Intranet数据库安全访问控制方案

建立Intranet主要涉及两个方面即大量数据的组织表示和数据库访问安全控制,将各类信息抽象成用基本属性和扩展属性表示的对象。这种对象的数据表示形式大大提高了Intranet数据组织的灵活性和通用性。同时利用基于部门、角色和用户的人员管理模式,将对象属性访问控制进行安全分级,为关系型数据库中的数据安全提供字段级的控制。     

企业实施Intranet的两点问题

利用Intranet技术来组织企业的信息资源已成为目前企业的发展趋势,制定恰当的企业策略和进行合理的分析设计是建立企业Intranet的关键,其中将涉及到企业Intranet信息模型的选择和如何构造Intranet内部信息资源等问题。本文将对目前企业选用的Intranet信息模型进行比较分析,并对如何构造企业信息资源提出一些观点和原则,     

Intranet的信息模型选择和信息资源构造

利用Intranet技术来组织企业的信息资源已成为目前企业的发展趋势，制定恰当的企业策略和进行合理的分析设计是建立企业Intranet的关键，其中将涉及到企业Intranet信息模型的选择和如何构造Intranet内部信息资源等问题。本文将对目前企业选用的Intranet信息模型进行比较分析，并对如何构造企业信息资源提出一些观点和原则。     

Intranet越飞越高

据一份有关权威机构出示的报告表明,诸多公司正以比研究组织预想的更快的速度采用Intranet。名为“The Pervasive Internet”的报告称,各企业组织采用Intranet进行信息共享、收发E-mail、群组调度、文档管理和共用目录。据调查目前有59％的美国公司和38％的欧洲公司在使用Intranet,报告中还预测到明年将有77％的美国公司和75％的欧洲公司使用Intranet。     

冲突信息条件下的装备故障诊断方法

针对冲突信息条件下的故障诊断难题,研究了基于近似表示空间的故障诊断方法;采用冲突诊断信息系统描述冲突故障信息,并将冲突诊断信息系统转化为近似表示空间,进而对其进行属性约简;设计了基于包含度的针对完备信息对象的故障诊断方法,采用向量补齐方法设计了针对不完备信息对象的近似表示空间故障诊断方法;最后,将该方法应用于航空发动机故障诊断,验证了该方法可有效处理冲突、不完备信息,显著提高了故障诊断准确率。     

基于状态转换优化策略的多属性对象绘制方法

复杂场景的高效绘制是计算机图形学研究中的一个重要内容,目前的研究大多集中在对场景组织及可见性裁剪等降低场景几何复杂度的加速方法上,而针对场景中对象的多属性管理及绘制优化方法的研究较少.由于复杂场景中的对象除了基本几何信息外还包括光照、材质、纹理等多种绘制属性,这些属性的频繁切换将对绘制效率产生极大的影响,进而降低绘制的实时性.为此,提出一种基于状态转换优化策略的多属性对象绘制方法,通过定义绘制状态对场景中对象的属性进行管理,并将绘制状态的转换关系表示为带权有向图,进而利用最优化算法找到绘制状态转换的优化序列.实验结果表明,对于具有多属性对象的复杂场景,该方法能够有效地降低状态转换的开销,提高场景的实时绘制效率.     

结构增强的属性网络表示学习

属性网络表示学习旨在结合结构信息与属性信息为网络中的节点学习统一的向量表示。现有的属性网络表示学习方法在学习属性信息时与其互补的结构信息增强不足,从而影响最终表示。针对这一问题,提出一种结构增强的属性网络表示学习方法,以提高表示质量。该方法基于网络归一化邻接矩阵和属性矩阵通过自动编码器提取增强网络全局结构特性的属性信息,使用skip-gram模型捕捉局部结构信息,引入一个联合损失函数使结构信息与属性信息在同一向量空间中得以表示。在三个真实属性网络数据上进行节点分类和链路预测实验,效果较目前流行的网络表示学习方法优势明显。     

数据偏序结构关系中的知识发现可视化方法

在形式概念分析与偏序结构理论基础上,针对决策模式信息表,提出一种基于认知原理的规则提取与知识发现的可视化新方法——属性偏序决策图。该方法在将决策问题转化为决策模式信息表的基础上,通过研究对象的属性特征,将其表现在可视化图形上,介绍了属性偏序结构图的原理、生成算法及应用实例。实验表明,属性偏序结构图可以将数据中蕴含的知识和规则得以形象地表示,通过对属性偏序决策图支路、节点、簇集的分析可以有效地发现数据中蕴含的决策规则。     

采用半边编码的三角网格拓扑数据结构

为了更紧凑地表示三角网格的几何和拓扑信息,充分利用三角网格中的面、顶点和半边之间的语义关系和隐含信息,提出一个采用半边编码的三角网格拓扑数据结构.首先建立以顶点序列表示的三角面对象,并存放在动态数组中;将半边表示为所属三角面在数组中的下标和顶点连线顺序隐式关系的二元组,并且编码为一个无符号长整型数;在顶点对象中设置外出半边属性,在三角面对象中设置相邻面的3个反向半边属性;通过对设置的半边信息进行解码,实现拓扑信息查询.基于该数据结构开展了STL三角网格数据的拓扑重建实验,在对内存空间需求、重建效率和拓扑信息处理能力等方面,与目前广泛使用的半边数据结构进行了比较,表明需求内存空间大为减少.     

基于全局注意力机制的属性网络表示学习

属性网络不仅具有复杂的拓扑结构,其节点还包含丰富的属性信息.属性网络表示学习方法同时提取网络拓扑结构和节点的属性信息来学习大型属性网络的低维向量表示,在节点分类、链路预测和社区识别等网络分析技术方面具有非常重要和广泛的应用.文中首先根据属性网络的拓扑结构得到网络的结构嵌入向量;接着通过全局注意力机制来学习相邻节点的属性信息,先用卷积神经网络对节点的属性信息作卷积操作得到隐藏向量,再对卷积的隐藏向量生成全局注意力的权重向量和相关性矩阵,进而得到节点的属性嵌入向量;最后将结构嵌入向量和属性嵌入向量连接得到同时反映网络结构和节点属性的联合嵌入向量.在3个真实数据集上,将提出的新算法与当前的8种知名网络表示学习模型在链路预测和节点分类等任务上进行比较,实验结果表明新算法具有良好的属性网络表示效果.     

基于信任的普适计算隐私保护方法

普适计算访问控制中对敏感信息的交换,会给恶意的交互对方提供盗取隐私信息的机会。针对该问题,提出一种基于信任的普适计算隐私保护方法,通过对用户属性进行分级,运算获取资源提供方的信任值并划分其安全等级,对高于安全等级的属性利用秘密比较协议进行加密验证。结果表明,该方法能保护用户的隐私属性,根据属性敏感程度的不同有选择性地进行加密,降低计算复杂度,适应普适计算中能力限制的设备     

P2P中基于信任和属性的访问控制

P2P具有无集中控制节点、节点对等自治和网络动态的特点,这些特点为实施访问控制带来很大的挑战,传统的访问控制技术不能很好地适应对等网环境。首先对现有的对等网环境中的访问控制技术进行研究,然后在基于信任模型的角色访问控制的基础上,针对无法区分通过信任模型计算出相同结果的用户的问题,提出了基于信任和属性的访问控制。基于信任和属性的访问控制引入资源属性和用户属性来分别描述资源和用户,依据用户属性、信任模型计算出的数值、环境属性和授权策略来建立用户角色指派关系,依据资源属性和授权策略来建立角色权限指派关系,从而解决基于信任模型的角色访问控制存在的问题。     

角色管理自动化的访问控制

基于角色的访问控制是简化企业信息系统访问控制的一个有效策略。近年来规则已经被用于支持用户角色的自动管理。该文引入职能控制集的概念，结合角色和规则的优点，提出了一种新的适合于大型企业的安全访问控制方案，实现角色分解和权限细粒度控制的目的，根据企业的安全管理策略和用户的属性，自动管理用户-角色的分配，还引入否定授权策略，增强了客体权限分配的灵活性和安全性。     

面向外包数据的可追踪防泄漏访问控制方案

针对云存储环境下外包数据存在的信息泄漏及追踪难的问题,提出了一种改进的基于密文策略属性基加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）的安全访问控制方案。方案基于双线性对理论和秘密共享机制,由第三方可信机构根据数据所有者指定的访问策略为其产生代理加密密钥,根据用户提交的个人属性信息提供用户注册以及密钥对分发,采用访问树构造访问策略来实现用户属性的匹配度计算。当发生用户密钥泄漏导致信息失密时,根据追踪列表可追踪到用户的身份。分析表明,方案在基于DBDH假设下证明是安全的,且实现了抵抗合谋攻击和中间人攻击。通过与其他方案比较,方案在加解密时间、私钥长度和密文长度方面有所优化,从而降低了存储开销和计算代价。     

A dynamic access control scheme based upon the knapsack problem

A new dynamic access control scheme for information protection systems is proposed in this paper. The main idea of it is inspired by the concept of the trapdoor knapsack problem proposed by Merkle and Hellman. Since the knapsack problem is an NP-complete problem, the security of access control is achieved henceforth. Our scheme associates each user with some user keys and each file with some file keys. There is a positive integer set of S′; through a simple formula on keys and S′, the corresponding access privilege can be easily revealed in the protection system. Moreover, by employing our scheme, insertion or deletion of the user/file can be processed effectively with only a few previously defined keys and locks required to be modified.     

云计算下基于动态用户信任度的属性访问控制

为便于对云中资源的管理,云计算环境通常会被划分成逻辑上相互独立的安全管理域,但资源一旦失去了物理边界的保护会存在安全隐患。访问控制是解决这种安全问题的关键技术之一。针对云计算环境多域的特点,提出了一种基于动态用户信任度的访问控制模型(CT-ABAC),以减少安全域的恶意推荐的影响并降低恶意用户访问的数量。在CT-ABAC模型中,访问请求由主体属性、客体属性、权限属性、环境属性和用户信任度属性组成,模型采用动态细粒度授权机制,根据用户的访问请求属性集合来拒绝或允许本次访问。同时,该模型扩展了用户信任度属性,并考虑时间、安全域间评价相似度、惩罚机制对该属性的影响。仿真实验结果表明,CT-ABAC模型能够有效地降低用户的恶意访问,提高可信用户的成功访问率。     

属性匹配检测的匿名CP-ABE机制

属性基加密（简称ABE）机制以属性为公钥,将密文和用户私钥与属性关联,能够灵活地表示访问控制策略,从而极大地降低数据共享细粒度访问控制带来的网络带宽和发送节点的处理开销.作为和ABE相关的概念,匿名ABE机制进一步隐藏了密文中的属性信息,因为这些属性是敏感的,并且代表了用户身份.匿名ABE方案中,用户因不确定是否满足访问策略而需进行重复解密尝试,造成巨大且不必要的计算开销.文章提出一种支持属性匹配检测的匿名属性基加密机制,用户通过运行属性匹配检测算法判断用户属性集合是否满足密文的访问策略而无需进行解密尝试,且属性匹配检测的计算开销远低于一次解密尝试.结果分析表明,该解决方案能够显著提高匿名属性基加密机制中的解密效率.同时,可证明方案在双线性判定性假设下的安全性.     

A conditional purpose-based access control model with dynamic roles

This paper presents a model for privacy preserving access control which is based on variety of purposes. Conditional purpose is applied along with allowed purpose and prohibited purpose in the model. It allows users using some data for certain purpose with conditions. The structure of conditional purpose-based access control model is defined and investigated through dynamic roles. Access purpose is verified in a dynamic behavior, based on subject attributes, context attributes and authorization policies. Intended purposes are dynamically associated with the requested data object during the access decision. An algorithm is developed to achieve the compliance computation between access purposes and intended purposes and is illustrated with Role-based access control (RBAC) in a dynamic manner to support conditional purpose-based access control. According to this model, more information from data providers can be extracted while at the same time assuring privacy that maximizes the usability of consumers’ data. It extends traditional access control models to a further coverage of privacy preserving in data mining atmosphere. The structure helps enterprises to circulate clear privacy promise, to collect and manage user preferences and consent.