扩展的基于角色的访问控制模型

提出了一种扩展的基于角色的访问控制RBAC(Role Based Access Control)模型--RTBAC (Role & Task Based Access Control)模型.该模型在RBAC96模型之上引入了任务和任务实例的概念,形式化地定义了任务和任务实例的层次结构,界定了传统会话同任务实例之间的关系以及任务实例同权限之间的关系,并且提供了几种辅助函数.该模型可以更为自然地描述业务流程和访问控制策略,更适合分布式协作应用,特别是工作流和组合服务.基于该模型定义了一种新的动态职责分离约束--基于任务的动态职责分离约束,并且同传统动态职责分离约束进行了比较.该约束可以更准确地刻画访问控制相关的系统运行时上下文的范围,从而提高运行时访问控制的效率.     

CMS中RBAC模型的改造和应用

针对内容管理系统(CMS)中内容、权限和用户数量规模大的特点,采用形式化方法定义了改造后的基于角色的权限模型--RBAC0.5.对照RBAC96定义的4个模型,RBAC0.5是一个介于RBAC0和RBAC1之间的新模型.它覆盖了RBAC0,将RBAC1中的角色层次关系改造为通过用户组关联的映射关系,从而获取以关系型数据库为后台的集合操作能力.并且,为了有效组织CMS中的内容,形式化定义了内容分区和层次分类,在此基础上定义了层次化的权限集合,从而支持多层粒度上的访问控制.基于上述模型, 给出CMS中基于短路操作、垃圾收集以及缓存技术的实现访问控制的优化算法.     

企业门户中基于令牌的角色访问控制模型

企业门户中用户和访问权限管理的研究是一项复杂且具挑战性的工作.传统的基于角色的访问控制模型(RBAC,Role-Based Access Control)在实现上通常受单一系统和应用的约束,因此提出了一种基于令牌的角色访问控制模型(TRBAC,Token Role-Based Access Control)．该模型采用门户平台下的单点登录(SSO,Single Sign On)技术,将RBAC模型与令牌访问机制相结合,使角色能跨越门户平台下所有的Web应用．该模型是一个动态激活的模型,根据用户实际的访问需求动态激活相应角色,为用户管理和访问控制管理提供了一个新的解决方案．TRBAC模型具有统一的用户安全管理标准,支持集中审核和控制．实践表明,采用TRBAC 模型提高了系统的访问效率,保证了系统的安全性．      

基于描述逻辑DL_(RBAC)的RBAC形式化模型

提出了一种新的基于描述逻辑的形式化表示方法,将组成基于角色的访问控制(RBAC,Role-Based Access Control)模型的集合和关系分别用描述逻辑中的概念和角色表示,并且在基本的描述逻辑语言上引入了可以表示角色的复合关系和包含关系的符号,从而形式化表示出了RBAC与角色继承有关的一些关键性质和约束条件,如角色层次关系(RH,Role Hierarchy)传递性、用户角色分配关系(UA,User-Role Assignment)的继承性和权限角色分配关系(PA,Permission-Role Assignment)的继承性,以及RBAC中的静态职权分离约束和动态职权分离约束等.通过形式化地表示RBAC的继承关系及约束条件,利用描述逻辑本身的推理机制可以限制不符合访问控制策略的继承关系产生.     

基于上下文感知和用户组的访问控制模型

传统的基于角色的访问控制(RBAC,Role Based Access Control)主要依靠对主题赋予相应的角色来实现对资源的保护,在权限控制时没有考虑执行的上下文环境,也没有考虑在系统中的用户是如何组织和管理的.为了适应应用环境的动态要求,并且方便用户的管理,提出了基于上下文感知和用户组的访问控制(RGBACC,Role and Group Based Access Control with Context)模型,RGBACC将上下文感知和用户组管理加入到RBAC模型中,从应用环境中获取与安全相关的上下文信息来动态地改变用户的权限,并且可以对具有统一职能的用户进行统一管理,同时还保留了传统RBAC模型的优点.      

分布式对象柔性化访问控制方法

传统的访问控制机制由于将安全策略与安全机制融为一体,只能支持一种安全策略.为了使访问控制机制能够动态支持多种安全策略,引入了元策略概念,并利用元策略描述框架与基于元策略的访问控制策略模型,提出了一种柔性化访问控制方法,使访问控制机制能够将安全策略与安全策略决策机制剥离,并能够动态支持多种安全策略.上述方法已经在基于CORBA的实验系统中实现,测试结果表明该方法是有效的.      

基于角色的细粒度访问控制系统的研究与实现

首先介绍了基于角色的访问控制理论,讨论了其主要特征和优势,然后给出了一个以该理论为基础的访问控制系统的设计框架及实现技术.该系统可以为FTP、WWW 、TELNET提供访问控制服务.系统的总体结构分为:访问控制服务器、访问控制请求过滤器、角色及授权管理服务器,它们各司其职,协同服务,共同构成完整的访问控制系统.      

网格计算环境中的安全信任协商系统

网格技术促进了广域网络环境下的资源共享和协同工作.然而,在网格环境中,服务的提供方和请求方往往位于不同的安全域,如何为位于不同安全区域的陌生主体间动态地建立信任关系成为一项应用难题.基于信任管理基础设施,通过协作主体间信任证、访问控制策略的交互披露逐渐为各方建立信任关系,设计并实现了一个保护协商方隐私信息的安全信任协商系统.该系统采用一种基于属性的委托授权信任证、访问控制策略及一致性验证算法,实现策略的动态调整,从而生成满足访问控制策略的所有最小可满足信任证集,能够使理论上存在的信任关系得以自动建立.通过在CROWN平台中的应用,显示该系统能够满足网格应用中信任自动建立和敏感信息保护的需求.      

一种支持QoS的航空自组织网络无反馈MAC协议建模

针对航空自组织网络的高动态特性和对高优先级业务的服务质量(QoS)要求,提出了一种无反馈介质访问控制(MAC)协议建模方法及相应的阈值设置方法,以保证高优先级数据分组的时效性及可靠性。首先,对数据分组在接收端碰撞建立时间约束模型,得到信道统计结果与分组成功概率的映射关系;然后,根据不同业务的QoS要求设置接入阈值;最后,实现对不同优先级业务的接入控制。仿真结果表明,在典型空域网络场景下,基于该建模方法的无反馈MAC协议可以为高优先级业务提供QoS保证,即分组成功概率大于99%,端到端延时小于1 ms。      

基于SM4算法的白盒密码视频数据共享系统

基于SM4算法的白盒密码视频数据共享系统是一种保障监控视频数据跨级跨域共享安全的系统，提出了一种基于国密SM4算法的白盒密码实现方式，并分析了算法的安全性，解决了SM4算法在非信任硬件环境中的安全运行问题。研制了基于后台权限控制机制的视频数据安全共享软件系统，包括共享数据上传/下载、共享审核、数据白盒加密处理、访问控制、基于白盒密码算法的共享视频解密播放器，实现了视频数据共享全过程的安全管控。搭建了实验环境，对所提系统进行了功能性能实验。实验结果表明，所提系统功能性能满足设计要求。      

IEEE 1394协议虚拟复合MAC工业现场总线研究

为解决一个总线回路中不同类型设备通信的性能和效率问题,提出一种采用IEEE 1394总线协议和虚拟复合MAC(Media Access Control)的工业现场总线协议.在IEEE 1394基本协议层的基础上设计虚拟MAC子层,通过附加总线配置实现节点功能的区分,利用等时数据传输和异步数据传输实现时分多址、仲裁、轮询、令牌等MAC方式的数据通信.      

基于MIMO技术的无线局域网跨层协议设计

多输入多输出(MIMO,Multiple Input Multiple Output)技术可以通过实现空分复用有效地提高无线系统的性能.提出了一个对于站点(station)和无线接入点(AP,Access Point)都装配有多天线的无线局域网的介质访问控制层(MAC,Medium Access Control)协议.此协议利用跨层优化设计的方法解决了将MIMO技术用于WLAN(Wireless Local Area Network)中存在的一些问题.例如,如何在传统的802.11协议中加入训练用的导频序列,以及如何实现数据的并行传输等等.随后,提出一个三维离散马尔可夫模型来分析此协议性能,并与理论值进行比较.最后的仿真结果说明此协议能有效的提高系统吞吐量.     

基于CDMA-TDD系统的联合功率控制算法

针对常规的码分多址CDMA (Code Division Multiple Access)时分双工TDD (Time Division Duplex) 系统功率控制算法存在的缺陷,提出了一种基于通信链路当前状态信息的联合功率控制算法.从理论上推导了联合功率控制方程.在新算法中,所有移动终端调整后的新发射功率值是基于共同的通信资源得出的.分配在同一时隙的各个移动终端的功率调整是基于通信链路的当前状态信息,其中包括各移动终端下一步使用的调整后的新发射功率值.使得各移动终端能够平等的共享链路资源,加快功率控制的收敛.通过建立功能模型,验证和评估了这一新的算法.仿真结果表明这一新的功率控制算法优于当前的常规算法,能减小接收端信噪比动态范围,降低干扰信号强度,提高能量效率和系统容量.