Research and Realization of the Role-Based System Access Control Management

The systematical structure of the role-based access control was analyzed,giving a full description of the definitions of user,user access,and the relation between post role and access. It puts forward a role-based access control management which is relatively independent in the applied system. This management achieves the control on user's access by distribution and cancel of role-play,which is a better solution to the problems of the access control management for the applied system. Besides,a complete scheme for the realization of this access control was provided.

A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.

面向可变用户群体的可搜索属性基加密方案

为解决属性基加密方案中用户撤销繁琐、密文更新计算开销大的问题,提出一种面向可变用户群体的可搜索属性基加密方案.利用二叉树管理撤销列表,当需要撤销用户时,可信中心只要将其加入撤销列表,并通知云服务器更新部分密文,提高了用户撤销的效率.考虑到利用二叉树实现用户撤销会导致系统中用户数量存在上限,当某个二叉树叶结点所代表的用户被撤销后,只要更新二叉树中设置的随机值,其他用户就可以重复使用该结点.基于配对计算为用户提供密文搜索功能,并保证被撤销的用户无法搜索密文.安全性分析表明,该方案在随机谕言模型下满足选择明文不可区分安全性.性能分析和实验数据表明,该方案相比于同类方案,计算开销更小.

The Package Concept for Enforcing Usage Control

Access and usage control is a major challenge in information and computer security in a distributed network connected environment. Many models have been proposed such as traditional access control and UCONABC. Though these models have achieved their objectives in some areas, there are some issues both have not dealt with. The issue of what happens to a resource once it has been accessed rightfully. In view of this, this paper comes out with how to control resource usage by a concept known as the package concept. This concept can be implemented both with internet connection and without the internet connection to ensure continual control of resource. It packages the various types of resources with the required policies and obligations that pertain to the use of these different resources. The package concept of ensuring usage control focuses on resource by classifying them into three: Intellectual, sensitive and non-sensitive resources. Also this concept classifies access or right into three as: access to purchase, access to use temporally online and access to modify. The concept also uses biometric mechanism such as fingerprints for authentication to check redistribution of resource and a logic bomb to help ensure the fulfillment of obligations.

电力营销系统用户访问权限的鲁棒自适应同步控制方法

为了实现电力营销系统用户对公共服务权限和责任区权限的同步控制,提出电力营销系统用户访问权限的鲁棒自适应同步控制方法。以角色访问控制为基础,基于鲁棒k-means算法划分用户责任区,计算责任区内用户的可信度;依据计算结果判断对应权限内角色的权限等级,以此可访问权限对应范围内的信息和资源,同时可拥有相应的操作权限;在制定初始访问策略集后,通过自适应蚁群算法的求解访问策略以获取最佳策略。测试结果表明,提出的方法具备良好的鲁棒性,优化效果在85%以上,可有效降低加权复杂度,能够实时监测用户信用度的变化,计算用户的信任度,实现公共服务权限和责任区权限的同步控制。

在线医疗社交网络中支持用户撤销的数据隐私保护方案

随着在线医疗技术的普及,人们得以享受更便捷的医疗服务。然而在享受这份便捷的同时,也引发了人们对医疗数据安全和患者隐私泄露的担忧。传统的数据隐私保护方案在数据的机密性和真实性等方面依然面临着安全挑战。当医疗社交网络遭受黑客攻击或用户被腐化时,可能引发严重的医疗事故。为了实现更安全高效的在线医疗问诊,基于匹配加密技术设计出支持用户撤销的数据隐私保护方案。该方案确保患者和医护人员精确控制数据访问,并通过用户撤销机制保障系统中合法数据的安全性。方案首先概述了使用传统技术进行撤销的直接方法,并指出当系统用户规模较大时,直接方法存在一些性能限制。为了进一步提高效率,采用了完全二叉树技术来实现撤销。最后,文章在随机预言模型下基于BDH假设进行安全性证明,验证了所提方案的安全性。

零信任网络中基于区块链的访问风险评估模型构建

区块链技术为零信任网络访问风险控制提供了新的思路,凭借区块链技术的去中心化、防篡改和可溯源特征,可为零信任网络提供更加可靠的安全保障。文章介绍了区块链技术,结合零信任网络访问要求,基于区块链技术构建了贝叶斯优化LightGBM模型。该模型解决了传统模型固有的单点故障问题,通过访问特征定义与数据预处理,极大地提升了用户访问的安全性,为用户身份管理提供了有效方式。模型经过验证,最终得分为5.22,训练速度为30 s,结果表明该模型具有较好的拟合度、精准性和训练速度,能够满足零信任网络的访问控制需求。

基于时间因子的可撤销可追踪属性基加密方案

现有的属性基加密方案访问策略中较少涉及时间因子,用户为自己的数据设置访问策略时,无法对访问数据的用户拥有属性的时间进行限定,针对恶意泄露密钥的用户进行追踪并撤销也是属性基加密中的挑战性问题,现有的可撤销方案存在计算量太大、效率过低等缺陷。针对这些问题,提出一种基于时间因子的可撤销可追踪属性基加密方案,在用户密钥中分别标记用户获取属性的时间,访问策略中对用户获取属性最早/最迟时间进行限定,解密时对用户属性时间进行验证,丰富了系统的访问策略并实现了方案的后向安全,通过时间验证服务器对用户解密阶段进行管理,用户属性撤销时仅需要更新用户时间标记因子,用户撤销时仅需要删除时间因子,实现方案高效撤销和前向安全。最后,在DBDH假设下,所提方案是IND-CPA安全的。性能分析和实验结果表明,所提方案有较丰富的功能和较高的性能。

基于流程编码的水产养殖产品质量追溯系统的构建与实现

以水产品为研究对象,基于养殖产品流程个体编码技术、XML Web服务的数据传递技术和角色控制的权限动态分配技术,建立了多层次多用户多权限的水产养殖产品质量追溯系统,为生产者、检验者、监督者和消费者提供食品生产、流通和消费各环节信息交互平台,并以电话、网络、短信向公众提供追溯查询服务、认证监管服务和防伪服务,具有较好的推广应用前景。

分布式数据库系统的安全机制

分布式数据库安全的核心技术是用户身份验证和访问控制。文章首先介绍了分布式数据库系统及其安全的核心技术，接着分析了在分布式数据库中实现用户身份验证和访问控制的特殊需求，并描述了一种满足这些特殊需求的安全机制，最后分析了这种安全机制的执行性能和安全特性。

基于用户的VPN安全审计模式

针对现有VPN系统安全审计的不足,提出一种新的VPN安全审计模式。通过将用户身份与数据流的绑定,把传统单一数据流审计转变为用户数据流的访问日志,不仅克服了传统日志信息理解难的问题,而且有效地解决了远程用户接入控制与管理问题。

大型信息系统通用权限管理系统的设计与实现

权限管理和访问控制是每个管理信息系统的重要组成部分,它关系到整个系统的安全性和可靠性,在大型信息化系统的设计开发过程中,如何对系统的权限进行规划并设计出一个通用而有效的权限管理系统,是摆在软件分析人员面前的一个复杂课题。一个优秀的通用权限管理系统可以为管理信息系统的开发建立一套通用的功能完善而且又 灵活方便的安全管理手段,使开发人员从权限管理重复劳动的负担中解放出来,专心致力于应用程序的功能上的开发。

一种基于角色访问控制(RBAC)的新模型及其实现机制

文中对基于角色访问控制（ｒｏｌｅ－ｂａｓｅｄ ａｃｃｅｓｓ ｃｏｎｔｒｏｌ， ＲＢＡＣ）研究中的两大热点——模型的建立和实现进行了较深入的研究，提出了一种新的ＲＢＡＣ模型——ＮＲＢＡＣ模型．这一模型除具有全面性外，比之已有的ＲＢＡＣ９６ 模型还具有接近现实世界和形式统一的优点．针对ＮＲＢＡＣ模型的实现，文中又提出了一种新的ＲＢＡＣ实现机制——基于时间戳和素数因子分解的二进制双钥－锁对（ ＴＰＢ－２－ＫＬＰ）访问控制方案．它不仅能很好地克服已有ＲＢＡＣ实现机制存在的缺点，还兼备了对锁向量修改次数少和发生溢出可能性小的优点．

基于AOP技术的重构方法研究与实现

对面向 Aspect这种新的编程技术进行了分析 ,阐述了如何利用 AOP技术进行重构 .通过与传统方法进行分析对比 ,AOP可为软件工程技术提供一流的、可重用的解决方案 .通过对 Java Web应用的用户访问控制模块的研究和实现 ,提出了一种新的基于

基于B-B-C电子商务模式的用户权限控制

通过对传统的用户权限控制方法的全面分析,结合B-B-C电子商务模式用户多样化的特点,提出了一种基于角色和用户功能项相结合的权限控制方法,并给出了具体的实现方法。

面向复杂信息系统的用户管理策略

网络环境下的复杂信息系统,在开放、半开放环境下普遍面临着客户端权限确认、权限属性定义、动态权限设置以及主动保护等问题,而传统用户管理静态权限设置和直接授权的模式很难解决这些问题。为此,提出了基于权限对象的用户管理策略,将用户管理过程分为身份证实、权限控制和操作监控等三个阶段。身份证实阶段主要解决开放、半开放环境下的用户身份认证问题;权限控制阶段引入权限对象,有效地解决了权限属性定义、动态权限指派、客户端权限确认等问题;监控阶段则重点解决主动保护问题。

产品数据管理系统的用户权限管理

通过对产品数据管理系统的分析 ,本文探讨了产品数据管理系统中数据、工作流程、活动、操作和角色之间的关系 ,提出了基于数据、工作流程、活动、操作和角色的用户权限管理的建模方法。通过在某航空企业 PDM系统中建立用户权限管理模型的应用 ,证明了这种方法具有简单、规范、有效等特点 ,并可广泛应用于其它类型的复杂信息系统中。

达尔文流媒体服务器用户认证扩展与应用

达尔文流媒体服务器(Darwin Streaming Server,DSS)是Apple公司开发的开源流媒体服务器架构,可运行于Win-dows,Linux,MacOS等多种平台.本文结合一实际通用应用项目,通过分析DSS的主要工作流程及其开发接口,研究在不改变其服务器核心代码的情况下,为解决大量用户权限管理的问题增添新的用户认证等自定义功能的方法,并对新实现的用户认证与原有的简单认证进行对比压力测试,实验说明该方法可以实现带有权限控制的复杂用户认证,且性能在大量注册用户的情况下有显著提升.

一种基于用户行为信任的动态角色访问控制

在基于角色的访问控制(RBAC)模型基础上,引入了属性的概念,增加了用户行为信任级别集合,建立了一种基于用户行为信任评估的动态角色访问控制(UT-DRBAC)模型。对新的模型进行了详细的形式化描述并讨论了模型的授权流程,最后从动态性、信任机制、角色数量和性能方面对模型的优越性进行了分析。新的访问控制模型通过角色属性的动态指派实现了模型授权的动态性,通过把用户信任级别作为一个必需的角色属性实现了基于身份信任和行为信任相结合的访问控制,改变了现有访问控制模型单一基于身份信任的静态授权机制;通过设置角色属性减少角色数量,从而缓解了因角色过多而带来的角色管理问题,同时提高了性能。