A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.

基于博弈的Web应用程序中访问控制漏洞检测方法

针对工业互联网中程序的访问控制策略隐藏在源码中难以提取,以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题,将博弈思想应用于访问控制逻辑漏洞检测中,通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞,使得不同用户的访问逻辑能被有针对性地获取。实验结果表明,所提方法在开源的11个程序中检测出31个漏洞,其中8个为未公开的漏洞,漏洞检测覆盖率均超过90%。

Access数据库在药对关联规则分析中的应用

目的:探索Access数据库在药对关联规则分析中应用的可行性及方法。方法:选取部分临床数据,共计122首处方,并对样例数据进行标准化处理。以Access 2013为工具,依据关联规则的Apriori算法,通过多次选择查询,生成药对项集。分别计算药对的支持度、置信度和重要性,并对产生结果进行评价。结果:通过与中医理论及临床对比,计算结果基本符合临床实际,该方法有效。结论:以Access为工具,结合相应的数据挖掘算法,通过多次查询可以完成药对的关联规则分析。建议将计算结果与临床实际结合,以获得更准确、有效的信息。

Correlation-Aware Replica Prefetching Strategy to Decrease Access Latency in Edge Cloud

With the number of connected devices increasing rapidly,the access latency issue increases drastically in the edge cloud environment.Massive low time-constrained and data-intensive mobile applications require efficient replication strategies to decrease retrieval time.However,the determination of replicas is not reasonable in many previous works,which incurs high response delay.To this end,a correlation-aware replica prefetching(CRP)strategy based on the file correlation principle is proposed,which can prefetch the files with high access probability.The key is to determine and obtain the implicit high-value files effectively,which has a significant impact on the performance of CRP.To achieve the goal of accelerating the acquisition of implicit highvalue files,an access rule management method based on consistent hashing is proposed,and then the storage and query mechanisms for access rules based on adjacency list storage structure are further presented.The theoretical analysis and simulation results corroborate that CRP shortens average response time over 4.8%,improves average hit ratio over 4.2%,reduces transmitting data amount over 8.3%,and maintains replication frequency at a reasonable level when compared to other schemes.

青海省农牧区高年级小学生家庭食物环境分析

目的:了解青海省农牧区四、五年级小学生家庭食物环境现状,为改善当地学龄儿童家庭食物环境提供科学依据。方法:采用多阶段分层随机抽样的方法,从青海省3座市(州) 10所小学,抽取94名四、五年级学生以及其对应家长作为研究对象,通过自填问卷调查家庭食物环境现状。结果:参与调查学生的家庭食物可及性由高到低依次为新鲜蔬菜及其制品(77.7%)、薯类粗杂粮及其制品(76.6%)、乳类及其制品(74.5%)、水果及其制品(68.1%)、含糖饮料(17.0%)、高糖食物(11.7%)、高脂食物(9.6%)、高盐食物(7.4%)。乳类及其制品的可及性在城乡之间差异有统计学意义(82.1%vs 63.2%,P=0.038)。大部分学生(56.4%)月均家庭食物支出占比约为30%~50%,随人均年收入增加而有所提高(R=0.206,P=0.047)。家庭喂养模式在农村以强制模式为主(63.2%),在县城以强制和限制模式并重(44.6%、42.9%)。绝大多数家庭有较良好的食物规则,男生家庭食物限制得分高于女生(t=2.216,P=0.029)。营养理念较为科学的家长约占33.0%,营养知识掌握较好的家长约占6.4%,总体具有较高营养素养的家长约占8.5%。家长选择食物时考虑最多的三个因素为营养(83.0%)、卫生(73.4%)、孩子爱吃(61.7%)。结论:青海省农牧区高年级小学生家庭食物环境现状总体良好,明显薄弱之处在于家长营养素养一般,特别是营养知识储备极为欠缺。应进一步加强家长的营养宣教,促进营养知识传播,改善家庭食物环境,帮助学龄儿童塑造良好饮食行为。

ATPCRM:一种面向ABAC的双阶段访问策略冲突消解机制

当前,面向ABAC(Attribute-based Access Control)的访问策略冲突消解机制在消解冲突时,多数存在偏向性和粗粒度的消解结果,且部分机制在利用策略规则中的属性项消解策略冲突时,因对属性项处理不当,进而降低了消解结果的准确性和效率.为了解决上述情况,提出一种面向ABAC的双阶段访问策略冲突消解机制:ATPCRM(ABAC-oriented Two-stage Access Policy Conflict Resolution Mechanism,ATPCRM).首先,ATPCRM由系统运行前的访问策略冲突预消解与系统运行时的访问策略冲突消解组成,通过两个阶段的冲突消解,在提高消解粒度的同时,进一步地降低系统运行时用于冲突消解的时间消耗;其次在系统运行前的访问策略冲突预消解阶段,提出策略规则集预处理算法和策略规则权重评估算法,通过改进K-prototypes聚类算法和TF-IDF算法并应用其中,使访问策略以规则权重的形式实现策略冲突预消解;最后在系统运行时的访问策略冲突消解阶段,提出新加载规则缓冲区和自适应访问策略冲突类型的冲突消解策略,通过消解预消解阶段没有完全消解的冲突,进而提高冲突消解的效率、准确性和粒度.实验结果表明,ATPCRM可以达到预期的冲突消解结果,同时在一定程度上提高了冲突消解的效率.

一种基于属性的企业云存储访问控制方案

针对企业云存储应用的需求,以及目前基于属性的访问控制方案在访问规则描述方面存在的不足,提出了一种适合企业云存储的基于属性的访问控制方案。该方案直接用字典变量表示主体、资源和环境实体,用Python逻辑表达式描述访问规则,并采用eval函数执行规则,从而使访问规则容易编写,表达能力强,且执行开销小。考虑到资源的层次结构特点,分别为不同的访问权限设计了相应的访问规则继承策略以简化访问规则的编写,并采用跨语言的服务开发框架Thrift对访问控制器进行了实现。

ERBAC模型的改进与实现

阐述了RBAC96模型在实际应用中存在授权、访问规则、细粒度访问控制等方面的不足,分析了基于角色对用户和角色混合授权的ERBAC模型的不足,提出了一种改进ERBAC模型,使其授权更加灵活,安全性更高,并采用引入访问规则和模糊时间约束机制以及把系统模块和角色进行绑定的方法予以实现。访问规则和审计功能及模糊时间约束机制的引入能使安全性更高,把系统模块和角色进行绑定达到细粒度的访问控制。改进ERBAC模型的授权更加灵活,其安全性更高。

加密XML的访问控制方案

文章提出了在网络环境下,采用条件访问规则及XML加密技术实现对数据资源访问的一种控制方案。XML作为一种新兴的标识语言,由于层次性表示数据、显示方式与内容分离等特点,在Web上得到越来越广泛的应用。利用XML作为访问控制的表达形式,使得系统具有良好的灵活性和可操作性。

论欧盟“市场扭曲”的立法实践及我国应对之策

为规避《中国入世议定书》第15条到期WTO成员不得对华适用替代国方法,欧盟修订了反倾销法,并引入了“市场扭曲”概念。欧盟的“市场扭曲”规则是否与WTO的相关规定相一致,需要从立法的合规性与实践运用的合规性两个方面进行法教义学解读和实证分析。通过对欧盟对华反倾销实践的分析,欧盟反倾销法修正案中“市场扭曲”规则与以往的“替代国”规则并无不同,虽然该规则不具有强制规范效力,但欧盟在适用该规则于具体案件中时可能违反了多项WTO规则,我国政府和企业可以从事前预防、事中应诉和事后补救多方面进行应对。

我国特殊教育体育教师资格准入制度初探

实施教师资格准入制度,是教师专业化发展的基础环节。面对2020年我国教育基本实现现代化的大背景和建立特殊教育教师资格制度的世界性发展趋势,从我国特殊教育体育师资队伍专业化现状的实际出发,阐述了我国实施特殊教育体育教师资格准入制度的必要性;依据国家相关政策和我国开展教师资格认定工作的前期基础,论证了我国实施特殊教育体育教师资格准入制度的可行性。在此基础上,提出了实施特殊教育体育教师资格准入制度的建议。

实施腹腔镜手术资质准入与分级管理的实践

为规范腹腔镜手术的临床应用,保障医疗质量和医疗安全,医院从2011年开始实施腹腔镜手术分级管理制度,将腹腔镜手术资质准入和分级管理相结合,规定了不同级别的医师从事与其级别相符合的手术。腹腔镜手术分级管理明确了各级医师手术权限,对降低手术风险、预防医疗纠纷起到较好的作用。

一种XACML规则冲突及冗余分析方法

基于属性的声明式策略语言XACML表达能力丰富,满足开放式环境下资源访问管理的复杂安全需求,但其自身缺乏对规则冲突检测、规则冗余分析的支持.文中利用规则状态思想描述分析了属性层次操作关联带来的多种冲突类型,在资源语义树策略索引基础上利用状态相关性给出规则冲突检测算法;利用状态覆盖思想分析造成规则冗余的原因,给出在不同规则评估合并算法下的冗余判定定理.仿真实验首先分析了冲突检测算法的运行效率;然后针对多种策略判定系统,验证了基于语义树的策略索引和冗余规则处理可以显著提高判定性能.

普适计算隐私保护策略研究

普适计算环境中,用户的隐私保护意志可以通过让用户自己制定隐私信息的访问控制策略(隐私策略)而得到实现,研究隐私策略的统一表示及其执行机制可以有效地解决隐私策略的多样性问题.文中使用多类逻辑和描述逻辑,建立了隐私策略模型和隐私策略公理,提出了隐私规则知识库的概念,给出了隐私策略的逻辑推理方法.在此之上,从应用的角度,定义了隐私策略本体,提出了隐私规则的执行流程.通过规则引擎,验证了隐私规则的有效性和可用性.

一种扩展的基于角色的访问控制模型

结合自主访问控制和基于角色的访问控制的特点，提出了一种扩展的基于角色的访问控制模型（ERBAC）。该模型既实现了系统中静态的信息安全访问要求，又实现了权限管理中动态的变化要求。给出了ERBAC的动态授权管理框架，最后用形式化语言描述了ERBAC模型满足的规则。

确定性分布式数据库中长事务处理方法研究

确定性分布式数据库Calvin在执行长事务时,面对长事务中交替出现的读写请求,容易发生读写冲突,并且长事务会导致缓冲区置换频率升高,这些会影响系统的吞吐量。提出一种基于数据访问规则的事务处理方法与一种事务访问文件。基于数据访问规则的事务处理方法通过对事务间的读写集合进行分析,利用数据记录更新映射表来生成事务的数据访问规则。事务访问文件对历史事务更新数据进行整理,有效降低缓冲区置换频率。实验证明,改进方法可以有效降低长事务对确定性分布式数据库Calvin吞吐量的影响。

新闻出版市场准入规制:共时考量与简要评析

市场经济实行自由进入、公平竞争,大多数行业都可以这样,但是新闻出版业不允许。在中国,新闻出版业是党的宣传思想阵地,是先进文化的基本载体,是创造精神财富和物质财富的新兴产业。根据《出版管理条例》,国家对新闻出版单位实行企业准入和特殊产品准入审批制度,对业务准入实行审批指定制,对人员准入实行持证上岗制。对新闻出版市场准入规制的改革关键是要有利于新闻出版业强身健体,固本强基,壮大实力,增强活力,提高竞争力。

基于XACML的策略评估优化技术的研究

为了提高XACML策略评估逐层匹配的效率,在规则优化方面提出按规则的请求权重对规则进行排序的思想;同时在策略评估方面提出XACML合并算法的优先级及主体的规则索引表,优先选择符合匹配条件的策略和规则来提高匹配速度。仿真实验验证了采取这些措施后,缩短了PDP进行评估的时间,提高了评估效率。

改进的HyperSplit报文分类算法

针对现有高速、大容量、多域报文分类算法普遍存在内存使用量大的问题,提出一种改进的HyperSplit多域报文分类算法。通过分析现有算法内存使用量大的原因,修正和设计选择分割维度与分割点、去除冗余结构的启发式算法,最大限度减少决策树中的复制规则数量,消除决策树中存在的冗余规则和冗余节点,优化决策树结构。仿真结果表明,该算法与现有多域报文分类算法相比,不依赖于规则集类型和特征,在保证内存访问次数不增加、报文得到线速处理的情况下,可降低算法的内存使用量,当规则集容量为105时,内存使用量降低到HyperSplit算法的80%。

面向OpenFlow网络的访问控制规则自动实施方案

针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案。首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式。理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量。