一种基于RBAC的UCON管理模型

UCON模型作为新一代的访问控制模型,能够通过可变属性对使用实现连续控制,可满足当前开放的网络环境需求。但UCON模型仍存在一些缺陷:不能实现对权限的管理、对权限的委托和对属性来源的管理。为此,在UCON模型的基础上引入角色元素并把角色分为提供者角色和消费者角色,然后把权限分为直接使用权限和需要授权权限,以实现对UCON模型中权限的管理和权限的委托,并通过提供者角色对可变属性的来源进行管理,使UOCN对权限管理更加灵活,属性来源更加可信,从而使UCON的应用范围更加广泛。     

基于角色和规则引擎的UCON应用模型

UCON是一种基于属性的下一代访问控制模型,但其高度抽象,难于直接应用,为此提出了一种基于角色和规则引擎的UCON应用模型UCON-ABRR.该模型通过引入角色这一属性,便于实现基于角色的用户管理;并基于规则引擎来制定访问规则和实施访问控制策略,不仅支持UCON的两个重要特征:属性易变性和决策过程连续性,而且具有很好的可操作性.该模型具有通用性,将其应用于云存储场景中,达到了预期的访问控制效果.     

一种基于角色PMI的访问控制安全模型

访问控制一直是信息安全的重要保证之一。它包括三种主要的策略，即自主访问控制、强制访问控制和基于角色的访问控制。文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书，以此为基础讨论了基于角色的PMI体系结构，然后探讨了基于角色PMI的访问控制安全模型。该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点，目前正将该模型使用到大型网络信息管理系统中，实现系统的访问控制。     

一种基于角色PMI的访问控制安全模型

访问控制一直是信息安全的重要保证之一.它包括三种主要的策略,即自主访问控制、强制访问控制和基于角色的访问控制.文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书,以此为基础讨论了基于角色的PMI体系结构,然后探讨了基于角色PMI的访问控制安全模型. 该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点,目前正将该模型使用到大型网络信息管理系统中,实现系统的访问控制.     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。     

一种新的UCON的数据仓库安全模型

使用控制模型(UCON)是作为下一代访问控制模型被提出的,一经提出就得到了广泛研究,其应用范围也得到了极大扩展.数据仓库安全问题的核心之一是安全模型的建立,结合基于角色访问控制模型(RBAC)和使用控制模型(UCON)建立了一个新的数据仓库安全模型RUCON.模型结构分为两部分,RBAC组件和UCON组件,管理安全、角色授权由RBAC组件负责,解决用户授权问题;客体权力、决策处理由UCON组件负责,解决属性易变性和访问持续性的问题.     

一种分布式环境下基于角色的访问控制模型

针对访问控制模型在分布式系统下的局限性,提出一种分布式系统下的基于角色的访问控制模型。该模型以传统RBAC为基础,对其进行了扩展,一方面通过将角色扩展为职能角色和任务角色,另一方面为任务角色增加一个属性,用以标识该角色所赋予的主体属于本域还是外域,避免了采用对等角色直接进行角色分配的简单化处理。从而一方面有利于最小权限的实现,另一方面实现了对本域和外域的主体访问请求采用不同的策略,使基于角色的控制应用范围从集中式的控制领域扩展到分布式的控制领域,以适应不断发展的分布式环境系统的需求。     

基于上下文的普适计算使用控制模型

目前普适计算中的访问控制绝大多数采用基于角色访问控制模型(RBAC);然而使用控制(UCON)模型具有可变性和持续性,更适合普适计算,但没有充分考虑上下文信息。在UCON模型中增加对上下文信息考虑的同时将义务和条件决策因素分为静态和动态,提出了基于上下文的普适计算使用控制(Con_UCON)模型,动态义务和条件作为使用过程中的决策因素;同时建立了模型的核心规则集,并给出了形式语言描述。该模型能满足普适计算环境中访问控制的需求。通过普适计算智能办公系统中的三个实例,证明此模型具有有效性、灵活性和安全性。     

一种基于可信度和属性的RBAC授权模型*

针对传统RBAC模型中存在用户角色指派的模糊性、用户授权认证决策的单一性及角色数量与管理的冲突等问题,提出一种结合属性与可信度的改进型RBAC授权模型——TA-RBAC模型。该模型通过增加对用户及所在平台的可信性认证,使得传统模型的认证方式得到了完善,保证了系统授权过程更为安全可靠;同时利用可信度和属性概念对传统模型的授权机制进行了扩展,通过用户认证可信度指派相应的系统角色,实现了动态的用户角色指派;在权限指派过程中引入属性实现对象激活操作,有效地减少了角色的设置数量并实现了更细粒度的授权。最后给出模型授     

角色访问控制在PKI中的实现

PKI是一个主要使用公钥密码算法来实现数据的机密性、完整性和防抵赖性的基础设施服务。访问控制的目的是要处理计算机和通信系统中的非授权信息。文章介绍了特权管理基础结构中的角色模型,并设计了角色属性中心,通过它对角色属性证书的管理实现了在PKI中的基于角色的访问控制模型,并分析比较了该模型与传统的访问控制模型的优缺点。     

基于信任度的跨域安全访问控制模型研究*

针对多域环境下基于属性的访问控制模型(ABAC)存在的敏感属性泄露等问题,提出了基于信任度的跨域安全访问控制模型(CD-TBAC)。该模型将属性管理系统与域决策系统结合,对属性进行敏感度划分,并引入基于时间衰减性的动态信任度度量机制。通过判别信任度和敏感度之间的关系决定是否提交敏感属性,并结合实时的信任度与主体的某些属性确定角色,最终根据访问控制策略确定主体权限,实现域内外的安全访问。实验和性能分析表明,该模型在效率上完全接近于ABAC,并具备较高的安全性,能防止敏感属性的泄露、实现匿名访问和抗重放攻击等。     

角色访问控制模型的研究及应用

针对大型企业信息系统在访问控制和安全管理方面的复杂性,传统的访问控制策略不适应大型企业信息系统在安全方面的要求。对角色的访问控制(RBAC)模型进行详细的分析,针对RBAC的不足提出改进的IRBAC模型,并将它应用到企业信息系统的设计中,建立企业的安全访问控制策略。采用IRBAC模型的访问控制策略简化了角色层次结构,方便了角色授权。     

An evolutionary‐based approach for dealing with numerical and categorical attributes in ILP

Inductive logic programming (ILP) induces concepts from a set of positive examples, a set of negative examples, and background knowledge. ILP has been applied on tasks such as natural language processing, finite element mesh design, network mining, robotics, and drug discovery. These data sets usually contain numerical and multivalued categorical attributes; however, only a few relational learning systems are capable of handling them in an efficient way. In this paper, we present an evolutionary approach, called Grouping and Discretization for Enriching the Background Knowledge (GDEBaK), to deal with numerical and multivalued categorical attributes in ILP. This method uses evolutionary operators to create and test numerical splits and subsets of categorical values in accordance with a fitness function. The best subintervals and subsets are added to the background knowledge before constructing candidate hypotheses. We implemented GDEBaK embedded in Aleph and compared it to lazy discretization in Aleph and discretization in Top‐down Induction of Logical Decision Trees (TILDE) systems. The results obtained showed that our method improves accuracy and reduces the number of rules in most cases. Finally, we discuss these results and possible lines for future work.     

合成信息系统与子信息系统的属性特征

数据库的合成和分解在实际应用中是一个很重要的问题，它所对应的数学模型就是信息系统的合成与分解，该文给出了对象合成信息系统、属性合成信息系统、对象子信息系统及属性子信息系统的定义，讨论了合成信息系统、子信息系统与原信息系统等属性特征之间的关系。     

Cluster center initialization algorithm for K-modes clustering

Partitional clustering of categorical data is normally performed by using K-modes clustering algorithm, which works well for large datasets. Even though the design and implementation of K-modes algorithm is simple and efficient, it has the pitfall of randomly choosing the initial cluster centers for invoking every new execution that may lead to non-repeatable clustering results. This paper addresses the randomized center initialization problem of K-modes algorithm by proposing a cluster center initialization algorithm. The proposed algorithm performs multiple clustering of the data based on attribute values in different attributes and yields deterministic modes that are to be used as initial cluster centers. In the paper, we propose a new method for selecting the most relevant attributes, namely Prominent attributes, compare it with another existing method to find Significant attributes for unsupervised learning, and perform multiple clustering of data to find initial cluster centers. The proposed algorithm ensures fixed initial cluster centers and thus repeatable clustering results. The worst-case time complexity of the proposed algorithm is log-linear to the number of data objects. We evaluate the proposed algorithm on several categorical datasets and compared it against random initialization and two other initialization methods, and show that the proposed method performs better in terms of accuracy and time complexity. The initial cluster centers computed by the proposed approach are close to the actual cluster centers of the different data we tested, which leads to faster convergence of K-modes clustering algorithm in conjunction to better clustering results.     

一种新的基于属性频率的属性约简算法

针对目前粗糙集属性约简速度比较慢、不能得到属性约简集的问题,提出了一种新的属性约简算法。通过理论分析、具体的实例和UCI数据集验证,该算法可以确保得到决策表的一个约简,并能减少计算量,提高计算速度。同时算法中引入了强等价集,很好地解决了属性加权频率值相同的问题。     

基于X-RBAC模型的访问控制方法研究与实践

传统的RBAC模型基于一套角色不能同时为用户选择功能主体,规范数据操作行为和数据操作对象。为解决此问题,本文提出了X-RBAC模型。该模型通过引入角色组的概念并在其中定义了功能角色组、行为角色组和数据角色组,通过功能角色实现功能主体的过滤,行为角色实现数据操作行为的过滤,数据角色实现数据客体的过滤。在对用户进行授权的同时授予用户功能角色、行为角色和数据角色,以保证授权用户对授权数据执行授权操作。实践表明,X-RBAC模型具有良好的扩展性、适应性和灵活性,适用于数据保密性要求高的复杂信息系统的访问控制。     

Demand-driven evaluation of collection attributes

In order to make attribute grammars useful for complicated analysis tasks, a number of extensions to the original Knuth formalism have been suggested. One such extension is the collection attribute mechanism, which allows the value of an attribute to be defined as a combination of contributions from distant nodes in the abstract syntax tree. Another extension that has proven useful is circular attributes, evaluated using fixed-point iteration. In this paper we show how collection attributes and the combined formalism, circular collection attributes, have been implemented in our declarative meta programming system JastAdd, and how they can be used for a variety of applications including devirtualization analysis, metrics and flow analysis. A number of evaluation algorithms are introduced and compared for applicability and efficiency. The key design criterion for our algorithms is that they work well with demand evaluation, i.e., defined properties are computed only if they are actually needed for a particular program. We show that the best algorithms work well on large practical problems including the analysis of large Java programs. This paper is an extended version of E. Magnusson, T. Ekman, and G. Hedin, “Extending Attribute Grammars with Collection Attributes—Evaluation and Applications”, In the proceedings of SCAM 2007, Seventh IEEE International Working Conference on Source Code Analysis and Manipulation.     

基于属性相关表的关系模式全部候选关键字求法

本文提出了属性相关表这样一种新的概念，定义了相应的运算并研究了它的有关性质及定理，在此基础上提出了用属性相关表求关系模式全部主属性的等级，并给出了用主属性来组合关系模式全部候选关键字的算法，上述算法的时间复杂度均为Ｏ（ｎ＾２）。     

基于整数线性规划的商家属性抽取研究

商家属性是指商家本身具备的一些属性,比如就餐环境、停车位等。商家属性对于用户决策有很大的帮助,比如用户开车去就餐,就会关心饭店是否提供停车位。该文提出了一种新的基于整数线性规划的商家属性抽取模型,用来自动地从评论文本中抽取商家属性。首先使用最大熵分类器从用户发表的评论中抽取单个商家属性,然后利用整数线性规划模型,通过添加不同属性之间的关联条件,对整个模型进行协同优化学习。实验证明该方法能够有效地抽取商家属性。