Task-and-role-based access-control model for computational grid

Access control in a grid environment is a challenging issue because the heterogeneous nature and independent administration of geographically dispersed resources in grid require access control to use fine-grained policies. We established a task-and-role-based access-control model for computational grid (CG-TRBAC model), integrating the concepts of role-based access control (RBAC) and task-based access control (TBAC). In this model, condition restrictions are defined and concepts specifically tailored to Workflow Management System are simplified or omitted so that role assignment and security administration fit computational grid better than traditional models; permissions are mutable with the task status and system variables, and can be dynamically controlled. The CG-TRBAC model is proved flexible and extendible. It can implement different control policies. It embodies the security principle of least privilege and executes active dynamic authorization. A task attribute can be extended to satisfy different requirements in a real grid system.

Access Grid中基于任务和角色的访问控制

Access G rid是计算网格的一个扩展,用于支持在网格上进行组对组的大规模视频会议,也可用于协同工作、远程教学等多个领域。基于任务和角色的访问控制是最新的访问控制模型,它对传统访问控制进行了改进和扩充,能为Access G rid提供更高效的安全和管理服务。因此,Access G rid中基于任务和角色的访问控制是网格研究中的重要方向。

面向电网安全的零信任动态访问控制

随着信息通信技术在电力信息系统中的不断发展和应用,电网的防护边界逐渐模糊,外部攻击和内部威胁日益严重,急需对电力系统信息资源的访问进行有效控制,确保数据安全。本文在电网二次系统安全防护总体框架的基础上,结合零信任安全机制,提出面向电网信息安全的零信任动态访问控制模型。该模型通过分析电网系统的访问主体属性与行为信息的特点,综合考虑威胁行为、滑动窗口、惩罚机制等因素对访问控制的影响,实现对访问主体信任值的持续评估和动态控制。仿真实验结果表明,增加推荐信任能合理兼顾主观和客观2种信任评价,使电网访问主体的信任值评估更准确。此外,针对外部威胁行为,信任评估引擎会迅速更新访问者的综合信任值,使非法主体无法获得系统的访问权限,具有更好的控制细粒度。

基于信息模型的电网数据共享和传输研究

电网数据共享和传输过程中,若业务突发异常、网络资源拥堵严重,数据传输很难保证实时性。针对这一问题,提出一种基于信息模型的电网数据共享和传输方法。以电网业务为依据,建立电网公共信息模型。根据电网业务特点扩充模型中的数据类,并通过继承、关联、聚合等操作完善模型中的实体类,从而确定模型内部逻辑关系。在此基础上,制定模型的操作规则,针对不同个数的终端请求设计数据传输服务模式,实现电网数据共享和传输交互操作。针对数据共享的跨域特点设计数据共享访问控制策略,以保证数据共享和传输的稳定。试验结果表明,所提方法网络时延小、丢包率低。所提方法能够提高电网数据传输的实时性,为电网数据的可靠传输与安全运行提供借鉴。

基于RBAC的IPv6环境网络信息安全访问控制方法

常规的互联网协议第6版(Internet Protocol version 6,IPv6)环境网络信息安全访问控制方法主要使用ReliefF算法获取最优特征集合,易受访问约束限制影响,导致安全访问控制延时过高。针对此问题,利用基于角色的控制访问(Role-Based Access Control,RBAC)方法设计一种全新的IPv6环境网络信息安全访问控制方法。构建了IPv6环境网络信息安全访问控制模型,利用RBAC生成了网络信息安全访问控制关系,实现了网络信息安全访问控制。实验结果表明,所设计的基于RBAC的IPv6环境网络信息安全访问控制方法的访问控制延时相对较低,证明设计的环境网络信息安全访问的控制效果较好,具有可靠性,有一定的应用价值,为降低IPv6环境网络风险做出了一定的贡献。

基于角色的信息网格访问控制的研究

信息网格是利用网格技术实现信息资源的共享、管理和提供信息服务的系统 .结合中国科学院计算所织女星信息网格计划的研究工作 ,分析了信息网格访问控制的关键问题 ,提出了一个基于角色的信息网格访问控制的模型 ,并讨论了信息网格访问控制的通用性问题 .

带时间特性的角色访问控制

基于角色的访问控制模型的研究工作近年来得到了广泛的重视,但主要工作均立足于与时间特性无关的其他方面.形式化描述了一个引入时间后的角色访问控制模型.在该模型中对原有授权约束进行了时间扩充.提出的相应算法解决了时间授权约束和会话的状态转变问题.同时分析了模型的一致性状态,并讨论了一致性状态维护问题.

网格环境下的一种动态跨域访问控制策略

针对网格环境下传统的基于角色的访问控制方式中资源共享的可扩放性和欺骗问题,提出了一种动态的访问控制方式.这种新型的访问控制方式可以根据用户的行为动态调整他的角色,在用户的权限与他的行为之间建立了联系.将该访问控制方式与信任模型结合,引入转换因子和动态角色的概念,应用到虚拟组织中,形成了基于动态角色的跨域访问控制系统.仿真结果显示,该系统能有效地实现访问控制,遏制欺骗,并具有良好的可扩放性.

信息网格中元数据层次化结构模型的研究和应用

数据的透明访问是信息集成技术研究的重点问题之一 ,分布自治的动态网格环境为数据的透明访问带来了更大的挑战 ,因此网格在分布式数据的异构透明和位置透明的基础上 ,提出了名字透明、并行透明、模式变更透明等更高层次的要求 ,这对于描述资源结构、内容、访问方式的元数据的设计也提出了更高的要求 基于信息资源空间模型的元数据层次化结构模型对屏蔽物理资源模式差异和模式变化 ,实现物理资源命名和位置独立性 ,实现资源透明访问的目标具有有益的帮助

基于角色的扩展可管理访问控制模型研究与实现

基于角色的访问控制(RBAC)具有简单灵活、细粒度控制、可用性强等特点,受到广泛的关注,近10年来,RBAC得到了广泛的研究与扩展.针对RBAC模型中存在的不足,提出了一种基于角色的可管理访问控制模型EARBAC.EARBAC通过对客体资源、访问类型的进一步抽象,对NISTRBAC参考模型进行了有效的扩展,更具通用性与更强的现实世界表达能力,同时与ARBAC96的结合,使其具有良好的可管理能力.基于该扩展模型,实现了一个安全的网络文件原型系统.

一种基于角色代理的服务网格虚拟组织访问控制模型

给出一种基于角色代理技术的虚拟组织访问控制模型,与同类研究成果相比,在不降低自治域的安全管理效率的情况下,能够实现虚拟组织的细粒度授权和确保自治域的安全策略不被破坏．该模型的一个原型系统已经实现,并通过一个基于网格的低成本电子政务平台中的实例进行了验证．

TRDM——具有时限的基于角色的转授权模型

当前基于角色的系统的完全依赖于管理者的集中式管理方式 ,不能够满足分布环境下的系统管理的需求 基于角色的转授权模型 (role baseddelegationmodel,RDM )更适于分布式环境的授权管理 ,但当前的几种授权模型都不支持时限 (temporary)和授权宽度 基于时限和授权宽度等方面 ,对RDM 2 0 0 0 (role baseddelegationmodel 2 0 0 0 )模型进行了扩充 ,提出了完备的具有时限的基于角色的转授权模型 (temporalrole baseddelegationmodel,TRDM ) ,并提出了新的基于TRDM的角色授权和角色撤销 (revocation)

一种基于角色的数据库安全访问控制方案的设计与实现

在管理信息系统和决策支持系统的研究与广泛应用中,后台数据库的安全性问题至关重要。采用了基于角色访问控制模型的数据库安全性设计方案。该方案利用后台数据库的安全管理机制,结合具体角色实现了权限所及的安全访问控制,并成功地运用于"黑龙江防洪决策支持系统"等多个实际的工程项目中,有效地解决了安全访问控制问题。

B/S模式下基于角色的权限管理系统设计与实现

结合基于角色的访问控制的原理,实现了一个基于Struts框架B/S模式的权限管理系统。该系统围绕用户、角色、功能、单位等基本定义以及它们之间的关系进行模块编码,实现了灵活、实用的基于角色的权限管理功能,达到了页面级别的权限控制。利用Struts配置文件,隐藏了系统的文件结构,提高了系统安全性。同时利用过滤器技术,通过重载Filter接口,可有效拦截直接在IE的地址栏中输入内部页面地址的访问。实际应用表明,该系统具有很好的可扩展性和通用性。

网格计算中基于信任度的动态角色访问控制的研究

在网格计算中,资源或服务使用者和提供者之间的信任关系是安全通信的前提。由于网格计算环境的分布特性和动态特性,像传统计算那样预先建立信任关系是不现实的。为了解决这个问题,在研究中发现,可以将信任机制融入网格社区授权服务中的基于角色的访问控制中,对基于角色的访问控制策略做一定的改进,根据信任度评估算法算出网格实体的信任度,CAS服务器能依据实体的信任度动态改变实体的角色。通过基于信任度的动态角色访问控制可以在一定程度上实现网格访问控制的动态性,同时避免实体的欺骗行为,可以有效地达到在网格社区中对客户端进行访问控制的目的。

改进的RBAC模型在信息服务平台上的应用

针对RBAC模型的不足,在研究传统的RBAC基本原理基础上,结合信息服务平台权限众多、用户和角色数目庞大的特点,提出一种改进的RBAC模型。该模型引入了组织结构、用户组的概念,扩展了资源的类型和资源权限授权形式,给出了模型的形式化定义,并将其运用在信息服务平台上。平台已成功与某高校科研管理系统进行了整合,实践表明,改进的RBAC模型不仅简化了权限管理、减少了角色数量,并且提高了系统的安全性和权限管理的灵活性。

强制访问控制在基于角色的安全系统中的实现

讨论了在基于角色的安全系统中实现强制访问控制 ( mandatory access control,简称 MAC)的问题 .首先介绍了角色的基本概念及其在安全系统中的应用和 MAC的基本概念 ,然后给出了一个利用角色机制实现强制访问控制的方法 ,通过将每个角色上下文处理为独立的安全级并施行非循环信息流要求 ,实现了强制访问控制 .

一种基于改进RBAC模型的EIS权限管理框架的研究与实现

对基于角色的访问控制(RBAC)模型进行了延伸和拓展,提出了一种细粒度权限控制的改进模型FG-RBAC,并在此模型基础上设计开发了一套能为企业信息系统(EIS)开发者和用户提供更简单、更实用、更快速的数据级权限管理解决方案的管理框架。该框架已在若干个国有大型企业集团EIS的权限管理中获得成功应用。

基于RBAC策略的可信网格访问控制模型

针对网格环境的特点,分析了网格中实体间的信任关系,给出了信任度的计算方法。对RBAC技术进行了相应的改进,提出了基于RBAC的可信网格访问控制模型,给出了RTGM模型中的结构和模块以及访问控制部分的过程。可信网格访问控制提高了网格环境下的访问安全性。

管理信息系统中多用户权限管理的研究及实现

通过分析传统RBAC技术存在的局限,结合现代企业管理的新特点,就管理信息系统中多用户权限控制技术进行了探讨,提出了一种新的基于用户功能项的权限管理机制,并给出了实现方法。