基于8A8K的指纹密码锁

使用用户权限分级的方法来保证系统安全性,在线下,用户进行开锁操作不受限。但指纹录入、删除等操作是被系统所限制的,只有拥有密码的管理员才能进行此操作。在用户进门放置手指后,指纹模块会在指纹库中进行搜索,若搜索到,继电器打开,继电器连着电磁锁,这样用户按手指后就可以打开锁。另外,连接有数据中转服务器,可远程通过手机应用显示、操控项目状态,手机应用使用了Android开发相关技术,在系统与手机应用都连接上服务器后,用户对门禁系统进行的操作都会发送到手机端;对应的,用户也可以通过手机端按键远程操控门禁的打开与关闭。     

基于权限分析的 Android 应用程序检测系统

Android 系统在应用程序安装时仅给予粗略的权限提示界面,此界面不仅权限条目不全,而且解释异常粗略,普通用户完全看不懂,但基于使用需要,只能盲目确定授权。市面上的一些例如手机金山卫士,腾讯手机管家等管理软件,对于应用权限信息的查询要么权限条目远少于实际申请,要么权限解释一样粗略难懂,要么干脆就是直接调用 Android 系统 settings 下的粗略权限列表。〈br〉 通过研究 Android 的安全机制,在分析了上述现象可能导致的潜在安全隐患的基础上,文章设计开发了一种结合电脑端和手机端,能够对未安装的 APK 文件和已安装的 APP 应用程序进行深入权限检测系统。此系统可以检测出应用软件所申请的精确的权限个数和详细的权限列表,并通过建立数据库的方法给每条权限以及可能引起的安全问题辅以详尽、易懂的说明,使无专业知识的普通用户也可以弄懂所申请权限的作用,提高应用程序使用者的安全意识。此外,此系统还能提供用户针对某条敏感权限进行应用筛选,即列出手机内使用该敏感权限的所有应用,协助用户排查恶意软件,保护系统安全。〈br〉 针对 Android 平台开放性带来的用户隐私泄露和财产损失的问题,文章通过对 Android 安全机制的分析,给出了一种在电脑端和手机端的基于权限分析的 Android 应用程序检测系统。该系统能检测出各种应用的权限信息,也能检测出具有某条敏感权限的所有应用程序,为用户提供再判断的机会,可以更全面的保障用户信息和财产安全。     

访问授权任务依赖关系及其Petri网分析

1 引言访问授权是信息系统安全最重要的措施之一。支持访问授权职责分离原则是评价访问授权模型的重要技术指标。但是,现有的访问授权模型仅支持用户级授权职责分离,即不允许同一用户同时拥有某些访问权限(权限静态互斥),或者不允许同一用户在一次用户访问会话(进程)中激活其所拥有的某些访问权限(权限动态互斥),而对访问授权任务本身存在的互斥关系在目前的相关文献中讨论很少。然而,授权     

为用户授予读取注册表项的权限

我需要为一个用户授权。允许他监视服务器上的性能计数器。但我不想给他其它多余的权限。用户不允许本地登录；但他需要通过网络执行监视任务。我应该如何给他授权呢？[第一段]     

基于RBAC权限管理模型的改进与应用

在分析现有权限管理系统权限的基础上,给出了新的授权模式,A用户在其自己的可授权的权限集合内可以直接对B用户授权,并且可设定所授权限的时效,B用户可以根据A用户规定时效内拥有A用户的权限。该方案采用静态权限分配与动态权限授权相结合,很好的解决了传统权限管理的僵化。改进后的方案在实际的项目中得到了应用,并取的很好的效果。     

一种面向多应用集成的授权安全服务平台

本文介绍一种支持多个应用系统集成环境下的统一用户授权管理平台——授权安全服务平台(ASSP)。文中通过对ASSP的体系结构、应用系统内的用户访问控制与权限控制服务的关系、权限的通用表示形式和与应用系统集成框架的描述,指出了要实现多应用系统的用户授权分布化,授权策略统一化;做到平台与具体的应用无关性、平台与与具体的权限约束策略无关性,并支持应用系统内部的权限约束策略与业务逻辑之问的相对独立性等,所需要重点解决的技术问题和相应的解决方法。     

继承和优先约束驱动的柔性授权机制研究

针对权限系统中存在角色授权策略单一和授权冲突的问题,设计IPC_URBAC模型,在RBAC模型的基础上增加继承约束的用户直接授权机制和优先约束的用户角色分配机制,提出基于个体和优先的授权冲突解决策略,并给出用户权限和角色权限的求解算法。运用IPC_URBAC,构造二进制授权掩码进行复杂权限设置,应用Web Service完成细粒度权限检查,达到权限与业务的剥离,实现一种与业务无关的柔性授权系统。     

基于角色和用户组的扩展访问控制模型*

针对传统的RBAC模型所存在的问题,引入用户组进行了改进：除了RBAC模型的角色授权外,增加了用户组对数据资源进行授权,使用户所拥有的权限变成用户所属角色的功能权限和用户所属部门的资源权限之和。改进后的混合授权的扩展模型(E-RBAC)不仅有效解决了角色定义、用户职责、功能和资源等动态变化对系统所带来的问题,更增强了对用户授权的灵活性和可维护性,并且在实际项目中得到了应用。     

基于角色的Web服务的授权与访问控制

提出了一个授权与访问控制系统的设计,它以PMI为基本架构,分为授权服务和访问控制两个子系统.权限管理子系统通过各种模块制定全局所需的各种策略,由AA/SOA签发各种策略属性证书;管理员通过注册服务器ARA,为用户分配权限,向AA申请签发用户的属性证书.在访问控制子系统中,策略决策实施点(AEF)截获用户的访问请求及用户身份并发送给访问控制决策点中的ADF,ADF根据权限管理子系统制定好的策略和用户的属性证书计算出用户被授予的访问权限,作出"允许/拒绝"的决策.这样就实现了对Web资源的授权与访问控制,保证了后端Web服务器上共享数据的安全.     

办公楼群网络门禁管理系统的设计

高校办公楼群属于公共场所,进出人员多,机械式门锁在钥匙配备、进出权限等方面管理不够完善,存在诸多安全隐患。根据高校房屋使用及安全要求特点,开发了一种基于网络的门禁管理系统,使用非接触式ID卡,采用网络管理——门锁授权、门锁状态远程实时监控、远程无钥匙开门、考勤功能等,极大地方便了用户,提高了管理效率,杜绝了安全隐患。     

权限约束支持的基于角色的约束访问控制模型与实现

阐述现有基于角色的安全控制中的不足，通过分析角色间约束产生的根源，提出通过建立权限约束关系来支持角色之间的约束管理和实现访问控制，文中定义了权限约束支持的基于角色的约束访问控制模型及增强权限模型，并介绍这个约束访问控制模型在ZD－PDM中的应用，实践表明，这种访问控制模型型除了增强系统安全访问之外，还可以提供一种更灵活的授权机制，并降低安全管理员的工作复杂性。     

A network access control approach based on the AAA architecture and authorization attributes

Network access control mechanisms constitute an increasingly needed service, when communications are becoming more and more ubiquitous thanks to some technologies such as wireless networks or Mobile IP. This paper presents a particular scenario where access rules are based not only on the identity of the different users but also on authorization data related to those users. In order to accomplish this general goal, it will be necessary to add to the traditional system-specific services for authentication and authorization, and also some entities able to manage the information related to identity, roles and permissions. Network access will be based on the 802.1X framework and the Authentication, Authorization, and Accounting (AAA) architecture, as they constitute the basis for most of the existing proposals for limiting the access to a restricted network. These proposals will be extended making use of an authorization infrastructure based on SAML statements, the RBAC model, and XACML as the main language for expressing authorization policies. The solution that we present in this paper is a consequence of an exhaustive and non-trivial analysis of the different mechanisms that could be used to provide this kind of service. As we will see, the correct integration of these different mechanisms leads to the definition of a scalable and versatile network access control system which conforms to the guidelines outlined by the AAA initiative.     

面向服务的角色访问控制技术的研究

面向服务的体系结构由于其结构的松散性和计算的动态性等特点,使得其安全管理更加复杂。文中通过对工作流的访问控制机制的具体分析,给出了一个面向服务的基于角色和工作流状态的访问控制模型,在授权时使用增强权限约束机制,以提供一种更为灵活的授权方法。该模型可以保证授权有效时间与任务执行时间的同步,有效地加强系统的安全性和访问控制的灵活性,实现了最小特权原则和动态职责分离。     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。     

面向Web服务工作流系统的访问控制模型

提出了一种面向Web服务工作流系统的访问控制模型（WSWF-RBAC）。在基于角色的访问控制模型基础上引入系统资源的概念,把Web服务对象、属性和其它功能模块当做资源统一管理。引XT资源访问模式的概念,在约束条件下通过与资源的运算生成系统权限,从而实现了对权限的精细管理和动态调整能力。通过扩展web服务访问的角色集和用户集,并引入角色扮演对象,实现了工作流系统中Web服务与其它模块访问控制的一致性。将该模型应用于库房供应链系统中,运行结果表明,该模型能够增强Web服务工作流系统授权的灵活性和安全性。     

基于任务的访问控制在审批系统中的应用研究

随着数据库、网络和分布式计算的发展,组织任务进一步自动化,与服务相关的信息进一步计算机化,实际的信息系统往往需要由多个相关的任务构成业务流程（工作流）来完成,这促使我们将安全问题方面的注意力从独立的计算机系统中静态的主体和客体保护转移到随着任务的执行而进行动态授权的保护上。目前的访问控制模型都是从系统的角度出发去保护资源,在进行权限控制时没有考虑执行的上下文环境,这种静态的访问控制不能满足工作流对访问控制的要求。针对访问控制策略难以适应工作流系统的问题,文章介绍了一种新的安全模型——基于任务的访问控制（Task—based Aeeess Control,TBAC）,TBAC可依据任务和任务状态的不同,对权限进行动态实时的管理。介绍了TBAC的基本概念,对其模型进行了描述和分析,就审批系统的一个典型的审批流程进行了模型化。TBAC把实际应用中的工作流和访问控制所需的各种关系整体地结合在一起,可以清晰地表达复杂工作流的控制机制。     

一种基于任务和角色的计算网格访问控制模型

网格安全基础设施解决了身份鉴别、保密性和完整性问题,但难以有效解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。该文提出一种基于任务和角色的计算网格访问控制模型。该模型通过定义授权步及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。     

An authorization model for geospatial data

The advent of commercial observation satellites in the new millennium provides unprecedented access to timely information, as they produce images of the Earth with the sharpness and quality previously available only from US, Russian, and French military satellites. Due to the fact that they are commercial in nature, a broad range of government agencies (including international), the news media, businesses, and nongovernmental organizations can gain access to this information. This may have grave implications on national security and personal privacy. Formal policies for prohibiting the release of imagery beyond a certain resolution, and notifying when an image crosses an international boundary or when such a request is made, are beginning to emerge. Access permissions in this environment are determined by both the spatial and temporal attributes of the data, such as location, resolution level, and the time of image download, as well as those of the user credentials. Since existing authorization models are not adequate to provide access control based on spatial and temporal attributes, in this paper, we propose a geospatial data authorization model (GSAM). Unlike the traditional access control models where authorizations are specified using subjects and objects, authorizations in GSAM are specified using credential expressions and object expressions. GSAM supports privilege modes including view, zoom-in, download, overlay, identify, animate, and fly by, among others. We present our access control prototype system that enables subject, object as well as authorization specification via a Web-based interface. When an access request is made, the access control system computes the overlapping region of the authorization and the access request. The zoom-in and zoom-out requests can simply be made through a click of the mouse, and the appropriate authorizations will be evaluated when these access requests are made     

基于用户-角色-任务的多约束访问控制模型

传统的访问控制模型采用手动的授权方式, 应用在目前混合型组织企业中, 造成权限授权复杂、准确度低. 因此, 提出一种基于用户-角色-任务的多约束访问控制模型(C-URTBAC), 该模型采用用户分级管理、权限在主体和客体间的传播性思想, 实现了半自动化的授权方式, 提高授权效率和准确度; 同时细化了约束分类, 实现了细粒度化的权限管理. 最后将该模型引用到某汽车零部件公司的PLM系统中, 验证了该模型的实用性.     

访问控制策略的研究

访问控制策略在软件系统中起着重要的作用,与软件系统的安全性和可靠性有着直接的联系。选取何种访问控制策略,如何对系统的访问控制权限进行规划,是摆在软件分析设计人员面前的一个复杂课题。介绍了自主访问控制、强制访问控制和基于角色的访问控制三种主流的访问控制策略,并进行了对比分析。基于角色的访问控制策略依据两个重要的安全原则,强化了对访问资源的安全访问控制,并且解决了具有大量用户和权限分配的系统中管理的复杂性问题,广泛应用于当前流行的数据管理系统。