A Cache Considering Role-Based Access Control and Trust in Privilege Management Infrastructure

PMI （privilege management infrastructure） is used to perform access control to resource in an E-commerce or E-government system. With the ever-increasing need for secure transaction, the need for systems that offer a wide variety of QoS （quality-of-service） features is also growing. In order to improve the QoS of PMI system, a cache based on RBAC （Role-based Access control） and trust is proposed. Our system is realized based on Web service. How to design the cache based on RBAC and trust in the access control model is deseribed in detail. The algorithm to query role permission in cache and to add records in cache is dealt with. The policy to update cache is introduced also.

基于PKI／PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。

基于PKI/PMI的应用安全平台模型的研究

为解决网络应用系统的安全问题，需要对应用系统进行一定的改造，文章所提出的应用安全平台是基于PKI和PMI的技术体系，它实现X.509标准证书的发放和管理以及相关的安全通信协议、S/MIME邮件加密协议、PKCS #7数字签名标准等。采用高度集中的用户身份管理和访问权限设定，以及多种审计技术，为复杂网络系统和不同应用提供可管理的复合安全技术，实现身份认证、访问控制和信息加密，保证应用系统的安全运行。

基于本体的权限管理系统的研究与实现

设计实现了一个基于本体的权限管理系统,该系统使用本体对业务层面上与操作相关的信息进行概念建模,实现了一个对具有业务内涵的、范围相当广泛的一类广义操作进行权限定义、管理的合适的表达框架和管理机制。同时,该系统是独立于应用的,可以为多种应用程序提供统一的权限管理支持。

多域多应用环境下的访问控制研究

为适应多域多应用环境下的安全互操作的需求,本文通过扩展 RBAC96模型有关概念,增加其对多域环境下多应用的刻画,通过引入全局角色、域角色和关联角色概念,提出了一种多域多应用访问控制模型 DPM。通过对PMI 授权管理构架进行扩展,实现了 DPM 模型,为多域多应用环境下的安全互联提出了一个实际的解决方案。

基于用户组和客体抽象的权限控制模型

提出一种基于用户组和客体抽象(UGOA)的权限控制模型。该模型在权限管理以及实现系统安全的策略中,通过对主体和客体同时进行抽象,引入了用户组、客体型、客体域的概念,并提出了基于UGOA的访问控制模型的八元组形式定义,通过对功能点实现细粒度的权限定义和功能权限管理,降低管理了复杂度,对传统的基于角色的访问控制模型(RBAC)进行了有效扩展。该模型已在中国地质大学(北京)软件学院在线教学系统开发中得到验证,实际证明,模型简单实用,安全稳定,具有更强的通用性和表现现实世界的能力。

授权管理中的权限衍生计算方法

权限之间的衍生关系简化了授权管理,同时也增加了权限判决的难度,准确、高效地计算权限衍生对授权和访问控制具有重要意义。在给出基于资源和操作层次的权限衍生规则基础上,针对授权管理中权限查询较频繁而权限更新较少的特点,设计了一种新的基于可达矩阵的权限衍生计算方法,并研究了权限衍生关系动态调整的算法步骤。仿真实验表明,当权限的数量较大时,该新方法比基于权限衍生规则的直接计算方法具有较高的计算效率。

产品数据管理系统中权限控制的研究与实现

为了实现产品数据管理系统中的权限管理功能,提高系统运行时的权限查询和权限控制的效率,按照产品数据管理系统的功能模块组织权限管理,建立了角色的访问控制模型。通过面向类的访问控制集和面向对象的访问控制集,实现了用户权限的存取控制。分析了产品数据管理类的继承方法和类操作的分配方式,实现了产品数据管理类子类的创建和操作权限的继承。通过分析操作之间的约束关系,进行了类操作和角色之间的约束管理,给出了权限授予规则和权限控制规则。该权限设置方式简洁、规范,提高了产品数据管理系统的运行效率,简化了产品数据管理中权限管理的二次开发。

基于委托的分布式动态授权策略

针对分布式协作环境中的授权问题,基于委托模型和RBAC模型,提出一种基于委托的分布式动态授权策略。通过扩展RBAC模型的元素集和静态授权操作,并由委托者动态创建临时委托角色和委托授权,支持"部分角色转授权"。系统授权采用三级层次结构实现,并给出了动态委托授权过程。系统实现及应用表明了其能够适应分布协作环境下的分布动态授权需求,遵循"最小特权"原则。

基于PMI的电子政务访问控制体系

电子政务涉及到党政部门的内部信息资源,同时又要实现与民众间的双向交流,实现资源开放。从整体的角度看,整个安全体系结构具有多层次、大规模、复杂交互的分布式结构。电子政务需要一种大规模应用环境下具有高安全性和一定开放性的访问控制体系以满足安全需求。该文阐述了基于角色控制的ARBAC97模型在电子政务中的应用,并描述了如何利用权限管理基础设施来实现该访问控制模型。

基于TRBAC混合模型的协同设计过程动态访问控制

针对具有周期时间约束、访问次数限制和设计过程动态变化特点的协同设计过程访问控制问题,将基于角色的访问控制模型和基于任务的访问控制模型进行扩展与融合,提出一种适应于协同设计全过程的动态访问控制模型CDACM。通过引入设计单元结构体的状态迁移和约束依赖关系,控制访问授权状态的变化和权限的约束,以实现与上下文相关的主客体动态授权管理;同时通过设定权限激活周期时间约束和权限访问次数限制约束,来解决权限访问时间限制和事务完整性约束问题。给出协同设计的访问控制策略和激活机制。将理论研究应用于链式输送机协同设计访问控制系统中,验证了所提模型的有效性。

一类非线性周期振荡电路的分岔和混沌控制

基于基尔霍夫第一定律(KCL)建立了一类非线性周期振荡电路的数学模型,分析了周期激振力变化时对系统动力学行为的影响.通过计算Duffing系统时间序列的Lyapunov指数谱验证了对称性破缺分岔是倍周期分岔的前兆.通过仿真系统的分岔图、Lyapunov指数谱和利用Kaplan-Yorke猜想公式计算系统吸引子的Lyapunov维数,刻画出系统的周期运动和混沌运动,揭示了此类系统通向混沌的过程.最后,应用一种有效而又简易的控制方法对此类非线性电路中的混沌运动进行了控制.

实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施(PMI)的角色模型实现基于角色的访问控制的相关问题,提出了一种改进PMI角色模型.改进模型增加了用户组规范属性证书和用户组分配属性证书,并为SOA(或AA)增加授权策略库,为权限验证者增加本地角色规范属性证书库和访问控制策略库,给出了授权和访问控制过程.改进模型便于管理具有相同角色的用户的属性证书,能够表达基于角色访问控制中的约束问题,提高了证书查询效率,增强了系统的实用性.

基于PKI/PMI和Agent的电力企业单一登录方法

针对电力企业信息系统集成的高安全性要求,提出一种基于电力行业公钥基础设施/授权管理基础设施(public key infrastructure/privilege management infrastructure,PKI/PMI)的单一登录模型,并给出相关算法的具体实现过程。单一登录系统通过PKI/PMI完成身份认证和授权功能,同时采用基于代理的系统模型,让用户使用统一账号登录,同时不用修改旧的账号/口令系统,从而尽可能少地修改应用服务程序就能满足电力企业网络信息安全要求。该系统为电力企业集成操作和实现安全的统一调度提供了参考。

基于角色的Web服务的授权与访问控制

提出了一个授权与访问控制系统的设计,它以PMI为基本架构,分为授权服务和访问控制两个子系统,权限管理子系统通过各种模 块制定全局所衙的各种策略,由AA／SOA签发各种策略属性证书;管理员通过注册服务器ARA,为用户分配权限,向AA申请签发用户的属性 证书。在访问控制子系统中,策略决策实施点(AEF)截获用户的访问请求及用户身份并发送给访问控制决策点中的ADF,ADF根据权限管 理子系统制定好的策略和用户的属性证书计算出用户被授予的访问权限,作出"允许,拒绝"的决策。这样就实现了对Web资源的授权与访问 控制。保证了后端Web服务器上共享数据的安全。

基于PMI的Web安全访问控制系统设计

针对Web资源得安全控制问题,设计了一个基于授权管理基础设施PMI技术的安全访问控制系统。系统依据匿名证书对用户进行身份认证,使用属性证书为用户授予角色,通过角色访问策略控制对Web资源的访问。该系统对Web资源的安全访问控制提供了一种有效的解决方案。

基于组织的四层访问控制模型跨域访问过程中虚拟岗位构建方法

对于基于组织的四层访问控制(OB4LAC)模型在跨域访问控制过程中如何依据外域用户的申请权限集构建本域内虚拟岗位的问题,提出基于如下三阶段的处理流程,包括申请权限集与角色集的匹配搜索阶段、角色集职责分离(SoD)约束和激活约束判断阶段以及虚拟岗位的生成和撤销阶段。针对申请权限集与角色集的匹配搜索阶段,分别给出了面向完全匹配、可用性优先匹配和最小特权优先匹配的搜索算法;针对角色集SoD约束和激活约束判断阶段,则通过定义SoD约束矩阵(SODM)、非连通继承关系矩阵(AIM)和基数约束矩阵(CCM)以及对应的约束判断流程予以解决;针对虚拟岗位的生成和撤销阶段,给出了完成这一过程所需的管理函数。通过上述具体处理流程和实现算法,很好地解决了OB4LAC模型跨域访问过程中虚拟岗位的构建问题。

电子政务系统中基于组织的访问控制方法和模型

从基于角色的访问控制(RBAC)模型在面对当前多级、多部门、分布式复杂电子政务系统时所体现出的处理能力上的不足入手,通过深入分析组织、组织结构和岗位三者的概念和内涵以及组织在电子政务系统的权限管理和访问控制工作中所具有的核心地位,引入基于组织的访问控制方法,并基于此构建其实现模型——OB4LAC模型。通过对OB4LAC模型的具体分析,给出其组成成员、形式化描述、子模型UPA、PORA、PERA和RRA各自的运行和管理方式,以及在进行组织间访问操作和业务协作时的处理流程,并进一步结合电子政务系统的实际应用案例,对OB4LAC模型的优势和适用性进行了分析和阐述。

基于PKI/PMI的Web系统安全机制设计

针对Web资源的安全控制问题,设计了一个基于PKI/PMI技术的Web系统安全解决方案。方案从身份认证、安全传输和访问控制三个方面对系统的安全机制进行了设计。应用表明该方案很好地保证了系统信息的机密性、完整性及不可否认性。

基于属性证书的RBAC实现模型研究

基于角色的访问控制提供了灵活安全管理授权机制 ,公钥基础设施 (PKI)提供了一个强有力的认证系统 ,授权管理基础设施 (PMI)作为一项新的技术提供了有效授权和访问控制管理。为了满足现在的安全需求 ,结合X .5 0 9公钥证书(PKCs)和属性证书 (ACs) 。