一、基于划分和规则访问控制授权模型的研究(论文文献综述)
任玮[1](2021)在《面向物联网的软件定义网络控制技术研究》文中研究表明近年来,物联网已经发展成为支撑现代生产生活的数字基础设施。软件定义网络作为一种新兴网络模式,是推动物联网进一步发展的关键技术,能够有效提升物联网网络的可管理性、可配置性、可编程性和可复用性,为物联网服务提供动态、灵活和集中式支持。软件定义物联网中相关网络实体的控制技术是实现上述目标的重要保障。但是考虑到软件定义网络是针对传统网络提出的,已有的控制模型、机制和优化方法不能完全适用于物联网这一特殊场景中。特别是由于物联网设备节点的电源、计算、网络和存储等能力通常有限,对于资源的消耗非常敏感,而传统的软件定义控制技术一般需要较大的资源消耗。因此,对面向物联网的软件定义网络控制技术展开深入研究,具有十分重要的理论意义和应用价值。本文针对软件定义物联网数据层-控制层-应用层中的重要控制实体,分别从流表的存储更新、网络功能的组合部署、控制器的选址分配和应用的授权访问展开研究,提出了一系列的新模型和新方法:(1)针对软件定义物联网数据层中的流表存储问题,研究一种基于hash的分布式存储控制机制,包括构建一种基于节点多维信息的存储位置选择算法;一种基于流表匹配域的hash空间构造方法,方便流表的识别、定位与管理;一种基于树结构的流表部署与数据转发机制,避免由流表分布式存储导致的网络消耗。另外,研究一种低消耗流表批量更新机制,将所有待更新节点的更新规则进行打包并按批次进行下发,以减少控制器与节点间的通信消耗;然后按照新数据流从目的节点到源节点的顺序进行更新,以保证网络更新的一致性特征。包括提出一种更新树结构以支持灵活的更新路径规划;一种基于虚拟目的节点的控制包打包算法,能将更新树中的更新规则聚合成最小数量的更新控制包;一种合作传输模式来提升更新控制包在无线不稳定信道下的传输成功率。实验结果验证了所提出的分布式存储和批量更新控制机制的有效性。(2)针对软件定义物联网数据层中网络功能的组合部署问题,研究一种近端编排控制策略。首先设计一种物联网服务功能链抽象定义语言,以完成对物联网服务的全面准确描述;然后利用一种需求感知的网络功能顺序排列算法,确定物联网服务的虚拟转发图;随后将网络功能的部署问题形式化为一个整数线性规划模型,优化目标是在资源约束前提下,将物联网网络功能最大程度地部署在距离数据源更近的位置;并提出一种两阶段的部署优化方法,包括一种改进的遗传算法和一种trade-off效用函数来找到满足用户需求的最佳部署方案。通过分析服务时延和链路消耗等指标,验证了所提出的近端编排控制策略的有效性。(3)针对软件定义物联网控制层中的控制节点选址分配问题,研究一种基于重要性的分层部署控制方法。首先设计一种面向物联网的主从式分层软件定义控制框架,以避免单点失效和性能瓶颈问题;然后提出一种基于层次分析法和模糊积分的物联网设备节点重要性评估模型;随后将子控制器部署问题形式化为一个二进制整数规划模型,并通过一种改进的粒子群优化算法对部署问题进行求解,以获得近似最优的子控制器部署位置和覆盖范围。实验结果表明,与其他传统部署方法相比,所提出的分层部署控制策略使重要物联网节点的控制时延平均降低约30.56%。(4)针对软件定义物联网应用层中的应用授权问题,研究一种基于区块链和属性加密的开放访问控制模型。通过由属性加密的token进行应用授权,而这些token被看作区块链中的货币进行分发和管理。首先提出一种基于区块链的分布式访问控制框架,以解决异构不互信控制器平台间的实体交互问题;然后利用属性加密技术改进基于token的访问控制机制,并通过智能合约整合相关操作,实现对北向接口的自动细粒度授权;同时设计专用的token封装、分发、更新和验证方法,保证对应用的全生命周期安全管理;为了减轻引入区块链和属性加密的复杂性与高时延问题,将应用的授权过程与访问过程进行分离,进一步提升应用的资源访问效率。最后基于安全性分析和原型系统的实验结果表明,所提出的访问控制模型能够以可接受的成本实现应用在异构多控制平台间的有效访问控制。
徐丽丽[2](2021)在《科技项目管理的RBAC-BLP模型设计与应用》文中进行了进一步梳理科技项目管理涵盖项目申报、评审、审批、执行、验收等过程,需要实现长周期、多流程的复杂权限控制和数据管理工作。科技项目管理过程具有数据访问安全性高、参与者角色权限划分复杂、用户数量大、管理流程周期长、访问权限随时间动态变化等特点,这使得传统的访问控制方法表现出权限不清晰、管理实现复杂、判决效率低、安全性较低等众多问题,针对科技项目全周期管理机制开展智能访问控制模型设计和应用的研究迫切且必要。基于角色的访问控制RBAC模型利用角色将用户和访问许可建立联系,能够实现多级静态权限角色的用户组织管理和数据安全访问,但对于多流程科技项目管理过程中特定阶段,需要实现对数据读取权限的灵活变化的需求则无能为力,因而急需建立适用于科技项目管理过程不同阶段灵活的操作权限和数据读写能力的访问控制模型,实现科技项目全流程的安全高效管理。本研究针对科技项目管理系统的实际需求,研究了基于角色与强制访问控制特点,最终提出了一种适用于科技项目管理系统的基于角色控制-强制访问融合模型RBAC-BLP,并进行应用推广。主要完成的工作如下:首先,根据科技项目管理中的众多参与用户的权限划分和数据访问需求,构建了申报用户、部门管理员、初级管理员、高级管理员和超级管理员等多层次角色体系,实现了科技项目管理中用户管理的角色权限灵活划分;其次,针对科技项目管理周期不同管理阶段的特点,以及特定角色对数据访问权限的具体需求,引入安全级别和可信主体,实现细粒度的数据读写控制,达到特定阶段特定角色对数据的强制访问管理的目的;接下来,充分考虑基于角色的访问控制和强制访问的机理,以时间约束为纽带,考虑科技项目全流程管理的特点,构建了基于阶段时间约束的角色控制-强制访问融合模型RBAC-BLP,并给出了形式化描述;最后,基于所提出的RBAC-BLP模型,实现了浙江省舟山市科技项目申报管理过程中多用户角色划分、流程控制、权限调整、安全读写等全流程的管理功能设计。基于RBAC-BLP模型的访问控制机制,开发并部署了舟山市科技项目申报管理系统。该系统近年来稳定可靠地完成了舟山市科技项目管理中的申报、审批、执行、验收等环节的各项工作,有效地提升了舟山群岛新区政府科技管理的信息化水平和行政办事效率,是浙江省“最多跑一次”信息化建设的重要组成部分。
潘依琳[3](2021)在《钻完井数据综合集成系统中访问控制模型的设计与实现》文中提出钻完井数据综合集成系统涉及海量的钻完井作业数据,这些数据被收集应用于钻井,完井的生产作业中。系统主要面向某石油集团的所有组织机构,拥有庞大的用户数量,不同的组织机构的用户依据自身的职责需求对系统进行访问,对于系统中的数据访问以及功能操作都不尽相同。然而,庞大的用户对于系统的频繁访问给系统带来了安全隐患,系统对于用户的登录,缺乏统一身份验证,无法确认登录用户为石油集团的合法用户,且合法用户对于系统的访问需要有效的权限授予,来保证不同组织机构的用户访问需求。为了保障钻完井数据综合集成系统的数据安全的同时,实现对于不同组织机构不同部门的用户权限的灵活授予,本文着重于为系统设计访问控制模型,并基于活动目录(Active Directory,AD)域实现身份认证。首先对几种主流的访问控制模型进行分析,对比各模型的优缺点,选择基于角色的访问控制模型,并在其基础上对其进行改进,提出了一种基于角色、组织机构、职责和用户的四层访问控制模型-RGDU,并在系统中对模型进行实现,加大访问控制粒度的同时保证授权的灵活性。基于AD域实现身份认证,在用户进行系统登录前,能够对用户合法性身份进行验证。首先对于集团进行AD域的部署,然后利用CAS进行身份认证。此外,本文还结合系统的具体访问控制需求,完成了系统访问控制功能模块的实现,并将其作为独立的功能服务搭建在微服务架构上与系统其他功能模块相调用,微服务由Spring Cloud进行实现。基于以上,本文最终实现了对于不同组织机构不同职责的用户进行灵活的授权,同时对于用户的登录进行身份认证,实现了系统的访问控制,保障了系统的安全也便于钻完井作业数据的高效使用,有效降低了实际生产的时间成本和经济成本,对于钻完井作业工程的顺利推进有着深远意义。
孙月月[4](2021)在《基于超融合架构的云平台访问控制系统的设计与实现》文中进行了进一步梳理近年来,云计算凭借其按需使用、按量付费的特点,以及通过虚拟化技术等完成硬件资源和软件资源的融合,形成了资源池并提供统一调度接口为用户服务,极大地降低了成本并提升了易用性。基于超融合架构的云计算采用分布式存储,在一个单元设备内同时具有信息网络、信息存储以及虚拟化等诸多的资源和技术,降低服务器架构管理难度且多单元设备借助网络聚合来实现其自身模块化横向的扩展,已成为云计算架构的主流。然而,非法用户越权获取资源的云安全问题给云平台带来了很大的威胁,而访问控制技术正是解决非法越权的一项重要手段。然而当前的访问控制模型并不能满足云平台细粒度、动态性、易于管理性的需求。因此,本文将在云平台的访问控制方面进行研究,主要研究内容如下:(1)提出了一种多层级、多动态属性的访问控制模型,即MIDE-BAC模型。针对云平台中元素存在层级且各元素的属性值随时动态变化、单个属性限制权限细粒度变化的特性,本文构建了一种基于多元素层级的动态权限继承方法,实现角色、资源、操作元素层级权限的有效管理;引入动态原子属性作为授权约束,设计了基于动态属性的权限决策流程,实现权限的动态评估以及细粒度控制;对模型进行了形式化定义和描述,从模型特性和安全性原则证明MIDE-BAC模型可有效且安全地实现云平台的访问控制。(2)设计一种基于本体模型的访问控制机制。由于人工进行权限决策,存在逻辑复杂、语义扩展性低的问题,本文通过将本体与MIDE-BAC模型相结合,首先使用本体语言描述MIDE-BAC模型中的元素,实现MIDE-BAC模型的本体表示。然后根据本体模型以及结构化数据实现知识抽取,完成知识库的建立。其次,构建基于知识库和自定义规则的动态授权推理方法,实现动态权限判别及隐含语义挖掘。(3)提出一种基于相似度度量的策略优化方法。通过基于层级的优化对分析,判断策略中含有层级继承关系的元素是否满足优化的条件。对于存在优化对的策略,利用基于原子属性约束集为基础的相似度度量,实现静态冲突/冗余检测与自动消解,从而实现访问控制策略的优化管理。(4)将访问控制模型应用于基于超融合架构的云平台中,设计并实现了基于超融合架构的云平台访问控制系统。系统由策略决策模块、策略管理模块、策略优化模块等模块组成。最后,对MIDE-BAC模型进行功能及性能测试,实验结果表明MIDE-BAC模型提高了授权结果的确定性,且在不同策略规模下均降低了管理成本。另外,本文设计的策略管理优化算法较传统的优化方法,检测出的优化对数量更多,优化效果更明显。
孔斌[5](2021)在《高安全等级信息系统的风险评估研究》文中认为随着信息社会的迅猛发展,信息系统已经被广泛应用到各个领域,与此同时,在党政机关、军工单位等重点领域部署了很多高安全等级的信息系统。信息系统发挥着支撑、保障、服务、监管等重要的作用,一旦出现安全保密隐患,会对国家的安全和利益,乃至于社会稳定产生严重影响。确保高安全等级信息系统的安全、稳定、可靠运行成为了一个不容忽视的问题,所以,高安全等级信息系统的风险评估成为了研究重点和难点。信息系统风险评估根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五个安全保护等级[1]。本文的研究对象为高安全等级信息系统,特指第三级、第四级和和第五级信息系统。本文系统地研究了信息系统风险评估的理论及方法,根据国家相关法律法规和标准,结合高安全等级信息系统的特点,融合了十几年的风险评估经验和案例,优化了评估指标体系和评估模型,改进了评估过程中每个阶段的具体操作步骤,保证了风险评估结果的可信度和实用性,提出了切实可行的高安全等级信息系统安全防护和管理的合理建议,为深入高效的开展高安全等级信息系统风险评估提供有力支撑,为国家相关行政部门对高安全等级信息系统的管理决策提供关键依据。主要研究内容和成果如下:(1)优化了高安全等级信息系统风险评估模型依据高安全等级信息系统的特点及防护要求,选取了风险评估指标,并构建了多层次指标体系。然后基于该指标体系,将博弈理论引入到风险评估中,把评估人员的防御方法与攻击人员的攻击方法作为攻防博弈的基础,通过构建攻防博弈模型,分析了评估人员及攻击人员在攻防过程中获得的收益及付出的开销,并结合高安全等级信息系统的安全等级,计算得到信息系统的风险值,使得风险评估过程更加科学合理。(2)提出了应用虚拟化技术的高安全等级信息系统风险评估模型从虚拟化体系结构入手,全面分析了虚拟化系统在高安全等级网络环境中存在的脆弱性和引入的安全威胁,在传统矩阵法的基础上融入了序值法、层次分析法,利用基于风险矩阵的信息安全风险模型将分析结果进行量化,引入了合理的权重分配策略,得到虚拟化系统在高安全等级网络环境中的定量安全评估结果,为虚拟化系统在高安全等级网络环境中的定量安全评估提供有力参考[2]。(3)提出了面向网络互联互通环境的风险评估模型分析了网络互联互通采用的安全防护技术以及存在的安全问题,在高安全等级信息系统风险评估以及虚拟化系统风险评估的基础上,研究了高安全等级信息系统之间、高安全等级信息系统与虚拟化系统、高安全等级信息系统与工业控制系统等互联互通的风险评估,提出了不同互联互通情况下的风险评估模型,极大地提高了网络互联互通环境的风险控制能力。(4)设计并实现了高安全等级信息系统风险评估系统基于优化完善的高安全等级信息系统风险评估指标体系以及风险评估模型,设计并实现了高安全等级信息系统风险评估的原型系统,从关键评估项入手,量化了不同关键评估项扣分的频次,定位了频繁扣分的关键评估项及其对应的安全隐患。通过多维度的有效的网络特征,实现了同类网络安全隐患的预测。同时,基于采集数据,从常见评估问题入手,采用统计分析的方法,分析了出现这些评估问题的原因,对于指导评估人员工作,简化评估人员的业务量提供理论支持。另外,依据信息系统安全级别、风险等级以及影响程度,划分风险控制区域,制定对应的风险控制策略。
崔萌[6](2020)在《一种具有时间与空间约束的动态访问控制研究》文中指出访问控制作为保障信息安全的重要技术之一,可有效保护信息资源的合理受控使用,具有重要的理论价值与现实意义,受到了众多科学研究人员与系统研发人员的密切关注。其中,访问控制策略描述是访问控制的重要组成部分,基于主体、操作、客体要素的访问控制策略表达方式在实践中被广泛应用。尽管现有的访问控制策略描述方法能够满足系统中授权访问受控资源的需求,但是这些方法往往适用于系统事先预设的静态场景,而对于一些需要在系统运行阶段根据实际情况进行动态调整的场景则不够灵活且维护成本较高。分析表明,现有访问控制策略描述方法存在动态性描述较为困难这一问题,一个重要原因是现有策略自身并不包含直接针对时间和空间进行描述的要素。如果沿用传统的策略表达方式,则导致在模型中额外引入时空算子之后,策略数量极易因时空要求的复杂程度而急剧增长,在浪费策略存储空间的同时,也降低了策略的检索效率,提高了人工维护成本。针对上述问题,本文开展如下研究:(1)建立了一种基于时空匹配计算的应答许可方案,能够分别借助时间和空间算子进行动态策略描述。该方案在一类具有时空敏感性的访问控制中,可获取访问主体当前的时间和空间属性,利用应答处理算法,分别基于时间属性和空间属性计算匹配度,最终给出主体能否对客体执行访问操作的应答。而且,本方法中,时间属性与空间属性都是即时获取,并各自独立描述。当环境发生变化时,只需修改相关的局部属性,不必面对全部策略要素。实验结果表明系统可有效地实现此类具有时空敏感性的访问控制。(2)基于上述引入时间属性的访问控制,在策略的描述中增加条件判断,通过将访问主体和访问客体之间属性关系的计算结果,与扩增了条件判断要素的策略进行比对,提高了单条策略的适用范围,实验结果表明在具有较高规律性的时间敏感性访问控制中,通过对策略要素的扩增,显着地精简了策略数量,降低了策略的冗余程度,节约了策略的存储空间,降低了人工维护成本,在动态性和易维护性方面具有较为明显的优势。(3)基于上述引入空间属性的访问控制,在策略的描述中增加条件判断,同时考虑到空间属性在获取与表示方式上和时间属性的差异,建立独立的空间属性授权库,通过将访问主体和访问客体之间属性关系的计算结果,与整合了条件判断要素和空间属性授权的策略进行比对,提高了单条策略的适用范围,实验结果表明在具有较高规律性的空间敏感性访问控制中,同样显着地精简了策略数量,降低了策略的冗余程度,节约了策略的存储空间,降低了人工维护成本,在动态性和易维护性方面具有较为明显的优势。综上,本文在传统的静态访问控制的基础上,分别引入时间与空间属性解决了一类具有时间敏感性与空间敏感性的动态访问控制的需要,并通过在访问控制策略描述中扩增条件判断要素,使得系统在处理一类主体与客体属性间具有一定规律性的访问申请时,具备了更为智能的判断能力,能够显着精简访问控制策略集,降低了访问控制条件发生改变时人工维护的成本,系统的动态性和易维护性两方面都获得了提高。
何萍[7](2020)在《针对数据平台的细粒度访问控制方法研究》文中研究说明随着计算机技术的发展,数据已经成为企业的核心竞争力。为了使数据创造出更大的价值,企业着手建立数据平台,为用户及数据管理人员提供数据共享、数据处理等服务。数据在平台中被访问时,如何保障数据的安全成为数据平台首要解决的问题。访问控制是保障数据安全的重要手段之一。在访问控制方法中,被保护对象通常是整张数据表,对于细化到数据表行和数据表列范围的访问控制方法很少。在被保护对象为数据表行和数据表列的访问控制方法中,结合视图与粗粒度访问控制是最普遍的做法。本文主要研究工作是提出一种可用于细粒度访问控制的混合模型,使权限的能够集中管理。为了能够实现细粒度访问控制,本文从设计模型和优化模型两个方面展开研究工作。设计一种可用于细粒度访问控制的混合模型,并给出获取权限配置的方案。具体研究内容如下:可执行细粒度访问控制的混合模型设计部分,主要给出了模型的定义。设计针对于数组ARRAY,集合SET,树TREE三种类型的权限配置以及鉴权方法。定义模型的整体架构与执行机制,给出各模块进行鉴权行为的分工与产出。对于作用于数据表行的权限配置中区间范围判断的问题,采用区间决策树结构存储权限配置项。在建立区间决策树时,充分利用节点属性与分支关系,对区间范围互斥的部分进行剪枝操作,使区间决策树满足区间范围分布。进行权限判断部分主要利用树的父子关系特性完成。基于FP-Growth生成权限配置的方法中,主要利用FP-Growth算法获取数据的频繁项与关联关系,并给出转化为可枚举的权限配置项的思路。通过对获取的频繁项进行数据项的对应和频率的计算,根据数据项的使用频率完成作用于数据表列的权限配置获取。通过筛选强关联关系,获取在关联关系中关系较为紧密的数据项及对应的数据项值,将其转化为作用于数据表行的权限配置。本文所述模型经过测试与实验验证。结果表明可满足业务需求,性能消耗上低于阈值。利用数据挖掘方法生成权限配置这一方案也是可行的。目前该模型已通过了蓝鲸数据平台的测试与验收。
胥双双[8](2020)在《基于PaaS平台多租户隔离与数据安全研究与实现》文中提出随着云计算技术的不断发展,PaaS(Platform as a Service平台即服务)作为云计算的一种模式,提供面向多租户的服务,将应用程序的开发测试环境、开发工具以接口的形式提供给租户,隐蔽掉操作系统和硬件信息,为开发人员的开发和运维提供了极大的帮助。然而PaaS平台在给人们带来便利的同时却面临着巨大的安全威胁,主要包括信息泄露、非法授权访问、跨租户越权访问等。针对这些风险,当前PaaS平台的安全机制还存在租户隔离对正常业务性能造成影响、传统访问控制模型存在授权方式单一、难以跨域授权、控制粒度粗放等方面的问题和不足,因此,本文重点将在PaaS平台的多租户索引隔离和访问控制模型构建等方面展开研究,主要研究工作如下:(1)提出了一种多租户隔离的索引机制。针对多租户索引机制中存在相互干扰、存储空间浪费以及宽表中数据存储混乱的问题,本文对租户数据及索引进行管理,通过构建索引映射函数将索引数据统一地映射到宽表的指定位置中,实现了租户数据的隔离,保证数据存储的有序性,与传统Piovt索引机制相比查询性能有显着提高。(2)构建了一种PaaS多租户访问控制模型,即FMT-ARBAC模型。针对PaaS平台多租户异构系统认证的复杂性、数据安全性及多租户安全机制的分散性和管理复杂性的问题,本文构建了访问控制模型FMT-ARBAC。该模型以多租户信任机制为基础,通过构建双向信任值计算体系、动态划分信任等级实现用户权限动态调整,通过权限等级树的域间映射方式实现租户域间互操作。实践证明,FMT-ARBAC模型可以有效地保护不同服务和安全隔离不同的租户。(3)为验证本文提出算法的有效性,设计并实现了一套信息安全综合服务PaaS平台。从底层资源隔离及软件隔离两个层面实现租户隔离,对平台的整体架构和各功能模块化进行了详细的设计,给出PaaS平台API网关及多租户索引数据表的实现方式并通过XCAML语言实现FMT-ARBAC模型。最后,对多租户隔离的索引机制和FMT-ARBAC访问控制模型进行对比实验,分别验证其功能性及性能。多租户索引模型实现了多租户索引的隔离,查询时间至少可以节省50%;FMT-ARBAC访问控制模型实现了多租户细粒度访问控制,将访问控制的时间从O(N*M)降为O(M+Y);双向信任体系对租户跨域访问控制过程起到了安全保护作用,具有一定的应用参考价值。
施明月[9](2020)在《基于风险访问控制的医疗大数据安全与隐私保护模型研究》文中认为随着互联网、物联网及云计算等技术的迅速发展,人工智能、云计算及大数据已经成为了当今社会从信息技术时代向数据技术时代转变的三大支柱。大数据技术也成为了继云计算之后的一大技术体系,其发展不仅涵盖分布式计算和分布式管理,还包括人工智能、机器学习等技术。大数据技术通过不断推进信息资源的融合,给人们的生活带来了很多便利。但是,在数据的收集、使用及分享过程中给人们的隐私安全问题也带了极大的隐患,引起了各行各业的重视。因此,大数据的安全与隐私保护已经成为了大数据技术中亟待解决的关键问题之一。医疗大数据作为国家基础性的战略资源已经被正式纳入国家发展战略中,成为了医疗领域的核心资产。据调查,绝大部分医院都缺乏专门的隐私保护措施,医疗行业已经成为了隐私泄露最为严重的领域之一。而医疗数据又有其特殊敏感性,所以研究医疗行业的安全与隐私问题是非常有必要的。目前学术界关于数据安全与隐私保护技术的研究主要包括访问控制、数据匿名化、数据加密、数据溯源、差分隐私保护、数字水印等,其中,访问控制技术成为了当前研究的热点,但其主要针对操作系统领域,而在信息领域的研究并不多,尤其是专门针对医疗大数据安全与隐私保护的研究少之又少。此外,由于大数据环境下的隐私保护工作需要自动化或半自动化的授权管理,传统的隐私保护模型很难适应这一复杂的开放环境。在上述背景下,本文就目前医疗大数据安全与隐私保护模型中存在的一些不足之处进行完善,提出了一种基于风险访问控制的医疗大数据安全与隐私保护模型。该模型引入了用户信任值,旨在一定程度上降低系统误判的可能性,并将神经网络的自学习能力和模糊理论的知识表达能力相结合,建立了自适应的神经模糊推理系统(Adaptive Neuro-Fuzzy Inference System,ANFIS),它能够动态的对用户访问风险进行预测。本文首先对医疗大数据安全与隐私保护以及基于风险的访问控制研究现状进行了梳理,分析了国内外的研究动态,并对其进行了归纳总结后发现,当前在风险和访问控制方面的研究仍处于起步探索阶段,而专门针对基于风险访问控制的医疗大数据隐私保护的研究极为匮乏。其次,本文不仅对强制访问控制、自主访问控制、基于角色的访问控制以及基于属性的访问控制进行了论述,还分析了其在大数据环境下的局限性,明确了大数据环境下的访问控制策略应该满足自动化或半自动化的授权管理,并且可以根据实际场景动态的调整,从而进一步介绍了基于数据的访问控制模型。接着,通过文献梳理、专家咨询从用户的角度分析了影响医疗大数据安全与隐私泄露的关键指标,包括用户的访问行为及信任度。并且根据用户的历史访问信息及交互记录,借助信息熵、概率等对用户的访问行为及信任度进行了量化,并显式的给出了定义表达式。此外,本文还对常用的风险量化方法进行了归纳,分析了其中存在的优缺点;然后将模糊理论和神经网络相结合,建立了基于自适应神经模糊理论的风险量化模型,并从基本原理、网络结构、风险量化时各参数学习原理三个方面对其进行了详细介绍。最后从实验环境、实验数据、实验过程三个方面详细的介绍了整个实验流程及具体的操作,并借助Matlab将模型的预测结果与实际输出结果进行了对照分析。实验结果发现,误差平均值小于le-5,说明本文的模型在预测医疗大数据安全与隐私泄露风险方面是可行的;除此之外,还将本文的方法与目前比较经典的基于风险的医疗大数据访问控制模型进行了对比分析,结果发现在非法用户的比例小于15%时,本文的模型在精确率及召回率方面都更加的优越。
毋文超[10](2020)在《大数据环境下基于属性的访问控制关键技术研究》文中研究指明确保数据安全共享是广泛应用大数据技术的前提。基于属性的访问控制(ABAC)根据实体固有的属性和环境属性进行权限判决,可以有效适应大数据环境实体数量多、动态加入、权限复杂多变的特点。但是大数据环境具有属性来源复杂、权限关联关系庞大等特点,难以获取用以决策的属性集和策略集,难以对策略进行验证与更新。本文针对大数据环境的属性优化、策略挖掘、策略演化等关键问题进行研究,完成了如下工作:1.提出了基于ABAC的大数据访问控制框架。针对大数据环境下实体多、动态加入退出、访问控制需求复杂等特点,选用基于属性的访问控制模型提供多粒度、强动态的访问控制。针对大数据环境下授权属性集构建、策略集构建、策略验证与更新困难等关键问题,对基础ABAC进行了扩展,添加属性优化模块、策略挖掘模块和策略演化模块;然后对框架中各组件的任务和功能进行了定义,对框架的工作流程进行了介绍。2.提出了一种基于权限聚类的实体属性值优化方法。针对大数据环境下实体属性来源复杂、标定质量难以保证的问题,将实体根据与其关联的权限信息聚类,从而为基于粗糙集理论的属性值约简与修正提供高质量的实体划分;然后基于属性值关于实体聚类的分布合并具有相同分布的冗余值,接着以粗糙集中定义的属性集对于实体聚类标签的支持度为评价标准,验证出现频率低于该属性所有值平均出现频率的值是否可以修改为其他值,完成属性值的修正。最后通过UCI公开数据集验证了该算法对于策略挖掘效果的提升。3.提出了一种基于日志的富语义ABAC策略挖掘方法。针对大数据环境下实体数量多、权限关联关系复杂、难以构建策略集的问题,提出了一种基于日志的策略挖掘方法。使用实体满足的属性约束来对日志进行扩展,利用频繁模式挖掘算法挖掘频繁共现的属性约束组成候选授权规则集合,而后基于准确度质量度量标准选择正确率高、过度授权风险小的规则子集,基于语义质量度量标准选择语义质量高的规则子集,基于贪心方法选择与筛选后的规则子集等价的最小规则集。最后分别在手写数据集和公开数据集上对算法进行了验证,实验结果显示所提算法相较于已有方法在F1得分等指标上有较大提升;在手写数据集上验证了所挖掘的策略在语义方面的提升。4.提出了一种基于增量学习的ABAC策略演化方法。针对大数据环境下权限关联关系复杂、访问需求多变,难以对策略集进行验证更新的问题,在日志中添加主体的行为明细,将授权规则对应日志子集的行为明细输入增强自组织增量神经网络学习该授权规则下的行为类。从而将日志子集按学习到的行为类划分,利用关联规则挖掘算法挖掘原规则在各行为类下的子规则。然后统计子规则覆盖的行为明细的范围,为子规则添加行为特征的约束,对授权规则指定的权限作进一步细化,并随着访问需求改变而不断修正,降低系统的过度授权风险,降低来自内部的安全威胁。
二、基于划分和规则访问控制授权模型的研究(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于划分和规则访问控制授权模型的研究(论文提纲范文)
(1)面向物联网的软件定义网络控制技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景与研究意义 |
| 1.2 国内外研究现状与问题 |
| 1.3 研究内容和主要贡献 |
| 1.4 本文组织结构 |
| 第二章 相关研究工作 |
| 2.1 面向物联网的软件定义网络 |
| 2.2 流表存储与更新 |
| 2.2.1 流表存储控制 |
| 2.2.2 流表更新控制 |
| 2.3 网络功能组合部署 |
| 2.4 控制器选址覆盖 |
| 2.5 应用授权访问 |
| 2.6 本章小结 |
| 第三章 SDN-IoT流表的分布式存储和批量更新控制 |
| 3.1 引言 |
| 3.2 基于hash的流表分布式存储控制 |
| 3.2.1 存储位置选择 |
| 3.2.2 hash空间构建 |
| 3.2.3 流表部署与数据转发 |
| 3.3 流表低消耗批量更新控制 |
| 3.3.1 更新过程 |
| 3.3.2 更新控制包构建 |
| 3.3.3 更新控制包合作传输 |
| 3.4 实验与性能评估 |
| 3.4.1 流表分布式存储性能评估 |
| 3.4.2 流表批量更新性能评估 |
| 3.5 本章小结 |
| 第四章 SDN-IoT网络功能的近端编排控制 |
| 4.1 引言 |
| 4.2 物联网服务功能链模型 |
| 4.3 物联网服务功能链组合 |
| 4.3.1 定义描述语言 |
| 4.3.2 网络功能顺序排列 |
| 4.4 物联网服务功能链部署 |
| 4.4.1 问题定义 |
| 4.4.2 基于改进遗传算法的网络功能部署 |
| 4.4.3 Trade-off效用函数 |
| 4.5 实验与性能评估 |
| 4.5.1 实验环境 |
| 4.5.2 实验结果分析 |
| 4.6 本章小结 |
| 第五章 SDN-IoT控制节点的分层部署控制 |
| 5.1 引言 |
| 5.2 分层主从式控制框架 |
| 5.3 物联网节点重要性评估模型 |
| 5.4 问题定义 |
| 5.4.1 网络模型 |
| 5.4.2 子控制节点部署问题 |
| 5.5 基于二进制粒子群的部署优化算法 |
| 5.5.1 节点分配 |
| 5.5.2 单目标子控制节点部署优化 |
| 5.5.3 多目标子控制节点部署优化 |
| 5.6 实验与性能评估 |
| 5.6.1 实验环境 |
| 5.6.2 实验结果分析 |
| 5.7 本章小结 |
| 第六章 SDN-IoT应用的开放访问控制 |
| 6.1 引言 |
| 6.2 系统框架 |
| 6.3 基本定义与原理 |
| 6.3.1 访问token |
| 6.3.2 基于属性的访问控制 |
| 6.4 访问控制流程 |
| 6.4.1 系统初始化 |
| 6.4.2 SDN-IoT资源注册 |
| 6.4.3 应用安装与授权 |
| 6.4.4 应用资源访问 |
| 6.4.5 应用重授权 |
| 6.4.6 应用权限更新与撤销 |
| 6.5 实验与性能评估 |
| 6.5.1 安全性与性能分析 |
| 6.5.2 实验环境 |
| 6.5.3 实验结果分析 |
| 6.6 本章小结 |
| 第七章 总结与展望 |
| 参考文献 |
| 附录 |
| 致谢 |
| 攻读博士学位期间发表的学术论文及参与的科研项目 |
(2)科技项目管理的RBAC-BLP模型设计与应用(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 访问控制的国内外研究现状 |
| 1.2.1 身份认证技术 |
| 1.2.2 访问控制技术 |
| 1.3 课题研究内容 |
| 1.4 论文组织结构 |
| 第二章 访问控制技术与科技项目管理特点 |
| 2.1 访问控制概述 |
| 2.1.1 访问控制原理 |
| 2.1.2 访问控制策略 |
| 2.2 访问控制实现机制 |
| 2.2.1 访问控制列表 |
| 2.2.2 访问控制能力列表 |
| 2.2.3 访问控制矩阵 |
| 2.2.4 访问控制安全标签列表 |
| 2.3 访问控制策略 |
| 2.3.1 自主访问控制DAC |
| 2.3.2 强制访问控制MAC |
| 2.3.3 基于角色的访问控制RBAC |
| 2.4 访问控制策略对比 |
| 2.5 科技项目管理系统的访问控制特点 |
| 2.6 本章小结 |
| 第三章 访问控制模型 |
| 3.1 自主访问控制 |
| 3.2 基于角色的访问控制 |
| 3.2.1 RBAC模型 |
| 3.2.2 核心RBAC模型 |
| 3.2.3 层次RBAC模型 |
| 3.2.4 约束RBAC模型 |
| 3.2.5 科技项目管理中的角色管理需求 |
| 3.3 模型改进 |
| 3.3.1 改进模型的定义 |
| 3.3.2 改进模型优点 |
| 3.4 强制访问控制 |
| 3.4.1 BLP模型 |
| 3.4.2 BLP模型的增强模型 |
| 3.4.3 科技项目管理中的强制访问需求 |
| 3.5 本章小结 |
| 第四章 RBAC-BLP模型 |
| 4.1 RBAC和BLP融合的需求 |
| 4.2 RBAC-BLP模型形式化表示 |
| 4.3 RBAC-BLP模型的实施 |
| 4.4 RBAC-BLP模型的相关实现 |
| 4.4.1 角色与数据访问 |
| 4.4.2 数据建模 |
| 4.5 基于RBAC-BLP的抽象模型框架 |
| 4.6 本章小结 |
| 第五章 舟山市科技项目管理中RBAC-BLP的应用 |
| 5.1 项目背景 |
| 5.2 系统多维访问控制的需求 |
| 5.3 模型元素数据库设计 |
| 5.4 RBAC-BLP融合模型访问控制实现 |
| 5.4.1 用户登录 |
| 5.4.2 角色管理 |
| 5.4.3 权限管理 |
| 5.4.4 强制访问 |
| 5.5 本章小结 |
| 第六章 结论与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间发表的学术成果 |
(3)钻完井数据综合集成系统中访问控制模型的设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 访问控制研究现状 |
| 1.3 研究内容 |
| 1.4 论文结构 |
| 1.5 本章总结 |
| 第二章 相关技术介绍 |
| 2.1 活动目录域(AD域) |
| 2.1.1 活动目录的概念 |
| 2.1.2 活动目录的逻辑结构 |
| 2.1.3 活动目录的物理结构 |
| 2.1.4 AD域的优势 |
| 2.2 Spring Cloud微服务 |
| 2.2.1 微服务的概念 |
| 2.2.2 Spring Cloud |
| 2.3 本章总结 |
| 第三章 RGDU模型设计 |
| 3.1 访问控制模型对比 |
| 3.2 建模分析 |
| 3.3 设计原则 |
| 3.4 模型设计 |
| 3.5 本章小结 |
| 第四章 系统中访问控制需求分析 |
| 4.1 系统概述 |
| 4.2 访问控制需求分析 |
| 4.2.1 AD域身份认证需求 |
| 4.2.2 访问控制模块需求 |
| 4.3 本章总结 |
| 第五章 系统中访问控制的设计 |
| 5.1 设计目标 |
| 5.2 总体设计 |
| 5.3 AD域身份认证设计 |
| 5.3.1 活动目录设计 |
| 5.3.2 身份认证设计 |
| 5.4 RGDU在系统中的设计 |
| 5.5 访问控制模块设计 |
| 5.5.1 角色管理 |
| 5.5.2 组织机构管理 |
| 5.5.3 用户管理 |
| 5.5.4 资源管理 |
| 5.6 数据库设计 |
| 5.7 本章总结 |
| 第六章 系统中访问控制的实现 |
| 6.1 微服务架构 |
| 6.2 AD域身份认证的实现 |
| 6.2.1 AD搭建流程 |
| 6.2.2 AD认证过程 |
| 6.3 RGDU模型的实现 |
| 6.4 系统运行示例 |
| 6.5 本章总结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 致谢 |
| 参考文献 |
| 攻读学位期间参加科研情况及获得的学术成果 |
(4)基于超融合架构的云平台访问控制系统的设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 背景 |
| 1.2 研究现状 |
| 1.2.1 云平台访问控制模型相关研究 |
| 1.2.2 基于本体的访问控制相关研究 |
| 1.2.3 访问控制策略优化相关研究 |
| 1.3 主要工作 |
| 1.4 论文的组织结构 |
| 第二章 相关技术 |
| 2.1 超融合基础架构 |
| 2.2 访问控制技术 |
| 2.2.1 自主访问控制模型 |
| 2.2.2 强制访问控制模型 |
| 2.2.3 基于角色的访问控制模型 |
| 2.2.4 基于受控对象的访问控制模型 |
| 2.2.5 基于任务的访问控制模型 |
| 2.2.6 基于层次的访问控制模型 |
| 2.2.7 使用访问控制模型 |
| 2.2.8 基于属性的访问控制模型 |
| 2.3 本体相关技术 |
| 2.3.1 本体概念 |
| 2.3.2 本体构建方法 |
| 2.3.3 本体构建准则 |
| 2.3.4 本体的描述语言 |
| 2.3.5 规则描述语言SWRL |
| 2.4 本章小结 |
| 第三章 MIDE-BAC访问控制模型研究 |
| 3.1 模型框架 |
| 3.2 形式化定义 |
| 3.2.1 元素 |
| 3.2.2 关系 |
| 3.3 模型处理流程 |
| 3.4 模型继承层次 |
| 3.4.1 角色继承ROI |
| 3.4.2 资源继承REI |
| 3.4.3 操作继承ACTI |
| 3.5 模型分析 |
| 3.5.1 模型特性分析 |
| 3.5.2 安全原则 |
| 3.6 本章小结 |
| 第四章 基于本体的访问控制机制 |
| 4.1 基于本体的访问控制机制介绍 |
| 4.2 访问控制模型的知识库建立 |
| 4.2.1 本体建模 |
| 4.2.2 知识抽取与知识存储 |
| 4.3 策略规则优化 |
| 4.3.1 基于层级继承的优化对分析 |
| 4.3.2 基于属性原子的相似度度量 |
| 4.3.3 冲突检测与消解 |
| 4.3.4 冗余检测与消解 |
| 4.4 基于规则的动态授权推理 |
| 4.4.1 自定义SWRL规则 |
| 4.4.2 基于规则的动态授权推理 |
| 4.5 本章总结 |
| 第五章 超融合云平台访问控制系统的设计与实现 |
| 5.1 系统整体架构设计 |
| 5.2 系统基础架构 |
| 5.3 访问控制系统模块设计 |
| 5.3.1 用户管理模块 |
| 5.3.2 角色管理模块 |
| 5.3.3 属性处理模块 |
| 5.3.4 菜单管理模块 |
| 5.3.5 策略管理模块 |
| 5.3.6 策略决策模块 |
| 5.3.7 策略优化模块 |
| 5.4 系统核心模块实现 |
| 5.4.1 策略映射模块 |
| 5.4.2 策略决策模块 |
| 5.4.3 策略优化模块 |
| 5.5 本章总结 |
| 第六章 超融合云平台访问控制系统测试与分析 |
| 6.1 系统测试准备 |
| 6.2 系统核心模块功能测试 |
| 6.2.1 用户管理模块 |
| 6.2.2 角色管理模块 |
| 6.2.3 属性优先级设置 |
| 6.2.4 菜单管理模块 |
| 6.2.5 策略决策模块 |
| 6.2.6 策略管理模块 |
| 6.3 性能测试 |
| 6.3.1 模型授权确定性测试 |
| 6.3.2 模型管理性测试 |
| 6.3.3 模型扩展性测试 |
| 6.3.4 优化类型检测有效性测试 |
| 6.3.5 冗余元素检测有效性测试 |
| 6.3.6 冲突元素检测有效性测试 |
| 6.3.7 优化提升测试 |
| 6.4 模型特性对比分析 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 未来展望 |
| 参考文献 |
| 致谢 |
(5)高安全等级信息系统的风险评估研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 引言 |
| 1.1 论文背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 风险评估标准及方法研究现状 |
| 1.2.2 虚拟化系统风险评估研究现状 |
| 1.2.3 工业控制系统风险评估研究现状 |
| 1.3 研究内容及方法 |
| 1.3.1 研究内容及技术路线 |
| 1.3.2 研究方法 |
| 1.4 研究框架 |
| 2 基础理论及方法 |
| 2.1 相关概念 |
| 2.1.1 高安全等级信息系统 |
| 2.1.2 虚拟化技术 |
| 2.1.3 工业控制系统 |
| 2.2 方法理论概述 |
| 2.2.1 层次分析法 |
| 2.2.2 模糊综合评判法 |
| 2.2.3 博弈理论 |
| 2.3 本章小结 |
| 3 传统高安全等级信息系统风险评估的挑战 |
| 3.1 传统的高安全等级信息系统风险评估 |
| 3.1.1 风险评估基本原理 |
| 3.1.2 存在的不足之处 |
| 3.2 虚拟化技术带来的变化 |
| 3.2.1 虚拟化技术对传统信息系统的影响 |
| 3.2.2 虚拟化技术带来的安全风险 |
| 3.2.3 虚拟化技术对风险评估的影响 |
| 3.3 互联互通带来的变化 |
| 3.3.1 互联互通对网络结构的影响 |
| 3.3.2 互联互通带来的安全风险 |
| 3.3.3 互联互通对风险评估的影响 |
| 3.4 研究问题及解决办法 |
| 3.5 本章小结 |
| 4 基于博弈论的高安全等级信息系统风险评估模型构建 |
| 4.1 高安全等级信息系统风险评估的界定及特点 |
| 4.1.1 高安全等级信息系统风险评估的界定 |
| 4.1.2 高安全等级信息系统风险评估的特点 |
| 4.1.3 高安全等级信息系统风险评估的防护要求 |
| 4.2 高安全等级信息系统风险评估指标选取 |
| 4.2.1 风险评估指标的选取及优化原则 |
| 4.2.2 风险评估指标的选取步骤 |
| 4.2.3 风险评估指标的合理性分析 |
| 4.3 基于博弈论的风险评估模型构建 |
| 4.3.1 风险评估流程 |
| 4.3.2 风险评估模型构建 |
| 4.3.3 风险评估模型分析 |
| 4.3.4 信息系统风险计算 |
| 4.3.5 风险评估模型对比 |
| 4.3.6 实验与分析 |
| 4.4 高安全等级信息系统评估结果判定 |
| 4.4.1 检测结果判定 |
| 4.4.2 专家评估意见 |
| 4.4.3 评估结论判定 |
| 4.5 本章小结 |
| 5 基于虚拟化技术的高安全等级信息系统风险评估模型构建 |
| 5.1 虚拟化系统风险评估相关工作 |
| 5.2 虚拟化系统脆弱性分析 |
| 5.2.1 虚拟机及内部系统 |
| 5.2.2 虚拟机监控器 |
| 5.2.3 虚拟网络 |
| 5.2.4 虚拟化资源管理系统 |
| 5.3 虚拟化系统威胁分析 |
| 5.4 虚拟化系统的风险评估过程 |
| 5.4.1 确定风险评估指标 |
| 5.4.2 构建专家二维矩阵 |
| 5.4.3 风险等级的确定 |
| 5.4.4 风险量化模型 |
| 5.5 虚拟化系统评估结果判定 |
| 5.6 本章小结 |
| 6 面向互联互通的高安全等级信息系统风险评估 |
| 6.1 互联互通系统架构及防护要求 |
| 6.1.1 互联互通系统架构 |
| 6.1.2 互联互通防护要求 |
| 6.2 互联互通的安全分析 |
| 6.2.1 互联互通的风险点 |
| 6.2.2 互联互通的应用场景 |
| 6.3 不同应用场景的互联互通风险评估 |
| 6.3.1 多个高安全等级信息系统互联互通 |
| 6.3.2 高安全等级信息系统与虚拟化系统互联互通 |
| 6.3.3 高安全等级信息系统与工业控制系统互联互通 |
| 6.3.4 风险评估策略及结果判定 |
| 6.4 本章小结 |
| 7 高安全等级信息系统安全保密风险评估系统的设计 |
| 7.1 信息系统评估内容的关联分析 |
| 7.1.1 模型构建 |
| 7.1.2 关联分析方法 |
| 7.1.3 关联分析结果 |
| 7.1.4 结论 |
| 7.2 评估团队能力评估 |
| 7.2.1 已有相关研究工作 |
| 7.2.2 模型构建 |
| 7.2.3 能力分析 |
| 7.2.4 结论 |
| 7.3 信息系统安全隐患的关联分析 |
| 7.3.1 关键评估项分析与感知 |
| 7.3.2 常见安全隐患的分析与感知 |
| 7.3.3 结论 |
| 7.4 高安全等级信息系统的风险控制建议 |
| 7.4.1 风险控制策略 |
| 7.4.2 风险控制应用实例 |
| 7.5 本章小结 |
| 8 总结与展望 |
| 8.1 研究总结 |
| 8.1.1 风险评估模型总结分析 |
| 8.1.2 研究结论 |
| 8.1.3 论文的主要创新点 |
| 8.2 研究展望 |
| 参考文献 |
| 附录 A 全国高安全等级信息系统安全保障评价指标体系 |
| 附录 B 全国高安全等级信息系统安全保障评价指标权重调查问卷 |
| 附录 C 高安全等级信息系统保密管理情况检查表 |
| 附录 D 评分对照表 |
| 索引 |
| 作者简历 |
| 学位论文数据集 |
(6)一种具有时间与空间约束的动态访问控制研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 选题背景及意义 |
| 1.1.1 选题背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.3 本文研究内容 |
| 1.4 论文组织结构 |
| 2 访问控制相关研究 |
| 2.1 访问控制模型简介 |
| 2.1.1 访问控制列表(ACL) |
| 2.1.2 强制访问控制模型(MAC) |
| 2.1.3 自主访问控制模型(DAC) |
| 2.1.4 基于角色的访问控制模型(RBAC) |
| 2.1.5 使用控制模型(UCON) |
| 2.1.6 基于任务和角色的访问控制模型(T-RBAC) |
| 2.1.7 基于组织的四层访问控制模型(OB4LAC) |
| 2.1.8 基于时间和环境约束的四层访问控制模型(TEB4LAC) |
| 2.1.9 基于情景感知的访问控制模型 |
| 2.1.10 基于可信计算的访问控制模型 |
| 2.2 访问控制策略简介 |
| 2.2.1 自主访问控制策略(DAC) |
| 2.2.2 强制访问控制策略(MAC) |
| 2.2.3 基于角色的访问控制策略(RBAC) |
| 2.2.4 基于属性的访问控制策略(ABAC) |
| 3 引入时间约束的动态访问控制 |
| 3.1 传统静态访问控制模型的策略要素与应用过程 |
| 3.2 引入时间属性的访问控制策略应用过程 |
| 3.3 对动态性的进一步改进 |
| 3.4 实验场景及分析 |
| 3.4.1 场景基本信息及特征描述 |
| 3.4.2 改进策略的具体应用过程 |
| 3.4.3 改进策略与TEB4LAC策略的对比与结论 |
| 3.5 小结 |
| 4 引入空间约束的动态访问控制 |
| 4.1 空间属性与时间属性的差异 |
| 4.1.1 时间与空间的维度差异 |
| 4.1.2 时间与空间的运动差异 |
| 4.2 引入空间属性的访问控制策略应用过程 |
| 4.3 基于Wi-Fi的空间定位 |
| 4.4 实验场景及分析 |
| 4.4.1 场景基本信息及特征描述 |
| 4.4.2 改进策略的具体应用过程 |
| 4.4.3 改进策略与其它策略的对比与结论 |
| 4.5 小结 |
| 5 总结与展望 |
| 5.1 总结 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间发表的论文及科研成果 |
(7)针对数据平台的细粒度访问控制方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 研究现状 |
| 1.3 本文研究内容 |
| 1.4 本文结构安排 |
| 2 相关理论与知识基础 |
| 2.1 访问控制技术 |
| 2.1.1 自主访问控制 |
| 2.1.2 强制访问控制 |
| 2.1.3 基于角色的访问控制 |
| 2.1.4 基于属性的访问控制 |
| 2.1.5 基于标签的访问控制 |
| 2.2 数据平台与细粒度概念介绍 |
| 2.3 数据关联分析 |
| 2.4 本章小结 |
| 3 基于RBAC和LBAC的可配置策略的混合访问控制模型 |
| 3.1 模型的基本组成 |
| 3.1.1 模型基本概念定义 |
| 3.1.2 模型概念关系定义 |
| 3.2 模型的架构定义 |
| 3.3 模型的授权与鉴权 |
| 3.3.1 授权说明 |
| 3.3.2 鉴权流程 |
| 3.4 模型的兼容性 |
| 3.5 行级安全特征元素存储优化 |
| 3.5.1 建立安全特征元素的区间决策树 |
| 3.5.2 区间决策树的鉴权规则 |
| 3.6 本章小结 |
| 4 基于FP-Growth生成权限配置的方法 |
| 4.1 从经验转化安全特征 |
| 4.2 从数据提取安全特征 |
| 4.2.1 方法简述 |
| 4.2.2 数据处理 |
| 4.2.3 权限配置获取 |
| 4.2.4 实例验证 |
| 4.3 本章小结 |
| 5 模型的测试与分析 |
| 5.1 支持样例简述 |
| 5.2 性能测试 |
| 5.3 模型管理 |
| 5.4 本章小结 |
| 6 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
| 攻读学位期间主要研究成果 |
(8)基于PaaS平台多租户隔离与数据安全研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 课题背景 |
| 1.2 国内外研究现状及存在的问题 |
| 1.2.1 多租户隔离的研究现状 |
| 1.2.2 多租户索引机制研究现状 |
| 1.2.3 多租户访问控制模型及跨域访问的研究现状 |
| 1.3 主要研究工作 |
| 1.4 论文的组织结构 |
| 第二章 相关研究与技术 |
| 2.1 多租户相关技术 |
| 2.1.1 多租户隔离技术 |
| 2.1.2 基于元数据多租户可定制技术 |
| 2.2 云计算访问控制技术与研究 |
| 2.2.1 基于任务模型的云计算访问控制 |
| 2.2.2 基于属性模型的云计算访问控制 |
| 2.2.3 基于UCON模型的云计算访问控制 |
| 2.3 OPENSTACK重要组件 |
| 2.4 小结 |
| 第三章 PAAS平台多租户隔离的索引机制 |
| 3.1 PAAS中的多租户索引机制 |
| 3.1.1 索引模型定义 |
| 3.1.2 索引条目在标识空间映射 |
| 3.1.3 索引算法 |
| 3.2 理论分析 |
| 3.3 算法分析 |
| 3.3.1 时间性能提升分析 |
| 3.3.2 存储空间提升分析 |
| 3.4 多租户索引实例 |
| 3.5 小结 |
| 第四章 PAAS平台多租户访问控制模型 |
| 4.1 PAAS平台多租户访问控制需求分析 |
| 4.2 多租户访问控制模型的构建 |
| 4.2.1 FMT-ARBAC模型术语 |
| 4.2.2 FMT-ARBAC模型中的信任关系 |
| 4.2.3 FMT- ARBAC形式化描述 |
| 4.3 基于信任值的跨租户域访问控制 |
| 4.3.1 双向信任值计算体系构建 |
| 4.3.2 基于信任值等级划分 |
| 4.3.3 基于信任等级权限动态调整 |
| 4.3.4 基于权限等级树的域间映射 |
| 4.4 多租户访问控制流程及算法 |
| 4.4.1 跨域访问授权机制 |
| 4.4.2 访问控制执行过程与算法 |
| 4.5 小结 |
| 第五章 信息安全综合服务PAAS平台整体设计与实现 |
| 5.1 系统架构 |
| 5.1.1 PaaS平台逻辑架构 |
| 5.1.2 PaaS底层基础架构 |
| 5.1.3 PaaS核心模块分析 |
| 5.2 PAAS平台多租户隔离实现 |
| 5.2.1 多租户网络隔离实现 |
| 5.2.2 多租户存储隔离实现 |
| 5.2.3 多租户路由隔离实现 |
| 5.3 基于API网关多租户访问控制的实现 |
| 5.3.1 API网关服务访问过程 |
| 5.3.2 访问控制模块实现 |
| 5.4 小结 |
| 第六章 系统测试与结果分析 |
| 6.1 测试环境 |
| 6.2 功能性测试结果及结果分析 |
| 6.2.1 PaaS基本功能 |
| 6.2.2 PaaS多租户跨域访问 |
| 6.2.3 验证信任值对跨域访问的影响 |
| 6.3 改进的索引模型性能测试结果及分析 |
| 6.3.1 索引机制查询时间对比 |
| 6.3.2 验证改进索引模型的扩展性 |
| 6.3.3 维护改进索引模型的时间和空间成本 |
| 6.4 FMT-ARBAC模型性能测试结果及分析 |
| 6.4.1 性能提升分析 |
| 6.4.2 时间性能分析 |
| 6.4.3 FMT-ARBAC模型扩展性测试 |
| 6.5 小结 |
| 第七章 总结与展望 |
| 7.1 论文工作总结 |
| 7.2 问题和展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
(9)基于风险访问控制的医疗大数据安全与隐私保护模型研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 第一节 研究背景 |
| 一、医疗大数据是医疗行业最核心的资产 |
| 二、医疗大数据的隐私安全面临巨大挑战 |
| 三、选题来源 |
| 第二节 研究目标及研究意义 |
| 一、研究目标 |
| 二、研究意义 |
| 第三节 国内外研究现状 |
| 一、医疗大数据安全与隐私保护技术研究现状 |
| 二、基于风险的访问控制研究现状 |
| 三、国内外研究现状总结分析 |
| 第四节 论文的创新点及技术路线 |
| 一、论文的创新点 |
| 二、技术路线 |
| 第五节 研究内容与论文组织结构 |
| 一、研究内容 |
| 二、论文的组织结构 |
| 第六节 本章小结 |
| 第二章 访问控制及经典模型概述 |
| 第一节 访问控制的概念及要素 |
| 一、访问控制的概念 |
| 二、访问控制的要素 |
| 第二节 传统的访问控制模型 |
| 一、自主访问控制模型 |
| 二、强制访问控制模型 |
| 三、基于角色的访问控制模型 |
| 四、基于属性的访问控制模型 |
| 五、传统的访问控制模型在大数据环境下的局限性 |
| 第三节 基于数据的访问控制模型 |
| 一、基于角色挖掘的访问控制模型 |
| 二、基于风险自适应的访问控制模型 |
| 第四节 本章小结 |
| 第三章 基于风险访问控制的医疗大数据安全与隐私保护模型 |
| 第一节 模型的概述 |
| 一、模型的基本思想 |
| 二、模型的基本定义 |
| 第二节 风险指标的量化 |
| 一、用户访问行为的量化 |
| 二、用户信任值的量化 |
| 第三节 常用的风险量化方法概述 |
| 一、静态方式的风险量化方法 |
| 二、动态方式的风险量化方法 |
| 三、常用的风险量化方法中存在的优缺点 |
| 第四节 基于自适应神经模糊理论的风险量化模型 |
| 一、相关理论和原则 |
| 二、基于自适应神经模糊理论的医疗大数据风险量化 |
| 第五节 风险访问控制的实施方案及框架 |
| 一、访问控制实施方案 |
| 二、访问控制实施框架 |
| 第六节 本章小结 |
| 第四章 模拟实验及结果分析 |
| 第一节 实验环境 |
| 第二节 实验数据 |
| 第三节 实验过程 |
| 一、数据的加载 |
| 二、生成初始的FIS |
| 三、训练FIS并生成最终的FIS |
| 四、训练后各参数的值 |
| 第四节 性能测试及分析 |
| 一、模型性能评价指标 |
| 二、测试结果分析 |
| 第五节 本章小结 |
| 第五章 总结与展望 |
| 第一节 本文总结 |
| 第二节 未来展望 |
| 参考文献 |
| 致谢 |
| 在读期间的研究成果 |
(10)大数据环境下基于属性的访问控制关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究内容 |
| 1.3 章节安排 |
| 第二章 基于属性的访问控制关键技术研究综述 |
| 2.1 属性预处理研究现状 |
| 2.1.1 属性约简研究现状 |
| 2.1.2 属性优化研究现状 |
| 2.2 策略工程研究现状 |
| 2.3 策略演化研究现状 |
| 2.4 存在的问题及解决思路 |
| 2.5 本章小结 |
| 第三章 基于ABAC的大数据访问控制框架 |
| 3.1 大数据环境下应用ABAC的挑战 |
| 3.2 基于ABAC的大数据访问控制框架授权要素 |
| 3.2.1 框架基本元素 |
| 3.2.2 框架授权规则 |
| 3.3 基于ABAC的大数据访问控制框架实施结构 |
| 3.3.1 框架组成 |
| 3.3.2 工作过程 |
| 3.4 框架分析 |
| 3.5 本章小结 |
| 第四章 基于权限聚类的实体属性值优化 |
| 4.1 概述 |
| 4.2 基本概念 |
| 4.2.1 属性 |
| 4.2.2 DBSCAN聚类算法 |
| 4.2.3 粗糙集理论 |
| 4.2.4 属性值优化问题描述 |
| 4.3 基于权限聚类的属性值优化 |
| 4.3.1 构造主体的权限集合表示 |
| 4.3.2 主体聚类 |
| 4.3.3 属性值优化 |
| 4.4 算法实现 |
| 4.4.1 主体按权限聚类 |
| 4.4.2 合并同分布属性值 |
| 4.4.3 低频属性优化 |
| 4.4.4 算法时间复杂度分析 |
| 4.5 实验验证 |
| 4.5.1 实验环境与数据集 |
| 4.5.2 实验结果 |
| 4.6 本章小结 |
| 第五章 基于日志的富语义ABAC策略挖掘 |
| 5.1 概述 |
| 5.2 基本概念 |
| 5.2.1 ABAC策略语言 |
| 5.2.2 基于日志的ABAC策略挖掘问题 |
| 5.3 基于日志的富语义ABAC策略挖掘算法 |
| 5.3.1 规则准确度质量度量标准 |
| 5.3.2 规则语义质量度量标准 |
| 5.4 LRSAPM算法实现 |
| 5.4.1 候选规则挖掘 |
| 5.4.2 候选规则筛选 |
| 5.4.3 候选规则化简 |
| 5.5 实验验证 |
| 5.5.1 实验环境与数据集 |
| 5.5.2 实验方法与结果 |
| 5.5.3 策略语义质量分析 |
| 5.6 本章小结 |
| 第六章 基于增量学习的ABAC策略演化 |
| 6.1 概述 |
| 6.2 基本概念 |
| 6.2.1 基本约束和额外约束 |
| 6.2.2 行为类 |
| 6.2.3 增强自组织增量神经网络 |
| 6.3 基于增量学习的策略演化算法 |
| 6.3.1 学习行为类 |
| 6.3.2 规则细化 |
| 6.4 算法实现 |
| 6.4.1 行为类学习 |
| 6.4.2 规则细化 |
| 6.5 实验验证 |
| 6.5.1 实验设置 |
| 6.5.2 实验结果 |
| 6.6 本章小结 |
| 第七章 总结与展望 |
| 7.1 本文总结 |
| 7.2 有待进一步研究的问题 |
| 致谢 |
| 参考文献 |
| 作者简历 |
四、基于划分和规则访问控制授权模型的研究(论文参考文献)
- [1]面向物联网的软件定义网络控制技术研究[D]. 任玮. 北京邮电大学, 2021(01)
- [2]科技项目管理的RBAC-BLP模型设计与应用[D]. 徐丽丽. 浙江海洋大学, 2021(02)
- [3]钻完井数据综合集成系统中访问控制模型的设计与实现[D]. 潘依琳. 西安石油大学, 2021(09)
- [4]基于超融合架构的云平台访问控制系统的设计与实现[D]. 孙月月. 北京邮电大学, 2021(01)
- [5]高安全等级信息系统的风险评估研究[D]. 孔斌. 北京交通大学, 2021(06)
- [6]一种具有时间与空间约束的动态访问控制研究[D]. 崔萌. 河南大学, 2020(02)
- [7]针对数据平台的细粒度访问控制方法研究[D]. 何萍. 西安理工大学, 2020(01)
- [8]基于PaaS平台多租户隔离与数据安全研究与实现[D]. 胥双双. 北京邮电大学, 2020(05)
- [9]基于风险访问控制的医疗大数据安全与隐私保护模型研究[D]. 施明月. 云南财经大学, 2020(07)
- [10]大数据环境下基于属性的访问控制关键技术研究[D]. 毋文超. 战略支援部队信息工程大学, 2020(03)