面向IaaS云的TRSAC访问控制策略研究与实现

针对当前云计算基础设施服务资源访问越权问题,本文提出了一种基于任务和角色面向服务的访问控制(TRSAC)策略.该策略基于服务实例对工作流进行分解,细化授权对象的范围并结合角色信任规则计算交互实体的信任程度,动态授予角色权限,然后综合任务节点服务需求和访问角色安全等级,求解服务实体的最小授权单元,实现面向云计算基础设施服务(IaaS)层的访问控制策略.理论分析与实验结果表明,该方法虽少量增加了实时评估主客体安全属性的次数,但能较好地保证访问控制中的动态授权原则和最小授权原则,有效地增强了云计算基础设施服务整体的安全性.     

基于Web的图书馆管理系统访问控制策略

针对基于Web的图书馆管理系统资源访问控制的动态性问题，提出了一种基于角色的访问控制策略描述方案．通过对基于Web的图书馆管理系统访问控制管理影响因素和访问控制需求的分析，结合NIST基于角色的访问控制统一模型标准，构造了一种基于角色的访问控制元模型．并在这一元模型的基础上，提出了一种紧凑的基于角色的访问控制XML策略描述语言框架．结果表明该访问控制策略描述语言框架适合表述动态环境下对图书馆资源的访问策略，提高了基于Web的图书馆管理系统资源访问的安全性．     

T-RBAC访问控制模型及其约束描述语言

一种结合了基于任务的访问控制模型TBAC和基于角色的访问控制模型RBAC特点的新型访问控制模型-T-RBAC.该模型采用了以任务为中心的"用户-角色-任务-权限"的四级访问控制结构,较好地解决了当前工作流系统中存在的安全性问题.此外,在新模型的基础上设计了一套描述约束机制的语言ETCL,该语言在RCL2000的基础上扩充了时间特性和任务的概念,使新模型具备了较完整的约束描述能力.     

一种基于可信第三方的CP-ABE云存储访问控制

分析了CP-ABE算法应用问题,提出一种新机制TBCCSAC(trustee-based CP-ABE cloud storageaccess control),通过使用可信第三方管理用户属性证书,动态生成资源访问密钥SK,引入访问控制令牌机制,有效地解决了云存储中用户属性知识管理维护量大、密钥分发与管理负担重,以及写权限鉴别缺失等问题.对TB-CCSAC进行的安全性分析表明,该机制的设计达到了安全性目标;仿真实验结果表明,与CCSAC(使用CP-ABE算法实现云存储访问控制)相比,TBCCSAC需要更少的存储空间.     

基于可信代理的访问控制模型

基于Agent技术,通过引入可信平台模块(TPM)并扩展系统信任链,提出一种新的层次化可信系统架构,在不可信的服务器与不可信的用户之间建立信任关系,实现了两者之间安全可靠的互操作.在TPM的支持下,从保密性和完整性两个维度以及能力和属性两个方面对数据访问操作的主客体进行量化评级,确定访问规则,实现了保密性与完整性相统一的安全访问策略,降低了用户与服务器被攻击的风险,保障了系统的可信运行,与现有的访问控制策略相比具有更高的安全性.     

基于CP-ABE的云计算改进属性加密安全访问控制策略设计

针对云计算存储中心由于数据和访问控制的安全性无法得到有效保障,从而可能造成用户存储的敏感数据被盗取的问题,现有的解决方法往往通过加密数据密钥,并通过对数据加密来解决安全性问题,但这些方法没有对访问控制的整个过程进行全面的定义和描述,同时仍然具有较大的时空开销。为此,在对CP-ABE(eiphertext-policy attribute-based encryption)进行深入分析的基础上提出了一种基于改进属性加密访问控制模型,然后对CP-ABE进行改进,并对公钥和主密钥的生成、数据所有者加密文件、访问用户解密文件以及用户权限的全面管理过程均进行了详尽的定义和描述,从而设计了一种通用的安全访问机制。在仿真工具Ubuntu中进行实验,结果表明文中方法能有效地实现云计算环境下的安全访问控制,与其它方法相比,具有计算和存储开销低优点,具有较大的优越性。     

基于数值分析的匿名大数据访问最优控制算法

为了降低大数据访问对人们生活的影响,减少因数据访问带来的一系列问题,更好地保护用户的隐私,需要对匿名大数据访问进行控制。当前算法是利用Purpose建立匿名大数据访问模型,在原来的K-匿名算法基础上为Purpose匿名数据访问模型构建算法,该算法对公开信息隐私安全涉及较少,对分布式数据隐私的安全保障效果不理想。为此,提出一种基于数值分析的匿名大数据访问最优控制算法。该算法利用MapReduce编程框架对匿名大数据用户的公钥和私钥进行初始化,将计算代理权授权,用户把需要保存的数据以及授权传送给第三方,也就是代理方签名,实现匿名大数据的审计。根据属性群对匿名大数据访问进行控制,系统管理员构建一棵二叉树,通过对称加密算法与属性群路径密钥,加密的群密钥,产生报头消息,根据上述所获结果,管理员对属性群密钥进行生成、更新和分发。实验结果证明,所提算法计算开销、存储开销以及通信开销较低,匿名大数据访问控制的效率高,具有较强的可实践性,为该领域的研究发展提供了支撑。     

基于多维角色的访问控制模型

针对RBAC应用系统中角色具有多层语义的特点,提出了多维角色访问控制模型.模型中角色用多维角色分量表示,给出了在角色分量上定义角色层次、角色限制和角色权限指派关系的方法,使角色的语义清晰,简化了模型的角色管理和角色的权限分配.     

基于Web Services和SOA的电子支付安全系统模型及分析

为了提高电子支付系统的安全性,在深入研究面向服务架构和Web服务安全技术的基础上,提出一种基于Web服务面向服务架构的松耦合电子支付安全系统模型.该模型利用服务监控和企业服务总线,把交易协议、安全认证、安全技术、加密技术、访问控制、网络扫描、防火墙、内容识别等安全服务有效的集成为一体,构建出电子支付的安全模型,同时对模型的关键安全服务技术进行深入研究.最后对模型的机密性、公平性、完整性、授权等进行了安全性分析,证明提出的系统模型具有良好的安全性.     

SDBatis:基于MyBatis和CBAC的数据库应用访问控制

大部分应用都以数据库作为数据保存的工具,由于应用的日益复杂,现有的访问控制机制存在安全性不高、开发繁琐,难以维护等问题.为此,本文提出一种新访问控制系统SDBatis.SDBatis以CBAC(Context-Based Access Control,基于上下文的访问控制)作为访问控制模型,使用MyBatis插件开发,...