分布式环境下基于属性证书的RBAC模型

基于角色的访问控制(RBAC)将角色概念引入到访问控制中,极大地方便了用户对资源的访问,同时也减轻了系统保存大量用户信息的压力.在分析RBAC模型的基础上,结合RBAC系统的特点以及SPKI/SDSI证书的优越性,提出了一种分布式环境下的基于属性证书的RBAC模型,定义了属性证书的结构以及描述了用户访问资源的工作流程,对模型的特点进行了总结.分析表明,该模型具有简洁的证书格式、支持匿名访问、单点登录等优点.     

自动信任协商中的策略一致性问题

对自动信任协商中的策略一致性问题进行了研究.分析了策略不一致性问题产生的原因,将其分为策略语言所引起的策略不一致、角色互斥导致的策略不一致、内容冲突导致的策略不一致和策略描述错误造成的策略不一致4类.根据各类冲突的特征,引入数字逻辑中的0-1表和分划的概念,对访问控制策略进行策略一致性检查和策略有效性检查,保证了策略的一致性和有效性.在解决策略不一致问题的同时,给出了最小满足访问控制策略的策略集合.     

一种对IRBAC2000模型的改进方法

针对IRABC2000模型在安全方面的不足,在认真分析IRBAC2000模型的基础上,提出了一种新的改进方案,解决了因角色关联而引起的交叉和冲突.该方案去掉角色继承,改角色层次结构为目录结构,将角色的差异体现在角色-权限的映射,同时允许角色跨域关联,但拒绝角色传递,对改进后的模型进行了安全性和灵活性分析.实验表明,该改进方案具有较高的安全性和操控的灵活性.     

基于属性的信任协商模型

在研究现有信任协商解决方案的基础上，提出了一种基于属性的信任协商模型．在该模型中，将所有的对象看作为实体，并将每个实体与一对应的证书绑定，有效保证资源的合法性，避免了非授权用户对系统的访问．给出了模型的体系结构，描述了用户访问资源的流程，设计了用户的属性证书和资源的策略证书，并从安全、效率、扩展性等方面对模型进行了可行性分析．分析表明，模型具有单点登录、PULL模式访问资源、用户隐私保护、访问控制策略保护、易于实现的特点．     

基于本体的通用知识网格架构研究

提出了一个基于本体的通用知识网格(UKG)架构模型,用于在网格环境下创建大规模的分布式知识发现和知识集成系统,并对网格基本的安全机制进行扩展,引入安全策略本体服务和防火墙本体服务,提供较高的安全性.讨论了本体构造的原则和方法,介绍了外汇监管集成本体的设计和实现.给出了基于UKG的外汇监管的应用举例,展示用户在解决问题时如何从UKG服务获益.     

一种改进的信任协商反馈方法

研究了信任协商的一般过程,分析了Know反馈机制,针对当前信任协商系统中反馈机制的缺点以及Know反馈机制的不足,提出了一种改进的信任协商反馈方法.该方法引入数学概念测度,作为路径查找的代价函数,分析了用算法实现查找反馈路径的时间复杂度,并对信息的反馈机制进行了改进.同时,通过一个实例说明改进后反馈机制的工作流程.