轻量级访问控制总结

轻量级访问控制总结

1、基于隐私标签

《Privacy Token: A Mechanism for User’s Privacy Specification in Identity Management Systems for the Cloud》 ICN 2017:The Sixteenth International Conference on Networks (includes SOFTNETWORKING 2017)

• 包括对数据可能的二次使用进行三维分类、四个预定义的隐私配置文件和一个可自定义的隐私配置文件，以及一个用于传输隐私偏好的安全令牌；
• 将一个隐私令牌合并到OpenId Connect协议中，该令牌允许用户拥有一个带有其隐私偏好的配置文件，该配置文件始终与数据一起发送到服务提供者SP。这些配置文件基于个人身份信息PII可能用途的三维表示。

2、基于属性的原子访问控制规则

《基于属性轻量级可重构的访问控制策略》，通信学报.2020

• 根据访问控制策略中的访问控制规则包含的操作类型、主体属性、客体属性、环境属性等将访问控制策略划分为多个不相交最小原子规则；
• <effect, <att,value>, op>四元组。
• 通过与（ AND,∧）、或（OR, ∨）布尔操作组成的布尔函数，对原子规则进行复合得到语义丰富的复杂访问控制策略；
• 根据原子规则中包含的属性是否相同，属性值是否相同或者是否存在交集，访问控制效果相同还是相反，判断原子规则是否存在冗余与冲突。

3、基于标签的访问控制模型

《在线社交网络中基于标签的访问控制研究》，计算机技术与自动化.2018

• 用户一般会根据好犹豫自己之间不同的关系将好友分为不同的分组；
• 根据亲密度给每一个好友分配一个访问水平，与用户发布信息的隐私水平和作用在信息上的行为的隐私水平相对应。
  

4、基于服务域的策略组织

《访问控制策略描述和应用》，计算机工程与应用

• 引入服务域的概念，把不同的网络服务划入各自独立的服务域中，与该服务相关的主客体等都在服务域内，服务域是进行服务器管理及策略描述的一个基本单位。
• 服务域是某一个服务运行所涉及到的所有主、客体的集合，记为D，包括所要访问的文件、设备、网络，以及用于管理这一服务的用户、角色、类型等。
• 定义：Service Domain {Name= “…”；USER={…}；OBJECT={…}；…}。其中Name为该服务域的名称；USER为服务域中所包含的所有用户；OBJECT为服务域中所包含的所有客体。

5、信任度属性

《基于信任度属性的访问控制策略合成》，计算机应用研究，2016

• 引入由上下文环境及时间衰减性动态判决的信任度属性，增加信任度投票算子，并将属性授权项扩展为由主体属性、客体属性、环境属性、信任度属性和操作属性构成的五元组，提出了基于信任度属性的策略合成代数系统。
• 直接信任度是指访问控制策略的请求者xi与客体资源xj直接交互第k次后，客体资源xj对请求者xi的行为评价得到的信任度；推荐信任度是指通过与实体xi和实体xj交互过程的一些中间实体间接计算得到的信任度；
• 适用于物联网这种分布式的环境下，解决多个安全域之间访问控制策略的合成。

6、基于任务权限集的轻量级安全策略模型

《针对RTOS的轻量级强制访问控制技术的研究与实现》，计算机科学.2018

• 以DTE模型为基础，提出一种任务权限集模型，以实现一个针对RTOS（实时操作系统）的轻量级安全策略；
• DTE模型是一种基于类型的强制访问控制模型，主体和客体都有各自的类型，在系统运行时通过主体和客体的类型来实施强制访问控制；
• 允许一个任务可以关联到多个权限集
  

7、DRBAC

《一种普适计算下的访问控制》，计算机技术与发展.2010

• 根据收集到的环境上下文信息，动态改变主体所激活以及角色所激活的权限，提出了基于环境上下文信息的DRBAC模型。
• 在RBAC基础上添加了上下文监测机制。
• 当某用户进入特定空间时，在中央权威机构CA根据用户特性为其分配角色子集，并为用户设定上下文监测代理。通过角色状态机来改变当前活跃角色。每个资源也拥有一个上下文监测代理，用于监控环境状态，并动态地通过权限状态机改变每个role的权限。
  

8、XACML改进

《基于属性的访问控制策略模型》，计算机工程.2010