一个通用的分布式访问控制决策中间件 被引量：6

1

作者 翟征德 冯登国 《计算机工程与应用》 CSCD 北大核心 2008年第1期17-20,24,共5页

将各种安全功能从上层应用中抽象出来形成一种通用和标准的安全服务,可以简化应用开发的复杂性和增强安全功能的可重用性。论文设计并实现了一个基于XACML的通用分布式访问控制决策中间件UDACD(Universal Distributed Access Control De... 将各种安全功能从上层应用中抽象出来形成一种通用和标准的安全服务,可以简化应用开发的复杂性和增强安全功能的可重用性。论文设计并实现了一个基于XACML的通用分布式访问控制决策中间件UDACD(Universal Distributed Access Control Decision),对分布式环境下的访问控制决策过程进行了封装,对外面向各种应用提供通用的决策服务。UDACD支持多种访问控制策略类型和跨管理域的匿名资源访问控制;实现了对策略的缓存和对用户安全属性的两级缓存,显著加快了决策速度。UDACD可以帮助简化策略管理,并提供跨应用的一致策略实施。 展开更多

关键词 访问控制 访问控制决策 跨域访问控制 XACML

下载PDF 职称材料

基于角色和属性的零信任访问控制模型研究

2

作者 许盛伟 田宇 +2 位作者 邓烨 刘昌赫 刘家兴 《信息安全研究》 CSCD 北大核心 2024年第3期241-247,共7页

面对网络中大量涌现的安全威胁,传统访问控制模型暴露出权限分配动态性差、面对新威胁敏感度低以及资源分配复杂度高的问题.针对上述问题,提出一种基于角色和属性的零信任访问控制模型,模型使用逻辑回归的方法对访问主体进行信任评估,... 面对网络中大量涌现的安全威胁,传统访问控制模型暴露出权限分配动态性差、面对新威胁敏感度低以及资源分配复杂度高的问题.针对上述问题,提出一种基于角色和属性的零信任访问控制模型,模型使用逻辑回归的方法对访问主体进行信任评估,实现对访问主体属性高敏感度的访问控制,并采用一种全新的资源决策树,在实现访问控制更细粒度安全性的同时,降低了对资源权限分配的时间复杂度.最后,通过在典型应用场景下对模型进行验证,表明该模型在权限动态分配方面明显优于传统访问控制模型. 展开更多

关键词 零信任 角色 属性 访问控制 资源决策树

下载PDF 职称材料

基于MAC准入控制与网络流量监控的哑终端入网管控系统设计

3

作者 鹿文杨 孙皓 +1 位作者 倪琛 赵秀琼 《信息安全与通信保密》 2024年第5期69-79,共11页

企业网络中大量哑终端设备的使用,给企业管理带来便利的同时,也带来较大安全隐患。通过分析主流准入控制方式的实现特点及不足,提出一种针对哑终端设备的MAC准入控制方式+网络流量监控相结合的准入控制方法,该方法能够利用2种认证方式... 企业网络中大量哑终端设备的使用,给企业管理带来便利的同时,也带来较大安全隐患。通过分析主流准入控制方式的实现特点及不足,提出一种针对哑终端设备的MAC准入控制方式+网络流量监控相结合的准入控制方法,该方法能够利用2种认证方式的优点,弥补各认证方式自身的不足,使得针对哑终端设备的网络准入控制能够依托于接入交换机的MAC认证机制实现端口级别的管控。同时,根据哑终端设备网络业务流量相对固定的特点,采用网络流量监控的方式,为MAC准入控制方式提供持续性的、更细粒度的准入判决控制。 展开更多

关键词 哑终端 MAC准入控制 网络流量监控 准入判决控制

下载PDF 职称材料

一种基于属性的去中心化访问控制模型 被引量：5

4

作者 马星晨 朱建涛 +1 位作者 邵婧 刘明达 《计算机技术与发展》 2018年第9期118-122,共5页

随着网络规模与开放程度的不断加大,传统的基于属性的访问控制模型(attribute-based access control,ABAC)在实际应用中存在着中心节点负担过大,决策过程安全风险较高等问题。为了更好地提升基于属性的访问控制模型的安全性,且满足大规... 随着网络规模与开放程度的不断加大,传统的基于属性的访问控制模型(attribute-based access control,ABAC)在实际应用中存在着中心节点负担过大,决策过程安全风险较高等问题。为了更好地提升基于属性的访问控制模型的安全性,且满足大规模分布式网络环境下的应用条件,提出了一种基于属性的去中心化访问控制模型(decentralized attributebased access control,DABAC)。在基于属性的访问控制模型的基础上对访问控制模型进行扩展,通过权益证明和证据链条的方式,实现了去中心化的决策方式,进一步提升了决策支持库和访问记录的安全性,增加了访问决策的可信性。相比于传统的访问控制模型,DABAC模型具有更高的安全性、灵活性和容错性,通过更加安全的访问请求决策和更加详细的访问过程记录,更好地保护了客体资源。 展开更多

关键词 访问控制 去中心化 安全决策 权益证明 证据链条

下载PDF 职称材料

RBAC策略在CORBA分布式对象系统安全中的应用

5

作者 张志勇 普杰信 《计算机工程》 EI CAS CSCD 北大核心 2005年第20期159-161,共3页

基于RBAC策略和CORBASec框架,引入对象访问的约束机制,给出了一种CORBA安全访问控制策略模型——GRBAC forCORBA(General Role-Based Access Control for CORBA)及其访问控制与决策过程。该模型在“基于中间件技术的分布嵌入式系统研究... 基于RBAC策略和CORBASec框架,引入对象访问的约束机制,给出了一种CORBA安全访问控制策略模型——GRBAC forCORBA(General Role-Based Access Control for CORBA)及其访问控制与决策过程。该模型在“基于中间件技术的分布嵌入式系统研究”中得到了实际应用,解决了分布式异构环境下域间访问控制的复杂性问题并且更易于实现企业级自定义安全策略。 展开更多

关键词 分布式对象系统 CORBA安全 RBAC 访问控制 访问决策

下载PDF 职称材料

云制造中策略可更新的去中心化访问控制机制 被引量：3

6

作者 李龙 古天龙 +2 位作者 常亮 李晶晶 钱俊彦 《计算机集成制造系统》 EI CSCD 北大核心 2019年第9期2280-2290,共11页

针对传统访问控制难以高效应对云制造因实体规模大、种类多引发的安全问题,提出一种基于属性基加密的访问控制机制。借助于通用属性和数据加密,该机制能够实现对大规模用户及潜在未知用户的批量访问控制。在该机制中,通过部署功能相同... 针对传统访问控制难以高效应对云制造因实体规模大、种类多引发的安全问题,提出一种基于属性基加密的访问控制机制。借助于通用属性和数据加密,该机制能够实现对大规模用户及潜在未知用户的批量访问控制。在该机制中,通过部署功能相同且协作支撑的多个授权机构,实现了具备可靠、稳定、高效等特点的去中心化系统框架;基于二叉决策图构造了功能完善的访问结构,以此为基础提出了具备快速解密、策略更新等功能的属性基加密方案,并进一步设计实现了相应的细粒度访问控制系统。理论分析表明,上述机制在安全性、功能实现及算法效率等方面表现理想。 展开更多

关键词 云制造 访问控制 属性基加密 二叉决策图

下载PDF 职称材料

基于贝叶斯决策理论的风险最小化的授权映射方法 被引量：3

7

作者 赵斌 何泾沙 《通信学报》 EI CSCD 北大核心 2015年第S1期157-161,共5页

授权决策是访问控制理论研究中的关键问题之一。为了有效提高基于信任的访问控制中授权的安全性,依据最小风险贝叶斯决策理论,将访问控制中客体对主体的授权视为最优决策的发现问题,提出基于风险最小化授权映射方法,实现访问控制中准确... 授权决策是访问控制理论研究中的关键问题之一。为了有效提高基于信任的访问控制中授权的安全性,依据最小风险贝叶斯决策理论,将访问控制中客体对主体的授权视为最优决策的发现问题,提出基于风险最小化授权映射方法,实现访问控制中准确的授权操作。通过算例分析和仿真实验表明,该方法能够在降低风险的情况下比较准确地给出交互的最终授权。 展开更多

关键词 访问控制 贝叶斯决策理论 信任 风险 授权映射

下载PDF 职称材料

基于多元判决的动态访问控制架构的研究 被引量：3

8

作者 程剑豪 蒋兴浩 +1 位作者 孙锬锋 周晓军 《信息安全与通信保密》 2009年第4期44-46,49,共4页

论文在分析现有访问控制模型和技术的基础上,结合多元判决与动态访问控制的思想,提出了一种基于多元判决的动态通用访问控制架构,并重点阐述了多元判决与动态授权管理的设计思路,对架构中各模块、数据库进行了介绍。本体系架构克服了现... 论文在分析现有访问控制模型和技术的基础上,结合多元判决与动态访问控制的思想,提出了一种基于多元判决的动态通用访问控制架构,并重点阐述了多元判决与动态授权管理的设计思路,对架构中各模块、数据库进行了介绍。本体系架构克服了现有访问控制技术中判决依据单一、授权方式无法满足部分应用业务安全需求的不足,为访问控制实现提供了新的思路。 展开更多

关键词 访问控制 多元 动态 LDAP

原文传递

改进的安全策略评价管理决策图 被引量：3

9

作者 罗霄峰 罗万伯 《四川大学学报（工程科学版）》 EI CAS CSCD 北大核心 2016年第4期123-128,210,共7页

针对Canh Ngo等为安全策略评价和管理所提出的MIDD和X-MIDD方法的不足,从一般ABAC模型出发,对其进行了改进。设计了新的图结构iMIDD和iX-MIDD,新图的边用上结点变量值范围(简约的区间划分)及状态组成的元组表示,可更好地标注在决策中有... 针对Canh Ngo等为安全策略评价和管理所提出的MIDD和X-MIDD方法的不足,从一般ABAC模型出发,对其进行了改进。设计了新的图结构iMIDD和iX-MIDD,新图的边用上结点变量值范围(简约的区间划分)及状态组成的元组表示,可更好地标注在决策中有关键作用的重要属性,有利于决策过程中更精细化处理。iX-MIDD的决策-叶结点也做了扩展,增加了组合算法信息,便于在对访问请求进行决策时使用。给出了应用本文方法进行策略元素匹配、策略评估,以及从iMIDD生成iX-MIDD的流程。复杂度分析及仿真实验表明,本文方法的时间、空间复杂度和性能均与MIDD方法相当。新方法完全能用于策略管理的多种应用。 展开更多

关键词 访问控制 决策图 安全策略 策略管理

下载PDF 职称材料

虚拟知识社区的综合访问控制模型研究 被引量：1

10

作者 安世虎 李德生 孙延民 《计算机工程与设计》 CSCD 北大核心 2009年第22期5087-5090,共4页

为了防止非法社区成员进入社区和合法社区成员对知识社区知识资源的非法使用,构建了由用户资质、社区知识资源和综合控制策略等组成的虚拟知识社区的综合访问控制模型。利用基于属性的访问控制思想,从用户角色、用户综合信誉、用户拥有... 为了防止非法社区成员进入社区和合法社区成员对知识社区知识资源的非法使用,构建了由用户资质、社区知识资源和综合控制策略等组成的虚拟知识社区的综合访问控制模型。利用基于属性的访问控制思想,从用户角色、用户综合信誉、用户拥有的知识货币量以及知识单价、知识交易量、知识满意度等侧面建立用户资质和社区知识资源模型,依据该模型,利用决策表,表达了虚拟知识社区的综合访问控制策略。结合案例比较结果表明了综合访问控制模型的可行和策略的有效性。 展开更多

关键词 虚拟知识社区 概念模型 访问控制 基于属性 决策表 综合访问控制策略

下载PDF 职称材料

面向Web资源访问控制决策的多模式匹配算法

11

作者 单棣斌 陈性元 张斌 《武汉大学学报（信息科学版）》 EI CSCD 北大核心 2008年第10期1038-1041,共4页

针对Web资源访问控制过程中快速、实时决策的需求,提出了一种改进的多模式匹配算法AC_BMH_QS。该算法综合了现有模式匹配算法的思想,分为多模式预处理和匹配两个阶段。利用实验结果分析了影响算法性能的因素,验证了该算法在简化运算和... 针对Web资源访问控制过程中快速、实时决策的需求,提出了一种改进的多模式匹配算法AC_BMH_QS。该算法综合了现有模式匹配算法的思想,分为多模式预处理和匹配两个阶段。利用实验结果分析了影响算法性能的因素,验证了该算法在简化运算和执行效率上的优越性。 展开更多

关键词 WEB资源 访问控制 访问控制决策 多模式匹配

原文传递

基于严谨准入控制方案的高效虚拟网络映射算法

12

作者 张飞 李景富 《青岛科技大学学报（自然科学版）》 CAS 2015年第5期575-580,590,共7页

针对现有的两阶段虚拟网络映射算法采用了较为松弛的准入控制机制,难以有效协调节点映射和链路映射,从而增大了算法开销,使其执行效率不高的缺点。以算法的执行效率作为研究出发点,在不降低映射质量的前提下,减少不必要的计算开销,提出... 针对现有的两阶段虚拟网络映射算法采用了较为松弛的准入控制机制,难以有效协调节点映射和链路映射,从而增大了算法开销,使其执行效率不高的缺点。以算法的执行效率作为研究出发点,在不降低映射质量的前提下,减少不必要的计算开销,提出了一种基于严谨准入控制方案的高效虚拟网络映射算法。首先设计了节点预映射概率计算模型,设计了更为严谨的准入控制方案,用于过滤映射成功概率较大的虚拟网络请求;然后构造了基于区域范围的资源计算方法,并提出了单位时间收益的概念,通过基于区域范围的资源计算方法选取物理资源更加丰富的区域,通过单位时间收益优先映射单位时间收益较高的请求。仿真结果显示:与当前映射算法相比,本研究算法的映射质量更佳,其虚拟网络请求接受率与准入控制判决准确率更高、运行时耗更短。 展开更多

关键词 虚拟网络 节点预映射概率 准入控制 资源计算 单位时间收益 判决准确率

下载PDF 职称材料

云存储访问控制方案的安全性分析与改进 被引量：7

13

作者 王冠 范红 杜大海 《计算机应用》 CSCD 北大核心 2014年第2期373-376,共4页

对Tang等(TANG Y,LEE P,LUI J,et al.Secure overlay cloud storage with access control and assured deletion.IEEE Transactions on Dependable and Secure Computing,2012,9(6):903-916)提出的一种云存储的细粒度访问控制方案进行... 对Tang等(TANG Y,LEE P,LUI J,et al.Secure overlay cloud storage with access control and assured deletion.IEEE Transactions on Dependable and Secure Computing,2012,9(6):903-916)提出的一种云存储的细粒度访问控制方案进行安全性分析,发现其存在不能抵抗合谋攻击的问题,并给出了具体的攻击方法。针对该方案安全性方面的不足,利用基于属性的加密算法抗合谋攻击的特性,对使用访问树结构的密文策略加密(CP-ABE)算法进行改进,使改进后的算法能够直接运用到云存储访问控制方案中而不需要对云存储服务器进行任何修改,同时可实现细粒度的访问控制和用户数据的彻底删除。最后基于判断双向性Deffie-Hellman(DBDH)假设,证明了该方案在选择明文攻击下的安全性,并通过将方案运用到实际的云环境中进行分析后证明改进后的方案能够抵抗合谋攻击。 展开更多

关键词 云存储 访问控制 密文策略的属性加密算法 合谋攻击 判断双向性Defile-Hellman假设

下载PDF 职称材料

一种新型访问控制模型的研究及其应用 被引量：2

14

作者 李霞 《兰州理工大学学报》 CAS 北大核心 2007年第4期97-101,共5页

针对NIST RBAC参考模型的局限性和当前DBS中安全机制不足等原因,提出一种可扩展的、基于角色的、多种访问控制安全策略组合实施的EMC-RBAC访问控制模型,并将这种安全模型应用于Web数据库系统的访问控制中,建立一种基于角色的自主访问控... 针对NIST RBAC参考模型的局限性和当前DBS中安全机制不足等原因,提出一种可扩展的、基于角色的、多种访问控制安全策略组合实施的EMC-RBAC访问控制模型,并将这种安全模型应用于Web数据库系统的访问控制中,建立一种基于角色的自主访问控制和基于属性标记的强制访问控制相结合的B2级Web数据库管理系统的应用原型. 展开更多

关键词 访问控制实施层 访问控制判决层 访问控制器 访问请求过滤器

下载PDF 职称材料

面向分层式资源的基于属性的访问控制方法 被引量：4

15

作者 陈凯 郎波 《计算机工程》 CAS CSCD 北大核心 2010年第7期132-135,共4页

针对Internet上经常使用的分层式资源管理模型,提出一种基于属性的访问控制模型HR_ABAC,采用XACML国际标准作为该模型的策略描述语言,研究实现基于属性的访问控制决策机制。对该决策机制进行测试与分析,结果表明所实现的基于属性的访问... 针对Internet上经常使用的分层式资源管理模型,提出一种基于属性的访问控制模型HR_ABAC,采用XACML国际标准作为该模型的策略描述语言,研究实现基于属性的访问控制决策机制。对该决策机制进行测试与分析,结果表明所实现的基于属性的访问控制方法具有有效性和实用性。 展开更多

关键词 基于属性的访问控制 可扩展访问控制标记语言 策略决策点 策略管理点

下载PDF 职称材料

大飞机项目风险管理规划决策系统设计与实现 被引量：1

16

作者 李炜宇 《计算机与现代化》 2012年第3期169-172,共4页

风险管理是各个工程项目必须的环节之一。本文首先对现有的风险管理体系进行介绍和分析,进而完成适用于大飞机项目的风险管理规划中三大核心要素——甘特图、概率影响矩阵和角色权限控制的设计,最后完成了大飞机项目风险管理规划决策系... 风险管理是各个工程项目必须的环节之一。本文首先对现有的风险管理体系进行介绍和分析,进而完成适用于大飞机项目的风险管理规划中三大核心要素——甘特图、概率影响矩阵和角色权限控制的设计,最后完成了大飞机项目风险管理规划决策系统的实现,为项目风险识别和分析提供了良好的数据接口。 展开更多

关键词 风险管理规划 大飞机制造 甘特图 概率影响矩阵 角色权限控制 数字化决策系统

下载PDF 职称材料

支持动态策略变化的ABAC决策回收

17

作者 古丽博斯坦·阿克木 努尔买买提·黑力力 《计算机与现代化》 2022年第10期47-54,共8页

基于属性的访问控制(Attribute-Based Access Control,ABAC)因其灵活、表达能力丰富等特性,成为最常见的访问控制模型之一。然而,ABAC的策略决策点(Policy Decision Point,PDP)繁琐的策略查询任务以及PDP与策略执行点(Policy Enforcemen... 基于属性的访问控制(Attribute-Based Access Control,ABAC)因其灵活、表达能力丰富等特性,成为最常见的访问控制模型之一。然而,ABAC的策略决策点(Policy Decision Point,PDP)繁琐的策略查询任务以及PDP与策略执行点(Policy Enforcement Point,PEP)之间的网络通信影响其访问控制决策的效率。访问控制决策结果的回收利用是解决以上问题的有效方法之一。本文提出一种支持访问控制策略动态变化的、带策略的ABAC访问控制决策结果的回收利用方案。方案针对ABAC的3种变体模型给出如何创建和更新访问控制决策结果的缓存、如何由缓存内容进行精确和近似的访问控制决策。最终,通过原型系统对方案的可行性和有效性进行实验验证,实验结果显示本文提出的方法一定程度上能降低系统的访问控制决策时间并减少PDP的工作负荷。 展开更多

关键词 基于属性的访问控制 封闭世界策略 开放世界策略 混合策略 决策回收

下载PDF 职称材料

支持访问控制列表100Gbps线速查找的流水线方案研究 被引量：1

18

作者 吴冬 全成斌 赵有健 《小型微型计算机系统》 CSCD 北大核心 2014年第8期1743-1746,共4页

访问控制列表查找作为路由器的关键技术,可以根据IP数据包头信息对数据包进行更细粒度的分类,特别是对高速路由器中的快速查找技术的研究需求非常紧迫.访问控制列表根据几何分割可以生成决策树,查找过程可以通过遍历决策树加流水线的方... 访问控制列表查找作为路由器的关键技术,可以根据IP数据包头信息对数据包进行更细粒度的分类,特别是对高速路由器中的快速查找技术的研究需求非常紧迫.访问控制列表根据几何分割可以生成决策树,查找过程可以通过遍历决策树加流水线的方式来实现.简单的流水线实现会带来内存利用不均匀的问题,为了解决该问题,本文采用双端口静态随机存储器技术,提出环形线性流水线结构来实现遍历树.该方法能均匀分布流水线中各段的内存,支持100Gbps线速处理. 展开更多

关键词 访问控制列表查找 100Gbps 流水线 决策树

下载PDF 职称材料

基于模糊理论的增强型AHP终端选择算法的研究

19

作者 张蕾 田辉 Stephan Steglich 《高技术通讯》 EI CAS CSCD 北大核心 2009年第11期1124-1130,共7页

针对异构无线通信网络的发展趋势及其负载控制的执行,利用复杂系统中端到端重配置管理能力,结合模糊理论中的决策算法,提出了一种基于模糊理论的增强型多目标决策层次分析法(AHP)终端选择算法——AHP-TS,该算法将可重配置系统中的差异... 针对异构无线通信网络的发展趋势及其负载控制的执行,利用复杂系统中端到端重配置管理能力,结合模糊理论中的决策算法,提出了一种基于模糊理论的增强型多目标决策层次分析法(AHP)终端选择算法——AHP-TS,该算法将可重配置系统中的差异性和不精确性模糊化为相应隶属函数的隶属度,以实现更加及时有效的负载调控,进一步提升系统性能。理论分析和仿真所得出的结果均显示,在平衡可重配置系统中具有重叠覆盖的异构无线通信网络间的业务负荷中,此算法可以更好地实现不同负载条件下系统性能与管理开销间的折中,提高用户满意度。 展开更多

关键词 异构无线接入技术 端到端重配置 负载控制 终端选择算法 多目标模糊决策

下载PDF 职称材料

基于SAML的PEP与PDP通信模型设计与实现

20

作者 李云鹏 李景峰 《计算机工程与应用》 CSCD 2013年第16期107-112,共6页

针对XACML访问控制模型实体间授权请求与响应的传输问题,提出一种灵活、可扩展的策略执行点PEP与策略决策点PDP通信模型。根据OASIS对SAML规范进行的扩展,该模型中的SAML处理模块将XACML授权请求与响应封装成为SAML授权请求与响应,利用S... 针对XACML访问控制模型实体间授权请求与响应的传输问题,提出一种灵活、可扩展的策略执行点PEP与策略决策点PDP通信模型。根据OASIS对SAML规范进行的扩展,该模型中的SAML处理模块将XACML授权请求与响应封装成为SAML授权请求与响应,利用Spring Web Service架构实现模型中的PEP-WS模块和PDP-WS模块,对SAML授权请求与响应进行传输。该模型能够实现XACML授权请求与响应传输的透明性,将实现方式不同的PEP与PDP进行集成,增强了XACML访问控制模型部署的灵活性和可扩展性。 展开更多

关键词 可扩展访问控制标识语言 策略执行点 策略决策点

下载PDF 职称材料