Perti Net-Based Workflow Access Control Model

Access control is an important protection mechanism for information systems. This paper shows how to make access control in workflow system. We give a workflow access control model (WACM) based on several current access control models. The model supports roles assignment and dynamic authorization. The paper defines the workflow using Petri net. It firstly gives the definition and description of the workflow, and then analyzes the architecture of the workflow access control model (WACM). Finally, an example of an e-commerce workflow access control model is discussed in detail.

Fault detection for networked systems subject to access constraints and packet dropouts

This paper addresses the problem of fault detection（FD） for networked systems with access constraints and packet dropouts.Two independent Markov chains are used to describe the sequences of channels which are available for communication at an instant and the packet dropout process,respectively.Performance indexes H∞ and H_ are introduced to describe the robustness of residual against external disturbances and sensitivity of residual to faults,respectively.By using a mode-dependent fault detection filter（FDF） as residual generator,the addressed FD problem is converted into an auxiliary filter design problem with the above index constraints.A sufficient condition for the existence of the FDF is derived in terms of certain linear matrix inequalities（LMIs）.When these LMIs are feasible,the explicit expression of the desired FDF can also be characterized.A numerical example is exploited to show the usefulness of the proposed results.

User-Based Discrete-Time Queuing Analysis for Opportunistic Spectrum Access in Cognitive Radio Networks

In cognitive radio networks, the spectrum utilization can be improved by cognitive users opportunistically using the idle channels licensed to the primary users. However, the new arrived cognitive users may not be able to use the channel immediately since the channel usage state is random. This will impose additional time delay for the cognitive users. Excessive waiting delay can make cognitive users miss the spectrum access chances. In this paper, a discrete-time Markov queuing model from a macro point of view is provided. Through the matrix-geometric solution theory, the average sojourn time for cognitive users in the steady state before accessing the spectrum is obtained. Given the tolerant delay of cognitive users, the macro-based throughput is derived and an access control mechanism is proposed. The numerical results show the effects of service completion probability on average sojourn time and throughput. It is confirmed that the throughput can be obviously improved by using the proposed access control mechanism. Finally, the performance evaluations based on users are compared to that based on data packets.

云服务平台多层网络协同控制模型

面向制造业产业链上中下游大规模多类型企业群,针对产业链协同云计算服务平台的访问控制问题,提出多类型协同的多层级体系控制机制。基于SaaS/PaaS的云服务模式,从云服务平台产业链的业务协作与访问控制协同出发,给出多层次、分体系的平台访问控制方案。利用各体系层次的关联关系,构建了多维关系布尔矩阵。利用语义关系将布尔关系矩阵转化为多层级体系复杂网络控制模型,并对网络模型进行了仿真实现,给出了模型的实际应用方案及效果。该网络模型改进了传统的基于角色的访问控制静态控制模式,且具有较好的稳定性与扩展性,为解决大规模企业群在角色层次授权多样化、权限体系动态变化过程中的云服务平台访问控制问题,提供了较好的理论支撑。

基于Perti网的工作流访问控制模型研究

提出了一种工作流访问控制模型WACM(Workflow Access Control Model),该模型支持基于角色的授权,通过工作流引擎中的访问控制矩阵进行同步授权,采用Perti网来描述工作流,对工作流参考模型进行了定义和描述,分析了工作流访问控制模型WACM的体系结构,并将该模型应用到电子商务工作流中,建立了基于安全电子商务协议(SET)的访问控制模型。

基于互斥权限约束的角色挖掘优化方法

现有自底向上的角色工程方法挖掘规模庞大,挖掘结果存在冗余,且不能反映系统功能的安全需求。为优化角色结果,针对角色优化中的互斥约束问题,结合枚举角色挖掘,提出一种基于互斥权限约束的角色挖掘优化方法。利用用户聚类元组及互斥约束优化角色挖掘过程,通过角色职责分离对安全约束的合理性进行分析,采用矩阵分析法调整已挖掘权限的矩阵单元值,挖掘优化角色以覆盖所有权限。实验结果表明,通过权限覆盖分析法辅助挖掘的优化角色结果能够保证挖掘过程的完整性;与枚举挖掘法相比,该方法能够保证信息系统的安全性,降低角色结果的冗余度。

数据可信平台关键技术研究

针对企业内网中的涉密数据安全性问题,设计了基于可信进程的内网信息保护平台。该平台采用将文件加密属性以一定长度的信息块写入文件尾部的方式构成文件的加/解密识别标志,实现对文件的动态加/解密,采用访问策略与安全域权限管理相结合来控制不同角色的用户对文件的访问,采用固定算法的SSL通信机制,确保在客户/服务器模式下建立可信通道的效率及数据传递的安全性。

授权管理中的权限衍生计算方法

权限之间的衍生关系简化了授权管理,同时也增加了权限判决的难度,准确、高效地计算权限衍生对授权和访问控制具有重要意义。在给出基于资源和操作层次的权限衍生规则基础上,针对授权管理中权限查询较频繁而权限更新较少的特点,设计了一种新的基于可达矩阵的权限衍生计算方法,并研究了权限衍生关系动态调整的算法步骤。仿真实验表明,当权限的数量较大时,该新方法比基于权限衍生规则的直接计算方法具有较高的计算效率。

基于分级角色的访问控制

结合RBAC模型,提出了一种基于分级角色的访问控制模型,将系统用户依据职能的不同分为不同的角色,同一类角色又划分不同的等级。定义了基本概念和等级-角色矩阵,进行了形式化的描述,并应用在实际系统中。每一个实际用户通过不同等级的角色,对应于不同访问权限的资源,并可动态地进行角色转换和等级变迁,从而使访问控制机制更为灵活。

基于角色的存取控制在管理信息系统中的实施方法

针对管理信息系统，本文提出了一个实施基于角色的存取控制方法。在介绍基于角色存取控制的基础上以上海站管理信息系统为例列出实施此存取控制的步骤，包括基本表格的建立和控制函数的定义、模块流程图及各个模块的功能和相互关系。

扩展的基于属性的访问矩阵模型

针对传统访问矩阵模型的不足,提出了一种扩展的基于属性的访问矩阵模型。该模型以主体属性、客体属性、时间属性为参数,按照一定的授权规则来授权,授权规则是根据用户的需求而制定的。授权模型的提出和授权规则的灵活制定保证了访问矩阵能够灵活多样的赋予主体权限,弥补了传统访问矩阵的不足,并很好的适应当前的复杂情况。通过模型的理论设计,表明了模型的可行性。

一种四维访问矩阵模型的建立

传统的主体—客体访问矩阵模型缺少对动态因素的描述,故应用在刻画系统中具体的资源访问活动时存在着许多不足,如无法实现“最小特权”原则和缺乏对访问授权时间特性的控制。引入可执行程序及时间两维,提出的四维访问控制模型很好地弥补了上述的不足。

无线城市社团发现的研究——在Spark上利用改进关联规则实现社团发现的算法

社团发现算法存在生成结果冗余及时间复杂度高等问题,虽然关联规则是解决社团发现问题的有效方法,但面临大量迭代计算的瓶颈。针对上述问题进行了研究,提出了一种改进社团发现的SIACD算法。该算法引入MAC地址和布尔矩阵的概念对数据进行预处理,利用基于项数的布尔向量交运算改进Apriori算法,再基于Spark实现算法并行化计算,通过关联规则的方式挖掘无线社团数据。实验结果表明,SIACD算法解决了生成结果冗余、复杂度高、迭代计算等问题,提升了社团发现的挖掘速度,提高了对大数据的处理能力。

一种虚拟企业访问控制模型

在分析了虚拟企业访问控制需求的基础上,扩展传统的基于角色的访问控制模型(RBAC),定义了一种跨企业RBAC(CE-RBAC)模型,该模型能在虚拟企业环境中方便地实现跨企业的安全访问控制。

基于交错螺旋矩阵加密的自动信任协商模型

针对自动信任协商(ATN)中的敏感信息保护问题,提出了基于交错螺旋矩阵加密(ISME)的自动信任协商模型。此模型采用交错螺旋矩阵加密算法以及策略迁移法,对协商中出现的3种敏感信息进行保护。与传统的螺旋矩阵加密算法相比,交错螺旋矩阵加密算法增加了奇偶数位和三元组的概念。为了更好地应用所提模型,在该协商模型的证书中,引入了属性密钥标志位的概念,从而在二次加密时更有效地记录密钥所对应的加密敏感信息,同时列举了在协商模型中如何用加密函数对协商规则进行表示。为了提高所提模型协商成功率和效率,提出了0-1图策略校验算法。该算法利用图论中的有向图构造了6种基本命题分解规则,可以有效地确定由访问控制策略抽象而成的命题种类。之后为了证明在逻辑系统中此算法的语义概念与语法概念的等价性,进行了可靠性、完备性证明。仿真实验表明,该模型在20次协商中策略披露的平均条数比传统ATN模型少15.2条且协商成功率提高了21.7%而协商效率提高了3.6%。

任意偏序的NTree判定及近似表示

用角色而不是个体作为存取控制的粒度单位有许多优点 ,这些优点在层次 RBAC(偏序 )中得到进一步体现 ,NTree是定义这种偏序既自然又系统的方法 .本文介绍了偏序的超矩阵表示及相应的 NTree判别和近似表示方法 .

基于矩阵的NTree中角色直接关系的判定

用角色而不是个体作为存取控制的粒度单位有许多优点 ,这些优点在RBAC偏序中得到进一步体现 ,NTree是组织这种偏序既自然又系统的方法。本文定义了偏序的一种矩阵表示 ,介绍了相应的偏序中角色直接关系的判定算法 ,并将矩阵表示和判定算法应用到NTree上。

自动信任协商中环策略依赖检测技术

针对自动信任协商(ATN)可能出现协商过程无限循环的问题,对循环产生的原因进行了分析并设计相应的检测算法以及时发现并终止协商循环。协商双方策略间的依赖关系存在环是无限循环协商产生的原因,将策略间的依赖关系建模成简单图并证明了模型的正确性;分析简单图的可达矩阵计算过程并给出简单图环检测定理,基于该定理设计检测算法对环策略依赖进行检测。最后,通过实例验证了算法的可行性。

一种新型访问控制技术研究

使用控制(UCON)[1]是对访问控制的一种概述,它包含授权、职责、条件、连续性(正在进行的控制)和易变性。通常来说,访问控制只是对主体访问的目标资源进行授权,作为访问的结果并没有进行系统的分析研究。文章根据使用控制的需求,研究了一种ABC模型,该模型定义为使用控制的核心模型,并且说明了它是怎样包含了传统的访问控制,例如强制的、自主的、基于角色的访问控制。另外,也讨论了它的体系结构,引入了一种全新的对使用控制及其变化的监控方法。

多模数线性同余方程组在存取控制技术中的应用

研究一类新的计算机存取控制技术,即运用多模数线性同余方程组的数值解法改进了传统的W u与Hwang钥匙—锁配对法,得到了同一存取控制矩阵的多个锁值存储方案,提高了锁值存储的安全性,并通过算例说明算法是可行的.