介绍 |
| 如今,多媒体数据的应用领域越来越广泛,从数字图书馆、电子商务、家庭娱乐、新闻节目、遥感到多媒体编辑。MPEG-7[14,15,17,20]标准提供的一套全面的视听描述工具,是为了创建多媒体内容的描述(以层次结构的形式),以方便所需的有效和高效的多媒体内容访问。由于目前MPEG-7对多媒体数据的安全要求是开放的,研究人员和开发人员需要探索自己的方法来保护多媒体数据中的敏感内容(元素)。多媒体数据和基于web的应用程序的特性导致了一些特殊的安全需求。多媒体数据通常包含大量的元素,其中许多元素具有不同的安全级别(例如医学教育视频应防止未经授权的用户识别患者的身份),因此安全系统必须支持多层访问控制。此外,多媒体数据经常被实时播放。因此,在海量的元素中保护相对较少的元素(如患者的面部)的方法应该是非常高效的,以满足实时性的要求。此外,随着越来越多的多媒体应用程序处于分布式环境中,自动为成千上万的远程用户分配访问权限(权限)是一种迫切需要。最后,理想的安全系统应该考虑并充分利用MPEG-7提供的描述(称为元数据)的属性。 |
| 在有关多媒体访问控制的文献中可以找到一些研究工作[1,2,3,5,19]。这些作品中有些[2,3]缺乏帧内区域保护的能力,有些是特定于某种形式的多媒体数据,如视频[1,3,5]或图像[10]。这些作品的另一个共同缺点是它们基本上都是强制访问控制(MAC),其管理成本相对较高。此外,这些系统的过滤规则必须应用于每个子对象,以确定哪些子对象是可访问的,这很耗时。此外,他们没有充分利用MPEG-7的优势。 |
| Web应用程序越来越广泛,越来越多的公司利用它们来增加收入。Web和分布式数据库在大多数Web应用程序中扮演着关键角色,因此保护它们免受未经授权的访问和恶意攻击至关重要。网络和分布式数据库的安全性引起了许多研究者的兴趣。由于具有高可访问性,Web和分布式数据库往往更容易受到来自各种来源的各种攻击。为了解决这一问题,需要更高效、更灵活的安全机制来系统地验证用户身份、控制网络流量、提供高效的细粒度访问控制。Web和分布式数据库需要强大的身份验证系统。在互联网环境中,模仿的可能性增加了。远程用户的身份验证必须基于其IP地址、密码和凭据,以对抗拒绝验证攻击。与强制访问控制(MAC)和自主访问控制(DAC)相比,基于角色的访问控制(RBAC)具有许多优越的特性。简化了安全管理和管理,提供了更多的访问控制功能12]。 However, current RBAC model is not suitable for the fine-grained multilayer access control. In order to satisfy multilayer access control requirements in the current RBAC model, much more roles have to be introduced and different versions of a same object (each of which corresponds to a specific security requirement) have to be generated and stored, which not only significantly increase the administrative costs but also cause the datum integrity problem (e.g. when the content of the different versions of the same object are found to be inconsistent, it is difficult to decide. which one contains the correct content). Based on the above observations, a Criterion-Based RBAC (CB-RBAC) model is proposed to support the web-based multilayer access control in MPEG-7. In theproposed model, we introduce a number of new components which are the secure permissions (SP), secure objects (SOb), secure operations (SOp) and secure users(SU). A secure permission is made up of a secure object and a secure operation. A secure object is composed of a number of secure sub objects each of which is a sub object embedded with a security criterion expression (working as a lock) (in the proposed CB-RBAC model, secure object sand secure sub objects are semantic descriptions rather than multimedia data themselves). A secure operation is an operation associated with a security criterion subset (its elements work as the relevant keys of the corresponding secure object). A secure user is composed of a user and security criterion subset (SCSS) the elements of which can be thought as user’s available keys. To assign the remote users to the roles, the digital credentials [6, 7, 8] are adopted to establish the trust. In the user-role assignment process, the multilayer security related attributes in the digital credentials are translated into a security criterion subset (whose elements specify the user’s security features) which is combined with a user to form a secure user. |
| 在我们的基于标准的RBAC (CB- RBAC)多层访问控制模型中,作为角色成员的安全用户拥有分配给该角色的所有安全权限。当一个安全对象在用户授予的安全权限范围内时,他/她只能有效地访问(在相同安全权限内的安全操作指定的模式下)那些内嵌锁被安全用户的SCSS和相应的安全操作的SCSS中的公共元素驱动打开的安全子对象。 |
| 本文的其余部分组织如下。我们首先在第2节简要介绍MPEG-7标准。然后在第3节中,介绍了CB-RBAC模型。第4节主要讨论安全对象和安全操作的生成。安全用户角色分配过程和Compact-Secure-Role-SCSS cookie将在第5节中讨论。第6节介绍了如何实现多层访问控制和非多层访问控制。最后,第7节对全文进行总结。 |
mpeg-7标准的介绍 |
| MPEG-7标准为有效地描述视听内容提供了工具。描述符(Ds)、描述方案(DSs)和描述定义语言(DDL)是标准的三个主要组成部分。描述符是数据的独特特征的表示,它对某人表示某些东西(特征)。它们定义了特征表示的语法和语义。描述方案指定了其组件之间关系的结构和语义,这些组件可以是描述符(Ds)和描述方案(Ds)。描述定义语言(DDL)用于定义MPEG-7描述工具(d和Ds)的语法,以允许创建新的描述方案和描述符以及扩展和修改现有的描述方案。DDL是XML模式的超集,其中添加了数组和矩阵数据类型(固定大小和参数化大小)以及内置的基本时间数据类型(基本时间点和基本持续时间)。根据不同的应用程序,MPEG-7描述可以存储在数据库中或与所描述的数据一起传输。 |
| 两个MPEG-7属性奠定了CB-RBAC模型的基础。首先,CB-RBAC模型得益于MPEG-7中的段描述(语义描述)可以被分解并组织成树状结构。由于描述可以被分解成许多不同的部分,每个部分通过多媒体内容定位器对应一个多媒体实体,因此我们可以将需要进一步保护的实体与不需要进一步保护的实体分开(这些定义将在第4节给出)。使CB-RBAC模型成为可能的另一个属性是mpeg -7中描述模式的可扩展性。允许的扩展可以是创建新的描述模式,也可以是修改现有的描述模式。这个属性在两个方面方便了CB-RBAC。一方面,通过对描述模式的适当扩展,可以描述更多种类的多媒体实体,从而实现细粒度的安全级别。另一方面,可扩展性允许安全信息的优雅嵌入。 |
基于标准的rbac (cb-rbac)模型 |
| 本文提出的CB-RBAC模型是rbac96[21]模型的扩展。cbc - rbac将RBAC96中的对象、操作、权限和用户的组件增强为SOb (secure object)、SOp (secure operations)、SP (secure permissions)和SU (secure users)。安全对象由许多安全子对象组成,每个子对象都是嵌入安全条件表达式(作为锁使用)的子对象。安全操作是与安全条件子集相关联的操作(其元素是与嵌入在相应安全对象的安全子对象中的锁相关的密钥)。安全对象和相关的安全操作构成安全权限。安全用户是具有安全标准子集(SCSS)的用户,其中的元素指定了用户的安全特性,可以视为用户的可用密钥。为了实现多层访问控制,采用了嵌入式安全信息(安全准则表达式和安全准则子集)和常规布尔操作。 |
 CB-RBAC模型 |
| 图1是提议的CB-RBAC模型的逻辑细节。模型中的组件包括:在本文提出的CB-RBAC中,S(会话集)、U(用户资产)、R(角色集)、Op(操作集)、Ob(对象集)、RH(角色层次),约束条件与RBAC96模型相同。一组预定义的安全标准在CB-RBAC模型中起着重要的作用。安全条件是用于指定安全用户的安全特性和对象(以及子对象)的安全属性的条件。每个安全准则都由一个布尔变量is表示(本文将布尔运算“^”(逻辑和)、“_”(逻辑或)和“−”(否定)应用于安全准则)。 |
| 例如,可以定义一个安全标准s3来指示专业护士的安全用户。当安全对象(安全子对象)的描述中包含了ens3或s3以指定其安全属性时,将考虑安全用户是否是专业护士的事实(例如,s3是否用于指定安全用户的安全特性)以确定是否允许安全用户访问该安全对象(安全子对象)。一组安全标准s1, s2,…,应用域中的sn是根据系统安全策略和安全需求预先定义的。目的是用这些安全标准恰当地表达各种安全用户的安全特性以及所有可能的对象和子对象的安全属性。应用程序域中的全部安全标准及其补充组成了安全标准集(SCS)。通常,在指定用户的安全特性时可能涉及多个安全标准。这些安全标准形成一个集合(SCS的一个子集,称为安全标准子集(SCSS)),它与用户结合形成一个安全用户。另一个与操作相关联的SCSS由与嵌入在相应安全对象的安全子对象中的锁相关的所有密钥组成。 |
| 安全子对象中嵌入的安全条件表达式(SCE)(作为锁工作)用于指定安全子对象的安全属性。安全准则表达式(SCE)是一个由安全准则s1、s2、…组成的布尔表达式。, sn。 |
| 安全子对象(SSO)是子对象(多媒体元素的描述)和指定该子对象的安全属性的嵌入式SCE的组合。安全子对象之间存在的偏序关系称为安全子对象层次结构(SSOH):SSOH _ SSO × SSO。 |
| 一个安全对象(SOb)由许多安全子对象组成,这些子对象被组织成树状结构(安全子对象层次结构)。在安全对象上进行的操作是安全操作(SOp),其中每个操作都是与SCSS(称为SOp的SCSS)相关联的普通操作,其元素由与嵌入在相应安全对象中的锁(SCE)相关的所有相关密钥(安全标准)组成:SOp _ Op × SCSS。SP (secure permission)是对一个安全对象(Sob)进行安全操作(Sop)的允许访问方式:SP _Sop × Sob。一个安全用户(SU)是一个结合了一个SCSS(称为SU的SCSS)的用户,其元素指定了用户的安全特性:su_ U × SCSS。 |
| 新的组件Sob、Sop、SP和SU是RBAC96中相应组件的增强版本。这种增强对角色和会话等其他组件是透明的。因此,CB-RBAC系统中的通用管理功能与RBAC96中的相同(或非常相似)。注:本文用缩写SCE、SCSS、SOb、Sopare表示单复数形式。 |
安全对象和安全操作生成 |
| 安全对象生成 |
| 在CB-RBAC模型中,“对象”可以是普通对象(包含或接收信息的被动实体)或元数据元素(多媒体实体的描述)。在MPEG-7中,多媒体实体的每个描述都包含指向相应多媒体实体的多媒体内容定位器和用于指定多媒体实体访问方式的访问信息(如Time Point、Duration、Quality等)。此外,元数据(描述)与对应的多媒体实体之间是一一对应的关系,它们总是可以被赋予相同的安全属性(级别)。因此,如果一个描述是可访问的(不可访问),那么它对应的多媒体实体也是可访问的(不可访问)。换句话说,通过保护多媒体实体对应的描述,可以有效地保护多媒体实体。在下面的讨论中,所有对象和子对象都是指多媒体数据的描述(元数据),除非另有明确说明。 |
 多媒体档案的原始描述树 |
| 基本上,对象(子对象也一样)可以分为不需要进一步保护的对象(所有授权用户都可以访问)和需要进一步保护的对象(只有具有某些安全特性的授权用户才能访问)。在多媒体文件(对象)的原始描述树中,如果一个叶描述节点包含多个需要进一步保护的子对象的描述,或者包含一个需要进一步保护的子对象和一个不需要进一步保护的子对象的描述,则必须对该描述节点进行进一步分解。分解的目的是保证每个进一步保护所需的子对象都可以独立地进行保护。正如我们在第2节中讨论的,MPEG-7支持这种分解。分解后,选择合适的SCE,并按深度优先、后序嵌入到描述树的每个子对象中。一个称为Content-SCE表的预定义表用于简单地将SCE分配给叶节点。如果一个叶子节点的内容在content -SCE表中属于需要进一步保护的内容Group,则采用需要进一步保护内容Group对应的SCE作为该叶子节点的SCE。如果叶节点的内容不属于任何需要进一步保护的内容的Group,则采用常量false F作为该叶节点的SCE(这意味着该叶节点是一个不需要进一步保护的子对象)。每个非叶节点(内部节点和根节点)的SCE由其所有直接子SCE的逻辑“或”构成(结果简化为产品和(SoP)的形式,产品根据产品项的数量进行排序。content -SCE表中的每条记录都包含两个字段:需要进一步保护的内容组和安全标准表达式(SCE), SCE在ad中为特定的应用程序域创建一次,步骤如下: |
| 1)找出该应用域中所有需要进一步保护的子对象,它是所有对象中所有可能需要进一步保护的叶节点的集合。 |
| 2)根据系统安全策略和子对象的内容,以SCE的形式定义每个进一步需要保护的子对象的保护准则组合。 |
| 3)将需要进一步保护的子对象按照相应的SCE进行聚合。即,具有相同CE的进一步需要保护的内容被聚合到同一组进一步需要保护的内容中。 |
| 请注意,Content-SCE表中所有SCE均为产品总数(Sum of Products, SoP)形式,产品按产品术语数排序。 |
| 例1假设一个联邦数字图书馆包含关于特殊和复杂医疗病例的多媒体档案,供医生、护士和研究人员(特殊医生)参考。MPEG-7中提供的工具恰当地描述了每个多媒体档案,包括异类形式(文本、图像、音频和视频)的一般、护理、诊断和治疗信息。多媒体档案的描述提供了访问整个多媒体档案或其元素的方法(下面的讨论中使用这些描述来表示相应的多媒体档案或其元素,而不失去一般性)。多媒体档案的原始描述树如图2所示(描述树中的每个节点对应一条多媒体数据)。 |
| 叶节点描述了多个需要进一步保护的子对象或需要进一步保护的子对象和不需要进一步保护的子对象。这些叶节点应该被分解。为了找出所有需要进一步保护的内容(子对象),我们需要建立系统安全策略。安全策略来源于现有的法律、道德、法规和普遍接受的实践。多层访问控制相关的安全策略是,不同的用户(如医生、护士和研究人员)根据其职位和职责,只能访问有用和必要的信息。例1的系统安全策略说明如下。 |
| 1)所有的安全对象(多媒体档案和相应的描述)只有被分配了安全权限(包括这些安全对象)的角色成员的安全用户才能访问。 |
| 2)这些安全对象的某些内容仅限于某些类型的安全用户。本例中的内容及限制包括: |
| a.患者敏感的个人信息(如健康卡号)只有负责患者记录管理的护士才能访问。 |
| b.护士不允许接触诊断和治疗内容。 |
 多媒体档案描述树的分解 |
| c.研究人员无法获得患者的身份信息。基于上述安全策略,可以生成可能需要进一步保护的内容(子对象)。它们是患者的个人信息、患者的身份、诊断信息(身份除外)和治疗信息(身份除外)。从上面的安全策略,我们还可以确定本例中相关的安全标准: |
| 1) s1,表示负责病人档案管理的护士。 |
| 2) s2,表示研究人员(专科医生)。 |
| 3) s3,表示护士。 |
| 4) s4,临床医生。 |
| 因此,本例的安全标准集(SCS)为{s1, s2, s3, s4, s1, s2, s3, s4}。根据系统安全策略生成Content-SCE表,其中包括所有进一步保护所需的内容及其相关的安全准则表达式(SCE)(见表1)。请注意,需要进一步保护的内容根据其在Content-SCE表中的SCE进行集成。有了所有可能需要进一步保护的内容(子对象)的信息,原始描述树将被进一步分解,以便独立地描述每个需要进一步保护的内容(参见图3)。 |
| 从表1和图3中,可以根据上面的讨论将SCE嵌入到每个节点中来生成安全对象(参见图4)。每个节点旁边的数字表示SCE嵌入的顺序。 |
| 安全操作生成 |
| 要生成安全操作,必须首先生成相应的安全条件子集。SOp的SCSS中的安全标准是相应的SCE中出现的安全标准的集合 |
 |
| 医学多媒体档案安全对象的安全对象。因此,安全操作中的安全条件子集由相应安全对象的SCE中出现的所有安全条件组成。这些安全标准是确定安全对象内SCE(锁)状态的相关密钥。每个SOp的SCSS都对应于一个特定的安全对象。图4中安全对象的SOp的SCSS是{s1, s2, s3, s4}。 |
实现细粒度访问控制 |
| 在基于标准的访问控制模型中,嵌入在安全对象中的安全条件表达式可以被视为锁,而安全条件子集中的安全条件可以被视为密钥。当一个安全用户访问一个安全对象时,他/她使用可用的密钥来启动锁。是否允许安全用户访问安全子对象(单元格、列或行)取决于相应锁的状态。 |
| 通过以下两个步骤计算安全条件表达式。首先,将安全条件表达式中的所有安全条件替换为(子)对象的安全属性,并通过指示没有访问权限的用户而不是显式地定义它们来暗示安全级别。系统变得更加简单,因为使用了一种机制来定义用户的安全属性和(子)对象的安全属性。 |
| 安全对象中嵌入的安全条件表达式可以被视为锁,而安全条件子集中的安全条件可以被视为密钥。当一个安全用户访问一个安全对象时,他/她使用可用的密钥来启动锁。是否允许安全用户访问安全子对象(单元格、列或行)取决于相应锁的状态。 |
| 通过以下两个步骤计算安全条件表达式。首先,根据以下规则将安全准则表达式中的所有安全准则替换为true, T,或false, F:安全准则表达式中同时出现在安全用户的安全准则子集中的所有安全准则的值为true, T,而其他安全准则的值为false, F。其次,根据布尔代数中正常的求值过程对安全准则表达式进行求值。根据授权规则转换成的安全子对象的安全标准表达式,安全标准表达式的评估值T表示不允许具有这些安全标准指定的安全属性的用户访问相应的安全子对象。相反,安全标准表达式的错误评估值F意味着安全标准表达式(实际上是授权规则)不阻止这些安全用户访问此子对象 |
 统一数据库的逻辑结构 |
安全的web用户角色分配 |
| 安全管理员负责根据系统安全策略和用户的相关特征为安全用户分配角色,并生成适当的SCSS(嵌入在安全用户中,以指定其安全特性)。然而,对于web应用程序中的数十万远程用户来说,手动为用户分配角色和生成预压是一项艰巨的任务。能够自动生成适当的SCSS并将远程用户分配到角色的机制非常重要。该机制需要一种适当的方法来在远程安全用户和服务器之间建立信任。 |
| 数字凭证[9]是纸质文档和其他有形对象的数字等价物,传统上用于建立一个人的特权、特征、身份等。用户可以在只提供数字凭证所需属性的情况下建立信任。在提议的CB-RBAC模型中,当数字凭据用于安全用户-角色分配时,一组安全策略(授权规则)为分配提供指导,一个凭据-条件表指定凭据属性和安全标准之间的映射关系(用户可用数字凭据的相关属性确定与之关联的安全标准子集的元素(安全标准) |
基于数字凭证的安全性 |
| 安全用户-角色分配策略对于系统中的每个角色,安全策略必须指定如果将远程安全用户分配给该角色,则需要哪些数字凭据。CB-RBAC中的角色层次结构与rbac96中的角色具有完全相同的属性:高级角色继承低级角色的权限;初级角色继承高级角色的用户[22]。由于第二个属性,将用户分配给高级角色有效的授权规则也必须在将用户分配给初级角色时有效。为了简化授权规则集,为高级角色指定的规则不需要为低级角色重复;可以为从最高级的角色到最初级的角色的每个角色(需要分配安全用户的角色)建立安全策略(授权规则)。根据授权规则,安全用户将根据其可用凭据和请求被分配到一个或多个角色。通常,安全用户被分配到那些角色,这些角色根据安全策略和他/她的可用凭证,包括尽可能多的权限,以方便该用户可能执行的后续事务。此策略不违反最小特权原则,因为在每个会话中都确定仅激活用户工作所需的角色。为了简化讨论,我们不考虑关于安全用户角色分配的可能存在的约束(这不会失去通用性),并正式定义了可分配的角色。 |
| 定义1(可分配角色):根据安全用户可用的数字凭证和系统安全策略,可以分配给安全用户的所有角色都称为与该安全用户相关的可分配角色。假设一个角色层次结构包含一个数字图书馆的五个角色(参见图5)。每个角色旁边的凭据组反映了安全用户-角色分配的安全策略。每个角色中的安全权限(SP)是分配给该角色的安全权限。如果远程安全用户申请安全权限SP4,系统会检查用户提供的数字证书,并将其分配给合适的角色,具体步骤如下: |
| 1)找出包含应用安全权限的角色ri(i = 1,2, . . .)。在这个例子中,我们得到role2。 |
| 2)如果ri(i = 1,2,…)或它的(它们的)祖先角色是可分配的角色,转到3;否则请执行4。对于本例,如果提供了C4^C5或C4^C6,则role2是可赋值的;3)如果有一个可分配角色r是所有其他可分配角色的祖先,安全用户将被分配给这个角色r。例如,如果用户提供了C4(医疗会员证书),C6 (master card证书),C11 (VIP会员证书)和C12(专家证书),他/她将被分配给role5(相关的可分配角色是role2和role5。Role5是role2)的父类。否则,用户将被分配到那些可分配的角色或其祖先角色(没有父可分配的角色)。例如,安全用户通过C1、C4^C5和C7申请安全权限SP3,则安全用户将被分配到role2 androle3(可分配的角色为role1、role2和role3)。Role2和role3没有可分配的父角色)。 |
| 拒绝用户的申请。 |
| 在上述安全用户角色分配过程中,需要将涉及多层访问控制的数字凭证属性转换为SCSS,以指定安全用户的安全特性。为了记录这些属性,系统存储了一个表(凭证-条件表),该表将每个数字凭证的多层安全相关属性映射到相应的安全标准。表2是数字证书C4的一个示例,它具有三个多层安全相关属性:“职业”、“患者记录管理”和“研究”。当远程安全用户提交C4和C6申请安全权限SP4(其安全目标如图4所示)时,如果C4的“Profession”属性为“Doctor”,“Administration on patient ' s record”属性为“No”,“Research”属性为“No”,则该安全用户将被分配到角色2,其SU ' sscss为{s1, s2, s4}。z |
 示例1中用于远程安全用户角色分配的数字凭证 |
cb-rbac中的多层和非多层访问控制 |
多层访问控制 |
| 在CB-RBAC中,安全用户被授予安全权限的方式与在RBAC96中授予用户权限的方式相同。安全用户拥有分配给其所属角色的所有安全权限。当他/她以相应安全操作中定义的模式访问一个安全对象(该对象处于他/她授予的安全权限之一)时,他/她只能访问那些内嵌SCE(锁)由他/她的SCSS(可用密钥)和相应Sop的SCSS(相关密钥)中的通用安全标准驱动打开的安全子对象。确定安全子对象(SSO)是否应该受到保护的过程是通过根据相应Sop和SU的SCSS中的公共元素评估其嵌入式SCE来执行的。安全准则表达式(SCE)的计算可以通过以下两个步骤完成。首先,将SCE中的所有安全标准替换为true, T,或false, F,按照如下规则:SCE中所有不是Sop的SCSS和SU的SCSS中的公共元素的安全标准的值都为false, F;所有安全准则都出现在SCE中,Sop的SCSS和SU的SCSS的交集值为true, t。其次,按照布尔代数中正常的评估程序对SCE进行评估。例如,如果Sop的SCSS和SU的SCSS的公共元素为s1、s2和s3,则表达式s1 _s4、s1 ^ s2、s2 ^ s3、s2 _s4和s3 ^s4的求值分别为t_ F=T、T ^ F= F、T ^ T =T、f_ F= F和T ^ F= F。SCE的true值T表示满足相应的安全子对象(SSO)的保护条件,该安全子对象不可访问。反之,当SCE的评价值为false时,保护相关安全子对象的准则不满足,安全子对象是可访问的。 |
| 多层访问控制通过深度优先的顺序遍历SOb来实现。每个SCE由相关SOp和su的SCSS中的共同要素进行评估。注意,当一个节点(安全子对象)的计算值为false时,F,该节点的子节点不需要计算(称为早期终止),节点及其子节点都是可访问的。特别是,如果根被赋值为false, F(这意味着该Sob中没有进一步保护所需的子对象),则无需对Sob中的所有其余节点进行求值。此外,对每个SCE的评价采用了从短期产品到长期产品逐一评价的方式,并采用短路评价的方式,从两个方面提高了效率。一方面,由于十字路口的安全标准不SOp 'sSCSS和苏SCSS总是错误的价值,F,在台湾当SCE是评估和SCE SOp的形式和他们的产品排序根据条款的数量(标准)在这些产品中,条件(标准)的产品的数量大于公共元素的数目在SOp的苏SCSSand SCSS总是被评估为假,F .因此,这些项数大于Sop的SCSS和su的SCSS的公共元素数的产品不需要评估。另一方面,当SCE中的一个产品(其项数小于或等于Sop的SCSS和SU的SCSS的公共元素的数量)被评估为true, T,(这导致整个SCE的评估值为true, T)时,评估过程就会停止。上述性质通常可以显著降低计算开销。现在是时候解释为什么使用安全操作和安全用户SCSS的交集来计算相应的安全对象,而不是只使用安全用户的SCSS。请注意,安全用户SCSS的元素是用户可用的安全标准,其中许多可能与特定SOb的SCE评估无关。 This means that there may be some redundant elements in the secure user’s SCSS with respect to a specific secure object. Because the redundant security criteria increase the computational expense in the process of the SCE evaluation, we eliminate them by using the intersection of a secure operation’s and asecure user’s SCSS. For example, a secure user’s SCSS is {s1, s2, s3, s4, s6} and the secure operation’s SCSS is {s5, s6, s7, s8, s9}. If {s1, s2, s3, s4, s6} is used to evaluate SCE, s5 _ (s6 ^ s7) _ (s7 ^ s8 ^ s9), every term of the SCE has to be evaluated. If the intersection of the two SCSS {s6} is used to evaluate the same SCE, according to the shortcircuit evaluation discussed above, only the first product s5 needs to be evaluated to get the evaluate ion value of the whole SCE.In Example 1, when a remote secure user applies for the secure permission SP4 with digital credentials C6 (which has no multilayer security related attributes) and C4(whose multilayer security related attributes are shown in Table 2), the user is assigned to the role2 with theSCSS, {s1, s2, s4}. The secure operation’s SCSS in theSP4 is {s1, s2, s3, s4}. Thus, {s1, s4} should be used to evaluate the corresponding secure object. the result (the shaded nodes are inaccessible (partially or completely) to this secure user). Note that the SCE of the nodes 4, 5, 8, and 9 are not evaluated because the early termination in nodes 6 and10 (their SCE evaluation values are “F”). |
 多媒体档案的可访问子对象和不可访问子对象 |
非多层访问控制 |
| 在提出的CB-RBAC模型中,sob中的每个SCE都是固定的表达式,除非描述的内容或系统安全策略发生变化。其安全子对象的安全级别由嵌入的SCE以及相关Sop和SU的SCSS中的公共元素决定。当相关Sop和SU的SCSS中没有共同元素时,相关Sob中的任何安全子对象都不需要进一步保护(因为Sob中的所有SCE都被评估为false),这意味着指定安全用户安全特性的所有安全标准都与该Sob的SCE的评估无关。特别是当aSU的SCSS设置为NULL时,对该安全用户实现了非多层访问控制。 |
| 该模型还支持对多个安全用户的非多层访问控制。通过将常数“F”嵌入到那些不包括任何进一步保护所需子对象的对象的根中,形成特殊的安全对象。当这些安全对象被访问时,其根的求值为false,即F,导致整个安全对象都是可访问的。从而实现了对所有安全用户的非多层访问控制。 |
结论 |
| 本文通过引入安全用户(SU)、安全对象(SOb)、安全操作(SOp)和安全权限(SP),提出了一种支持MPEG-7中基于web的多媒体多层访问控制的CB-RBAC模型。该模型利用MPEG-7标准的特性,通过在每个子对象(多媒体语义描述)中嵌入一个安全准则表达式(SCE)来生成一个安全对象。安全操作是通过将安全标准子集(其元素是出现在相应Sob的SCE中的安全标准集合)与普通操作相关联来创建的。类似地,安全用户是与适当的SCSS组合的用户。在安全用户、安全操作和安全对象的配合下,通过一种强大而简单的机制实现多层访问控制。安全子对象的安全级别不仅取决于嵌入式安全准则表达式(SCE),还取决于相关Sop和SU的SCSS的公共元素,从而形成灵活的多层访问控制系统。此外,使用数字凭证和Compact-Secure-Role-SCSS cookie的方法对于基于web的应用程序是有效和安全的。同时解决网络安全与数据库安全问题,形成高效统一的安全保障体系。用于身份验证的信息可用于初步访问控制和细粒度访问控制。 |
数字一览 |
|
参考文献 |
- W. Aref, M. Hammed, A. C. Catlin, L. Llyas, T.Ghanem, A. Elmagarmid和M. Marzouk,“用于视频数据库研究的VDBMS中的视频查询处理”,载于《第一届acm多媒体数据库国际研讨会论文集》,第25-32页,新奥尔良,洛杉矶,美国,2003年。
- E. Bertino, E. Ferrari,和A. Perego, Max:数字图书馆和网络的访问控制系统,http://semioweb.mshparis.fr/euforbia/download/max.pdf
- E. Bertino, M. Hammad, W. Aref,和A. Elmagarmjd,“视频数据库系统的访问控制模型”,第九届信息和知识管理国际会议,第336-343页,McLean,弗吉尼亚州,美国,2000。
- E. Bertino, P. A. Bonatti,和E. Ferrari,“TRBAC:一个基于时间角色的访问控制模型”,ACM信息与系统安全学报,第4卷,第3期,191-233页,2001年8月。
- E. Bertino, J. Fan, E. Ferrari, M. S. Hacid, A. Elmagarmjd,和X. Zhu,“视频数据库系统的分层访问控制模型”,信息系统学报,第21卷,第1期。2, pp. 155-191, 2003。
- M. Blaze, J. Feignhbaum和J. Lacy,“去中心化信任管理”,IEEE安全和隐私研讨会,第17-28页,奥克兰,加州,1996年5月。
- M. Blaze, J. Feignhbaum和A. D. Keromytis,“主题演讲:公钥基础设施的信任管理”,载于《安全协议》,第6届国际研讨会,59-63页,剑桥英国,1998年。
- M. Blaze, J. Feignhbaum, J. Ioannidis和A. D.Keromytis, KeyNote信任管理系统,版本2,Internet draft RFC 2704, 1999年9月。
- S. Brands,《数字证书技术概述》,http://www.xs -4all.nl/# Brands /,1999。
- E. Fernandez-Medina, G. Ruiz和S. De CapitanidiVimerati,“实现SVG文档的访问控制系统”,载于《计算机科学讲义》,第741-753页,意大利卡塔尼亚,2003年。
- A. Freier, P. Karlton,和P. Kocher, SSL协议3.0版,互联网草案,1996年3月。
- V. Gligor,“基于角色的访问控制的特征,访问控制模型和技术研讨会”,第一acm基于角色的访问控制研讨会论文集,no。10,第9-14页,美国马里兰州盖瑟斯堡,1996年。
- HTTP cookie: http://www.netsc -ape.com/newsref/std/cookies spec.html。
- ISO/IEC JTC1/SC29/WG11N5525, MPEG-Overview (Version 9),http://www.chiariglione.org/mpeg/standards/mpeg7/mpeg-7.htm
- H. Kosch, MPEG-7和MPEG-21支持的分布式多媒体数据库技术,CECPress,伦敦博卡塔顿,纽约,华盛顿特区,2004年。
- D. M. Kristol, L. Montulli, HTTP状态管理机制,Draft-ietf-http-state-man-mec.txt, 1999。
- B. S. Manjunath, P. Salembier和T. Sikora, MPEG-7多媒体内容描述接口介绍,John Wiley & Sons, Ltd.,2002。
- K. Moore, N. Freed, HTTP状态管理的使用,Draft-ietf-http-state-man-mec-12.txt。
- 潘良、张昌宁,“利用元数据保护MPEG-7应用程序中的视听内容”,第4期,第287-293页,美国拉斯维加斯,2004年。
- P. Salem bier和J. R. Smith,“MPEG-7多媒体描述方案”,IEEE视频技术电路与系统汇刊,卷。11日,没有。6,页748-759,2001。
- R. Sandhu, E. Coyne, H. Feinstein,和C. Youman,“基于角色的访问控制模型”,IEEE计算机,第29卷,no. 1。2,第38-47页,1996。
- R. Sandhu, V. bhamdipati和Q. Munawer,“角色基于角色管理的arbac97模型”,ACM信息与系统安全学报(TISSEC),第2卷,no. 2。1,页105-135,1999。
|
菜单
CB-RBAC模型
多媒体档案的原始描述树
多媒体档案描述树的分解
统一数据库的逻辑结构
示例1中用于远程安全用户角色分配的数字凭证
多媒体档案的可访问子对象和不可访问子对象