访问请求的动态评估.安全通信组件利用安全性断言标记语言,结合缓存机制实现XACML授权请求/响应的实时传输.访问控制流程表明,该模型能够实现灵活的访问控制策略部署和管理,具有供应链产品信息访问控制的动态性、异构性等特点.     

基于WoT的访问控制的设计与实现

Web of Things(WoT)就是把物联网和Web技术结合起来,将物联网网络环境中的设备抽象为资源和服务能力连接到Web空间。针对WoT技术,当前存在的访问控制模型并不完全适用。因此本文结合了基于角色的访问控制模型和基于属性的访问控制模型,并在基于WoT思想的"物联网通用体系架构"的基础上,设计一个访问控制子模块,展开对满足物联网特性的访问控制机制的研究和实现,提出一种改进的访问控制机制。在基于角色的访问控制基础上增加属性的判断,从而在保留基于角色访问控制优点的同时实现自动分配权限的功能。     

结合协商机制的Web服务属性访问控制模型

针对实现有效Web服务访问控制的问题,提出一种结合协商机制的Web服务属性访问控制模型。该模型基于安全断言标记语言和可扩展访问控制标识语言,利用主体属性和上下文属性的组合限制条件,提供细粒度的访问控制。通过加入协商机制,服务请求者可以与服务提供者相互沟通,在访问请求中动态地调整参数信息以获得访问授权。     

基于RBAC的云计算访问控制模型

由于受到虚拟化和弹性化特性的影响,与传统的访问控制相比,云计算下访问控制的约束条件更加复杂,主客体属性及主体所拥有的角色也因而处于动态变化之中。针对云计算下访问控制的上述问题,提出一种基于基于角色的访问控制(RBAC)的云计算访问控制模型。该模型将动态可变机制与主客体安全等级引入到访问控制策略中,既可保证云环境下数据的安全性和可靠性,又具有一定的灵活性。最后给出该模型的实现过程,并在基于云计算的医疗保健系统中予以实现。     

基于环境属性的访问控制系统设计与实现

目前研究的访问控制机制大多将访问策略与主客体相关联,访问权限相对固定,但在实际应用中,访问控制权限需要根据服务环境变化而实时调整。为此,构建一种基于环境属性的访问控制模型,在Linux系统下设计并实现基于该模型的访问控制系统。在访问控制的判定过程中增加环境属性因素,实现根据环境属性动态调整访问控制权限。测试结果表明,该模型对系统开销少,不会降低Linux平台的正常运行效率,能有效提升系统的安全性和可用性。     

CCERT信息服务的访问控制模型及其实现

CCERT信息服务的访问控制模型是一种新型的基于属性证书的分布式系统的访问控制模型。文章在分析基于X．509公钥证书的访问控制模型的基础上,通过引入属性证书的概念,结合CCERT分布式信息服务系统的特点,给出了CCERT信息服务的访问控制模型以及该模型的具体实现。     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

基于角色和规则引擎的UCON应用模型

UCON是一种基于属性的下一代访问控制模型,但其高度抽象,难于直接应用,为此提出了一种基于角色和规则引擎的UCON应用模型UCON-ABRR.该模型通过引入角色这一属性,便于实现基于角色的用户管理;并基于规则引擎来制定访问规则和实施访问控制策略,不仅支持UCON的两个重要特征:属性易变性和决策过程连续性,而且具有很好的可操作性.该模型具有通用性,将其应用于云存储场景中,达到了预期的访问控制效果.     

一种基于用户行为信任的动态角色访问控制

在基于角色的访问控制(RBAC)模型基础上,引入了属性的概念,增加了用户行为信任级别集合,建立了一种基于用户行为信任评估的动态角色访问控制(UT-DRBAC)模型。对新的模型进行了详细的形式化描述并讨论了模型的授权流程,最后从动态性、信任机制、角色数量和性能方面对模型的优越性进行了分析。新的访问控制模型通过角色属性的动态指派实现了模型授权的动态性,通过把用户信任级别作为一个必需的角色属性实现了基于身份信任和行为信任相结合的访问控制,改变了现有访问控制模型单一基于身份信任的静态授权机制;通过设置角色属性减少角色数量,从而缓解了因角色过多而带来的角色管理问题,同时提高了性能。     

基于属性的访问控制策略模型

研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据。     

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML（eXtensible Access Control Markup Language,可扩展访问控制标记语言）的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制（Attribute-Based Access Control,ABAC）模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。     

管理信息系统中基于角色的权限控制

权限控制是信息系统设计中的重要环节，是系统安全运行的有力保证。简要介绍了基于角色原权限控制模型，并在此基础上提出一套适用于MIS系统的权限控制应用模型。     

基于角色的访问控制在网络教育中的应用研究

基于角色的访问控制（RBAC）作为一种安全机制,是当前研究的热点之一。如何根据网络教育的特点应用RBAC是当前网络教育的重点和难点。在分析了RBAC96模型的基础上,结合网络教育的特点进行系统设计,建立符合网络教育特色的新的权限管理模型,兼顾对个性权限的修改能力,最后给出该模型在网络教育中的系统实现,通过项目验证了RBAC在网络教育中的可行性。     

基于语义的访问控制模型及其推理机制

对语义Web上资源进行访问要求授权决策充分考虑实体之间的语义关系,但传统的访问控制模型不能处理该问题。结合基于本体的语义描述技术和基于语义规则的推理机制,将不同的语义内部关系归纳为包含关系,提出一种面向语义Web的基于语义的访问控制模型,研究其语义授权推理机制,并提出一个推理实现系统。     

基于RBAC与GFAC架构的访问控制模型

在对基于角色的访问控制（RBAC）模型进行优化处理的基础上,提出了一种基于RBAC与通用访问控制框架（GFAC）的访问控制模型。阐述了模型的构成、特点及其访问控制策略,引入了类、约束和特殊权限等新概念,将分级授权、最小化授权、角色继承授权等策略相结合,实现对资源访问的控制。该模型可配置性强,容易维护,降低了授权管理的复杂性。最后给出了模型实现的关键技术。     

基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个“任务角色”分配的授权算法,解决工作流管理系统动态授权约束的问题。     

数据库安全模型及其应用研究

在介绍了三种数据库安全模型——自主访问模型、强制访问模型和基于角色的访问模型的基础上,分析了它们的优点和不足,并给出了各种不同模型的应用场合。在车站售票管理系统中,给出了一种基于BLP安全模型的实现方法。     

改进的基于属性的访问控制策略评估管理决策图

针对多数据类型区间决策图（MIDD）方法不能正确表示、处理属性的重要性标记特性，以及表示、处理责任及忠告等不清晰，造成节点表示不一致并增加了处理的复杂性等问题，对MIDD方法进行改进和扩展。首先，将MIDD的以实体属性为单位的图节点修改为以元素为单位的图节点，精准地表示基于属性的访问控制元素，使原来不能正确处理重要标志的问题得以解决；然后，将责任及忠告作为元素，用节点表示出来；最后，把规则和策略的组合算法加到决策节点中，以便在策略决策点（PDP）对访问请求进行决策时使用。分析结果表明，改进方法与原方法的时空复杂度相当。两种方法的对比仿真实验结果表明，在每个属性只有1个附属属性时（最一般的应用情况），两种方法每个访问请求的平均决策时间差异的数量级仅在0.01 μs。验证了复杂度分析的正确性，说明两种方法的性能相当。附属属性个数仿真实验表明，即使1个属性有10个附属属性（实际应用中十分稀少），两种方法的平均决策时间差异也在相同的数量级。改进方法不但保证了原方法的正确性、一致性和方便性，更将其使用范围从可扩展访问控制标记语言（XACML）策略扩展到一般的基于属性的访问控制策略。     

使用会话期上下文检查的RBAC模型：RBAC CCS

在大型信息系统的设计中,访问控制一直是一项复杂的工作。基于角色的访问控制（RBAC）被推荐来代替传统的访问控制模型。应用到信息系统中时,需要解决RBAC的控制粒度问题。我们需要一个能够基于上下文进行细粒度访问控制的RBAC模型,即基于对象实例上下文上的访问控制。对现有的解决方案进行综述和比较,提出了使用会话期上下文检查的RBAC模型：RBACCCS。RBACCCS中用了参数化权限,在权限检查时用上下文变量实例化这些参数化权限,这样就解决了上下文的表示和上下文作用机制问题。最后对RBACCCS模型进行