基于上下文感知和用户组的访问控制模型

传统的基于角色的访问控制(RBAC,Role Based Access Control)主要依靠对主题赋予相应的角色来实现对资源的保护,在权限控制时没有考虑执行的上下文环境,也没有考虑在系统中的用户是如何组织和管理的.为了适应应用环境的动态要求,并且方便用户的管理,提出了基于上下文感知和用户组的访问控制(RGBACC,Role and Group Based Access Control with Context)模型,RGBACC将上下文感知和用户组管理加入到RBAC模型中,从应用环境中获取与安全相关的上下文信息来动态地改变用户的权限,并且可以对具有统一职能的用户进行统一管理,同时还保留了传统RBAC模型的优点.      

基于描述逻辑DL_(RBAC)的RBAC形式化模型

提出了一种新的基于描述逻辑的形式化表示方法,将组成基于角色的访问控制(RBAC,Role-Based Access Control)模型的集合和关系分别用描述逻辑中的概念和角色表示,并且在基本的描述逻辑语言上引入了可以表示角色的复合关系和包含关系的符号,从而形式化表示出了RBAC与角色继承有关的一些关键性质和约束条件,如角色层次关系(RH,Role Hierarchy)传递性、用户角色分配关系(UA,User-Role Assignment)的继承性和权限角色分配关系(PA,Permission-Role Assignment)的继承性,以及RBAC中的静态职权分离约束和动态职权分离约束等.通过形式化地表示RBAC的继承关系及约束条件,利用描述逻辑本身的推理机制可以限制不符合访问控制策略的继承关系产生.     

扩展的基于角色的访问控制模型

提出了一种扩展的基于角色的访问控制RBAC(Role Based Access Control)模型--RTBAC (Role & Task Based Access Control)模型.该模型在RBAC96模型之上引入了任务和任务实例的概念,形式化地定义了任务和任务实例的层次结构,界定了传统会话同任务实例之间的关系以及任务实例同权限之间的关系,并且提供了几种辅助函数.该模型可以更为自然地描述业务流程和访问控制策略,更适合分布式协作应用,特别是工作流和组合服务.基于该模型定义了一种新的动态职责分离约束--基于任务的动态职责分离约束,并且同传统动态职责分离约束进行了比较.该约束可以更准确地刻画访问控制相关的系统运行时上下文的范围,从而提高运行时访问控制的效率.     

角色访问控制技术在管理信息系统中的应用

基于角色的访问控制作为一种安全机制,已引起人们越来越多的关注.介绍了传统的自主访问控制模型和强制访问控制模型并分析了他们的特点,提出了一种基于RBAC2(Role Based Access Contrd 2)模型之上的新的访问控制模型,该模型兼顾了RBAC2模型的优点,并扩展了RBAC2模型中对于个体权限的修改能力,应用于实际的管理信息系统中的事实证明了该模型是可行的.讨论了权限的分级管理.     

CMS中RBAC模型的改造和应用

针对内容管理系统(CMS)中内容、权限和用户数量规模大的特点,采用形式化方法定义了改造后的基于角色的权限模型--RBAC0.5.对照RBAC96定义的4个模型,RBAC0.5是一个介于RBAC0和RBAC1之间的新模型.它覆盖了RBAC0,将RBAC1中的角色层次关系改造为通过用户组关联的映射关系,从而获取以关系型数据库为后台的集合操作能力.并且,为了有效组织CMS中的内容,形式化定义了内容分区和层次分类,在此基础上定义了层次化的权限集合,从而支持多层粒度上的访问控制.基于上述模型, 给出CMS中基于短路操作、垃圾收集以及缓存技术的实现访问控制的优化算法.     

基于角色的细粒度访问控制系统的研究与实现

首先介绍了基于角色的访问控制理论,讨论了其主要特征和优势,然后给出了一个以该理论为基础的访问控制系统的设计框架及实现技术.该系统可以为FTP、WWW 、TELNET提供访问控制服务.系统的总体结构分为:访问控制服务器、访问控制请求过滤器、角色及授权管理服务器,它们各司其职,协同服务,共同构成完整的访问控制系统.      

基于MIMO技术的无线局域网跨层协议设计

多输入多输出(MIMO,Multiple Input Multiple Output)技术可以通过实现空分复用有效地提高无线系统的性能.提出了一个对于站点(station)和无线接入点(AP,Access Point)都装配有多天线的无线局域网的介质访问控制层(MAC,Medium Access Control)协议.此协议利用跨层优化设计的方法解决了将MIMO技术用于WLAN(Wireless Local Area Network)中存在的一些问题.例如,如何在传统的802.11协议中加入训练用的导频序列,以及如何实现数据的并行传输等等.随后,提出一个三维离散马尔可夫模型来分析此协议性能,并与理论值进行比较.最后的仿真结果说明此协议能有效的提高系统吞吐量.     

分布式对象柔性化访问控制方法

传统的访问控制机制由于将安全策略与安全机制融为一体,只能支持一种安全策略.为了使访问控制机制能够动态支持多种安全策略,引入了元策略概念,并利用元策略描述框架与基于元策略的访问控制策略模型,提出了一种柔性化访问控制方法,使访问控制机制能够将安全策略与安全策略决策机制剥离,并能够动态支持多种安全策略.上述方法已经在基于CORBA的实验系统中实现,测试结果表明该方法是有效的.      

IEEE 1394协议虚拟复合MAC工业现场总线研究

为解决一个总线回路中不同类型设备通信的性能和效率问题,提出一种采用IEEE 1394总线协议和虚拟复合MAC(Media Access Control)的工业现场总线协议.在IEEE 1394基本协议层的基础上设计虚拟MAC子层,通过附加总线配置实现节点功能的区分,利用等时数据传输和异步数据传输实现时分多址、仲裁、轮询、令牌等MAC方式的数据通信.      

基于OPNET的CAN网络建模与仿真

为分析控制器局域网(Controller Area Network, CAN)协议,评价CAN网络性能,提出在OPNET网络仿真环境中CAN网络模型的建模方法.采用网络层次化建模方法构建节点模型.介质访问控制(Medium Access Control, MAC)子层中设计MAC、错误处理和帧间空间模块,保证系统结构清晰.通过进程设计,MAC模块中实现了网络实时性模型;错误处理模块中实现了连续错误下网络不可用模型.定义和编辑链路及数据帧模型.根据实例模型进行网络模型的配置和仿真.仿真结果与实例测试结果一致,验证了网络模型的有效性.通过分析具体网络仿真环境下的仿真结果,对CAN网络性能进行了讨论.该模型提供了独立可编辑的节点模型,链路模型和数据帧模型,可实现灵活的网络配置,用于不同网络拓扑分析.     

个性化定制企业门户桌面系统的设计与实现

提出了一种为用户提供个性化定制功能的企业门户桌面系统PD4EP(Personalized Desktop for Enterprise Portal).PD4EP划分了门户频道类别并对各类频道需提供的个性化功能进行了约束,实现了同类别的不同门户频道个性化定制方式的一致化,从而允许用户同时对多个门户频道批量个性化操作.采用了与企业门户具体业务和资源相分离的模块化系统结构,有效降低了门户桌面系统与其他组成单元间的耦合程度,提高了通用性;因此,PD4EP可用于新建企业门户桌面系统,还可以个性化功能插件的形式扩展现有企业门户桌面系统.PD4EP设计了基于控制反转思想的个性化功能操作流程,增强了门户桌面系统对不同开发者开发的门户频道的兼容性.      

基于CDMA-TDD系统的联合功率控制算法

针对常规的码分多址CDMA (Code Division Multiple Access)时分双工TDD (Time Division Duplex) 系统功率控制算法存在的缺陷,提出了一种基于通信链路当前状态信息的联合功率控制算法.从理论上推导了联合功率控制方程.在新算法中,所有移动终端调整后的新发射功率值是基于共同的通信资源得出的.分配在同一时隙的各个移动终端的功率调整是基于通信链路的当前状态信息,其中包括各移动终端下一步使用的调整后的新发射功率值.使得各移动终端能够平等的共享链路资源,加快功率控制的收敛.通过建立功能模型,验证和评估了这一新的算法.仿真结果表明这一新的功率控制算法优于当前的常规算法,能减小接收端信噪比动态范围,降低干扰信号强度,提高能量效率和系统容量.