大数据平台上基于属性的角色访问控制模型
基于本体的面向服务的属性访问控制模型
随着 Itnt ne e 的广 泛使 用 以及 面 向服务 的架 构 ( O 的 出现 , r S A) 电子 政 务 、 电子 商务 和企 业 门户 等应 用 日
益 增加 , 一些商 务信 息服务 只能 允许 经过授 权 的用 户访中的非授 权 的访 问 。在 S A架构 下 的大 的开放 分 布 式 系统 中 , 在 用 户非 常 多 , 且存 在 许 多 不 可 预 知 的用 户 , O 潜 而 因 此 , 于角色 的访 问控制 模型 ( B C 具有 一定 的缺 陷 , 基 RA ) 不能 够灵 活处理 S A架构 下 的开放分 布式 系统 的要 O
刘君 , 宝香 曹
( 曲阜师范大学计算 机科学学 院, 山东 日照 2 62 ) 7 8 6
摘 要 : 了 简 化 面 向服 务 的架 构 下 的访 问控 制 策 略 管 理 , 文 采 用 基 于 属 性 的访 问 控 制 ( B C 与 本 体 技 术 为 本 AA )
相结合 的方法 , X C L标 准架 构进行 了扩 展 , 出 了一种新 的访 问控 制模型——基 于本体 的面向服务 的 对 A M 提 属性访 问控制模型 ( B A A ) O — B C 。该模 型基于本体 的属性管理 , 简化 了对 于面 向服务 的架 构下 的异 构属性 的
授权策略 。
关键词 : 本体 ; 向服务 ; 面 属性访 问控制 ; 属性管理
中 图分 类 号 : Y1 331 3 文 献标 识 码 : A
An O n oo y・ s d S r ie- re e t l g - e e v c - intd Ba O Atrbu e Ba e c s nto o l t i t . s d Ac e s Co r lM de
基于属性的RFID中间件访问控制模型研究
第 3期
苏 凡等 : 基于属性 的 R I 中间件访 问控制模型研究 FD
11 3
制定 的 , 它描述 了 主体访 问 资源时 必须 满足 的条 件.
XACM I e e sbe Ac e s Co to a k p ( Xt n il c s n r lM r u
无关 , 描述事 务处 理 时的上 下文 , 括时 间 、 是 包 日期 、
发射干扰信道来阻塞通信链路等安全隐患[. 3 ]
针对 这些 安 全 问 题 , P go a 组 织 在 其 最 新 E C lb l 发布 的应 用 层 事 件 ( ) 准 中特 别 给 出 了 用 于 AI 标 E 控制 用户 对数 据 、 资源 以及其 他 A I 问权 限 [ 的 P 访 4 ]
R I F D中间件 访问控 制的管理规模 并提 高其灵 活性.
关 键 词 : FD 中 间件 ; 问控 制 ; 性 ; AC R I 访 属 X MI
中图分 类号 : P 1 T 31
文献标志码 : A
角色进 行访 问控 制 的缺 陷 , RFD 中 间 件 提供 细 为 I
0 引 言
2 1 基于属 性 的 RF D 中间件 访 问控 制模 型 . I
述可 以相 当灵活, 对于一条属性约束 , 将其放于何处
可 以有 多种选 择 , 是 , 对 策略 的查 找 和评估 是有 但 这 影 响 的[ .
2 3 结合 X MI 的 AB . AC AC决 策算 法
登 \
m n)主体是对资源采取操作 的实体 , et. 主体属性通 常包 括身 份 、 色 、 龄 、 位等 ; 源是 被 主体操 作 角 年 职 资
基于访问控制模型实现银行网络安全目标
Am mc : t r n r n w tig i h e r fb k dtee v o met f ebn ew r e migmo d l tWi moeadmo e n st j ntent ko a sa n i n n aknt okbc n r a h e h oo wo n n h r o t h o en
乐需 要 通 过 正 确 的授 权 方 法 , 立 起 安 全 的访 问 控 制 建 机制, 以迪 应 不 同 的银 行 网络 应 用 场 合 。 安 全 的 访 问 控 制 机 制 的 核 心 在 于 安 全 的 授 权 策 略 。在 某 种 指 定 的 网络 中 , 定 一 套 安 全 的 、 一 的授 制 统
・
的核心在于如何 准确地 区分 主 、 客体所属的安全级别 , 因而在现实 中无法合理地 实现 , 故其 缺点 在于对 同一 级别 的主 、 客体问缺乏有效地控制机制 。 所 以, 这种访问控制模 型适用 于信息 种类和 用户 级别 明确 的环境 , 如军事领域 等。
2 2 2 自主 访 问 控 制 . .
mo v re, e i o tn e o ewo k s c rt fba k si c a i g p o n n a y d y. o u n fv : d l f a c s o t l e r di es t mp r c fn t r e u y o n s i n r sn r mi e td y b a F c s o e mo es o c e sc nr , h a i e i o
1 访 问控 制的概念
访问控制是保证信 息安 全的一 种技术 , 是一种对
信息系统资源进行保 护的重 要措施 , 同样也 是一种 针
基于细粒度访问控制的大数据安全防护方法
基于细粒度访问控制的大数据安全防护方法王继业; 范永; 余文豪; 韩丽芳【期刊名称】《《计算机技术与发展》》【年(卷),期】2019(029)010【总页数】7页(P134-140)【关键词】大数据; 信息安全; 访问控制; 属性; 细粒度【作者】王继业; 范永; 余文豪; 韩丽芳【作者单位】中国电力科学研究院有限公司北京 100192【正文语种】中文【中图分类】TP3090 引言随着信息技术和网络技术的快速变革,以及物联网、云计算、人工智能等新兴技术的发展与应用,大体量、丰富结构、复杂类型、智能分析的大数据服务时代已经来临[1-4]。
但是大数据服务时代在数据安全上也存在很大的隐患和挑战[5]。
大数据安全问题主要体现在3个方面:第一是信息泄密[6]。
开放的互联网使海量的大数据处于裸奔状态,国内网络设备主要依赖国外技术,很容易因为“漏洞”、“后门”造成信息泄露。
第二是数据非授权访问[7]。
主要是复杂关系的多用户存储在云盘、大数据平台等共享平台的数据所有权归属及访问问题。
第三是网络攻击[8]。
大数据服务时代的大规模数据存储,只提供单一的访问服务接口,易遭受黑客的大规模网络攻击,进而影响大规模用户的正常数据使用。
大数据服务采用分布式方法存储数据,并基于大数据平台将海量的数据资源链接起来,构建大规模的数据开放共享平台。
所有位于大数据环境中的数据所有者,将数据存放于大数据平台进行统一管理,进而构成一个巨大的数据服务中心。
大数据中心不仅能够为数据所有者提供存储和访问服务,又能够支持各种复杂的数据运算。
在大数据服务环境下,传统架构模式下的单一数据中心消失,而是以分布式数据存储的形式存在。
数据资源的存储分配从单一的主机存储分配变为多主机、分布式的存储分配。
数据资源的访问也从单一用户单一主机访问变为多用户多数据域的数据访问,从而引出了大数据服务环境下的复杂用户多数据资源域的访问问题。
访问控制模型的构建是解决数据访问的重要方法。
访问控制技术
数据保护
02
03
资源管控
对云端存储的数据进行访问控制, 防止未经授权的访问和数据泄露。
根据用户角色和权限,对云计算 资源进行合理分配和控制,确保 资源的合规使用。
大数据隐私保护
数据匿名化处理
通过对大数据进行匿名化处理,隐藏敏感信息,降低数据泄露风 险。
数据去标识化
去除数据中的个人标识符,保护用户隐私,防止个人数据被非法 追踪和使用。
04
访问控制技术实现
基于密码的访问控制
总结词
通过用户名和密码验证身份,控制对资源的访问。
详细描述
基于密码的访问控制是最常见的访问控制技术之一。用户在登录系统或访问资源时,需要输入用户名和密码进行 身份验证。系统通过比对用户输入的用户名和密码与预先存储的信息,判断用户是否具有访问权限。
基于代理的访问控制
决策表模型
总结词
决策表模型是一种基于规则的访问控制模型,它将访问控制规则以决策表的形式进行表示和实现。
详细描述
决策表模型中,访问控制规则以决策表的形式进行组织和管理。决策表由条件和动作组成,条件表示 访问请求的特征,动作表示访问控制决策的结果。决策表模型具有简单直观的优点,易于理解和实现 ,但随着规则数量的增加,决策表可能会变得庞大和难以管理。
访问控制技术
目录
• 访问控制技术概述 • 访问控制策略 • 访问控制模型 • 访问控制技术实现 • 访问控制技术挑战与解决方案 • 访问控制技术应用场景
01
访问控制技术概述
定义与目标
定义
访问控制技术是一种用于限制对资源 访问的方法,通过验证用户身份、授 权和身份验证来确保只有合法的用户 能够访问受保护的资源。
应用场景
天翼云认证高级解决方案架构师核心知识点-概述说明以及解释
天翼云认证高级解决方案架构师核心知识点-概述说明以及解释1.引言1.1 概述概述部分的内容应该是对于天翼云认证高级解决方案架构师核心知识点的一个概括性介绍。
可以描述该知识点的背景和重要性,引起读者对于该主题的兴趣。
概述部分的内容可以如下所示:天翼云认证高级解决方案架构师核心知识点是指在设计和构建天翼云认证系统时所需要掌握的关键概念和技术要点。
作为一名合格的架构师,掌握这些知识点对于成功实施和管理天翼云认证系统至关重要。
天翼云认证是中国电信推出的一种云端身份认证服务,旨在提供安全、可靠的身份认证解决方案。
作为一项核心业务,天翼云认证的设计和实现需要考虑诸多因素,如用户身份验证、权限控制、数据安全等。
本篇文章将深入探讨天翼云认证高级解决方案架构师所需的核心知识点。
我们将从多个方面介绍相关概念和技术,包括但不限于认证协议、安全认证算法、用户管理、身份验证流程等。
通过掌握这些核心知识点,架构师能够更好地设计和实现天翼云认证系统,提供更加安全可靠的身份认证服务。
同时,本文还将展望未来发展方向,以帮助读者更好地把握行业趋势并做好系统升级和维护工作。
总之,本文旨在帮助读者全面了解和掌握天翼云认证高级解决方案架构师核心知识点,为实际工作提供指导和借鉴。
在接下来的章节中,我们将深入探讨各个要点,并对其进行详细解析和讨论。
1.2 文章结构文章结构部分的内容应该包括对整篇文章的组织和章节划分进行说明。
根据给定的目录,可以进行如下编写:2. 正文2.1 第一个要点2.2 第二个要点这篇长文主要包含了引言、正文和结论三个部分。
引言部分概述了本文的主题和目的,同时介绍了文章的结构。
接下来是正文部分,其中分为两个要点,分别讨论了天翼云认证高级解决方案架构师的核心知识点。
每个要点都将详细介绍相关的知识和理论,并给出相应的案例或实践经验,以帮助读者更好地理解和应用这些知识点。
最后,在结论部分,对整篇文章的要点进行总结,并对未来天翼云认证高级解决方案架构师领域的发展进行展望。
物联网中的数据隐私保护方法
物联网中的数据隐私保护方法随着物联网的迅速发展,人们的日常生活和工作方式发生了巨大的变化。
物联网连接了各种各样的设备和传感器,收集了大量的数据,这些数据对于提供个性化的服务和优化决策具有巨大的潜力。
然而,数据的收集和使用也带来了数据隐私的威胁。
保护物联网中的数据隐私变得至关重要。
本文将介绍一些常用的物联网中的数据隐私保护方法。
加密技术是物联网中常用的保护数据隐私的方法之一。
通过对数据进行加密,可以确保只有授权的用户才能够访问和解密数据。
加密可以应用在数据传输和存储中。
在数据传输过程中,可以使用传输层安全(TLS)协议对数据进行加密,防止数据在传输过程中被窃取或篡改。
在数据存储过程中,可以将数据加密后存储在云服务器或其他存储设备上,以保证数据的安全性。
数据分析和处理是物联网中常见的操作,但这也带来了数据隐私泄露的风险。
数据匿名化是一种常用的数据隐私保护方法。
通过对数据进行去标识化处理,可以消除数据与特定个体之间的关联,保护个体的隐私。
数据匿名化可以使用脱敏技术,如数据泛化和数据扰动。
数据泛化是将数据中的特定属性进行模糊化处理,例如将具体的年龄信息替换为年龄段。
数据扰动是通过添加噪音或修改数据值的方式对数据进行处理,从而保护数据的隐私。
另一个重要的数据隐私保护方法是访问控制。
通过访问控制机制,可以限制数据的访问范围和操作权限,确保只有授权的用户才能够访问和处理数据。
访问控制可以使用角色基础访问控制(RBAC)模型或基于属性的访问控制(ABAC)模型。
RBAC模型通过将用户划分为不同的角色,将角色与特定的权限和数据访问权限绑定,实现对数据的访问控制。
ABAC模型基于用户的属性和策略来决定对数据的访问权限。
另外,数据脱敏也是一种常用的数据隐私保护方法。
通过在数据使用过程中,对敏感信息进行去敏感化处理,可以有效地避免敏感信息的泄露。
数据脱敏技术可以使用通用化、替换、删除等方法来实现。
通用化是将数据中的敏感信息进行通用化处理,例如将姓名信息通用为"先生"或"女士"。
基于语义Web技术的属性访问控制模型
中图分类号 :T 3 9 2 P 0 .
文献 标志码 :A
文章 编号 :10 — 6 5 2 0 ) 0 0 4 —4 0 1 3 9 (0 7 1 — 18 0
只 是 一 种 特 殊 的属 性 ; B C 比 R A rl bsdacscnrl AA B C(o —ae ce ot , e o 基 于 角 色 的访 问 控 制 ) 加 灵 活 、 用 范 围 更 广 , 供 的控 制 更 使 提 粒 度 更 细 。
At b t— a e c e sc nr lmo e sn e ni e e h oo is t u e b s d a c s o to d lu ig s ma tc W b tc n lge i r
S HEN Ha— o i ,HO a b NG F n
( . oeeo o p t cne& 1C lg fC m ue Si c l r e
,
,Wua ntu Tcnl y hnIstt o ehoo ,Wua 30 3 h a 2 ol eo o p t c ne& i e f g hn4 0 7 ,C i ; .Clg fC m u rSi c n e e e
Tcnl y H ahn nv syo c ne& Tcnl y eh o , uzogU ir t fSi o g ei e c eh o ,Wua 30 4,C ia o g h n4 0 7 hn )
K ywod :ar uebsdacs cn l A A ; sm ni We ehooy X C e rs t bt ae ces ot ( B C) e at b t nlg; A ML( x nil acs cn o l — t i — r o c c et s e ces ot l a e b r n gae ug )
大数据隐私保护技术研究进展
大数据隐私保护技术研究进展在当今数字化时代,大数据已成为推动社会发展和创新的重要力量。
然而,随着大数据技术的广泛应用,个人隐私保护问题日益凸显。
大量的个人数据被收集、存储、分析和共享,这使得个人隐私面临着前所未有的威胁。
因此,研究大数据隐私保护技术具有重要的现实意义。
一、大数据隐私保护的重要性大数据中包含了丰富的个人信息,如姓名、年龄、性别、住址、联系方式、消费习惯、健康状况等。
这些信息一旦被泄露或滥用,可能会给个人带来诸多困扰,如骚扰电话、诈骗、名誉受损等,甚至可能威胁到个人的生命财产安全。
此外,大数据隐私泄露还可能对企业和社会造成严重影响,损害企业的声誉和竞争力,破坏社会的信任和稳定。
二、大数据隐私保护面临的挑战(一)数据规模巨大大数据的规模通常非常庞大,使得对其进行全面的监控和保护变得极为困难。
(二)数据多样性大数据不仅包括结构化数据,还包括大量的非结构化和半结构化数据,如文本、图像、音频、视频等,这增加了隐私保护的复杂性。
(三)数据高速流转大数据在产生、收集、存储、分析和共享的过程中,速度非常快,这使得在数据流转的各个环节中及时发现和处理隐私问题变得颇具挑战。
(四)多方参与大数据的处理往往涉及多个参与方,如数据提供者、数据收集者、数据处理者、数据使用者等,各方的利益和责任不明确,容易导致隐私泄露。
三、大数据隐私保护技术(一)数据加密技术数据加密是保护大数据隐私的最基本和最有效的手段之一。
通过对数据进行加密,可以将敏感信息转换为密文,只有拥有正确密钥的授权用户才能解密并访问原始数据。
常见的加密算法包括对称加密算法(如 AES)和非对称加密算法(如 RSA)。
(二)匿名化技术匿名化技术旨在去除数据中的个人标识符,使得数据无法直接关联到特定的个人。
常见的匿名化方法包括k匿名、l多样性和t接近性等。
(三)差分隐私技术差分隐私是一种严格的隐私保护模型,它确保在对数据进行查询和分析时,即使攻击者能够获取到除目标数据之外的所有数据,也无法推断出目标数据的敏感信息。
信息系统身份认证与权限管理考核试卷
C.数字证书认证
D.用户名+密码()
13.在以下哪种情况下,单点登录(SSO)可以提高用户体验?
A.系统使用统一的用户数据库
B.用户对系统高度信任
C.系统需要保护高敏感数据
D.系统的用户量不大()
14.以下哪种技术可以用来防止密码猜测攻击?
A.密码掩码
B.密码强度检查
C.密码哈希
D.密码更新提醒()
信息系统身份认证与权限管理考核试卷
考生姓名:答题日期:得分:判卷人:
本次考核旨在评估学生对信息系统身份认证与权限管理知识的掌握程度,包括身份认证的基本概念、认证机制、权限管理策略及其实际应用等方面。通过本次考核,检验学生是否能够运用所学知识解决实际问题,提高信息安全防护能力。
一、单项选择题(本题共30小题,每小题0.5分,共15分,在每小题给出的四个选项中,只有一项是符合题目要求的)
12.权限滥用的风险可以通过_______和_______来减少。
13.数字证书是由_______签发的,用于证明用户身份的证书。
14.在密码安全策略中,_______可以增强密码的安全性。
15.会话固定攻击通常发生在_______环境下。
16.权限分离旨在通过_______来减少权限滥用的风险。
17.基于属性的访问控制(ABAC)是一种_______访问控制模型。
二、多选题(本题共20小题,每小题1分,共20分,在每小题给出的选项中,至少有一项是符合题目要求的)
1.以下哪些是身份认证的基本类型?()
A.单因素认证
B.双因素认证
C.三因素认证
D.四因素认证()
2.在实现权限管理时,以下哪些是常见的权限管理功能?()
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019年第6期信息与电脑China Computer & Communication计算机工程应用技术
大数据平台上基于属性的角色访问控制模型
卢水英(赣西科技职业学院,江西 新余 338000)摘 要:在面对大数据平台海量用户时,数据安全成为了人们首要考量的问题之一。传统动态访问控制数据量巨大,需要对其进行有效的多层访问控制,进行合理区隔后配合其他管理手段,从而实现有效的安全防控。基于此,笔者以角色访问控制为手段,探究此种分层访问控制框架的制定与应用。关键词:大数据;角色属性;访问控制;数据安全中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2019)06-033-02
Big Data Platform Role Access Control Model Based on Attribute
Lu Shuiying(Ganxi Vocational Institute of Science and Technology, Xinyu Jiangxi 338000, China)Abstract: In the face of massive users of large data platforms, data security has become one of the most important issues for people to consider. Traditional dynamic access control (DAC) has a huge amount of data, which requires effective multi-layer access control, reasonable partition and cooperation with other management means, so as to achieve effective security prevention and control. Based on this, the author takes role access control as a means to explore the formulation and application of this hierarchical access control framework.Key words: big data; role attributes; access control; data security
0 引言大数据是现阶段互联网应用的主要技术之一,在越来越多的行业内产生一定的经济效益。其中包括政府机关、金融机构、商务平台等敏感领域。这些领域对数据安全性的要求相对较高。在传统的平台安全策略中采用较为灵活的动态控制方式予以校正。但是在面对大数据的海量用户时,服务器很难承担此种校正方式。为此,研究基于属性的角色访问控制模型有助于对大数据系统内的用户进行分级管理,并做到有效的安全控制[1]。
1 模型的选取与建立在大数据安全控制实践体系中ARAC模型的使用相对普遍,此种控制策略允许设计方通过对不同参数调取来获取客户的基本属性,并按照属性的类别差异进行有效分类。从核心体系上来看,在经过计算机的自动交互分类基础上,大数据平台上的海量用户被合理分割为不同的若干群体,而针对不同群体间的安全特性来给予不同方式与等级的效验模式,从而达到综合降低平台系统负载的根本目的[2]。
在模型的设计实践中其一般包括如下几个核心部分:第一,用户,该群体是平台所需要面对的全体用户单元,一般用U表示;第二,用户组,是经过适当区分后所形成的用户
单元,一般用G表示;第三,角色,用户组内的实际用户经过了系统初步判断与分配后所形成的用户集合,一般用R表示;第四,组件,认证的基本方式,一般用C来表示。通过上述单元内的基本构建形成了大数据平台上针对角色属性判断的不同认证方式,进而构建出本文所探讨的ARAC模型。在具体的逻辑设计层面上,首先对用户的属性信息进行提取。在具体的属性信息选择上可以硬件编码、软件信息、固态IP信息等作为依据,其中硬件编码较为普遍,硬件编码代表大数据使用群体的固定场所(计算机),对于应用人的识别功能相对较强。在收集到有效的属性基础上,分析固定群体内的属性,并按照具体的算法进行有效的分组建议。落实到具体的算法上来主要可分为RA策略与PA策略。RA策略是基于一种预设的策略,即在分组体系中采用人为预设的方式形成有效的分组模式,常见的分组规范包括UAT和EAT。而PA策略则是一种基于历史数据的建议分组模式,系统按照角色属性识别与其对于大数据平台的应用习惯产生严格的对应,从而给出可行的分组建议。常见的策略包括CAT和OAT模式。无论上述何种算法策略其本质上是将用户的角色属性与用户的使用行为进行对应,从而为后续不同层级下的安全策略构建提供必要依据。最后,按照不同的分组策略,将登陆大数据平台的用户进行分组,从而为不同给
作者简介:卢水英(1972—),女,江西樟树人,本科,助教。研究方向:计算机应用技术。
— 33 —2019年第6期信息与电脑China Computer & Communication计算机工程应用技术
定的组别提供不同的效验方式。一般可采用动态访问控制的方式予以实现。通过上述方式能在分组的情况下降低不同组别动态访问控制的数据运算量,从而达到在保障数据安全的情况下降低系统荷载的目的[3]。
从上述模型选取与构建过程中不难发现,在具体的属性角色访问控制模型体系中其依赖的基本范式是对于固定用户的识别,从而达到用户角色与用户行为之间的对等,系统在根据不同用户行为对于数据安全之间的差异化,提供不同等级与水平的效验模式,从而达到降低综合系统负担的目的。
2 模型的应用及其属性控制通过研究对角色访问控制下的具体模型选择及其构建方式进行了系统说明。在实际的应用中还应对具体的控制策略进行分析与构建。如果说模型的建设是为具体的行为单元提供了骨架,则策略的制定则是为骨架提供了丰满的肌肉。只有二者的有效结合才能产生切实有效的数据保护。在具体的策略层面上,主要分为角色分配策略和权限分配策略。在角色的分配策略上:此种控制模型的核心是通过对角色的分类,降低效验的有效计算量。基于此必须对角色的分配进行有效限制。如果角色设定无限大,按照用户操作不可能完全一致的基本理论则产生的角色必然也是海量的,同时也失去了角色集合存在的意义。实际效果也无法达到有效降低运算律的目的。系统角色的总数必须根据服务器的载荷控制在一个有益的范围内。因此,需要明确角色分配的具体策略。按照本文构建的ABAR模型,其在角色分配的过程中采用了自动分配与手动分配相结合的方式。其中,允许管理人员对不同用户身份进行人工限定,也就是上文中所提到里的CAT模式。此种分配方式的优点在于能有效规避系统分配带来的溢出可能,同时能形成更为精准的用户预设。与此同时,按照管理员分配的方式可对用户自身的属性进行直接分级,在考虑数据安全性的同时还能映射到现实用户逻辑关系内部,从而达到更为有效的管理模式。在大数据平台系统内部可完成通过属性及其关系对用户的描述。除了单一的用户属性,用户与用户之间的联系也能成为属性的一种。如上下级关系、认可关系等。这类逻辑策略的引入使得在角色分配上更为合理,并形成有效的层级管理[4]。在权限分配策略层面上:对用户的分组只是实现基于属性管理的基础,其根本目的是通过用户分组之间的权限差异来限制用户在大数据平台中的危害程度。试想任何客户如果都具有对大数据平台内数据的删减权限,则大数据平台的运行稳定性则会受到严重的挑战。如果任何访问者都无法对数据信息进行删减,那么大数据平台将成为固定数据的“图片网站”,毫无应用价值。针对这一情况,按照不同的角色分配结果给予不同的权限分配十分必要,事实上也是该模型能发挥实效的根本。在实际的策略过程中要依据“应用为准”的基本原则来进行不同层级间的权限分配。具体而言将具有大数据平台管理权限进行严格的控制,将对大数据平台应用的权限进行多维度的细分。在细分中可对不同功能进行系统的组合,从而提供更为多样化的权限分支。通过这一权限分配策略一方面可支持更多的角色分类,使不同需求的使用者均能得到大数据平台的最大化支持,同时不会对平台的总体数据单元形成威胁,另一方面还能在多元化权限上整合部分的管理与限制功能,进一步保障了数据的安全性。此外,在权限的分配上还可通过“影子数据”的方向予以实现,即按照不同用户权限分配影子数据,此部分数据仅仅保存在权限范围内所生成的独立用户空间,对于大数据平台的初始数据不造成反向反馈。3 模型应用效能为了进一步认证本模型的有效性,在系统设计的基础上,从如下五个方面对系统的具体效能进行认证。第一,细粒度访问控制。此指标反馈了本模型对于用户细分的有效性,在客观上反馈了具体分级处理在降低系统荷载上的效能。在ARAC模型使用中,通过属性描述访问请求过程中用户、环境、组件和数据对象,达到了严格控制访问请求者获得权限的各种条件,并且访问范围可精确到表、字段级别的数据,客观上反馈了系统分组的有效性。第二,动态授权。该指标认证了分组模式下的分别授权,是提供数据保护的根本。在ARAC模型应用中,各种实体属性具有很大的灵活性,并支持大规模的动态扩展,可满足各种应用系统的访问控制需求。第三,授权复杂程度。ARAC模型保留了RBAC模型的优势,使用角色间接地建立用户和权限之间的关系,避免在用户和数据之间设置很多关系参数,系统管理员只需设置角色与权限的映射,降低了授权复杂程度。第四,属性管理复杂度。ARAC模型使用用户组层次结构来管理用户属性,用户可通过从所在组继承其他组获得用户的属性。管理员无需为每一个用户设置属性,实现了用户属性的简单管理。第五,大数据平台中多组件数据权限统一管理。结合Hadoop平台多层访问框架的特点,针对组件属性和数据对象属性授权,统一控制平台中数据的访问权限。
4 结 语本文从模型的选取与建立、模型的具体应用及其利用属性的控制策略以及具体的应用实效等三个方面探究了基于属性的角色访问控制模型。希望通过此种方式解决大数据平台的海量用户分级校正问题,为提升大数据平台的数据安全作出贡献。
参考文献[1]苏秋月,陈兴蜀,罗永刚.大数据环境下多源异构数据的访问控制模型[J].网络与信息安全学报,2019,5(1):78-86.[2]邓辉.大数据背景下的计算机网络信息安全及防护措施[J].通讯世界,2018(7):58-59.[3]黄河清.大数据下学习流访问控制安全模型及算法研究[J].闽南师范大学学报(自然科学版),2018,31(2):24-33.[4]庄浩霖,尚涛,刘建伟.基于角色的大数据认证授权一体化方案[J].信息网络安全,2017(11):55-61.