Ensuring Security, Confidentiality and Fine-Grained Data Access Control of Cloud Data Storage Implementation Environment

With the development of cloud computing, the mutual understandability among distributed data access control has become an important issue in the security field of cloud computing. To ensure security, confidentiality and fine-grained data access control of Cloud Data Storage (CDS) environment, we proposed Multi-Agent System (MAS) architecture. This architecture consists of two agents: Cloud Service Provider Agent (CSPA) and Cloud Data Confidentiality Agent (CDConA). CSPA provides a graphical interface to the cloud user that facilitates the access to the services offered by the system. CDConA provides each cloud user by definition and enforcement expressive and flexible access structure as a logic formula over cloud data file attributes. This new access control is named as Formula-Based Cloud Data Access Control (FCDAC). Our proposed FCDAC based on MAS architecture consists of four layers: interface layer, existing access control layer, proposed FCDAC layer and CDS layer as well as four types of entities of Cloud Service Provider (CSP), cloud users, knowledge base and confidentiality policy roles. FCDAC, it’s an access policy determined by our MAS architecture, not by the CSPs. A prototype of our proposed FCDAC scheme is implemented using the Java Agent Development Framework Security (JADE-S). Our results in the practical scenario defined formally in this paper, show the Round Trip Time (RTT) for an agent to travel in our system and measured by the times required for an agent to travel around different number of cloud users before and after implementing FCDAC.

Task-and-role-based access-control model for computational grid

Access control in a grid environment is a challenging issue because the heterogeneous nature and independent administration of geographically dispersed resources in grid require access control to use fine-grained policies. We established a task-and-role-based access-control model for computational grid (CG-TRBAC model), integrating the concepts of role-based access control (RBAC) and task-based access control (TBAC). In this model, condition restrictions are defined and concepts specifically tailored to Workflow Management System are simplified or omitted so that role assignment and security administration fit computational grid better than traditional models; permissions are mutable with the task status and system variables, and can be dynamically controlled. The CG-TRBAC model is proved flexible and extendible. It can implement different control policies. It embodies the security principle of least privilege and executes active dynamic authorization. A task attribute can be extended to satisfy different requirements in a real grid system.

基于RBAC模型的网络安全访问控制系统

为缩短网络安全访问控制系统的响应时间,设计了一种基于角色的访问控制(Role-BasedAccess Control,RBAC)模型的网络安全访问控制系统。通过网关设备采用树莓派,外网设备采用路由器完成系统硬件设计。通过设计RBAC模型的知识库、基于RBAC模型的身份认证功能、用户信任值评估功能完成系统软件设计。仿真实验结果表明,当并发用户数量为10 000时,本文设计的网络安全访问控制系统的平均响应时间为1.38 s,工作效率较好,具有一定的应用价值。

涉密信息系统分级分域访问控制技术研究与实现

涉密信息系统普遍存在访问控制粒度粗、知悉范围易扩大等问题。根据保密标准,分级分域访问控制技术对系统内部安全防护至关重要。本文对涉密信息系统分级分域访问控制技术进行研究——综合相关要素,细化安全域和VLAN;部署准入控制系统,实现客户端统一网络准入认证;部署服务器端防火墙,实现访问控制策略精细化管理,满足了标准中关于分级分域访问控制的要求,提高了涉密信息访问控制细粒度,提升了系统整体安全防护能力。

基于任务和角色的双重Web访问控制模型

互联网 /内联网和相关技术的迅速发展为开发和使用基于Web的大规模分布式应用提供了前所未有的机遇 ,企业级用户对基于Web的应用 (Web basedapplication ,WBA)依赖程度越来越高 访问控制作为一种实现信息安全的有效措施 ,在WBA的安全中起着重要作用 但目前用来实现WBA安全的访问控制技术大多是基于单个用户管理的 ,不能很好地适应企业级用户的安全需求 因此提出了基于任务和角色的双重Web访问控制模型 (taskandrole basedaccesscontrolmodelforWeb ,TRBAC) ,它能够满足大规模应用环境的Web访问控制需求 并对如何在Web上实现TRBAC模型进行了探讨 ,提供了建议 同时 。

基于角色的访问控制模型分析

介绍了一种新型的访问控制机制－基于角色的访问控制RBAC（Role－BasedAccessControl）的研究背景与基本特征，对它的规则模型RBAC96与管理模型ARBAC97进行了重点描述，并在最后给出了一个设计实例。

基于角色的访问控制模型安全性分析研究综述

在总结RBAC及其管理模型发展现状的基础上,给出了访问控制模型的安全分析和RBAC模型的安全性分析的概念性描述,综述了针对RBAC及其扩展模型的安全性分析方法,主要包括状态机理论、智能规划和图规划算法、图变换、图灵机理论和Petri网等方法。通过比较分析这些安全性分析方法,针对分布式环境下授权管理与访问控制的新需求,指出了安全性分析方法面临的问题,展望了将来的研究方向。

TRDM——具有时限的基于角色的转授权模型

当前基于角色的系统的完全依赖于管理者的集中式管理方式 ,不能够满足分布环境下的系统管理的需求 基于角色的转授权模型 (role baseddelegationmodel,RDM )更适于分布式环境的授权管理 ,但当前的几种授权模型都不支持时限 (temporary)和授权宽度 基于时限和授权宽度等方面 ,对RDM 2 0 0 0 (role baseddelegationmodel 2 0 0 0 )模型进行了扩充 ,提出了完备的具有时限的基于角色的转授权模型 (temporalrole baseddelegationmodel,TRDM ) ,并提出了新的基于TRDM的角色授权和角色撤销 (revocation)

基于角色的多级访问控制模型

在基于角色的访问控制 (role basedaccesscontrol,RBAC)模型的基础上提出了一种基于角色的多级访问控制模型RBMHAC(role basedmulti hierarchyaccesscontrol) .该模型引入“域”的概念来模拟现实世界中的等级管理体制 ,通过对“域”用户的安全管理来有效地实现多级安全管理 .RBMHAC模型能提供更加完善的访问控制策略 ,对角色的管理也更加方便高效 .

基于RBAC的授权管理安全准则分析与研究

针对安全准则在授权管理安全性验证中具有的重要意义,提出了基于RBAC的授权管理安全准则。以保障授权管理的安全性为目标,分析了授权管理中的RBAC安全特性,深入剖析了授权管理安全需求,从数据一致性、授权无冗余、权限扩散可控、管理权限委托可控、满足职责分离和访问权限可用等方面给出了一致性准则、安全性准则和可用性准则3项授权管理安全准则。分析表明,该安全准则与现有的RBAC安全特性相一致,能够为基于RBAC授权管理的安全性提供有效支撑,为衡量其安全性提供标准和依据。

一种基于量化用户和服务的大规模网络访问控制方法

目前,传统的RBAC(Role-Based Access Control)访问控制模型在支持细粒度服务和角色迁移的可控性上存在一定不足.针对这些不足,结合开放式网络环境的实际情况,文中提出了量化服务的概念,实现了一种基于细粒度角色和服务的访问控制机制,给出了一个形式化的基于量化服务和角色的访问控制模型QSRBAC(Quantified Services and Roles Based Access Control).该模型提供了灵活的访问控制粒度,支持对角色和服务的多角度访问控制,支持权限动态调整和条件角色迁移,可以用于大规模开放式网络环境.经测试,在百万规模规则的情况下,基于该模型的访问控制系统内存占用9.6GB以下,平均规则执行时间20μs以内.实验结果证明,该模型可以满足访问控制的效果和时间要求,它的应用显著增强了访问控制过程的可管理性.

基于双层角色和组织的可扩展访问控制模型

针对现有基于角色的访问控制(RBAC)研究存在角色设置单一使得适应性差、多域环境下角色或权限冗余、对资源管理关注不够等问题,论文提出支持资源管理的基于双层角色和组织的访问控制模型。通过双层角色划分,提出基于职能角色和任务角色的双层角色架构,使得模型更加符合实际,也更具适应性;引入组织的概念并与双层角色相结合,对角色和权限的概念加以扩展,形式化定义了提出的基于双层角色和组织的访问控制模型,描述了影响模型安全的职责分离约束和势约束。对模型的表达能力、复杂度进行了分析,分析表明该机制不仅保留了RBAC的特点与优势,且比RBAC具有较低的复杂度并更适合于由多个相似组织构成的分布式多域环境。

一种基于环境安全的角色访问控制模型研究

基于角色的访问控制RBAC(role-based access control)能够降低访问控制管理工作的复杂性,但在动态变化的网络环境中,单纯依靠用户身份属性进行角色和许可分配,不能完全满足网络安全服务的要求。提出ESRBAC(environment security role-based access control)模型,将角色与环境安全性相关联,只有用户的环境达到一定安全级别时,其角色对应的许可方才有效。给出了模型的定义及基本语义,并用一种适合于描述模型运行的形式化工具对一个具体的实例进行了分析。

分布式环境下基于RBAC互操作的安全检测

针对分布式系统之间进行安全互操作的问题提出了安全冲突的检测方法.通过在基于角色的访问控制(RBAC)系统之间建立角色映射来实现跨系统的访问控制.分析了由于引入角色映射带来的安全冲突,并采用形式化的方法定义了RBAC系统之间的互操作及其安全性.根据分布式环境的特点提出了互操作中安全冲突的最小化检测法,通过减少参与计算的角色数量减小了计算复杂度.在最小化检测法的基础上进一步分析了安全冲突的特点,帮助管理人员消除安全冲突.

无线体域网中基于属性加密的数据访问控制方案

作为一种新的电子医疗技术,无线体域网(wireless body area networks,WBANs)将在病情监测中发挥重要作用,安全性及隐私性保护是无线体域网的重要内容。针对WBANs数据访问控制提出一种细粒度的数据访问方法,该方法采用基于属性的数据加密方法,加密者将数据访问结构作为访问策略,当解密者所具有的属性满足该结构时,即可访问该数据,否则,拒绝用户访问。分别从正确性、安全性及能量消耗三方面对方案进行分析。仿真实验结果表明,本方案相对其他方案能量消耗较小。

基于角色权限管理的B/S与C/S模式相结合的教务管理系统安全体系的研究与设计

阐述了目前高校教务管理系统存在的各种安全问题,综合分析各种安全问题出现的原因,论证了建立教务管理系统安全体系的必要性.分析目前比较常用的B/S模式与C/S模式的优缺点,并针对高校教务管理系统的特殊性,提出基于B/S与C/S模式相结合的高校教务管理系统模型,弥补二者单独应用所存在的缺点与不足.同时,为了避免由于服务器配置不当,或者Web设计代码存在缺陷而使系统处于风险中,又在该模型基础上引入角色权限管理的机制,把教务管理的工作结构通过角色映射到系统中,实现系统权限与角色对应,而不是用户本身,最终设计了基于RBAC的B/S与C/S模式相结合的教务管理系统安全体系模型,从而使教务管理系统中信息的安全性得到了保障,同时也保证了系统安全、稳定、快捷的运行.

基于RBAC策略的可信网格访问控制模型

针对网格环境的特点,分析了网格中实体间的信任关系,给出了信任度的计算方法。对RBAC技术进行了相应的改进,提出了基于RBAC的可信网格访问控制模型,给出了RTGM模型中的结构和模块以及访问控制部分的过程。可信网格访问控制提高了网格环境下的访问安全性。

Web环境下基于角色的访问控制策略及实现

针对Internet环境下Web系统的安全，提出了一种改进的、更加完善的RBAC方案，采用ASP.NET技术，根据用户所属角色的权限自动生成功能模块，屏蔽不安全操作。将局域网用户和广域网用户区别开来制定访问权限，提高了应用系统的安全性。

基于Graphplan的ARBAC策略安全分析方法

策略安全分析是访问控制系统保持安全状态的重要机制.针对具有角色继承层次和角色静态互斥特征的分布式访问控制系统,文中采用智能规划技术进行策略安全分析.首先,提出了策略安全分析问题向规划问题转换的整体思路,定义"虚动作"模型以描述角色继承关系,使用领域互斥表述静态互斥角色,引入领域公理处理ARBAC策略的开放世界假设问题和前提条件中的负谓词问题.其后,运用图规划(Graphplan)算法求解转换而来的规划问题,重点分析了领域公理对规划图中部分NooP动作的剪枝作用,提出了领域公理在规划图扩展阶段的应用方式以及据此改进的图规划算法,介绍了已开发的面向ARBAC策略安全分析实验型规划系统.最后,进行了应用示例说明.

基于RBAC的云计算访问控制模型

由于受到虚拟化和弹性化特性的影响,与传统的访问控制相比,云计算下访问控制的约束条件更加复杂,主客体属性及主体所拥有的角色也因而处于动态变化之中。针对云计算下访问控制的上述问题,提出一种基于基于角色的访问控制(RBAC)的云计算访问控制模型。该模型将动态可变机制与主客体安全等级引入到访问控制策略中,既可保证云环境下数据的安全性和可靠性,又具有一定的灵活性。最后给出该模型的实现过程,并在基于云计算的医疗保健系统中予以实现。