结合属性和角色的Web服务访问控制

在分析Web服务访问控制需求的基础上,指出了现有访问控制模型在Web服务访问控制方面的局限性,提出了一种结合属性和角色的Web服务访问控制模型ARBAC,给出了软件实现结构.ARBAC模型给出了Web服务访问控制领域中的概念定义,提出了相关判定定理.ARBAC模型根据Web服务资源对用户的属性限制条件自动生成角色集,完成用户到角色、权限到角色的映射,能够表达职责分离约束、环境参数限制和最小权限策略,统一了Web服务和服务所涉及的数据资源的访问控制.     

面向Web服务工作流系统的访问控制模型

提出了一种面向Web服务工作流系统的访问控制模型（WSWF-RBAC）。在基于角色的访问控制模型基础上引入系统资源的概念,把Web服务对象、属性和其它功能模块当做资源统一管理。引XT资源访问模式的概念,在约束条件下通过与资源的运算生成系统权限,从而实现了对权限的精细管理和动态调整能力。通过扩展web服务访问的角色集和用户集,并引入角色扮演对象,实现了工作流系统中Web服务与其它模块访问控制的一致性。将该模型应用于库房供应链系统中,运行结果表明,该模型能够增强Web服务工作流系统授权的灵活性和安全性。     

基于动态角色服务权限控制的物联网平台设计

针对现有基于身份的访问控制系统无法满足用户定制的各种软件组合服务的需求,提出了一种基于动态角色服务权限控制的物联网平台;首先,在物联网平台设计中,通过了解设备的整个生产周期,整合物联网平台的功能模块;然后以动态角色为中心,展开逻辑设计;之后根据RBAC(基于角色访问控制)模型组织用户的权限和组,划分访问Web服务的用户的角色;最后在基于角色的操作级别上对Web服务部分功能提供更细粒度的访问控制;实验表明:基于动态角色服务权限控制后,角色权限细粒度可精确到操作级别,并可实现动态化定义,优于传统的访问控制系统;该方法实现了简单、灵活地对角色权限进行管理,在实际工程应用中具有重要的指导意义。     

基于进程的Web服务访问控制模型

在对传统RBAC研究的基础上,针对Web Services低耦合、动态变化的特点提出了针对Web Services的访问控制模型——PBACWS。PBACWS中提出了元服务、元权限的概念对Web Services进行了描述。PBACWS突破了RBAC中对用户赋予角色的做法,利用服务权限令牌进行授权的概念,通过将动态生成的服务权限令牌赋予任务进程,实现了对Web Services进行细粒度的安全控制。     

基于角色扩展的RBAC模型

针对基于角色的访问控制(RBAC)模型在模拟复杂组织结构和权限继承关系方面的不足,提出了基于角色扩展的RBAC模型——MR-RBAC。该模型在角色集和权限集之间引入了最小角色集,并形式化定义了模型的基本集合和相关函数。同时还深入研究了扩展模型中的角色权限类型与角色关系,给出了最小角色的概念以及其生成算法。分析表明,MR-RBAC模型改善了传统模型的角色层次结构和权限继承关系,具有授权粒度细、可伸缩性、可扩展性、安全等优点。最后模型性能测试表明原型系统在引入最小角色划分后对于系统时间性能的影响不大。     

基于量化角色的细粒度授权委托方法

目前基于角色的访问控制模型大多数都不支持细粒度操作。为此,提出一种细粒度的授权委托方法。利用为权限元组分配量值的方法,实现对角色内任意部分权限的表达和控制。引入量化角色,将普通角色与权限量值组合,用于描述不同的权限范围。在胜利油田滨南采油厂物资供应系统中的应用结果表明,该方法能提供更细化的授权和委托粒度,减少过多临时角色的创建,降低系统的管理和维护 代价。     

多政策的两层协同应用存取控制模型

总结了国内外存取控制研究，分析了目前基于角色的存取控制应用于协同系统时存在的一些问题．针对这些问题，给出了一个用于协同应用系统的存取控制框架．该框架包括两个子部件：基本模型和角色模型．基本模型规定了操作权限之间的依赖关系以及如何进行操作权限比较，并将权限与对具体对象的操作相关联，使得该模型较为直观．此外只要系统中Broker的实现支持，该模型能够实现任意粒度级的存取控制．角色模型对RBAC96的角色概念重新给予了定义，将角色的允许集划分为三部分：公共权限、私有权限和保护权限．角色允许集的划分使用户可以更加灵活地定义角色，方便地控制角色的私有信息不被其他角色所访问，有效地减少了辅助角色的定义．     

Web服务信誉度评估模型的研究

对Web服务的信誉度、信誉关系属性和信任类型进行了形式化的定义,并据此来评估Web服务的信誉行为,考虑到Web服务信誉度的不确定性,在引入信誉量化概念的基础上,对现有的UDDI规范进行扩展,提出了Web服务信誉度评估模型,并深入研究了Web服务的信誉度评估方法及模型的实现方案,与其它的Web服务信誉度模型相比,该模型通过使用客户反馈、主动监视的机制以及采用第三方权威机构评价Web服务的信誉度,从而保证了信誉度的公平性和有效性.     

Web服务基于代理和角色的访问控制模型研究

在Web服务中,由于传统的基于角色的访问控制模型（RBAC）无法灵活地实现基于内容和上下文的访问控制策略,从而无法适应Web服务代理动态、临时性的特点,也不能满足Web服务内容和上下文敏感的要求。因此,本文提出了一种基于代理和角色的访问控制模型（ARBAC）。本模型中,Web服务代理访问控制器根据用户及代理权限生成代理实体来取代用户访问主体的角色。代理实体是用户授权的临时的虚拟实体,它的权限是由用户和代
理两者的访问权限决定的。理论上,它的生命周期是在一次访问请求范围内。     

支持资源分类授权的通用权限管理模型研究

针对当前Web应用程序中存在的安全性问题.概要介绍了现有的权限管理模型;在详细分析Web应用程序自身权限管理的特点基础上,基于RBAC模型提出了一种支持资源分类授权的通用权限管理模型;在该模型中,管理员首先对WEB应用程序中的资源进行分类,然后定义每类资源的具体操作种类,随后定义每个角色对某一资源的操作权限,最后为用户分配合适的角色;基于.NET平台和SQL SERVER数据库设计和开发了一套支持资源分类授权的通用权限管理系统,并给出了一个具体应用实例;实践表明,该模型能够非常有效地解决Web应用程序中的权限授权和权限管理问题,增强了系统安全性.     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。     

Android application behavioural analysis for data leakage

An android application requires specific permissions from the user to access the system resources and perform required functionalities. Recently, the android market has experienced exponential growth, which leads to malware applications. These applications are purposefully developed by hackers to access private data of the users and adversely affect the application usability. A suitable tool to detect malware is urgently needed, as malware may harm the user. As both malware and clean applications require similar types of permissions, so it becomes a very challenging task to differentiate between them. A novel algorithm is proposed to identify the malware‐based applications by probing the permission patterns. The proposed method uses the k‐means algorithm to quarantine the malware application by obtaining permission clusters. An efficiency of 90% (approx.) is attained for malicious behaviour, which validates this work. This work substantiates the use of application permissions for potential applications in android malware detection.     

ITTDAF:不依赖父权限信息传递的去中心化授权框架

为了解决现有去中心化授权协议在支持传递权限时需要传递父权限信息从而容易导致权限信息泄露的问题以及单个用户信息泄露会威胁到其他用户权限的机密性的问题,本文提出了基于检索树结构和可信平台模块的去中心化授权框架ITTDAF,其核心思想是用户在授予其他用户权限时,需要将授权信息告知提供相关资源的实体,由资源实体基于授权信息生成...     

基于Web日志挖掘用户的浏览兴趣路径

提出一种基于Web日志发现用户浏览偏爱路径算法。引入了支持-兴趣度概念。建立用户访问矩阵以表示用户浏览网页行为,并获得访问矩阵的海明距离矩阵。通过对距离矩阵与相似度阈值的计算获得偏爱路径的候选2项子路径,再利用支持-兴趣度对候选集做进一步的过滤,最后进行合并并生产浏览偏爱路径。实验表明该算法可以有效地反映用户的浏览兴趣。     

一种面向云计算的任务—角色访问控制模型

针对云计算模式下用户访问安全的问题, 简单分析了基于角色和任务的访问控制模型的内容, 提出了一种基于云计算的任务—角色模型。该模型通过对角色和权限进行分类, 有效地解决了访问控制模型中的管理权限问题, 使得云计算服务商的权限分配得到了进一步改进。分析结果表明, 该访问控制模型可以进一步提高客体频繁访问的效率。     

基于代理的互联网用户行为分析研究

在互联网智能化的过程中,互联网用户行为的分析是一个必要的工作.通过架设网络代理,记录用户在互联网上发出的HTTP请求,建立用户行为日志库,并根据Web访问的特性对用户行为日志进行过滤、聚类,缩减数据规模,最后利用开放式分类目录ODP(Open Directory Project)对用户行为进行分类统计,将没有语义信息的...     

Mining permission patterns for contrasting clean and malicious android applications

An Android application uses a permission system to regulate the access to system resources and users’ privacy-relevant information. Existing works have demonstrated several techniques to study the required permissions declared by the developers, but little attention has been paid towards used permissions. Besides, no specific permission combination is identified to be effective for malware detection. To fill these gaps, we have proposed a novel pattern mining algorithm to identify a set of contrast permission patterns that aim to detect the difference between clean and malicious applications. A benchmark malware dataset and a dataset of 1227 clean applications has been collected by us to evaluate the performance of the proposed algorithm. Valuable findings are obtained by analyzing the returned contrast permission patterns.     

On web user tracking of browsing patterns for personalised advertising

On today’s Web, users trade access to their private data for content and services. App and service providers want to know everything they can about their users, in order to improve their product experience. Also, advertising sustains the business model of many websites and applications. Efficient and successful advertising relies on predicting users’ actions and tastes to suggest a range of products to buy. Both service providers and advertisers try to track users’ behaviour across their product network. For application providers this means tracking users’ actions within their platform. For third-party services following users, means being able to track them across different websites and applications. It is well known how, while surfing the Web, users leave traces regarding their identity in the form of activity patterns and unstructured data. These data constitute what is called the user’s online footprint. We analyse how advertising networks build and collect users footprints and how the suggested advertising reacts to changes in the user behaviour.     

基于权限分析的 Android 应用程序检测系统

Android 系统在应用程序安装时仅给予粗略的权限提示界面,此界面不仅权限条目不全,而且解释异常粗略,普通用户完全看不懂,但基于使用需要,只能盲目确定授权。市面上的一些例如手机金山卫士,腾讯手机管家等管理软件,对于应用权限信息的查询要么权限条目远少于实际申请,要么权限解释一样粗略难懂,要么干脆就是直接调用 Android 系统 settings 下的粗略权限列表。〈br〉 通过研究 Android 的安全机制,在分析了上述现象可能导致的潜在安全隐患的基础上,文章设计开发了一种结合电脑端和手机端,能够对未安装的 APK 文件和已安装的 APP 应用程序进行深入权限检测系统。此系统可以检测出应用软件所申请的精确的权限个数和详细的权限列表,并通过建立数据库的方法给每条权限以及可能引起的安全问题辅以详尽、易懂的说明,使无专业知识的普通用户也可以弄懂所申请权限的作用,提高应用程序使用者的安全意识。此外,此系统还能提供用户针对某条敏感权限进行应用筛选,即列出手机内使用该敏感权限的所有应用,协助用户排查恶意软件,保护系统安全。〈br〉 针对 Android 平台开放性带来的用户隐私泄露和财产损失的问题,文章通过对 Android 安全机制的分析,给出了一种在电脑端和手机端的基于权限分析的 Android 应用程序检测系统。该系统能检测出各种应用的权限信息,也能检测出具有某条敏感权限的所有应用程序,为用户提供再判断的机会,可以更全面的保障用户信息和财产安全。