基于角色访问的控制系统的研究与实现
基于角色访问的控制系统的研究与实现
摘要随着计算机和互联网的普及,网络安全问题日渐突出,基于角色访问的控制系统作为一种安全机制,已经得到了普遍的关注和应用。鉴于此,本文简要分析了访问控制技术,并讨论了基于角色访问的控制系统的研究与实现=。
关键词:角色访问控制系统;研究;实现;网络安全技术
如今,互联网技术的迅速发展已经使信息共享得到了实现,信息共享为我们的工作和生活带来了诸多便利,但是,与此同时,随着网络环境的日益复杂,网络安全已经成为一个不得不解决的问题。鉴于此,基于角色访问的控制系统应运而生,成为网络安全技术的又一重要进步,因而设计一个科学的、有效的、灵活的角色访问控制系统已经成为现有大型信息管理系统的当务之急。
1 访问控制技术的研究
访问控制系统的主要职能是限定合法用户的网络行为,它是网络安全信息系统的重要组成部分之一。访问控制技术功能包含两个层面,一个是限定合法用户的行为,一个是系统根据用户的行为应作出何种反应。
访问控制机是以特定途径表现的允许或限制访问权限及访问范围的一种机制,访问控制机制的技术关键是身份认证,实质是以限定用户对特定网络资源的访问来避免非法用户对资源的滥用,以此保证资源不被非法使用;根据功能的不同,访问控制策略也有所不同,目前常见的访问控制策略是基于角色的访问控制、强制访问控制和自主访问控制;其中,由于基于角色的访问控制在政府、金融、军事等领域体现出了良好的安全性和可靠性,因而得到了广泛的运用,并成为了访问控制研究领域的热点课题。
2 基于角色访问的控制系统的特点分析
首先,为了认清基于角色访问的控制系统的职能和特点,我们需要了解角色的定义,并了解角色的属性。
角色在网络系统中的定义可以归纳为:一个(或一群)用户在组织内可执行的操作的集合。在一个组织、一个企业的网络系统往往会被划分为不同的区域,而只有限定了组织中每个成员或每组成员的角色,才能更有效地限定其访问区域。而往往,为了保证组织或企业中每个网络区域的安全性,我们通常采用的是最小特权原则,也就是说,只有该区域限定的,可以对其进行访问的角色,才能对其进行访问,由此可见,现实生活中的角色和权限往往是一对一的关系。
角色的属性:1)角色的数据处理对象具有既定的确切的范围。由于网络系统中访问数据要被划分为不同的区域,因而要向角色明确指出其数据处理对象的范围;2)不同角色对数据的处理权限不同,例如有的角色可以对数据进行修改,
基于角色的访问控制系统
基于角色的访问控制系统 Role-Based Access Con trol System 北京航空航天大学计算机系(北京100083) 李伟琴 杨亚平 【摘要】 主要介绍基于角色的访问控制(RBA C),其中包括特点、优势等,并对其设计考虑以及如何具体实现作了阐述。 关键词:访问控制,计算机网络,计算机安全 【Abstract】 Ro le-based access con tro l (RBA C)techno logy is p resen ted,including the featu res,advan tage,design schem e and sp ecific realizing m ethods. Key words:access con trol,co m puter net-work,co m puter safety 近年来,随着全球网络化的热潮,网络技术正在日益广泛而深入地被应用到社会的各个领域中,并深刻地改变着社会的行为和面貌。然而,与此同时,网络安全却成为困扰和阻挠网络技术进一步普及、应用的绊脚石。尤其在商业、金融和国防等领域的网络应用中,能否保证网络具有足够的安全性是首先要考虑的问题。安全问题如果不能有效地得到解决,必然会影响整个网络的发展。 为此,国际标准化组织ISO在网络安全体系的设计标准(ISO7498-2)中,提出了层次型的安全体系结构,并定义了五大安全服务功能:身份认证服务,访问控制服务,数据保密服务,数据完整性服务,不可否认服务。一个可靠的网络,它的可信任程度依赖于所提供的安全服务质量。 1 访问控制研究的定义、内容和范围 访问控制(access con tro l)就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。 访问控制系统一般包括: 1)主体(sub ject):发出访问操作、存取要求的主动方,通常指用户或用户的某个进程; 2)客体(ob ject):被调用的程序或欲存取的数据访问; 3)安全访问政策:一套规则,用以确定一个主体是否对客体拥有访问能力。 2 传统的访问控制技术 2.1 自主型的访问控制DAC DA C是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限定的一种方法。其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。我们所熟悉的U N I X系统就是采用了自主型的访问控制技术。 2.2 强制型的访问控制M AC 强制型的访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。它预先定义主体的可信任级别及客体(信息)的敏感程度(安全级别)。用户的访问必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。这种访问控制方式主要适合于多层次安全级别的军事应用。 3 基于角色的访问控制技术 随着网络的迅速发展,尤其是In tranet的兴起,对访问控制服务的质量也提出了更高的要求,以上两种访问控制技术已很难满足这些要求。DA C 将赋予或取消访问权限的一部分权力留给用户个人,这使得管理员难以确定哪些用户对哪些资源有访问权限,不利于实现统一的全局访问控制。而M A C由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。90年代以来出现的一种基于角色的访问控制RBA C(Ro le -B ased A ccess Con tro l)技术有效地克服了传统 ? 6 1 ?
一种基于任务和角色的访问控制模型及其应用
收稿日期:2005-05-13 基金项目:江苏省高校指导性项目(Q2118042) 作者简介:景栋盛(1981— ),男,江苏苏州人,硕士研究生,研究方向为计算机安全、CSCW ;杨季文,教授,研究方向为中文信息处理等。 一种基于任务和角色的访问控制模型及其应用 景栋盛,杨季文 (苏州大学计算机科学与技术学院,江苏苏州215006) 摘 要:近年来RBAC (Role -Based Access Control )及TBAC (Task -Based Access Control )模型得到广泛的研究。文中比较了一些现有访问控制模型的各自特点和适用范围,针对现有模型的不足,为了提高系统的安全性、通用型和实用性,通过结合RBAC 及TBAC 模型各自的优点,提出了一个新型的访问控制模型T -RBAC (Task -Role Based Access Control )。描述了T -RBAC 模型结构和特点,阐述了模型对最小权限原则、职权分离原则、数据抽象原则及角色层次关系的支持,给出了模 型在协同编著系统中的一个应用和将来工作的主要目标。 关键词:基于角色的访问控制;基于任务的访问控制;基于任务和角色的访问控制 中图分类号:TP309 文献标识码:A 文章编号:1005-3751(2006)02-0212-03 A Model of T ask -Role B ased Access Control and Its Application J IN G Dong 2sheng ,YAN G Ji 2wen (Computer Dept.of Suzhou University ,Suzhou 215006,China ) Abstract :The research work of RBAC (role -based access control )and TBAC (task -based access control )is greatly emphasized in re 2cent years.This paper compares the characteristics and applicability spectrum of some recent models.To the deficiency of the existing model ,in order to improve the security ,compatibility and practicability of application systems ,through combining the advantages of RBAC and TBAC model ,a new -type model ,T -RBAC (-role based access control ),is discussed.The configuration and character 2istics of the model is described.The support of least privilege ,separation of duties ,data abstraction and roles hierarchies in the model is explained.An application of the model in computer supported cooperative system and the main goal of future research is presented.K ey w ords :RBAC ;TBAC ;T -RBAC 0 引 言 访问控制在ISO74982里是网络安全服务5个层次中的重要一层。访问控制的目的是通过某种途径显示的限制用户对系统资源的访问,从而使系统在合法的范围内使用。20世纪70年代Harrison ,Ruzzo 和Ulman 提出了 HRU 模型,紧接着Jones 等人提出了Take -Grant 模型。 后来又有著名的自主访问控制模型(DAC )和强制访问控制模型(MAC )。从70年代末开始R.S.Sandhu 等学者[1]先后提出了存取控制矩阵(TAM ),RBAC ,TBAC (1993年提出)。由于访问控制模型的适用范围各有不同,提出后各种模型一直不断发展,尤其是RBAC ,TBAC 至今仍在不断地完善和充实中。 1 各种访问控制方法比较 DAC (discretionary access control )系统中的主体可以 自主地将其拥有的对客体的访问权限授予其它主体。其 实现方法一般是建立系统访问控制矩阵,矩阵的行对应系统的主体,列对应系统的客体,元素表示主体对客体的访问权限。DAC 有其致命弱点:访问权限的授予是可以传递的。一旦访问权限被传递出去将难以控制,访问权限的管理相当困难,会带来严重的安全问题;在大型系统中开销巨大,效率低下;DAC 不保护客体产生的副本,增加了管理难度。 MAC (mandatory access control )系统中的主/客体都 被分配一个固定的安全属性,利用安全属性决定一个主体是否可以访问客体。安全属性是强制的,由SO 向主体和客体分配安全标签。利用下读/上写来保证数据的保密性,并且通过这种梯度安全标签实现信息的单向流通。 MAC 的缺点很明显:MAC 系统的灵活性差;虽机密性得 到增强,但不能实施完整性控制,不利于在商业系统中的运用;必须保证系统中不存在逆向潜信道,而在现代计算机中是难以去除的,如各种Cache 等。 RBAC 引入角色做为中介,本身是中立的访问控制策 略,但其扩展模型的扩展策略可能使其与DAC ,MAC 并存。1996年提出的RBAC96模型[2]是一个权威的基于角色的访问控制参考模型,包括4个层次:RBAC0模型定义了支持基于角色访问控制的最小需求,如用户、角色、权 第16卷 第2期2006年2月 计算机技术与发展COMPU TER TECHNOLO GY AND DEV ELOPMEN T Vol.16 No.2Feb.2006
自动控制系统概要设计
目录 1引言 (3) 1.1编写目的 (3) 1.2背景 (3) 1.3技术简介 (4) https://www.wendangku.net/doc/9711133701.html,简介 (4) 1.3.2SQL Server2008简介 (5) 1.3.3Visual Studio2010简介 (5) 1.4参考资料 (6) 2总体设计 (8) 2.1需求规定 (8) 2.2运行环境 (8) 2.3数据库设计 (8) 2.3.1数据库的需求分析 (9) 2.3.2数据流图的设计 (9) 2.3.3数据库连接机制 (10) 2.4结构 (11) 2.5功能需求与程序的关系 (11) 3接口设计 (12) 3.1用户接口 (12) 3.2外部接口............................................................................................错误!未定义书签。 3.3内部接口............................................................................................错误!未定义书签。4运行设计.....................................错误!未定义书签。 4.1运行模块组合....................................................................................错误!未定义书签。 4.2运行控制............................................................................................错误!未定义书签。 4.3运行时间............................................................................................错误!未定义书签。5测试 (13)
访问控制模型综述
访问控制模型研究综述 沈海波1,2,洪帆1 (1.华中科技大学计算机学院,湖北武汉430074; 2.湖北教育学院计算机科学系,湖北武汉430205) 摘要:访问控制是一种重要的信息安全技术。为了提高效益和增强竞争力,许多现代企业采用了此技术来保障其信息管理系统的安全。对传统的访问控制模型、基于角色的访问控制模型、基于任务和工作流的访问控制模型、基于任务和角色的访问控制模型等几种主流模型进行了比较详尽地论述和比较,并简介了有望成为下一代访问控制模型的UCON模型。 关键词:角色;任务;访问控制;工作流 中图法分类号:TP309 文献标识码: A 文章编号:1001-3695(2005)06-0009-03 Su rvey of Resea rch on Access Con tr ol M odel S HE N Hai-bo1,2,HONG Fa n1 (1.C ollege of Computer,H uazhong Univer sity of Science&Technology,W uhan H ubei430074,China;2.Dept.of C omputer Science,H ubei College of Education,Wuhan H ubei430205,China) Abst ract:Access control is an im port ant inform a tion s ecurity t echnolog y.T o enha nce benefit s and increa se com petitive pow er,m a ny m odern enterprises hav e used this t echnology t o secure their inform ation m ana ge s yst em s.In t his paper,s ev eral m a in acces s cont rol m odels,such as tra dit iona l access control m odels,role-bas ed acces s cont rol m odels,ta sk-ba sed acces s control m odels,t as k-role-based access cont rol m odels,a nd s o on,are discus sed a nd com pa red in deta il.In addit ion,we introduce a new m odel called U CON,w hich m ay be a prom ising m odel for the nex t generation of a ccess control. Key words:Role;Ta sk;Access Cont rol;Workflow 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法。它是针对越权使用系统资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证系统资源受控地、合法地使用。访问控制的目的在于限制系统内用户的行为和操作,包括用户能做什么和系统程序根据用户的行为应该做什么两个方面。 访问控制的核心是授权策略。授权策略是用于确定一个主体是否能对客体拥有访问能力的一套规则。在统一的授权策略下,得到授权的用户就是合法用户,否则就是非法用户。访问控制模型定义了主体、客体、访问是如何表示和操作的,它决定了授权策略的表达能力和灵活性。 若以授权策略来划分,访问控制模型可分为:传统的访问控制模型、基于角色的访问控制(RBAC)模型、基于任务和工作流的访问控制(TBAC)模型、基于任务和角色的访问控制(T-RBAC)模型等。 1 传统的访问控制模型 传统的访问控制一般被分为两类[1]:自主访问控制DAC (Discret iona ry Acces s Control)和强制访问控制MAC(Mandat ory Acces s C ontrol)。 自主访问控制DAC是在确认主体身份以及它们所属组的基础上对访问进行限制的一种方法。自主访问的含义是指访问许可的主体能够向其他主体转让访问权。在基于DAC的系统中,主体的拥有者负责设置访问权限。而作为许多操作系统的副作用,一个或多个特权用户也可以改变主体的控制权限。自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。访问控制表(ACL)是DAC中常用的一种安全机制,系统安全管理员通过维护AC L来控制用户访问有关数据。ACL的优点在于它的表述直观、易于理解,而且比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。但当用户数量多、管理数据量大时,AC L就会很庞大。当组织内的人员发生变化、工作职能发生变化时,AC L的维护就变得非常困难。另外,对分布式网络系统,DAC不利于实现统一的全局访问控制。 强制访问控制MAC是一种强加给访问主体(即系统强制主体服从访问控制策略)的一种访问方式,它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性。MAC主要用于多层次安全级别的军事系统中,它通过梯度安全标签实现信息的单向流通,可以有效地阻止特洛伊木马的泄露;其缺陷主要在于实现工作量较大,管理不便,不够灵活,而且它过重强调保密性,对系统连续工作能力、授权的可管理性方面考虑不足。 2基于角色的访问控制模型RBAC 为了克服标准矩阵模型中将访问权直接分配给主体,引起管理困难的缺陷,在访问控制中引进了聚合体(Agg rega tion)概念,如组、角色等。在RBAC(Role-Ba sed Access C ontrol)模型[2]中,就引进了“角色”概念。所谓角色,就是一个或一群用户在组织内可执行的操作的集合。角色意味着用户在组织内的责 ? 9 ? 第6期沈海波等:访问控制模型研究综述 收稿日期:2004-04-17;修返日期:2004-06-28
基于角色的访问控制
基于角色的访问控制(Role-Based Access Control) (Role Based Access Control) 主讲人:张春华
访问控制 访问控制是实现既定安全策略的系统安全技术, 它管理所有资源的访问请求, 即根据安全策略的要求, 对每一个资源访问请求做出是否许可的判断, 能有效防止非法用户访问系统资源和合法用户非法使用资源。
DAC和MAC ?DAC是根据访问者和(或) 它所属组的身份来控制对客体目标的授权访问。它的优点是具有相当的灵活性, 但是访问许可的转移很容易产生安全漏洞, 所以这种访问控制策略的安全级别较低。?MAC是基于主体和客体的安全标记来实现的一种访问控制策略。它的优点是管理集中, 根据事先定义好的安全级别实现严格的权限管理, 因此适宜于对安全性要求较高的应用环境, 但这种强制访问控制太严格, 实现工作量太大, 管理不方便, 不适用于主体或者客体经常更新的应用环境。
RBAC的提出 以上两种访问控制模型都存在的不足是将主体和客体直接绑定在起, 授权时需要主体和客体直接绑定在一起 对每对(主体、客体)指定访问许可, 这样存在的问题是当体和客体到较高的数存在的问题是当主体和客体达到较高的数量级之后,授权工作将非常困难。20 世纪90 年代以来, 随着对在线的多用户、多系统研究的不断深入, 角色的概念逐渐形成, 统究的断角色的概念渐 并产生了以角色为中心的访问控制模型(R l B d A C t l) (Role-Based Access Control) , 被广泛应用在各种计算机系统中。
相关概念 ?角色(Role):指一个组织或任务中的工作或位置,代表了种资格权利和责任系统管员核 代表了一种资格、权利和责任(系统管理员,核 心)· ?用户(User) :一个可以独立访问计算机系统中的数据或数据表示的其他资源的主体。. ?权限( Permission):表示对系统中的客体进行特定模式的访问操作, 与实现的机制密切相关。· 与实现的机制密切相关 角色 用户权限 m:n m:n
基于分级角色的访问控制
V o l .32N o.11 2006211 华东理工大学学报(自然科学版) Journal of East Ch ina U niversity of Science and T echno logy (N atural Science Editi on ) 收稿日期:2005211203 作者简介:肖宝亮(19752),男,河北唐山人,硕士生,主要研究方向为 信息安全。 通讯联系人:顾春华,E 2m ail:chgu@ecust .edu .cn 文章编号:100623080(2006)1121327204 基于分级角色的访问控制 肖宝亮, 顾春华, 高小伍, 陈德庆(华东理工大学信息科学与工程学院,上海200237) 摘要:结合RBA C 模型,提出了一种基于分级角色的访问控制模型,将系统用户依据职能的不同分为不同的角色,同一类角色又划分不同的等级。定义了基本概念和等级2角色矩阵,进行了形式化的描述,并应用在实际系统中。每一个实际用户通过不同等级的角色,对应于不同访问权限的资源,并可动态地进行角色转换和等级变迁,从而使访问控制机制更为灵活。 关键词:基于分级角色的访问控制;分级角色;权限;访问控制;等级角色矩阵中图分类号:T P 393.08文献标识码:A Access Con trol Based on Graded Roles X IA O B ao 2liang , GU Chun 2hua , GA O X iao 2w u , CH EN D e 2qing (S chool of Inf or m a tion S cience and E ng ineering ,E ast Ch ina U n iversity of S cience and T echnology ,S hang ha i 200237,Ch ina ) Abstract :Com b in ing w ith RBA C m odel ,a graded ro les based access con tro l m odel is p u t fo rw ard .System u sers are divided in to differen t k inds of ro les by their functi on s ,and one k ind of ro les are divided in to differen t grades .B asic concep ts and the grade 2ro le m atrix are defined ,the m odel is described fo rm aly and app lied to p ractical system s .R eal u sers are co rresponding to differen t access au tho rizati on sou rces th rough differen t graded ro les ,the ro le conversi on and grade variance can be dynam ically com p leted ,so the access con tro l m echan is m becom es m o re flex ib le . Key words :grade ro le based access con tro l ;graded ro le ;au tho rity ;access con tro l ;graded 2ro le m a 2trix 访问控制又称权限管理,用来确保只有被授权 用户才能访问敏感信息的机制。访问控制模型是研究者抽象出来用以描述访问控制机制的一套概念和规则。20世纪60年代的自主访问控制(DA C )模型和70年代的强制访问控制(M A C )模型的迅速发展,带动了访问控制模型的研究,先后出现了基于状态的访问控制(SBA C )、基于层的访问控制模型(LBA C )、基于任务的访问控制模型(TBA C )。90年代后,基于角色的访问控制模型(RBA C )[1]逐渐成 为访问控制模型的主流,RBA C 在用户和被访问资 源之间增加了角色,根据安全策略划分出不同的角色,用户对资源访问可以被封装在角色中,不同的用户被指派到相同或不同的角色,用户通过角色间接地访问资源。 RBA C 的最大优点在于它能够灵活表达和实现安全政策,也在很大程度上提高了访问速度,并解决了因用户过多而导致的访问效率低与维护困难等问题,使管理员从访问控制底层的具体实现机制中脱离出来,十分接近日常的组织管理规则,也因此得到了广泛的实际应用。 随着企业对访问控制的需求日益变化,暴露出了RBA C 的明显缺陷:每种角色只对应一种授权资源;角色与授权资源的关系是静态不能改变的。这使 7 231
城市轨道交通列车自动控制系统简介-精选文档
城市轨道交通列车自动控制系统简介 、前言 随着城市现代化的发展,城市规模的不断扩大,城市轨道交通的发展已成为解决现代城市交通拥挤的有效手段,其最大特点是运营密度大、列车行车间隔时间短、安全正点。城市轨道交通列车自动控制系统是保证列车运行安全,实现行车指挥和列车运行现代化,提高运输效率的关键系统设备。 二、列车自动控制系统的组成 列车自动控制(ATC系统由列车自动防护系统(ATP、列车自动驾驶系统(ATO和列车自动监控系统(ATS三个子系统组成。 一列车自动防护( ATP-Automatic Train Protection 系统 列车自动控制系统中的ATP的子系统通过列车检测、列车间 隔控制和联锁(联锁设备可以是独立的,有的生产厂商的系统也可以包含在ATP系统中)控制等实现对列车相撞、超速和其他危险行为的防护。 二列车自动驾驶系统 ( AT0?CAutomatic Train Operation 列车自动驾驶子系统(ATO与ATP系统相互配合,负责车 站之间的列车自动运行和自动停车,实现列车的自动牵引、制动 等功能。ATP轨旁设备负责列车间隔控制和报文生成;通过轨道
电路或者无线通信向列车传输速度控制信息。ATP与ATO车载系 统负责列车的安全运营、列车自动驾驶,且给信号系统和司机提供接口。 三)自动监控(ATS-Automatic Train Super -vision )系统 列车自动监控子系统负责监督列车、自动调整列车运行以保证时刻表的准确,提供调整服务的数据以尽可能减小列车未正点运行造成的不便。自动或由人工控制进路,进行行车调度指挥, 并向行车调度员和外部系统提供信息。ATS功能主要由位于OCC 控制中心)内的设备实现。 三、列车自动控制系统原理 一)列车自动防护(ATP) ATP是整个ATC系统的基础。列车自动防护系统(ATP亦 称列车超速防护系统,其功能为列车超过规定的运行速度时即自动制动,当车载设备接收地面限速信息,经信息处理后与实际速度比较,当列车实际速度超过限速后,由制动装置控制列车制动系统制动。 ATP通过轨道电路或者无线GPS系统检测列车实际运行位 置,自动确定列车最大安全运行速度,连续不间断地实行速度监督,实现超速防护,自动监测列车运行间隔,以保证实现规定地行车间隔。防止列车超速和越过禁止信号机等功能。 按工作原理不同,ATP子系统可分为“车上实时计算允许速
基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)-毕设论文
理工学院 毕业设计外文资料翻译 专业:通信工程 姓名: 学号: 11L0751156 外文出处: 2012 International Conference On Computer Science And Service System 附件: 1.外文资料翻译译文;2.外文原文。
附件1:外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构 (SOA) 摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放,基于属性的访问控制(ABAC)更多细粒度访问控制,更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中,安全域的与主题、对象属性、权力的环境属性访问决策的基础,消除集成基于SOA框架的约束RBAC,某种程度上提高了可伸缩性和可变更性的系统,解决了跨域访问控制的问题。 关键字:SOA,基于属性的访问控制(ABAC),访问控制 1. 整体介绍 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求,松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题,比如安全保障,以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统,开放性,跨域访问安全性呈现给我们的是一个巨大的挑战。 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域,不适合跨域访问。基于主体统一服务认证系统[7],使用不同的方法来处理访问跨域访问,它解决了这个问题在跨域访问企业信息集成一定程度上,但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题,本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统,该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 2.基于属性的访问控制(ABAC)
污水处理厂自控完整系统工艺介绍
污水处理厂自控系统工艺介绍 污水处理厂位于市区或市郊,出水排入河流,水质达到国家一级排放标准。 工程采用水解-AICS处理工艺。其具体流程为:污水首先分别经过粗格栅去除粗大杂物,接着污水进入泵房及集水井,经泵提升后流经细格栅和沉砂池,然后进入水解池,。水解池出水自流入AICS进行好氧处理,出水达标提升排入河流。AICS反应器为改进SBR的一种。其工艺流程如下图1所示:矚慫润厲钐瘗睞枥庑赖。 污水处理厂自控系统设计的原则 从污水处理厂的工艺流程可以看出,主要工艺AICS反应器是改进SBR的一种,需要周期运行,AICS反应器的进水方向调整、厌氧好氧状态交替、沉淀反应状态轮换都有电动设备支持,大量的电动设备的开关都需要自控系统来完成,因此自控系统对整个周期的正确运行操作至关重要。而且好氧系统作为整个污水处理工艺能量消耗的大户,它的自控系统优化程度越高,整个污水处理工艺的运行费用也会越低,这也说明了自控系统在整个处理工艺中的重要性。聞創沟燴鐺險爱氇谴净。 为了保证污水厂生产的稳定和高效,减轻劳动强度,改善操作环境,同时提高污水厂的现代化生产管理水平,在充分考虑本污水处理工艺特性的基础上,将建设现代化污水处理厂的理念融入到自控系统设计当中,本自控系统设计遵循以下原则:先进合理、安全可靠、经济实惠、开放灵活。残骛楼諍锩瀨濟溆塹籟。
自控系统的构建 污水处理厂的自控系统是由现场仪表和执行机构、信号采集控制和人机界面(监控)设备三部分组成。自控系统的构建主要是指三部分系统形式和设备的选择。本执行机构主要是根据工艺的要求由工艺专业确定,预留自控系统的接口,仪表的选择将在后面的部分进行描述。信号采集控制部分主要包括基本控制系统的选择以及系统确定后控制设备和必须通讯网络的选择。人机界面主要是指中控室和现场值班室监视设备的选择。酽锕极額閉镇桧猪訣锥。 1、基本系统的选择 目前用于污水处理厂自控系统的基本形式主要有三种DCS系统、现场总线系统和基于PC控制的系统。从规模来看三种系统所适用的规模是不同。DCS系统和现场总线系统一般适用于控制点比较多而且厂区规模比较大的系统,基于PC的控制则用于小型而且控制点比较集中的控制系统。彈贸摄尔霁毙攬砖卤庑。 基于PC的控制系统属于高度集成的控制系统,其人机界面和信号采集控制可能都处于同一个机器内,受机器性能和容量的限制,本工程厂区比较大,控制点较多,因此采用基于PC的控制系统是不太合适的。謀荞抟箧飆鐸怼类蒋薔。
外文翻译--Web环境下基于角色的访问控制
附录A:英文原文 Role-Based Access Control for the Web John F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, and Anthony V. Cincotta, National Institute of Standards and Technology Gaithersburg, Maryland 20899 ABSTRACT Establishing and maintaining a presence on the World Wide Web (Web), once a sideline for U.S. industry, has become a key strategic aspect of marketing and sales. Many companies have demonstrated that a well designed Web site can have a positive effect on their profitability. Enabling customers to answer their own questions by clicking their way through Web pages, instead of dealing with operators and voice response systems, increases the efficiency of the customer interface. One of the most challenging problems in managing large networked systems is the complexity of security administration. This is particularly true for organizations that are attempting to manage security in distributed multimedia environments such as those using World Wide Web services. Today, security administration is costly and prone to error because administrators usually specify access control lists for each user on the system individually. Role-based access control (RBAC) is a technology that is attracting increasing attention, particularly for commercial applications, because of its potential for reducing the complexity and cost of security administration in large networked applications. The concept and design of RBAC is perfectly suited for use on both intranets and internets. It provides a secure and effective way to manage access to an organization’s Web information. This paper describes a research effort to develop RBAC on the Web. The security and software components that provide RBAC for
基于岗位抽象的角色权限控制模型设计与实现
龙源期刊网 https://www.wendangku.net/doc/9711133701.html, 基于岗位抽象的角色权限控制模型设计与实现 作者:王伟全张学平 来源:《软件导刊》2012年第01期 摘要:通过对传统访问控制技术及其局限性的探讨,提出了全新的基于岗位抽象的角色 权限控制模型,画出了新模型的图示,介绍了新模型中“用户定岗”和“岗位授权”两个主要关系,阐述了新模型的优点。详细地阐述了实现新模型的关键技术,给出了新模型的总体结构图和总体类图,并对总体类图中的各个类及其关系进行了详细的说明。最后,总结了新模型的实用性及其推广应用价值。 关键词:RBAC;岗位;岗位互斥;定岗;授权 中图分类号:TP311.52 文献标识码:A 文章编号:1672-7800(2012)001-0107- 1 传统访问控制技术及其局限性 访问控制实质上是对资源使用的限制,决定主体是否被授权客体或资源执行某种操作,是 保障系统安全不可或缺的重要组成部分。目前,主要有3种不同类型的访问控制:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。 自主访问控制(DAC)是目前计算机系统中实现最多的访问控制机制,如Windows操作系统。强制访问控制(MAC)是强加给访问主体的,即系统强制主体服从既定的访问控制策略,主要应用于军事方面。这两种访问控制方式都只适用于特定的领域,具有一定的局限性。基于角色的访问控制(RBAC)引入了角色的概念,在授权主体和客体之间增加的角色这个中间层,实现了主客体的逻辑分离,具有一定的通用性。但RBAC在实际的应用中仍然存在一 些问题,如:角色的继承机制有缺陷,会造成某些角色的权限过大;权限定义较模糊、笼统,不够清晰;无法满足“同角色不同人员不同权限”的需求。基于上述原因,本文提出一种扩展的 RBAC新模型,引入了“岗位”概念,有效地弥补了传统RBAC的不足。 2 基于岗位抽象的角色权限控制模型 2.1 模型定义 新模型是在传统RBAC模型基础上引入“岗位”概念,模拟现实中的岗位管理制。其基本思想是:机构与角色结合形成岗位,模块与操作结合形成权限,先将权限赋给岗位(授权),再将人员指派到岗位(定岗),实现对系统资源的细粒度访问控制。如图1所示:
mHealth中可追踪多授权机构基于属性的访问控制方案
第39卷第6期通信学报V ol.39No.6 2018年6月Journal on Communications June 2018 mHealth中可追踪多授权机构基于属性的访问控制方案 李琦1,2,3,朱洪波2,4,熊金波5,莫若6 (1. 南京邮电大学计算机学院、软件学院、网络空间安全学院,江苏南京 210023; 2. 南京邮电大学物联网技术与应用协同创新中心,江苏南京 210003; 3. 南京邮电大学江苏省大数据安全与智能处理重点实验室,江苏南京 210023; 4. 南京邮电大学通信与信息工程学院,江苏南京 210003; 5. 福建师范大学数学与信息学院,福建福州 350117; 6. 西安电子科技大学网络与信息安全学院,陕西西安 710071) 摘要:移动健康护理作为一种新兴的技术给个人健康档案的分享提供了极大的便利,也给其隐私带来了极大的 风险。基于属性的加密体制能够对加密数据实现细粒度的访问控制,有效地保护了个人健康档案的隐私。然而, 目前基于属性的访问控制方案要么缺乏有效的恶意用户追踪机制,要么只支持单个授权机构。针对该问题,提出 了一个移动健康护理环境下适应性安全的可追踪多授权机构基于属性的访问控制方案,该方案在合数群上构造, 支持任意单调的线性秘密共享机制的访问策略,基于子群判定假设证明了该方案在标准模型下是适应性安全的, 基于k-SDH假设证明了该方案的可追踪性,性能分析表明了该方案的实用性。 关键词:属性加密;多机构;可追踪;适应性安全;移动健康护理 中图分类号:TP309 文献标识码:A doi: 10.11959/j.issn.1000-436x.2018100 Multi-authority attribute-based access control system in mHealth with traceability LI Qi1,2,3, ZHU Hongbo2,4, XIONG Jinbo5, MO Ruo6 1. School of Computer Science, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 2. Jiangsu Innovative Coordination Center of Internet of Things, Nanjing University of Posts and Telecommunications, Nanjing 210003, China 3. Jiangsu Key laboratory of Big Data Security & Intelligent Processing, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 4. College of Telecommunications & Information Engineering, Nanjing University of Posts and Telecommunications, Nanjing 210003, China 5. College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China 6. School of Cyber Engineering, Xidian University, Xi’an 710071, China Abstract: Mobile healthcare (mHealth) is an emerging technology which facilitates the share of personal health records (PHR), however, it also brings the risk of the security and privacy of PHR. Attribute-based encryption (ABE) is regarded as a new cryptology to enhance fine-grained access control over encrypted data. However, existing attribute-based mHealth systems either lack of efficient traceable approach, or support only single authority. A traceable multi-authority attribute-based access control mHealth scheme was proposed, which was constructed over composite order groups and supports any monotonic access structures described by linear secret sharing scheme (LSSS). The adaptive security was proved under subgroup decisional assumptions. The traceability was proved under k-strong Diffie-Hellman (k-SDH) as- sumption. The performance analysis indicates that the proposed scheme is efficient and available. Key words: attribute-based encryption, multi-authority, traceable, adaptively secure, mHealth 收稿日期:2017-10-02;修回日期:2018-05-08 基金项目:国家自然科学基金资助项目(No.61502248, No. 61427801, No.61402109, No.61602365, No.61370078);中国博士后科学基金资助项目(No.2018M632350);南京邮电大学引进人才科研启动基金资助项目(No.NY215008) Foundation Items: The National Natural Science Foundation of China (No.61502248, No.61427801, No.61402109, No.61602365, No.61370078), The Postdoctoral Science Foundation Project of China (No.2018M632350), NUPTSF (No.NY215008) 2018100-1 万方数据