访问控制日志驱动的ABAC策略自动提取与优化增强 被引量：1

1

作者 夏桐 袁凌云 +1 位作者 车兴亮 陈美宏 《计算机应用研究》 CSCD 北大核心 2024年第2期587-595,共9页

为解决基于属性的访问控制(ABAC)策略自动提取的低质量问题,提出一种基于访问控制日志驱动的ABAC策略自动提取与优化增强方法。首先,构建集成学习模型,将用户行为和权限分配映射为策略逻辑树,识别访问授权决策的关联性及潜在规律,初步... 为解决基于属性的访问控制(ABAC)策略自动提取的低质量问题,提出一种基于访问控制日志驱动的ABAC策略自动提取与优化增强方法。首先,构建集成学习模型,将用户行为和权限分配映射为策略逻辑树,识别访问授权决策的关联性及潜在规律,初步生成策略;其次,通过单属性优化和规则二元约简两种方法深度优化策略,简化策略结构并压缩策略规模;最后,提出基于误差度量的规则冲突解决方法,以增强互斥、完备的ABAC策略,并进一步基于多目标优化的策略性能平衡算法实现不同场景需求的最优模型选择。分别在平衡数据集和稀疏数据集上进行测试和验证,实验结果表明,该方法在平衡数据集上的准确性最高可达96.69%,可将策略规模压缩至原来的19.7%。在稀疏数据集上的准确性最高可达87.74%,可将策略规模压缩至原来的23%。此方法兼顾策略的预测精度与结构的简洁性,同时适用于平衡日志和稀疏日志,确保访问控制系统在实际应用中能够实现高效、安全的访问授权管理。 展开更多

关键词 基于属性的访问控制 策略提取 策略增强 集成学习 多目标优化

在线阅读 下载PDF 职称材料

面向政务协同的访问控制模型

2

作者 赵大燕 何华均 +3 位作者 李宇平 张钧波 李天瑞 郑宇 《计算机应用》 北大核心 2025年第1期162-169,共8页

针对政务协同场景需求复杂多样、人员流动管理困难、数据隐私度高和数据量大的特点,提出面向政务协同办公的访问控制(GBAC)模型。政务协同场景中的访问控制需要实现多部门对同一资源进行不同操作的需求,而现有的主流访问控制技术面临访... 针对政务协同场景需求复杂多样、人员流动管理困难、数据隐私度高和数据量大的特点,提出面向政务协同办公的访问控制(GBAC)模型。政务协同场景中的访问控制需要实现多部门对同一资源进行不同操作的需求,而现有的主流访问控制技术面临访问控制粒度不够精细和管理维护成本过高的问题,缺乏安全、灵活、精准的访问控制模型。因此,结合政务部门的运行机制,首先,将政府组织结构和行政区划结构融入访问控制模型,并构建政务人员、组织、资源和行政区划的归属关系树;其次,结合政务工作人员所属组织和岗位等属性,构建联合主体,以实现自动化的权限授予和解除;然后,根据组织职能和行政区划等级设计主客体属性匹配策略,从而打通数据壁垒,并提高鉴权效率;最后,引入权限分级思想,为资源设置数据级别和功能级别,以控制主体的访问阈值,从而提高模型灵活性,并进一步保障数据安全。实验结果表明,与基准模型如基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)相比,GBAC模型的内存消耗大幅减小,访问时延更低。可见,所提模型能安全、高效、灵活地实现政务协同场景下的权限管理。 展开更多

关键词 访问控制 访问策略 政务协同 数据共享 基于角色的访问控制 基于属性的访问控制

在线阅读 下载PDF 职称材料

一种ABAC静态策略冲突检测算法 被引量：6

3

作者 刘江 张红旗 +1 位作者 代向东 王义功 《计算机工程》 CAS CSCD 2013年第6期200-204,共5页

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题。针对上述问题,提出一种基于策略属性分解的冲突检测算法。该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态... 在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题。针对上述问题,提出一种基于策略属性分解的冲突检测算法。该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性。实验结果表明,该算法对静态策略冲突的检测率接近85%。 展开更多

关键词 基于属性的访问控制模型 策略管理 静态策略 策略冲突 策略属性分解 冲突检测

在线阅读 下载PDF 职称材料

基于日志的富语义ABAC 策略挖掘 被引量：4

4

作者 毋文超 任志宇 杜学绘 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2020年第11期2149-2157,共9页

为了解决大规模环境下的细粒度访问控制问题,挖掘出易于人工阅读、契合主体行为模式、精确完备的基于属性的访问控制(ABAC)策略,从而为安全管理员进行策略构建、维护和优化提供有力支撑,提出基于日志的富语义ABAC策略挖掘方法.该方法基... 为了解决大规模环境下的细粒度访问控制问题,挖掘出易于人工阅读、契合主体行为模式、精确完备的基于属性的访问控制(ABAC)策略,从而为安全管理员进行策略构建、维护和优化提供有力支撑,提出基于日志的富语义ABAC策略挖掘方法.该方法基于频繁模式挖掘算法,从访问日志和属性数据中挖掘契合主体行为模式的ABAC策略.对策略进行正确性和语义质量分析获得富语义ABAC策略集.通过交叉验证方法对策略集的精确性和完备性进行验证,算法在公开数据集上的F1得分为0.8375,在手写数据集上的F1得分为0.9394.在手写数据集上的验证表明,算法可以在较小训练集上得到比现有算法更高质量的策略集,所得授权规则在易读性方面有所提升. 展开更多

关键词 基于属性的访问控制(abac) 策略挖掘 访问日志 频繁模式挖掘 富语义策略

在线阅读 下载PDF 职称材料

ABAC策略语义表示和决策方法 被引量：1

5

作者 周加根 叶春晓 罗娟 《计算机工程与应用》 CSCD 2013年第23期56-62,66,共8页

为解决开放式系统环境中基于属性的访问控制(Attribute-Based Access Control,ABAC)策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言(SWRL)处理系统内... 为解决开放式系统环境中基于属性的访问控制(Attribute-Based Access Control,ABAC)策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言(SWRL)处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。 展开更多

关键词 基于属性的访问控制 策略表示 策略决策 本体 语义Web规则语言 推理

在线阅读 下载PDF 职称材料

一种ABAC中合理属性值指派计算方法

6

作者 李艺夫 杜学绘 任志宇 《小型微型计算机系统》 CSCD 北大核心 2016年第10期2188-2193,共6页

为实体(如用户、主体、客体等)指派合理的属性值是基于属性的访问控制模型实施与安全性的关键.针对现有属性管理权限委派中在属性值划分上缺乏相应客观依据及方法,提出一个基于有向图的属性值计算方法.该方法把来自一个属性内或多个属... 为实体(如用户、主体、客体等)指派合理的属性值是基于属性的访问控制模型实施与安全性的关键.针对现有属性管理权限委派中在属性值划分上缺乏相应客观依据及方法,提出一个基于有向图的属性值计算方法.该方法把来自一个属性内或多个属性之间的关系定义为前提关系,构造得到一个以属性为顶点、前提关系为有向边的有向图.该方法计算属性值的过程分为三步,首先,搜索有向图中与目标属性相关的所有前提关系;第二步,代入属性值确定各个前提关系对目标属性的函数约束;第三步,按照目标属性的函数约束形式分为三种分别聚合,计算得到属性值满足的函数.实验结果验证其与一般的计算方法相比,平均时间加速比可达到3倍以上. 展开更多

关键词 基于属性的访问控制模型 属性管理 属性关系 属性值指派

在线阅读 下载PDF 职称材料

双重授权的多组织协同数据共享方案 被引量：1

7

作者 张欢 王静宇 +1 位作者 刘立新 姜晓宇 《计算机应用》 CSCD 北大核心 2024年第10期3307-3314,共8页

针对现有的多组织协同数据共享框架缺乏信任机制,存在数据隐私和安全风险、数据一致性和对共享数据使用的监管问题,借助区块链的特性,提出一种双重授权的多组织协同数据共享方案,通过双重授权方式解决各组织主体之间协同管理共享数据的... 针对现有的多组织协同数据共享框架缺乏信任机制,存在数据隐私和安全风险、数据一致性和对共享数据使用的监管问题,借助区块链的特性,提出一种双重授权的多组织协同数据共享方案,通过双重授权方式解决各组织主体之间协同管理共享数据的访问问题。首先,使用基于属性的访问控制(ABAC)技术利用不同组织的一组属性管理共享数据,实现第1层授权,防止未经授权用户的非法访问;其次,基于访问控制,引入多重签名协议进行第2层授权,实现参与协同组织对共享数据访问的监管,提高访问的安全性。实验结果表明,当协同组织数为4时,系统整体时间开销为21 s;当协同组织数增加至10时,所提方案依旧能够保持较低的时间开销。因此所提方案能够同时满足实际生产中安全性和实用性的需求。 展开更多

关键词 区块链 数据共享 多组织协同 基于属性的访问控制 多重签名

在线阅读 下载PDF 职称材料

基于属性的访问控制策略模型 被引量：17

8

作者 程相然 陈性元 +1 位作者 张斌 杨艳 《计算机工程》 CAS CSCD 北大核心 2010年第15期131-133,共3页

研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结... 研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据。 展开更多

关键词 基于属性的访问控制 策略模型 策略评估 策略管理框架

在线阅读 下载PDF 职称材料

基于属性访问控制的CSP模型 被引量：11

9

作者 盖新貌 沈昌祥 +1 位作者 刘毅 周明 《小型微型计算机系统》 CSCD 北大核心 2011年第11期2217-2222,共6页

从可用性的角度提出一个基于属性的访问控制模型.首先介绍了属性、属性项等相关概念,在此基础之上,通过约束满足问题建立了访问控制规则的形式化模型;其次,证明了在给定属性项值域的前提下,正向规则与负向规则可以互相转化,从而提出一... 从可用性的角度提出一个基于属性的访问控制模型.首先介绍了属性、属性项等相关概念,在此基础之上,通过约束满足问题建立了访问控制规则的形式化模型;其次,证明了在给定属性项值域的前提下,正向规则与负向规则可以互相转化,从而提出一致性策略的概念,并分别根据肯定优先及否定优先规则合成算法,给出了一致性策略的形式化模型,研究了策略可允许访问操作集合;最后,通过实例阐述了基于属性访问控制模型的表达能力. 展开更多

关键词 基于属性的访问控制 约束满足问题 合成算法 可允许操作

在线阅读 下载PDF 职称材料

动态自适应访问控制模型 被引量：7

10

作者 史国振 王豪杰 +2 位作者 慈云飞 叶思水 郭云川 《通信学报》 EI CSCD 北大核心 2016年第11期49-56,共8页

随着云计算技术、智慧城市及移动办公的发展和移动智能设备的出现,资源所处的网络环境越来越复杂,传统的访问控制模型已很难满足多样化的访问控制条件以及访问控制策略动态自适应调整的需求。以基于行为的访问控制模型为基础,结合资源... 随着云计算技术、智慧城市及移动办公的发展和移动智能设备的出现,资源所处的网络环境越来越复杂,传统的访问控制模型已很难满足多样化的访问控制条件以及访问控制策略动态自适应调整的需求。以基于行为的访问控制模型为基础,结合资源生命周期管理,提出了一种动态自适应访问控制模型。该模型以资源生命周期为中心,充分考虑资源的生命周期阶段及其访问控制策略的关联性和动态性,使资源访问控制策略能够随着资源生命周期所处阶段的变化而自动变化,提高了访问控制的灵活性和复杂网络环境下的适用性;模型加入用户访问行为历史管理功能,考虑用户的历史访问行为,进一步约束主体的访问能力,提高模型适应开放的网络环境的能力。最后,在通用访问控制系统和云访问控制系统中对该模型进行了实现和验证。 展开更多

关键词 访问控制 基于行为的访问控制模型 资源生命周期管理 动态自适应 用户历史访问行为

在线阅读 下载PDF 职称材料

Web服务中结合XACML的基于属性的访问控制模型 被引量：8

11

作者 沈海波 洪帆 《计算机应用》 CSCD 北大核心 2005年第12期2765-2767,2776,共4页

分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基... 分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。 展开更多

关键词 WEB服务 基于属性的访问控制 可扩展访问控制标记语言

在线阅读 下载PDF 职称材料

科学数据网格中资源节点信任评价系统的设计与实现 被引量：2

12

作者 李生 徐浩 +1 位作者 南凯 阎保平 《计算机应用研究》 CSCD 北大核心 2007年第7期154-156,共3页

给出了信任的定义,并分析了信任属性。然后根据科学数据网格的特点,设计了域间直接、推荐信任度的计算和域间推荐信任关系的通信协议,并介绍了资源节点信任评价系统在域间访问控制系统中的应用。

关键词 科学数据网格 信任关系 基于属性的访问控制

在线阅读 下载PDF 职称材料

联邦认证授权中语义属性访问控制的研究 被引量：1

13

作者 姜华 李新友 +3 位作者 谢圣献 陈晨 李俊青 张沙沙 《计算机应用研究》 CSCD 北大核心 2009年第6期2128-2130,共3页

为方便跨域信息共享,简化策略管理,将属性访问控制(ABAC)与语义W eb技术结合,扩展XACML标准框架结构,实现语义推理功能;将该结构应用于联邦身份认证授权模型中,可以有效解决属性语义互操作问题。

关键词 属性访问控制 授权 联邦 本体 可扩展的访问控制标记语言

在线阅读 下载PDF 职称材料

基于语义Web技术的属性访问控制模型 被引量：2

14

作者 沈海波 洪帆 《计算机应用研究》 CSCD 北大核心 2007年第10期148-151,共4页

基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型。该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性。

关键词 基于属性的访问控制 语义WEB技术 扩展访问控制标记语言

在线阅读 下载PDF 职称材料

P_FACSM:PaaS平台下公平的访问控制安全模型 被引量：1

15

作者 李敏 秦志光 《计算机应用研究》 CSCD 北大核心 2013年第1期256-260,共5页

针对PaaS(平台即服务)的安全需求,设计了PaaS下公平的访问控制安全模型(P_FACSM)。该模型以ABAC(基于行为的访问控制)为基础,引入公平化QoS(服务质量)作为环境约束,并结合OAuth(开放的授权)协议进行授权。P_FACSM不仅能保护PaaS中数据... 针对PaaS(平台即服务)的安全需求,设计了PaaS下公平的访问控制安全模型(P_FACSM)。该模型以ABAC(基于行为的访问控制)为基础,引入公平化QoS(服务质量)作为环境约束,并结合OAuth(开放的授权)协议进行授权。P_FACSM不仅能保护PaaS中数据的完整性和保密性,也能最大化公平的保障平台访问者的QoS,并能保护终端用户的账户隐私。经理论分析及相关项目中的实际应用表明,该模型在安全性保障及时间效率上都能到达较好效果。 展开更多

关键词 平台即服务 基于行为的访问控制 服务质量 开放的授权 账户隐私

在线阅读 下载PDF 职称材料

基于访问控制日志的访问控制策略生成方法 被引量：10

16

作者 刘敖迪 杜学绘 +2 位作者 王娜 单棣斌 张柳 《电子与信息学报》 EI CSCD 北大核心 2022年第1期324-331,共8页

为解决其他访问控制机制向基于属性的访问控制机制迁移过程中所面临的策略生成问题,该文提出一种基于访问控制日志的访问控制策略生成方法,利用基于机器学习分类器的递归属性消除法实现策略属性的选择,基于信息不纯度从日志记录中提炼... 为解决其他访问控制机制向基于属性的访问控制机制迁移过程中所面临的策略生成问题,该文提出一种基于访问控制日志的访问控制策略生成方法,利用基于机器学习分类器的递归属性消除法实现策略属性的选择,基于信息不纯度从日志记录中提炼出蕴含的属性-权限关系,结合实体属性选择的结果,构建策略结构树,实现基于属性的访问控制(ABAC)策略的生成,并设计了基于二分搜索的策略生成优化算法实现对最优策略生成结果的快速计算。实验结果表明,只需原始实体属性集中32.56%的属性信息即可实现对日志中95%的策略覆盖,并且能够将策略规模压缩为原有规模的33.33%,证实了该方案的有效性,能够为ABAC策略管理提供有力支撑。 展开更多

关键词 访问控制 基于属性的访问控制 策略生成 属性选择

在线阅读 下载PDF 职称材料

基于SAML的网格策略部署和认证机制 被引量：4

17

作者 裴艳琴 杨寿保 +1 位作者 房向明 郭磊涛 《计算机工程》 CAS CSCD 北大核心 2007年第1期170-172,175,共4页

引进了安全断言标记语言技术,采用基于属性的访问控制策略和安全断言映射方法,讨论了访问控制的流程及相关的授权、认证服务,为校园网格引入了一种访问控制模型,该模型和网格中资源提供者与消费者之间的界面——Portal充分集成,提高了... 引进了安全断言标记语言技术,采用基于属性的访问控制策略和安全断言映射方法,讨论了访问控制的流程及相关的授权、认证服务,为校园网格引入了一种访问控制模型,该模型和网格中资源提供者与消费者之间的界面——Portal充分集成,提高了访问的灵活性和可靠性。 展开更多

关键词 安全断言标记语言技术 断言 基于属性的访问控制 策略 部署

在线阅读 下载PDF 职称材料

基于区块链的医疗数据分级访问控制与共享系统 被引量：26

18

作者 曹萌 余孙婕 +1 位作者 曾辉 史红周 《计算机应用》 CSCD 北大核心 2023年第5期1518-1526,共9页

针对当前医疗数据共享时访问控制粒度过粗、共享灵活性低、集中式医疗数据共享平台存在数据泄露的安全隐患等问题,提出一种基于区块链的医疗数据分级访问控制与共享系统。首先,对医疗数据按照敏感度分级,并提出了密文策略属性基分级加密... 针对当前医疗数据共享时访问控制粒度过粗、共享灵活性低、集中式医疗数据共享平台存在数据泄露的安全隐患等问题,提出一种基于区块链的医疗数据分级访问控制与共享系统。首先,对医疗数据按照敏感度分级,并提出了密文策略属性基分级加密(CP-ABHE)算法,实现对不同敏感度医疗数据的访问控制。该算法使用合并访问控制树和结合对称加密方法提升密文策略属性基加密(CP-ABE)算法的性能,并使用多授权中心解决密钥托管问题。然后,采用基于许可区块链的医疗数据共享模式解决集中式共享平台存在的中心化信任问题。安全性分析结果表明,所提系统在数据共享过程中保证了数据的安全性,可以抵御用户合谋攻击和权威合谋攻击。实验结果表明,CPABHE算法拥有比CP-ABE算法更低的计算开销,所提系统的最大平均时延为7.8 s,最高吞吐量为每秒处理236个事务,符合预期性能要求。 展开更多

关键词 医疗大数据 区块链 访问控制 数据共享 智能合约 基于属性的访问控制

在线阅读 下载PDF 职称材料

面向分层式资源的基于属性的访问控制方法 被引量：4

19

作者 陈凯 郎波 《计算机工程》 CAS CSCD 北大核心 2010年第7期132-135,共4页

针对Internet上经常使用的分层式资源管理模型,提出一种基于属性的访问控制模型HR_ABAC,采用XACML国际标准作为该模型的策略描述语言,研究实现基于属性的访问控制决策机制。对该决策机制进行测试与分析,结果表明所实现的基于属性的访问... 针对Internet上经常使用的分层式资源管理模型,提出一种基于属性的访问控制模型HR_ABAC,采用XACML国际标准作为该模型的策略描述语言,研究实现基于属性的访问控制决策机制。对该决策机制进行测试与分析,结果表明所实现的基于属性的访问控制方法具有有效性和实用性。 展开更多

关键词 基于属性的访问控制 可扩展访问控制标记语言 策略决策点 策略管理点

在线阅读 下载PDF 职称材料

内容管理信息系统中访问控制方案的切换 被引量：2

20

作者 汪海玲 郝玉洁 白敬培 《电子科技大学学报》 EI CAS CSCD 北大核心 2013年第5期749-752,共4页

为了解决基于角色的访问控制(RBAC)模型开发的内容管理信息系统向SOA架构切换,其中访问控制部分也需要转成更适应于分布式架构的基于属性的访问控制(ABAC)模型。该文对比研究了RBAC模型和ABAC模型两种授权模型,分析如何把已有的信息系统... 为了解决基于角色的访问控制(RBAC)模型开发的内容管理信息系统向SOA架构切换,其中访问控制部分也需要转成更适应于分布式架构的基于属性的访问控制(ABAC)模型。该文对比研究了RBAC模型和ABAC模型两种授权模型,分析如何把已有的信息系统从RBAC模型转化成ABAC模型,为解决分布式环境提供了一种新途径,实现了RBAC模型到ABAC模型的平稳过渡,而不是完全推倒重建。 展开更多

关键词 访问控制 基于属性的访问控制 信息系统 基于角色的访问控制

在线阅读 下载PDF 职称材料