基于划分和规则的访问控制系统的实现

现在对访问控制的研究大量集中于基于角色的访问控制(RBAC)或者对PRBAC应用模型的研究,而对PRBAC的应用开发也局限于PKI授权方式的实现。本文将在PRBAC原理基础之上提出一种支持多种授权方式以及多种应用的全新的安全访问控制系统,用户可以使用该系统方便、灵活地开发、布署和管理从一般到面向企业关键业务的访问控制系统。

利用规则RBAC模型实现门户的安全访问控制

基于角色的访问控制(Role-BasedAccessControl,RBAC)是一种安全、高效的访问控制机制,并不能满足门户中根据用户特征的动态改变而动态地改变用户角色的需要。结合RBAC模型思想和门户的需要提出一个基于规则的RBAC模型,在用户和角色之间增加规则,并通过定义规则表达式实现了动态的用户角色分配,克服了标准的基于角色访问控制模型应用于门户的缺陷。讨论了以规则RBAC模型为基础的门户中资源访问控制的实现,有效地解决了门户中的安全访问控制问题。

工作流系统中一个基于多权角色和规则的条件化RBAC安全访问控制模型

针对传统的RBAC模型不能表达复杂的工作流安全访问控制约束的缺点,提出了一个适合工作流系统的基于多权角色和规则的条件化安全访问控制模型CMWRRBSAC(conditioned multi-weighted role and rule based secure access control model)。该模型基于传统的RBAC模型,提出了基于动态角色分配的条件化RBAC方法,定义了基于多权角色的工作流系统访问授权新概念,并针对多个角色和多个用户协同激活任务的序约束问题,给出了基于令牌的序约束算法和基于加权角色综合的序约束算法,讨论了一个基于规则的职责分离约束建模方法,并给出了改进的规则一致性检验算法。

基于角色和规则的访问控制

分析了传统RBAC模型在应用中存在的不足,引入了上下文和规则的概念,并将权限分 为使能型、激活型和限制型,提出了基于角色和规则的访问控制模型。通过在设计时定义安全策略, 并在运行时捕获上下文信息来应用安全策略,从而能够为系统提供更细粒度的访问控制,同时也可以 降低传统RBAC模型中角色权限分配的工作量。

基于角色与基于规则相结合的访问控制模型

针对基于角色的访问控制模型的局限性 ,提出了一种基于角色与基于规则相结合的访问控制模型 ( RRBAC) .该模型以可扩展的用户组织结构为框架 ,根据用户组织结构定义角色的属性及其继承关系 ,用参数化的规则集合描述了用户组织结构中由上下级关系所引发的操作许可 ,实现了面向群组协同工作的分级权限管理体系 .最后 。

普适计算环境下基于模糊ECA规则的访问控制方法

上下文信息是普适访问控制的关键因素,对主体授权和权限使用过程具有决定性影响。普适计算环境下,主体权限、资源访问控制强度和安全策略应随上下文的变化而动态自调节。已有访问控制模型均未考虑上下文对普适环境下访问控制的主动性影响,使得访问控制的主动性和自适应性较差。为了描述上下文对普适访问控制中主体权限、访问控制强度和安全策略的主动性影响,通过对传统ECA规则进行模糊扩展,设计了一种基于区间值模糊集合理论的模糊ECA规则模式,提出了基于模糊ECA规则模式的主动访问控制方法,使授权和访问控制自适应于普适计算环境。

面向OpenFlow网络的访问控制规则自动实施方案

针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案。首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式。理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量。

主动模糊访问控制规则集终止性分析

基于主动模糊规则的访问控制模型,可以实现普适计算环境下资源的安全主动模糊自适应访问控制,而构造的访问控制规则集的终止性是决定模型实际是否可用的一个关键问题。提出了一种基于元图理论的主动模糊访问控制规则集终止性分析方法,用模糊触发元图(fuzzy triggering metagraphs,FTMG)表示主动模糊访问控制规则之间复杂的触发和激活关系,通过分析FTMG的邻接矩阵闭包,寻找最小真触发环,进而判断主动模糊访问控制规则集的终止性。通过实例分析验证了该方法的有效性和可用性,仿真实验结果表明,使用该方法分析大规模主动模糊规则集终止性时具有较高的时间效率。

基于逻辑合一的访问控制规则描述

现有的访问控制规则描述方式不易表达一类主体、客体间具有包含关系的访问控制规则。针对此问题,提出一种基于逻辑中合一思想的算法。算法首先将访问控制请求转换为逻辑提问,同时根据逻辑回答给出相应的访问控制请求应答;然后使用事实描述访问控制规则中的各个要素,并通过在系统运行过程中对非ground事实的变量的动态例化实现灵活的访问控制。最后,通过一个实例及分析说明了算法的有效性。

基于规则引擎的访问控制研究

针对基于角色的访问控制模型RBAC没有将上下文考虑在内,而且控制力度只能到达商务方法级,提出了一种基于规则引擎的访问控制模型。该模型不仅继承了RBAC的优点,同时还利用规则实现了细粒度的访问控制,使开发人员能够动态地控制应用程序的行为。

过量规则下网络访问控制方法

分析过量规则对网络访问控制设备性能的影响,讨论针对这一问题的解决方法。基于优化规则、多设备分担负载的思想,提出IP编组与访问控制分离、管理与优化分离的串接-两分离访问控制法,设计了相应的双防火墙串接设备部署方案和超越应用的规则编组优化方案。物理仿真实验验证了串接-两分离访问控制法的可行性与优越性。

云计算中基于否定规则的访问控制技术的研究

数据的安全性和隐私保护给云计算领域带来了极大挑战,为实现合作企业间在云环境下公开共享部分数据且不涉及保密信息,提出一种基于否定规则的访问控制技术。主要思想是通过判断访问查询是否授权,检测授权与否定规则是否存在冲突,来达到阻止非法访问的目的。理论分析和实验结果表明该机制能有效地保障云数据的安全。

工作流管理中基于规则策略的访问控制

提出了一个工作流管理中基于规则策略的访问控制模型,给出了规则模型的集合表达和定义,重点分析了规则解释器的实现和关键算法,最后给出了一个应用。

国际电信联盟无线电规则和国家频率划分表亚太区研讨会举行

本刊讯(记者帅又榕)5月28日至31日,由工业和信息化部承办的国际电信联盟(ITU)无线电规则和国家频率划分表亚太区研讨会(NTFA R3)在上海市召开。来自亚太电信组织(APT)26个成员国、相关研究机构以及企业的106名代表参加了会议。国际电信联盟无线电通信局主任马里奥·马尼维奇。

基于规则引擎的项目开发环境访问控制架构

针对虚拟化项目开发环境访问控制管理复杂化问题,提出了基于规则引擎的项目开发环境访问控制架构,介绍了该架构的总体设计。同时分析了系统访问控制流程,并设计了访问控制逻辑与流程相分离的松耦合架构,为虚拟化建设和管理项目开发环境提供参考。

规则引擎在访问控制中的研究与应用

为将策略与机制分离的思想应用到访问控制模型,本文引入规则引擎技术,用规则来表示具体的访问控制策略,利用Java反射机制实现用户属性的实时加载和规则的动态执行,增强了规则引擎的灵活性,且通过对Rete算法的研究,提出基于多规则节点共享的规则匹配算法,提高规则匹配效率。

XML关键字检索的访问控制规则和索引

XML数据库的关键字检索简单易用,并且用户不必了解数据库的模式,近期受到人们的广泛关注。当前的相关研究主要集中于关键字检索的算法以及返回结果的组织和排序,然而却忽视了关键字的安全访问控制问题。结合XML关键字搜索和XML安全访问控制,提出一种新的建立于XML Schema上基于角色的访问控制规则SRACP(Schema Role Access Control Policy),并在SRACP规则的基础上建立安全的XML关键字检索的索引(SRACP-Index),包括:SRACP-Index的数据结构,SRACP-Index的构建和算法,以及如何利用SRACP-Index的建立进行SSLCA的查询。最后通过实验证明该索引和SSLCA查询算法的有效性。

基于规则引擎的隐私数据访问控制系统

随着信息技术在医疗服务领域越来越广泛的应用,医疗机构和第三方医疗服务机构所使用的医疗系统也变得越来越复杂,如何灵活地控制不同系统中用户的数据访问权限,管理实施复杂多变的隐私保护规章制度来保护患者的隐私成为一个越来越重要的问题。介绍了一种基于规则引擎的隐私数据访问控制系统,通过引入规则引擎技术可以有效地增强系统隐私保护策略的灵活性,为系统管理人员设定和维护隐私策略提供更好的支持。

一种基于属性的企业云存储访问控制方案

针对企业云存储应用的需求,以及目前基于属性的访问控制方案在访问规则描述方面存在的不足,提出了一种适合企业云存储的基于属性的访问控制方案。该方案直接用字典变量表示主体、资源和环境实体,用Python逻辑表达式描述访问规则,并采用eval函数执行规则,从而使访问规则容易编写,表达能力强,且执行开销小。考虑到资源的层次结构特点,分别为不同的访问权限设计了相应的访问规则继承策略以简化访问规则的编写,并采用跨语言的服务开发框架Thrift对访问控制器进行了实现。

云计算环境中基于对象和用户的角色访问控制模型

针对云计算环境中资源按需访问的特点以及不同资源不同用户访问控制的特殊性,基于基本角色访问控制模型(role-based access control,RBAC),提出一种基于对象和用户的角色访问控制模型OURBAC(object-and-user based on RBAC);并设计了具体的用户访问权限判定规则。以实际实现应用为背景,设计了OURBAC的具体实现流程,对算法的安全性进行了分析,表明本算法使云资源访问控制得以进一步细化,能明显减少系统中角色数量,有效的提高了系统运行效率及安全性。