CN104683348A - 一种基于属性的访问控制策略合成方法 - Google Patents
一种基于属性的访问控制策略合成方法 Download PDFInfo
- Publication number
- CN104683348A CN104683348A CN201510108724.2A CN201510108724A CN104683348A CN 104683348 A CN104683348 A CN 104683348A CN 201510108724 A CN201510108724 A CN 201510108724A CN 104683348 A CN104683348 A CN 104683348A
- Authority
- CN
- China
- Prior art keywords
- attribute
- strategy
- operator
- degree
- belief
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
在实现跨域资源的访问控制中,基于属性的访问控制的策略的合成方法是关键技术。本发明通过实体属性定义实体之间的授权,将主体信任度作为单独属性谓词加入到访问控制策略的属性授权项中,扩展了现有的策略合成,增强了策略合成的表述能力,保证了安全域内各对象的安全。本发明定义了6个加入信任度的策略合成算子用来实现访问控制策略合成,并借助现有策略表示的一些代数属性验证了策略合成的结构是否能够满足参与策略合成各方对资源的保护性需求。
Description
技术领域
本发明涉及一种访问控制策略合成方法,属于计算机通信领域。
背景技术
随着网络的快速发展,各种基于互联网的新兴应用对分布式系统间互操作的需求越来越迫切。这些新的应用大多处于分布状态,需要相互协作、共享,在异构环境下需要进行跨域的安全访问控制策略的合成。基于属性的访问控制越来越受到关注,它不仅支持RBAC模型,还可以灵活地表达细粒度的授权。访问控制策略合成的过程是多条访问控制策略生成一条新的访问控制策略的过程,其过程和方式复杂,涉及到参与访问控制策略合成各方的安全策略约束,用代数的方法刻画访问控制策略合成的属性有助于明确访问控制策略的结构、验证访问控制策略合成结果的正确性和安全性。同时利用离散代数可以将复杂的基于属性的策略合成方式用严谨的代数系统表达,使得域间具有形式化推理演算能力。
目前已有的各种访问控制策略合成方法存在以下技术问题:或没有在基于属性的访问控制策略表达式中考虑环境因素对策略合成的影响,或没有涉及到减算子,或没有解决投票算子存在的安全威胁。
发明内容
为解决以上技术问题,本发明提出了一种基于属性的访问控制策略合成方法。为实现本发明,采用以下技术方案:
该方法包含如下步骤:
第一步,将基于属性的访问控制策略面向属性层进行分解;
第二步,对步骤一的结果进行基于属性的访问控制策略代数表达式转换;
第三步,对步骤二的转换结果检查是否是异构策略;如果是异构策略,则对相应的属性授权项进行扩展。如果不是异构策略执行步骤四。
第四步,检测访问控制策略是否存在冲突,如果不存在冲突,直接进行访问控制策略的合成;如果存在冲突,则执行第五步。
第五步,根据步骤四中存在的冲突,选择基于属性的访问控制策略合成代数的策略合成算子;
第六步,根据步骤五选择的策略合成算子实现合成演算,如果访问控制策略合成成功则输出策略合成结果;如果访问控制策略合成失败,则选择其他的访问控制策略冲突消解的方法。
进一步的,步骤一中将基于属性的访问控制策略面向属性层进行分解时,先对策略中的各个属性进行分解,并用api*val表示一个属性约束,其中api表示第i个属性,*∈{≤,≥,=,<,>},val为属性的值,为数字或文字。
进一步的,属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。
进一步的,对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时,用SAPi表示主体的第i个属性,用OAPj表示客体的第j个属性,用EAPk表示环境的第k个属性,用Tsm表示第m个主体的信任度属性,访问主体对客体资源的操作用OPl表示资源的第l个属性,用<S,O,E,T,OP>五元组表示一个属性授权项,其中S表示主体的所有属性,O表示客体的所有属性,E表示环境的所有属性,T表示主体的信任度,OP表示访问主体对客体资源能执行的所有操作,多个属性授权项构成一个访问控制策略
pol={ATT1,ATT2,...,ATTn}={(SAP1,OAP1,EAP1,Ts1,OP1),(SAP2,OAP2,EAP2,Ts2,OP2),...,(SAPn,OAPn,EAPn,Tsn,OPn)},其中ATTi为策略pol中主客体之间授权关系的形式化描述。
进一步的,步骤五中选择基于属性的访问控制策略合成代数的合成算子时,根据各域的安全需求选择相应的策略合成算子,策略合成算子包括:⊕算子,策略“或”算子;策略“与”算子;-算子,策略“减”算子;polcon算子,限制算子;Fw算子,模态函数算子;TV(m,n)算子,给予信任度的投票算子。
进一步的,所述策略合成算子中信任度包括直接信任度DT(xi,xj)和推荐信任度RT(xi,xj),
其中α为历史因子,且0≤α≤1,s表示成功交易的次数,k表示总交易次数; 其中N是推荐实体的个数,最后信任度 其中β表示直接信任度在综合的信任度中所占的比重,且0≤β≤1。
由于在访问控制策略的表达式中加入了信任度这个特殊的属性,扩展了访问控制策略的表达,能够更好地实现安全的访问控制。另外,加入的信任度属性能够监控访问控制请求的主体在授权后的行为,并在访问控制过程中出现调整甚至撤销访问控制主体的权限,防止非法的操作。
具体实施例
一种基于属性的访问控制策略合成方法,具体合成步骤如下:
1、将基于属性的访问控制策略面向属性层进行分解;先对策略中的各个属性进行分解,并用api*val表示一个属性约束,其中api表示第i个属性,*∈{≤,≥,=,<,>},val为属性的值,为数字或文字。属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。
2、对步骤1的结果进行基于属性的访问控制策略代数表达式转换;用SAPi表示主体的第i个属性,用OAPj表示客体的第j个属性,用EAPk表示环境的第k个属性,用Tsm表示第m个主体的信任度属性,访问主体对客体资源的操作用OPl表示资源的第l个属性,用<S,O,E,T,OP>五元组表示一个属性授权项,其中S表示主体的所有属性,O表示客体的所有属性,E表示环境的所有属性,T表示主体的信任度,OP表示访问主体对客体资源能执行的所有操作,多个属性授权项构成一个访问控制策略
pol={ATT1,ATT2,...,ATTn}={(SAP1,OAP1,EAP1,Ts1,OP1),(SAP2,OAP2,EAP2,Ts2,OP2),...,(SAPn,OAPn,EAPn,Tsn,OPn)},其中ATT为主客体之间授权关系的形式化描述。
3、对步骤2的转换结果检查是否是异构策略;如果是异构策略,则对相应的属性授权项进行扩展。如果不是异构策略执行步骤4。
4、检测访问控制策略是否存在冲突,如果不存在冲突,直接进行访问控制策略的合成;如果存在冲突,则进行策略协商。
5、根据步骤4中存在的冲突,选择基于属性的访问控制策略合成代数的合成算子;根据各域的安全需求选择相应的策略合成算子,策略合成算子包括:⊕算子,策略“或”算子;策略“与”算子;-算子,策略“减”算子;polcon算子,限制算子;Fw算子,模态函数算子;TV(m,n)算子,给予信任度的投票算子。假设polA={ATTA1,ATTA2,...,ATTAn}和polB={ATTB1,ATTB2,...,ATTBn},polA⊕polB={ATTA1ATTA2,...,ATTAn}∨{ATTB1,ATTB2,...,ATTBn}={ATTA1ATTA2,...,ATTAn}或{ATTB1,ATTB2,...,ATTBn};
<ATTA2∧ATTB2>,...,<ATTAn∧ATTBn};pol-polB={ATTA1,ATTA2,...,ATTAn}-{ATTB1,ATTB2,...,ATTBn}={<ATTA1-ATTB1>,<ATTA2-ATTB2>,...,<ATTAn-ATTBn};TV(m,n)(pol1,pol2,...,poln)=pol1∧pol2∧...∧poln。
如果没有合适的算子,则通过策略协商解决访问控制策略合成过程中的冲突。假设有自治域A和自治域B,它们的各自的策略分别为polA和polB。对于一条访问控制请求,如果满足polA和polB中其中一条策略即可授权的话,则选择⊕算子进行策略的合成;如果必须同时满足polA和polB才可授权,则选择算子进行策略的合成;如果满足polA不满足polB的允许授权访问,此时选择减算子进行策略的合成。对于polA有特殊要求的,此时既要满足polA也要满足其限制con,选择polA con算子来进行策略的合成。Fw模态函数算子主要是用户根据实际的情况来定义的函数,比如平均数,方差等。给予信任度的投票算子TV(m,n)在策略合成过程中需要至少同时满足其中的m条策略时才能授权,在这m条策略中必须有一条是客体资源所在自治域提供的,此处的m是根据具体的情况而定,n是由参与策略合成的各方协商决定的。
6、根据步骤5选择的合成算子实现合成演算,如果访问控制策略合成成功则输出策略合成结果;如果访问控制策略合成失败,则选择其他的访问控制策略冲突消解的方法。策略合成算子中信任度包括直接信任度DT(xi,xj)和推荐信任度RT(xi,xj),
本发明使用的信任度通过直接信任度和推荐信任度计算得到,用表示,其中0≤β≤1,β表示直接信任度在综合信任度中的权值,当β越趋向于1时,直接信任度对综合信任度的影响越大。每个实体的信任取值区间为[0,1.0],初值为0.5,表示一种中等信任。如果一个访问主体的信任度越来越低甚至为零的时候,说明该实体不可信。
假设四个安全域A、B、C、D的策略分别为:
Area A:主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下,可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.7的客体资源进行read操作。
Area B:主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下,可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.8的客体资源进行read操作。
Area C:主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下,可在2015年12月31日之前访问安全级别不高于2的客体资源进行read操作。
Area D:主体是工作资历大于5,安全级别不低于3且信任度不低于0.8的用户可在2016年12月31日之前访问安全级别不高于3且信任度不高于0.8的客体资源执行write操作。
各个域的策略形式如下:
Area A:polA={[<sapA1>,<oapA1>,<oapA2>,<eapA1>,<eapA2>,<TSA1>,<opA1>]|sapA1>5,oapA1≤2,oapA2≤0.7,eapA1=secure,eapA2<2015.12.31,opA1=read}
Area B:polB={[<sapB1>,<oapB1>,<oapB2>,<eapB1>,<eapB2>,<TSB1>,<opB1>]|sapB1>5,oapB1≤2,oapB2≤0.8,eapB1=secure,eapB2<2015.12.31,opB1=read}
Area C:polC={[<sapC1>,<oapC1>,<eapC1>,<eapC2>,<TSC1>,<opC1>]|sapC1>5,oapC1≤2,eapC1=secure,eapC2<2015.12.31,opC1=read}
Area D:polD={[<sapD1>,<sapD2>,<oapD1>,<oapD2>,<eapD1>,<TSD1>,<opD1>]|sapD1>5,sapD2≥3,oapD1≤3,oapD2≤0.8,eapD1<2015.12.31,opD1=write}.
分析四个安全域的策略两两合成的可能结果。
(1)Area A和Area B可能的策略合成结果如下:
polA和polB是相容策略。唯一不同的是在访问的资源客体的信任度上polB高于polA,这使得polB所允许的访问控制请求包含了polA的访问控制请求。
(a)如果Area B同意“Area A不允许的访问不被访问”,即同时满足Area A和Area B双方的策略,则合成的策略可以表示为
(b)如果Area A同意“Area B允许的访问”,即满足Area B或Area A其中的任何一方,则合成的策略可以为
(c)如果Area A和Area B经过协商,双方共同决定主体的工作资历和信任度通过策略协商决定“主体的工作资历大于5且信任度不低于0.8的用户可以访问用户在链路状态为secure的情况下,可在2015年12月31日之前对安全级别为不高于2且信任度不高于0.75的客体进行read操作”,即
Fw(polA,polB)={[<5>,<2,0.75>,<secure,2015.12.31>,<0.8>,<read>]}其中w=f(fS1,fO1,fO2,fE1,fE2,fT,fOP1),fS1,fO1,fT为N+上的最大值算子,fO2为R*上均值算子,fE1为{secure,insecure}上的二元算子,并且满足任意的eapA1,eapB1∈{secure,insecure,…},若eapA1=eapB1,则有fE1(eapA1,eapB1)=eapB1。fE2为日期类值域内的最小值二元算子,fOP1为{read,write}上的二元算子,并且对任意的{read,write}上的二元算子,满足对任意的opA1,opB1∈{read,write},若opA1=opB1,则有fOP1(opA1,opB1)=opA1。
假设当前有一用户Q其主体的信任度为0.9,工作资历大于5,当前用户访问的链路状态为secure下请求访问安全级别为1,资源信任度0.9的客体资源。属性授权项表示为ATTQ={[<5>,<2,0.7>,<secure,2015.12.31>,<0.9>,<read>]},ATTQ∈Fw(polA,polB)所以该用户可以对客体资源进行read操作。主体用户的信任度值是实时变化的,如果在主体访问客体资源的时候,由于之前和其他用户交互时的虚假行为主体的信任度降低。现在通过信任度反馈过来,用户的信任度值降低至0.7,此时,该主体用户对客体资源的访问权限应该被立即收回,以确保被访问的客体资源的安全。
自治域A和自治域B的访问控制策略合成结果表明,算子并和算子交可以完成传统集合运算的语义,求平均值函数可以用模态算子来实现,这样可以用模态算子解决更复杂的策略合成场景;加入的信任度属性是用来周期性的监控访问控制主体的行为,防止非法的行为,以保证客体资源的安全。
(2)Area A和Area C中的策略合成可能的结果如下:
polA与polC由于polC中客体的信任度属性需要扩展所以是不相容的策略。
(a)若Area A同意Area C允许的访问,则合成结果为其中con约束客体信任度大于0.7,即TSC>0.7。
(b)如果Area C同意Area A不允许的访问不能被访问,则合成策略为其中con约束主体信任度不高于0.7,即TSC≤0.7。
自治域A和自治域C的访问控制策略合成结果表明,polcon算子可以把访问控制策略合成过程中的相容策略转变成不相容的策略,还支持文献[5]中的约束算子。在访问控制策略合成过程中加入的信任度作为策略合成当中的一个重要部分,能够保证客体资源的安全性,同时也可以作为下次访问授权时的依据。
(3)Area A和Area D策略可能的合成结果如下:
polA和polD是相容策略,由于这两条策略在多个属性(客体的安全级别、客体的信任度、链路状态和操作权限)的值域取值各不相同,并且主体的安全级别属性需要扩展,所以策略合成显得比较复杂。下面对于访问控制策略和成果过程中涉及到策略协商的属性进行分析:
(a)如果自治域A同意自治域D在主体安全级别上的要求,则访问控制策略合成对主体的信任度最低为3,即sapD2≥3;
(b)如果在访问客体的安全级别上,为了避免高安全级别的信息泄露,Area D同意Area A,则oapA1≤2;
(c)自治域A和自治域D通过策略协商,决定选择模态函数中的取平均值函数进行访问控制策略的合成,其访问控制策略合成结果为访问控制客体的信任度要求不高于0.75即oapD2≤0.75;
(d)如果在环境属性的约束上,对是否通过安全链路访问,Area D同意Area A,则eapA1=secure;
(e)对于访问的有效期,Area D同意Area A,限制为2015.12.31,即eapD2≤2015.12.31;
(f)在访问的操作上,Area D同意Area A,则合成的策略的操作值为read。
用策略算子Fw(polA,polD)={<5,3>,<2,0.75>,<secure,2015.12.31>,<0.8>,<read>},表示“主体工作资历大于5、信任度不低于0.8且安全级别不低于3的主体在经过链路状态为secure的情况下,可在2015年12月31日之前对安全级别不高于2且信任度不高于0.75的客体进行read操作”。其中w=(fS1,fS2,fO1,fO2,fE1,fE2,fT,fOP1),fS1,fT,fO1为N上的最大值算子,fT为R+上的均值算子。fS2为N上任意一个二元算子的扩张,且满足任意的sapD2∈N,为N上最小值算子,fE1为{secure,insecure}上二元算子的扩展,且满足eap1∈{secure,insecure},fE2为日期值域上的最小值算子,fOP1为fOP1∈{read,write}上的二元算子,且满足fOP1(read,write)=read。
(4)Area A、Area B、Area C和Area D策略合成可能的策略合成结果如下:
由四条策略合成一条策略,各个属性值域上的值域不同,有些属性部分需要扩展,合成过程中需要协商属性。四条策略的合成不是任意两条策略合成之后再把合成后的策略进行第二次合成,它是从宏观上综合考虑四条策略即逐个属性考虑。现在假设TV(3,4),其意义是在pA,pB,pC和pD四条访问控制策略中需要访问控制请求符合至少符合其中的三条策略才可以允许访问。
第一种情况,取四个自治域的策略中各个属性授权项的公共部分,则只要用户的访问控制请求在此范围内的即可允许访问。TV(3,4)(polA,polB,polC,polD)={<5,3>,<2,0.8>,<secure,2015.12.31>,<read>,<0.8>}即主体是工作资历大于5且信任度不低于0.8的用户在经历链路状态为secure的情况下,可在2015年12月31日之前访问安全级别不高于2且信任度不高于0.8的客体资源进行read操作。假设当前有一用户U,其主体用户的工作资历为6,安全级别为4且信任度为0.95客户想要在链路状态为secure的情况下于2015年2月14日访问安全级别为1且信任度为0.6的客体资源并执行read操作,该请求的每个属性授权项都是TV(3,4)(polA,polB,polC,polD)策略每一个属性授权项的一个子集,即该用户的访问控制请求结果是被允许的,且返回结果为true。
第二种情况,假设TV(3,4)(polA,polB,polC,polD)中符合的是polA、polB和polD三个策略,其中自治域A为资源所在域,即访问控制策略合成中的策略必须包含访问控制策略polA,则策略合成的可能的结果如下:
(a)如果Area B同意“Area A不允许的访问不被访问”,则策略的合成结果为其中con1约束为客体的信任度不高于0.7即oap2≤0.7,则策略合成的结果为polA与polD再进行策略的合成,其合成结果有以下几种可能:
a1:在主体的安全等级属性上,如果Area A同意“Area D不允许的访问不允许访问”,则主体安全等级属性授权项的合成结果为其中con2约束为主体的安全等级不小于3即如果Area D同意Area A允许的访问,则主体安全属性等级属性授权项的合成结果为其中con3约束主体的安全等级小于3,即
a2:在客体的安全等级属性上,为了更好的保护资源一般降低访问的客体资源的安全等级以保护资源的安全,则同时满足两个访问控制属性授权项,故
a3:在环境属性中的链路状态属性上,为了确保访问控制请求的中的重要信息(敏感属性)的安全,要求访问时的链路状态为secure。
a4:在环境属性中的访问时间属性上,如果Area D同意“Area A不允许的访问不被访问”,则环境属性的访问时间属性授权项为即eapA2<2015.12.31。如果Area A同意Area D允许的访问,则环境属性的访问控制属性授权项为eapA2⊕eapD2=eapD2即eapD2<2016.12.31。
a5:在操作集中的操作属性上,为了保证客体资源的安全,一般采用的都是最小权限原则即同时满足策略合成两方的操作,即
a6:在客体的信任度属性上,经过自治域A和自治域D的协商,为了给用户提供更多的客体资源访问决定采用自治域D对客体资源访问时的客体信任度的要求,对客体的信任度要求为不高于0.8,即oapD2≤0.8。
(b)如果Area A同意Area B允许的访问,则策略的合成结果为其中con2约束为客体的信任度大高于0.8即oap2≤0.8,则策略合成的结果为polB与polD再进行策略的合成,其合成结果的结果同(a),不同的是在客体的信任度属性上,如果Area A同意“Area D不允许的访问不被访问”,则客体的信任度属性授权项为如果AreaD同意Area A允许的访问,则客体的属性授权项为oapA2⊕oapD2=oapA2。
以上用到的策略合成方法在完成传统策略合成的基础之上,引入了Fw、polcon、TV(m,n),增强了策略合成的灵活性和语义表达能力,支持传统的访问控制策略合成中的并、交、差、减,减除算子的功能,还能够根据具体的应用环境进行策略协商,这使得访问控制策略合成过程更加灵活。同时,还可以根据互联网环境下的实际需要将信任度作为一个重要的访问控制属性引入到策略表达式中,将信任度对访问控制的影响在所有算子中都有所体现。扩展的策略合成代数也包含了对信任度的合成,符合分布式环境下访问控制对安全策略合成的实际需求。本发明中的基于属性的访问控制策略合成方法针对的环境中实体对象的属性,确保了访问控制安全策略的高度灵活性、细粒度,适合开放的动态的、动态的分布式环境。
Claims (6)
1.一种基于属性的访问控制策略合成方法,其特征在于:该方法包含如下步骤:
第一步,将基于属性的访问控制策略面向属性层进行分解;
第二步,对步骤一的结果进行基于属性的访问控制策略代数表达式转换;
第三步,对步骤二的转换结果检查是否是异构策略,如果是异构策略,则对相应的属性授权项进行扩展;如果不是异构策略执行步骤四。
第四步,检测访问控制策略是否存在冲突,如果不存在冲突,直接进行访问控制策略的合成;如果存在冲突,则执行步骤五。
第五步,根据步骤四中存在的冲突,选择基于属性的访问控制策略合成代数的策略合成算子;
第六步,根据步骤五选择的策略合成算子实现合成演算,如果访问控制策略合成成功则输出策略合成结果;如果访问控制策略合成失败,则选择其他的访问控制策略冲突消解的方法。
2.根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述步骤一中,将基于属性的访问控制策略面向属性层进行分解时,先对策略中的各个属性进行分解,并用api*val表示一个属性约束,其中api表示第i个属性,*∈{≤,≥,=,<,>},val为属性的值,为数字或文字。
3.根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述属性约束包括主体属性约束、客体属性约束、环境属性约束、主体的信任度约束、操作属性约束。
4.根据权利要求1所述的一种基于属性的访问控制策略合成代数,其特征在于:所述步骤二中,对步骤一的结果进行基于属性的访问控制策略代数表达式的转换时,用SAPi表示主体的第i个属性,用OAPj表示客体的第j个属性,用EAPk表示环境的第k个属性,用Tsm表示第m个主体的信任度属性,访问主体对客体资源的操作用OPl表示资源的第l个属性,用<S,O,E,T,OP>五元组表示一个属性授权项,其中S表示主体的所有属性,O表示客体的所有属性,E表示环境的所有属性,T表示主体的信任度,OP表示访问主体对客体资源能执行的所有操作,多个属性授权项构成一个访问控制策略
5.根据权利要求1所述的一种基于属性的访问控制策略合成方法,其特征在于:所述步骤五,选择基于属性的访问控制策略合成代数的合成算子时,根据各域的安全需求选择相应的策略合成算子,策略合成算子包括:⊕算子,策略“或”算子;算子,策略“与”算子;-算子,策略“减”算子;polcon算子,限制算子;Fw算子,模态函数算子;TV(m,n)算子,给予信任度的投票算子,其中参与最终访问控制策略的合成中必须有资源所在域的策略。
6.根据权利要求4所述的一种基于属性的访问控制策略合成方法,其特征在于:所述策略合成算子中信任度包括直接信任度DT(xi,xj)和推荐信任度RT(xi,xj),
其中α为历史因子,且0≤α≤1,s表示成功交易的次数,k表示总交易次数; 其中N是推荐实体的个数,最后信任度 其中β表示直接信任度在综合的信任度中所占的比重,且0≤β≤1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510108724.2A CN104683348B (zh) | 2015-03-13 | 2015-03-13 | 一种基于属性的访问控制策略合成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510108724.2A CN104683348B (zh) | 2015-03-13 | 2015-03-13 | 一种基于属性的访问控制策略合成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104683348A true CN104683348A (zh) | 2015-06-03 |
CN104683348B CN104683348B (zh) | 2019-03-12 |
Family
ID=53317942
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510108724.2A Expired - Fee Related CN104683348B (zh) | 2015-03-13 | 2015-03-13 | 一种基于属性的访问控制策略合成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104683348B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106067885A (zh) * | 2016-01-22 | 2016-11-02 | 佛山科学技术学院 | 一种改进的网络访问控制方法和装置 |
CN106778298A (zh) * | 2016-12-01 | 2017-05-31 | 电子科技大学 | 一种面向实时操作系统的强制访问控制方法及装置 |
CN107623662A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 访问的控制方法,装置和系统 |
CN108111488A (zh) * | 2017-12-06 | 2018-06-01 | 上海电机学院 | 一种动态阈值协商策略方法 |
CN108712369A (zh) * | 2018-03-29 | 2018-10-26 | 中国工程物理研究院计算机应用研究所 | 一种工业控制网多属性约束访问控制决策系统和方法 |
CN108874863A (zh) * | 2018-04-19 | 2018-11-23 | 华为技术有限公司 | 一种数据访问的控制方法及数据库访问装置 |
CN109753819A (zh) * | 2018-12-26 | 2019-05-14 | 北京天融信网络安全技术有限公司 | 一种访问控制策略的处理方法和装置 |
CN110417731A (zh) * | 2019-06-20 | 2019-11-05 | 中国科学院信息工程研究所 | 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 |
CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
CN111586107A (zh) * | 2020-04-13 | 2020-08-25 | 浙江大学 | 一种车联网信息分发场景下基于属性的多方策略融合方法 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN113704795A (zh) * | 2021-09-02 | 2021-11-26 | 杭州戎戍网络安全技术有限公司 | 一种基于标签属性的多域访问控制形式化建模方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100132012A1 (en) * | 2008-11-26 | 2010-05-27 | Red Hat, Inc. | Merging mandatory access control (mac) policies in a system with multiple execution containers |
CN102104550A (zh) * | 2011-03-10 | 2011-06-22 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
-
2015
- 2015-03-13 CN CN201510108724.2A patent/CN104683348B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100132012A1 (en) * | 2008-11-26 | 2010-05-27 | Red Hat, Inc. | Merging mandatory access control (mac) policies in a system with multiple execution containers |
CN102104550A (zh) * | 2011-03-10 | 2011-06-22 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
Non-Patent Citations (2)
Title |
---|
熊厚仁: "基于信任的网格授权关键技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
黄廷森等: "网格环境下基于属性的访问控制策略合成研究", 《计算机应用研究》 * |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106067885A (zh) * | 2016-01-22 | 2016-11-02 | 佛山科学技术学院 | 一种改进的网络访问控制方法和装置 |
CN107623662B (zh) * | 2016-07-15 | 2021-06-01 | 阿里巴巴集团控股有限公司 | 访问的控制方法,装置和系统 |
CN107623662A (zh) * | 2016-07-15 | 2018-01-23 | 阿里巴巴集团控股有限公司 | 访问的控制方法,装置和系统 |
CN106778298A (zh) * | 2016-12-01 | 2017-05-31 | 电子科技大学 | 一种面向实时操作系统的强制访问控制方法及装置 |
CN108111488A (zh) * | 2017-12-06 | 2018-06-01 | 上海电机学院 | 一种动态阈值协商策略方法 |
CN108111488B (zh) * | 2017-12-06 | 2021-08-24 | 上海电机学院 | 一种动态阈值协商策略方法 |
CN108712369A (zh) * | 2018-03-29 | 2018-10-26 | 中国工程物理研究院计算机应用研究所 | 一种工业控制网多属性约束访问控制决策系统和方法 |
CN108712369B (zh) * | 2018-03-29 | 2022-01-07 | 中国工程物理研究院计算机应用研究所 | 一种工业控制网多属性约束访问控制决策系统和方法 |
CN108874863A (zh) * | 2018-04-19 | 2018-11-23 | 华为技术有限公司 | 一种数据访问的控制方法及数据库访问装置 |
US11947700B2 (en) | 2018-04-19 | 2024-04-02 | Huawei Technologies Co., Ltd. | Data access control method and database access apparatus |
CN109753819B (zh) * | 2018-12-26 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 一种访问控制策略的处理方法和装置 |
CN109753819A (zh) * | 2018-12-26 | 2019-05-14 | 北京天融信网络安全技术有限公司 | 一种访问控制策略的处理方法和装置 |
CN110417731B (zh) * | 2019-06-20 | 2020-10-27 | 中国科学院信息工程研究所 | 一种网络层标记动态生成方法及系统 |
CN110417731A (zh) * | 2019-06-20 | 2019-11-05 | 中国科学院信息工程研究所 | 一种适应信息对象业务安全属性的网络层标记动态生成方法及系统 |
CN110941853B (zh) * | 2019-11-22 | 2020-11-10 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
CN111586107B (zh) * | 2020-04-13 | 2021-06-22 | 浙江大学 | 一种车联网信息分发场景下基于属性的多方策略融合方法 |
CN111586107A (zh) * | 2020-04-13 | 2020-08-25 | 浙江大学 | 一种车联网信息分发场景下基于属性的多方策略融合方法 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN112637189B (zh) * | 2020-12-18 | 2022-06-24 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN113704795A (zh) * | 2021-09-02 | 2021-11-26 | 杭州戎戍网络安全技术有限公司 | 一种基于标签属性的多域访问控制形式化建模方法 |
CN113704795B (zh) * | 2021-09-02 | 2024-02-06 | 杭州戎戍网络安全技术有限公司 | 一种基于标签属性的多域访问控制形式化建模方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104683348B (zh) | 2019-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104683348A (zh) | 一种基于属性的访问控制策略合成方法 | |
DE69534490T2 (de) | Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem | |
CN101729321B (zh) | 一种基于信任评估机制的动态跨域访问控制方法 | |
Biskup | Security in Computing Systems: Challenges, Approaches and Solutions | |
WO2020259156A1 (zh) | 一种区块链的私密交易方法及装置 | |
CN104935590A (zh) | 一种基于角色和用户信任值的hdfs访问控制方法 | |
CN109871712A (zh) | 医疗记录权限管理方法、装置、可读存储介质及服务器 | |
Maurer | The role of cryptography in database security | |
CN101512504A (zh) | 安全授权查询 | |
Lin et al. | Policy decomposition for collaborative access control | |
CN101692676A (zh) | 一种开放环境下的混合信任管理系统及其信任评估方法 | |
CN106997440A (zh) | 一种角色访问控制方法 | |
CN101242277B (zh) | 网格环境下的基于信任度的授权委托方法 | |
CN109697368A (zh) | 用户信息数据安全使用的方法、设备及系统、存储介质 | |
Virushabadoss et al. | Enhancing data security in mobile cloud using novel key generation | |
US7703123B2 (en) | Method and system for security control in an organization | |
Abomhara et al. | Work-based access control model for cooperative healthcare environments: Formal specification and verification | |
Singh | Trust based authorization framework for grid services | |
CN114598707A (zh) | 一种联盟链监管系统 | |
Zhang et al. | A Quantitative and Qualitative Analysis-based Security Risk Assessment for Multimedia Social Networks. | |
Wohlgemuth et al. | Privacy-enhancing trust infrastructure for process mining | |
Wohlgemuth | Is Privacy Supportive for Adaptive ICT Systems? | |
Alaga et al. | Context based enforcement of authorization for privacy and security in identity management | |
KR102302325B1 (ko) | 협력적 의료 의사 결정을 위한 프라이버시 보호 블록체인 시스템 및 그의 동작 방법 | |
Sandeepkumar et al. | Blockchain Assisted Cloud Storage For Electronic Health Records |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190312 Termination date: 20200313 |