The Research of Role Tree-Based Access Control Model

Towards the crossing and coupling permissions in tasks existed widely in many fields and considering the design of role view must rely on the activities of the tasks process,based on Role Based Accessing Control (RBAC) model,this paper put forward a Role Tree-Based Access Control (RTBAC) model. In addition,the model definition and its constraint formal description is also discussed in this paper. RTBAC model is able to realize the dynamic organizing,self-determination and convenience of the design of role view,and guarantee the least role permission when task separating in the mean time.

基于角色和属性的零信任访问控制模型研究

面对网络中大量涌现的安全威胁,传统访问控制模型暴露出权限分配动态性差、面对新威胁敏感度低以及资源分配复杂度高的问题.针对上述问题,提出一种基于角色和属性的零信任访问控制模型,模型使用逻辑回归的方法对访问主体进行信任评估,实现对访问主体属性高敏感度的访问控制,并采用一种全新的资源决策树,在实现访问控制更细粒度安全性的同时,降低了对资源权限分配的时间复杂度.最后,通过在典型应用场景下对模型进行验证,表明该模型在权限动态分配方面明显优于传统访问控制模型.

面向可变用户群体的可搜索属性基加密方案

为解决属性基加密方案中用户撤销繁琐、密文更新计算开销大的问题,提出一种面向可变用户群体的可搜索属性基加密方案.利用二叉树管理撤销列表,当需要撤销用户时,可信中心只要将其加入撤销列表,并通知云服务器更新部分密文,提高了用户撤销的效率.考虑到利用二叉树实现用户撤销会导致系统中用户数量存在上限,当某个二叉树叶结点所代表的用户被撤销后,只要更新二叉树中设置的随机值,其他用户就可以重复使用该结点.基于配对计算为用户提供密文搜索功能,并保证被撤销的用户无法搜索密文.安全性分析表明,该方案在随机谕言模型下满足选择明文不可区分安全性.性能分析和实验数据表明,该方案相比于同类方案,计算开销更小.

车联网环境下基于多策略访问树的安全访问控制算法

车联网环境下传统的资源访问控制技术效率较低且存在安全隐患。因此,提出了一种创新性多策略访问树算法的资源访问控制方案。该方案将传统的单策略访问树改进为多策略访问树,实现多级策略制定,有效提高策略访问效率,实现对资源的细粒度访问。同时,通过引入拉格朗日多项式秘密值恢复机制,将秘密值与授权令牌结合,解决了车联网访问控制授权的安全性问题。通过安全性分析证明了所提方案具有身份匿名性和消息不可否认性;性能分析的结果表明,与其他方案相比,该方案采用了多策略访问树存储策略,在策略执行系统中的存储开销较小;且随着该方案的策略匹配效率提高,计算开销明显变小,说明了该方案适用于在车联网环境下的安全、高效的资源访问控制。

移动办公数据安全访问系统的设计与实现

为了提高移动办公数据安全访问系统的抗攻击能力,并缩短响应时间,提出一种移动办公数据安全访问系统。从网络层、接口层、系统层以及用户层四方面设计系统架构。设计数据保护模块与访问认证模块。采用加密算法对移动办公数据进行多级加密。完成加密处理后,为了实现访问认证模块的功能,构建访问控制树完成移动办公数据的访问认证,实现移动办公数据的安全访问功能。测试结果表明,文章系统的响应时间明显缩短,且抗攻击能力显著提升,文章系统的响应时间均在2秒内,且抗攻击能力均在90%以上。因此,说明文章提出的系统具有较高的实际应用价值。

基于MA-ABE的云存储访问控制方法

针对于跨域云数据访问控制中的安全性和有效性问题,提出了一种基于树访问结构的多授权机构属性加密(Attribute-Based Encryption,ABE)的跨域数据访问控制方法.通过建立分散授权模型,将属性私钥的生成与中央认证机构(Central Authority,CA)分离,由数据属主(Data Owner,DO)和授权机构分别生成并分发属性私钥组件.利用基于访问结构树的控制策略,有效预防了用户之间以及用户和授权机构之间的联合攻击.此外,用户密钥计算无需使用全球唯一标识(Global Identity,GID),支持匿名用户跨域数据访问.最后,利用双线性判定Diffie-Hellman(Decision Bilinear Diffie-Hellman,DBDH)假设理论分析了方案的安全性.研究结果表明,本方案在解密操作和加解密平均时间上具有较高的性能,能够有效地应用于多授权机构并存的云存储环境.

空间矢量数据细粒度强制查询访问控制模型及其高效实现

针对敏感空间地理矢量数据形状不规则、跨多级敏感区域分布的特点,对传统的强制访问控制模型进行空间扩展,提出了一种细粒度的空间矢量数据强制查询访问控制模型SV_MAC(spatial vector data mandatory access control model).并进一步将空间数据查询与安全策略检索相结合,提出了一种AR+树(access R+树)索引结构,以在空间矢量数据查询过程中高效地实现SV_MAC授权判定.实验结果表明,AR+树在为空间矢量数据的检索提供不可绕过的细粒度安全防护的同时,保障了前台响应速率和用户体验.

XML文档存取控制研究

提出了一种基于授权树的XML存取控制标记算法 ,通过①避免在每个XML结点上进行授权匹配 ;②避免在每个结点上进行授权冲突解决 ;③避免标记每个结点 ,有效地改善了处理性能 另外 ,提出了一种灵活的、用户可配置的授权冲突解决模式 。

一种基于属性加密的细粒度云访问控制方案

针对云计算环境下精细访问控制问题,提出一种基于属性加密的细粒度云访问控制(FGABE-CAC)方案,该方案设计新的多授权方系统模型,引入多权限树的思想和属性群加密的访问控制方法,允许数据拥有者按其自身需求定义不同的访问结构,制定精细的访问控制策略.通过多个授权方管理用户不同的属性域,并结合懒惰重加密和代理重加密技术,在用户权限撤销时实现高效的属性层面的撤销.最后给出方案的安全模型,并证明该方案在判定性双线性假设下是选择明文攻击安全的,具有前向安全性和后向安全性.仿真实验结果表明方案的正确性及高效性.

XML数据模式下基于purpose的隐私访问控制策略研究与实现

提出构建基于purpose的对XML数据模式的隐私访问控制策略模型,解决由路径传递引起的查询隐私数据泄漏问题。基于purpose的隐私访问控制策略是一棵最小安全访问树模型。最小安全访问树是一组无冗余路径的以XPath{/,//,[]}片段表示的路径表达式,XPath{/,//,[]}是一组允许访问的隐私结点路径。实验表明最小安全树生成时间取决于隐私结点在一个XML文档中的标注时间和冗余路径的判别时间,而隐私结点的标注时间与隐私数据在XML文档中的分布位置有关。最小安全访问树模型能控制隐私数据的查询泄漏。

云存储中基于MA-ABE的访问控制方案

针对云存储中跨域数据访问控制的安全性和有效性问题,提出了一种基于MA-ABE的高效的、细粒度的访问控制方案。新方案通过使用密钥分割技术和代理重加密技术,在权限撤销时保证用户密钥的安全性,并将大部分密文重加密工作转移到云端,以降低数据属主的计算代价。利用数据属主和授权机构分别产生和分发属性私钥组件,将用户全球唯一标识(GID)和用户私钥相分离,避免了授权机构间的联合攻击,有效地保护了用户身份信息。最后,通过理论分析表明了新方案的安全性,并实验验证了该方案在权限撤销时的高效性。

大型动态多播群组的密钥管理和访问控制

随着因特网用户的急剧增加和因特网不断的商业化,多播技术呈现出极为广阔的应用领域.在国际上,多播是一个崭新的学术研究领域,主要的研究成果集中在多播的路由算法、流量控制、拥塞控制和可靠传输上,多播安全领域的研究成果相对较少(尤其是在组通信密钥管理方面).研究了多播安全机制中的组通信密钥管理和访问控制问题.提出了一种基于子组安全控制器的组通信密钥管理和访问控制方案,该安全方案改进并解决了IOLUS系统和WGL方案中存在的若干问题,简化了访问控制策略,达到了预期的设计目标和要求.

企业统一资源访问控制系统

整个企业范围的统一认证是企业信息化应用发展到今天的迫切要求，套用传统的访问控制方法不能满足此需求。该文提出企业统一访问控制系统的设计应该从研究企业行为入手；并在企业行为研究的基础上设计了一种基于企业行为树、角色化的访问控制方法，使得企业访问控制主体的计算复杂性由常规方法的O（n）降为O（1）。此外该系统很好地支持企业管理柔性化，保障用户权限规则的实施。

基于树型角色的访问控制策略及其实现

对于工作职能耦合度高、业务呈交叉状的企业 ,传统的基于用户或角色的访问控制 (RBAC)策略已难以实现信息系统的权限管理 .文中结合RBAC的基本思想 ,提出了一种分层的树型角色访问控制 (TRBAC)模型 ,并在应用程序层实现了基于角色的权限管理方案 .实践表明 ,TRBAC简化了用户、角色和许可三者之间的配置规则 ,方便了系统的授权管理 .

一种基于时间约束的分层访问控制方案

提出一种时间约束条件下的分层访问控制方案.根据用户对感知节点资源的访问控制需求,充分考虑感知节点计算、存储能力受限且节点数海量的特点,从用户掌握密钥数、密钥获取时间和产生公共信息数3方面进行优化设计,以实现高效、安全的分层访问控制.与现有其他方案对比,该方案的优势在于:1)用户对大量感知节点资源进行的一次访问,仅需要掌握单个密钥材料;2)通过优化设计,使用户访问节点资源密钥的获取时间与产生的公共信息数达到最佳平衡;3)提出的方案是可证明安全的.

基于最小生成树的委托授权模型

委托授权具有动态性和细粒度授权等特性,解决了分布式授权的可扩展性问题。提出用带权有向图描述委托授权模型,并给出了形式化描述,设计了一种有向图的最小生成出树算法,解决了授权深度、环状授权和冲突授权等关键问题。

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。

基于角色的访问控制Petri网及协商树模型

针对基于角色的访问控制自动机等模型存在的缺陷,对Petri网进行了改进,并将改进后的Petri网应用于基于角色的访问控制中,实现了基于角色的访问控制Petri网.在角色转换过程的条件控制中,提出了协商树的方法,描述双方证书协商、形成协商树、满足角色转换条件、使角色转换得以实现的过程,实现了较为完整的基于角色的访问控制Petri网.

工作流中一个基于加权角色的权限代理模型

针对工作流环境下现有各种权限代理模型存在的不足,提出了一个基于加权角色的工作流权限代理模型。该模型通过给角色加权,并在工作流任务中引入变量,支持条件化部分权限代理;通过引入角色代理树,支持多步权限代理,并给出了权限代理的一致性判定方法。基于该模型,给出了相应的权限代理算法和撤销算法。最后通过一个应用实例,详细演示了该权限代理模型的工作过程和角色代理树的构造。