摘要：研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据。

摘要：为解决目前基于属性的访问控制(ABAC)策略生成方法受限于关系提取问题的难度以及属性的质量和数量等问题,提出一种策略混合生成方法。利用自顶向下方法提取富语义的访问权限信息词语,无需提取词语关系减小问题难度;基于语义相似度优化实体属性,减少属性数量并提升质量,改进深度森林模型自底向上挖掘策略,提升高维度属性下的访问权限决策性能。实验结果表明,混合方法权限决策准确率最高可达98.11%,比直接的单一生成方法提高了2.05%,且策略模型的挖掘时间缩短了21.53%,是一种更加精准且高效的ABAC策略生成方法。

摘要：为了迎合目前网格计算对动态、细粒度授权的需求,针对网格资源分层式的组织结构特点,在现有的基于属性的访问控制(ABAC)模型的基础上,提出了一种针对网格资源的ABAC模型Grid_ABAC,并设计了基于XACML的Grid_ABAC实现框架,应用在GT4平台上。最后对GT4中的应用作了测试,测试结果表明授权结果与预期结果相同,且时间开销随着规模的增长并没有增长很多,在可接受范围内。证明Grid_ABAC模型在网格平台上具有一定的实用性。

摘要：飞控系统是无人机的核心部件,对无人机的功能和性能起着决定性作用,是无人机信息安全防护的重点对象。文中针对PX4飞控系统面临的恶意代码植入、内部交互数据篡改等安全风险,设计了一种面向位置环境的基于属性的访问控制策略(LE-ABAC),该策略基于访问控制实体属性和无人机外部位置环境信息制定访问控制规则,可以实现对无人机内的数据交互过程进行细粒度控制,保护关键交换数据的机密性与完整性。文中在PX4软件仿真平台上对所提方案进行了攻击仿真实验,结果表明该模型能够在不显著降低无人机飞控效率的前提下,有效保护飞控系统内部交互数据不被窃取和篡改。

摘要：Web 服务是一种新的面向服务的计算模式,由于其异构性、多域性和高度动态性,它提出了独特的安全挑战。一个关键的安全挑战就是要设计有效的访问控制机制。但目前存在的访问控制机制大多是基于身份的,存在严重的管理规模和控制粒度问题。本文提出利用基于属性的访问控制(Attribute-Based Access Control,ABAC)机制来处理 Web 服务的访问控制问题。ABAC 采用相关实体的属性进行授权决策,能解决管理规模问题,并提供细粒度的控制。另外,文中对 ABAC 进行了建模,讨论了其应用,最后还给出了一种实施框架。

摘要：【目的】近年来,传统企业网络结构被颠覆,融合了广域网组网能力与网络安全功能的安全访问服务边缘(SASE)概念被提出。本文面向SASE的访问控制、动态路由等需求进行研究。【方法】通过定义“属性”来描述SASE环境中的实体身份和实时上下文,提出基于属性的动态安全网络访问技术方法。首先,设计基于属性的访问控制技术,以支撑SASE的动态细粒度访问控制功能。然后,设计基于属性的动态路由架构,结合数据包、网络环境、发送方与接收方等实体所携带的属性做出路由决策,为SASE的流量调度和服务编排功能提供了基础。【结果】可行性验证实验结果表明,该技术方法的虚拟网络带宽损失率约为4.04%,虚拟网络抖动峰值为1.534ms,虚拟网络丢包率峰值为0.825%,均处于合理范畴。【结论】本方法在提高网络安全性和动态性的前提下,并未对网络性能产生较大影响,已具备实用价值。

摘要：针对政务协同场景需求复杂多样、人员流动管理困难、数据隐私度高和数据量大的特点,提出面向政务协同办公的访问控制(GBAC)模型。政务协同场景中的访问控制需要实现多部门对同一资源进行不同操作的需求,而现有的主流访问控制技术面临访问控制粒度不够精细和管理维护成本过高的问题,缺乏安全、灵活、精准的访问控制模型。因此,结合政务部门的运行机制,首先,将政府组织结构和行政区划结构融入访问控制模型,并构建政务人员、组织、资源和行政区划的归属关系树;其次,结合政务工作人员所属组织和岗位等属性,构建联合主体,以实现自动化的权限授予和解除;然后,根据组织职能和行政区划等级设计主客体属性匹配策略,从而打通数据壁垒,并提高鉴权效率;最后,引入权限分级思想,为资源设置数据级别和功能级别,以控制主体的访问阈值,从而提高模型灵活性,并进一步保障数据安全。实验结果表明,与基准模型如基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)相比,GBAC模型的内存消耗大幅减小,访问时延更低。可见,所提模型能安全、高效、灵活地实现政务协同场景下的权限管理。

摘要：个人健康记录服务是一项新兴的医疗信息交换服务,在该服务中,病人的记录和信息都是由自己存放在网络上的,现实中都是外包给第三方的云服务器,而云服务商是不完全可信的,因此在云环境中提供高效而又安全的访问控制是当前亟待解决的问题之一.采用基于属性的加密方法加密病人的记录并上传至云服务器是安全可行的.为此设计出一种在个人健康记录服务中使用并支持属性撤销的加密方案,采用密文密钥定长的方式实现节约存储空间的目的,引入版本号标记和代理重加密技术实现属性的撤销.最后,从安全性以及效率方面得出方案的安全性与高效性,证明其适用于个人健康记录服务模型.

摘要：为解决其他访问控制机制向基于属性的访问控制机制迁移过程中所面临的策略生成问题,该文提出一种基于访问控制日志的访问控制策略生成方法,利用基于机器学习分类器的递归属性消除法实现策略属性的选择,基于信息不纯度从日志记录中提炼出蕴含的属性-权限关系,结合实体属性选择的结果,构建策略结构树,实现基于属性的访问控制(ABAC)策略的生成,并设计了基于二分搜索的策略生成优化算法实现对最优策略生成结果的快速计算。实验结果表明,只需原始实体属性集中32.56%的属性信息即可实现对日志中95%的策略覆盖,并且能够将策略规模压缩为原有规模的33.33%,证实了该方案的有效性,能够为ABAC策略管理提供有力支撑。

摘要：Web of Things(WoT)就是把物联网和Web技术结合起来,将物联网网络环境中的设备抽象为资源和服务能力连接到Web空间。针对WoT技术,当前存在的访问控制模型并不完全适用。因此本文结合了基于角色的访问控制模型和基于属性的访问控制模型,并在基于WoT思想的"物联网通用体系架构"的基础上,设计一个访问控制子模块,展开对满足物联网特性的访问控制机制的研究和实现,提出一种改进的访问控制机制。在基于角色的访问控制基础上增加属性的判断,从而在保留基于角色访问控制优点的同时实现自动分配权限的功能。