A Dynamic Active Multicast Group Access Control Framework Based on Trust Management System

The current multicast model provides no access control mechanism. Any host can send data directly to a multicast address or join a multicast group to become a member, which brings safety problems to multicast. In this paper, we present a new active multicast group access control mechanism that is founded on trust management. This structure can solve the problem that exists in multicast members＇ access control and distributing authorization of traditional IP multicast.

利用ProjectWise构建工程项目管理平台

本文简要介绍了ProjectWise的主要功能特点,以及在工程项目管理的具体应用,探索如何通过利用ProjectWise来加强项目过程文件控制管理,实现高效、安全的文件管理。

Cloud authorization： exploring techniques and approach towards effective access control framework

Despite the various attractive features that Cloud has to offer, the rate of Cloud migration is rather slow, pri- marily due to the serious security and privacy issues that exist in the paradigm. One of the main problems in this regard is that of authorization in the Cloud environment, which is the focus of our research. In this paper, we present a systematic analysis of the existing authorization solutions in Cloud and evaluate their effectiveness against well-established industrial standards that conform to the unique access control require- ments in the domain. Our analysis can benefit organizations by helping them decide the best authorization technique for deployment in Cloud; a case study along with simulation re- sults is also presented to illustrate the procedure of using our qualitative analysis for the selection of an appropriate tech- nique, as per Cloud consumer requirements. From the results of this evaluation, we derive the general shortcomings of the extant access control techniques that are keeping them from providing successful authorization and, therefore, widely adopted by the Cloud community. To that end, we enumer- ate the features an ideal access control mechanisms for the Cloud should have, and combine them to suggest the ultimate solution to this major security challenge - access control as a service （ACaaS） for the software as a service （SaaS） layer. We conclude that a meticulous research is needed to incorpo- rate the identified authorization features into a generic ACaaS framework that should be adequate for providing high level of extensibility and security by integrating multiple accesscontrol models.

基于零信任的动态访问控制技术研究

传统的访问控制技术不能有效满足泛在接入的移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。

基于角色的访问控制模型安全性分析研究综述

在总结RBAC及其管理模型发展现状的基础上,给出了访问控制模型的安全分析和RBAC模型的安全性分析的概念性描述,综述了针对RBAC及其扩展模型的安全性分析方法,主要包括状态机理论、智能规划和图规划算法、图变换、图灵机理论和Petri网等方法。通过比较分析这些安全性分析方法,针对分布式环境下授权管理与访问控制的新需求,指出了安全性分析方法面临的问题,展望了将来的研究方向。

基于角色访问控制管理模型的安全性分析

在基于角色的访问控制管理模型中,采用安全查询来描述系统安全策略,引入状态变换系统定义基于角色的访问控制管理模型及其安全分析,用图灵机理论和计算复杂性理论进行安全分析.将安全查询分类为必然性安全查询和可能性安全查询,证明了必然性安全查询和与状态无关的可能性安全查询能在多项式时间内被有效解决,给出了满足NP-完全问题的可能性安全查询的条件,而一般的可能性安全查询是不可判定的.

基于属性的访问控制关键技术研究综述

云计算、物联网等新型计算模式为我们提供了便捷的数据共享、高效计算等服务,极大地提高了数据的处理效率,提升了计算和存储资源的利用能力.但这些新型计算模式存储并融合了大量具有"所有权"特征的数据,如果不对这些数据提供可靠的保护,一旦泄漏就会给用户带来巨大的损失.作为数据保护的基石性技术之一,访问控制可保障数据仅能被拥有相应权限的用户访问,得到了广泛的研究.其中,基于属性的访问控制通过使用属性作为访问控制的关键要素,有效解决了具有大规模、强动态性及强隐私性特点的新型计算环境下的细粒度访问控制问题,为云计算、物联网计算等新型计算环境提供了理想的访问控制策略.该文将基于属性的访问控制的整体流程分为准备阶段和执行阶段,并对两阶段面临的关键问题、研究现状和发展趋势进行分析.针对其中的实体属性发现、权限分配关联关系挖掘、访问控制策略描述、多机构合作、身份认证、权限更新与撤销等难点问题进行深入探讨.最后,在对已有技术进行深入分析对比的基础上,指出未来基于属性的访问控制的研究方向.

基于角色控制的教学权限访问系统的设计与实现

研究和探讨了实际应用中的用户权限及访问控制设计及实现问题.以一个教学管理网上系统的权限访问系统实现为例,通过建立一个权限控制矩阵来划分用户的权限访问级别,并结合了动态菜单自动生成、页面跳转限制控制、以及分级打开数据库数据等应用实现方案.实践表明,基于角色访问控制的权限访问控制系统能严格地控制与防止用户接触与其身份角色不相关的数据信息,有效地避免用户的非法操作,从而切实地提高系统的可用性和健壮性.

基于RBAC的授权管理安全准则分析与研究

针对安全准则在授权管理安全性验证中具有的重要意义,提出了基于RBAC的授权管理安全准则。以保障授权管理的安全性为目标,分析了授权管理中的RBAC安全特性,深入剖析了授权管理安全需求,从数据一致性、授权无冗余、权限扩散可控、管理权限委托可控、满足职责分离和访问权限可用等方面给出了一致性准则、安全性准则和可用性准则3项授权管理安全准则。分析表明,该安全准则与现有的RBAC安全特性相一致,能够为基于RBAC授权管理的安全性提供有效支撑,为衡量其安全性提供标准和依据。

基于代理重加密的云数据访问授权确定性更新方案

有越来越多的用户选择云为其进行存储、运算、共享等数据处理工作,因此云端数据量与日俱增,其中不乏敏感数据和隐私信息.如何对用户托管于云端的数据进行授权管理,保证数据机密性、访问授权有效性等至关重要.为此,提出一种基于代理重加密(proxy re-encryption,简称PRE)的云端数据访问授权的确定性更新方案(proxy re-encryption based assured update scheme of authorization,简称PAUA).首先将提出PAUA方案的前提假设和目标,其次论述系统模型和算法,最后对PAUA进行讨论和分析.PAUA方案将减轻用户在数据共享时的计算量,同时将重加密密钥进行分割管理,实现授权变更时,密钥的确定性更新.

基于角色访问控制在工作流管理系统中的应用研究

针对实际应用的需求和工作流管理系统的特点 ,提出了一个适合工作流管理系统的基于角色的授权控制模型 ,并将该模型应用到基于过程分解的工作流模型中 ,从而得到一个具有基于角色的访问控制与授权机制的工作流管理系统 .对其中的静态以及动态约束问题进行了分析 .

基于RBAC的复杂信息系统中访问控制模型的设计

针对复杂信息系统中因角色数量多、用户职责属性经常动态改变等导致访问控制复杂的问题,在充分考虑用户的组织形式与授权关系的基础上,以用户所在机构、用户分组信息为角色分配主体,同时增加信息系统中资源访问操作权限范围限定,改进了RBAC模型并设计了实现改进模型的数据关系。实践结果显示,改进模型不仅可以方便地完成机构和用户组职责改变时对所涉及用户授权的修改,而且可以快速响应因人员职责属性改变引起的授权修改,同时能够灵活地完成资源访问操作权限的控制。

可计算的基于信任的授权委托模型

在开放式多域环境中,信任管理是最常用的访问控制方法。但是,目前的信任管理系统存在着以下不足:(1)没有给出实体之间信任的计算方式,使得模型难以实现;(2)信任的传递过程没有得到很好的控制。针对上述问题,提出了一种多域系统中可计算的基于信任的授权委托模型——CTBAD模型(Computable Trust-Based Authorization Delegation model),重点探讨了CTBAD模型的信任计算方法以及信任传递机制,并且进行了信任关系计算的数据仿真。

授权与访问控制中的资源管理技术研究综述

授权与访问控制中的资源管理是负责描述和管理访问策略中的客体及其相关属性和关系的技术,它是实现统一授权管理的基础.然而,在访问控制技术多年的发展历程中,资源管理没有得到广泛深入的研究.通过比较分析现有访问控制模型中的资源管理模式,研究资源的组织方式、属性管理、操作管理等方面对授权和访问控制实施的影响,针对分布式环境下授权与访问控制的新需求,指出了资源管理技术面临的问题,展望了将来的研究方向.

电力市场运营系统中的安全访问控制

电力市场覆盖范围广,市场成员分散,交易中心与市场成员之间需要交换大量市场私有信息。市场中用户类型众多,访问权限各不相同,并且受市场规则变动的影响。电力市场的信息保密性、用户多样性和访问权限多变性,要求支持市场运行的电力市场运营系统必须具备严格而且灵活的安全访问控制机制。为此,文中描述了硬件层、系统软件层和应用软件层相协调的安全访问控制的整体结构,设计了基于Java 2平台企业版(J2EE)架构的内嵌访问控制、动态代理和控制中心 3种应用层用户访问控制方案。对各方案的对比分析表明,控制中心方式安全性高,配置灵活,能够将权限管理与应用开发彻底分离,使应用开发人员专注于业务逻辑实现,以快速响应市场交易模式和访问逻辑的变化。基于该控制方式的区域电力市场运营系统已经投入现场运行。

基于角色与基于规则相结合的访问控制模型

针对基于角色的访问控制模型的局限性 ,提出了一种基于角色与基于规则相结合的访问控制模型 ( RRBAC) .该模型以可扩展的用户组织结构为框架 ,根据用户组织结构定义角色的属性及其继承关系 ,用参数化的规则集合描述了用户组织结构中由上下级关系所引发的操作许可 ,实现了面向群组协同工作的分级权限管理体系 .最后 。

基于互斥角色约束的静态职责分离策略

静态职责分离(SSOD)是保证计算机安全的重要策略。在基于角色的权限控制(RBAC)中直接基于互斥角色约束(2-2 SMER)实现最简单的SSOD策略(2-n SSOD)是困难的。通过对互斥角色的权限分配进行约束,研究并证明了基于2-2 SMER实现2-n SSOD策略的充分条件,此充分条件和现有研究相比具有更弱的约束力,支持更灵活的权限分配。进一步给出了实现2-n SSOD策略的授权管理操作规则,以确保权限的动态管理始终满足此充分条件,维持系统对2-n SSOD策略的满足状态。最后,通过应用实例说明了实现2-n SSOD策略方法的有效性和可行性。

基于域的综合访问控制模型

首先分析了企业实施产品全生命周期管理对于访问控制方面的需求,然后按照层次化的方式分析了访问控制模型的特点,将访问控制模型分为访问检查、授权和管理3个方面,分析了现有访问控制模型在支持这些需求方面的不足。在此基础上,提出了基于域的综合访问控制模型。该模型能够支持基于用户、基于角色和基于任务的多种主体授权方式,以及基于类型、基于实例化对象、基于属性和基于对象生命周期的多种客体授权方式。通过在国产产品全生命周期软件系统中的实际应用,证明了该模型能够较好地满足产品全生命周期系统中访问控制的特定需求。

基于动态目录树的权限管理模型的设计与实现

在分析了RBAC、TBAC等模型存在局限性的基础上,结合单点登录的高校综合信息管理系统的特点,提出了一种新的基于动态目录树、权限匹配码的权限管理模型,并在高校综合信息管理系统的安全管理中实现了基于动态目录树、权限匹配码的访问控制。实践结果表明,该模型能够有效地实现系统的安全管理和降低应用服务器用于权限管理的运行代价。

网络化协同制造环境下的混合访问控制模型

在项目驱动的网络化协同制造环境中,针对信息资源的安全问题,设计了一种混合访问控制模型。该模型将基于任务的访问控制与基于角色的访问控制相结合,把协同制造环境中对共享资源的操作限制在具体的子项目/任务之中,以此保证协同环境的机密性和完整性。对于在协同环境下跨管理域的私有资源访问,给出了一种授权评价算法,以虚拟角色间的信任度,来判断是否赋予用户动态权限。最后,讨论了该模型的体系架构,并对评价算法进行了仿真实验。结果表明,该算法符合应用需求,验证了算法的正确性。