RBAC模式中互斥角色的性质及其安全性

角色互斥是一种实施职责划分的有效手段.文章在形式化描述的基础上从两个方面对角色互斥进行划分,探讨各种互斥的性质及其相互关系.同时给出确保职责划分不被违反的安全条件,证明静态/完全互斥是满足安全条件的充分条件,而部分互斥则是必要条件.互斥越严格,安全性越好.     

基于角色扩展的RBAC模型

针对基于角色的访问控制(RBAC)模型在模拟复杂组织结构和权限继承关系方面的不足,提出了基于角色扩展的RBAC模型——MR-RBAC。该模型在角色集和权限集之间引入了最小角色集,并形式化定义了模型的基本集合和相关函数。同时还深入研究了扩展模型中的角色权限类型与角色关系,给出了最小角色的概念以及其生成算法。分析表明,MR-RBAC模型改善了传统模型的角色层次结构和权限继承关系,具有授权粒度细、可伸缩性、可扩展性、安全等优点。最后模型性能测试表明原型系统在引入最小角色划分后对于系统时间性能的影响不大。     

RBAC模型中角色继承关系的研究与改进*

针对RBAC96模型中私有权限实现方法的不足,分析了现有改进方案的研究现状和不足,引入继承属性的概念,通过继承属性值实现权限公有与私有的划分,提出了角色继承时只创建继承关系的继承方案。引入权限重载概念,给出了多角色继承及权限重载时的冲突解决规则,采用广度优先搜索算法实现了角色权限的动态获取;结合实例说明了角色继承、权限重载、解除继承关系的实现方法。     

RBAC中关于角色权限继承问题的研究

本文分析了经典的RBAC96模型中角色的继承及私有权限问题。借助面向对象中的访问限定符public、private和protected的概念，将角色的权限划分为：私有权限、保护权限和公有权限。并明确：私有权限不能被任何子角色继承，公有权限能被所有子角色不限制地继承，而保护权限则可以被部分子角色继承。然后，提出了两条角色权限的继承规则。最后给出了一个求角色权限集的算法。在该算法中，通过定义的两条角色权限的继承规则，可以实现子角色对父角色中非私有权限的不同形式的继承。     

支持角色双向继承的约束RBAC模型

针对经典RBAC(Role Based Access Control)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处,提出了一种支持角色双向继承的约束RBAC模型BI-RBAC。该模型对经典的RBAC模型进行扩展,增加虚拟角色及其层次结构以支持角色的双向继承,并定义资源操作的概念。给出模型的形式化定义的同时,设计了访问控制算法。模型在自主开发的大型平台软件钱塘中间件平台软件中得到了应用,可较好地支撑恒生证券交易系统等大型软件系统。     

基于角色理论的RBAC96模型改进

在分析RBAC96模型的基础上,从角色概念及角色间关系的角度分析其不明确之处;通过角色理论中的可计算角色模型,改进RBAC96模型,使其具有更好的扩展性。     

角色分离的层次化RBAC模型

层次化的RBAC模型中角色本身的更改是相当困难的。通过分析,发现造成角色更改困难是因为层次建立在对权限的继承上,任何权限的改变都会引起层次的强烈震动。为了获得稳定的层次下角色更改的便利,提出了角色分离的层次化模型。模型通过对现有的RBAC模型中的角色进行抽象和具体分离,能够在保持层次稳定的情况下对角色进行便利的修改。。     

针对基于多父角色RBAC模型的研究与应用

针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。对RBAC模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。     

物流信息系统中RBAC模型角色继承关系的研究与实现

首先对信息系统的访问控制进行简单介绍，着重介绍了基于RBAC权限角色的模型设计思想；并对现有模型提出了自己的改进方法，从角色的继承深度和继承范围这两个方面对模型进行了深入分析，最后完成了模型的系统实现。     

角色访问控制中基于描述逻辑的角色互斥实现

本文基于描述逻辑的本体技术在不同的系统中利用相同的分布式的词汇表来实现知识的共享,从而达到不同自治域的角色权限的统一。此外,由于角色互斥是角色访问控制中至关重要的限制之一,本文利用描述逻辑的语法完成了角色互斥的本体实现。     

角色互斥在角色访问控制系统中的应用

讨论了角色互斥在角色访问控制系统中的应用。在角色访问控制系统基本模型的基础上，从角色互斥应用的时机和互斥角色之间权限共享两个角度进行了分析，并形式化地描述了静态和动态互斥的原则及角色之间共享权限的约束关系，最后给出了在角色访问控制系统中应用了角色互斥之后所带来的一些性质，并加以证明。     

基于多亲树的RBAC角色可视化管理

基于角色的访问控制(RRAC)被广泛地应用于各类复杂信息系统中,通过对用户指派角色进行授权以访问系统中的特定数据或资源。一些问题已在应用过程中逐渐暴露:如何较好地展现角色层次关系、用户角色指派和角色指派中约束如何体现、冗余的角色授权如何检测与解除等。从可视化的角度采用层次信息可视化技术来辅助RRAC中的角色管理。首先阐述了所研究的问题,并定义了可视化过程中使用的多亲树结构;然后给出一个多亲树规范化过程,以建立一个符合可视化要求的标准角色层次;随后提出一种双层可视化范例来展示角色管理过程,其中下层用于展示角色层次和权限,上层用于配置用户节点;此外,针对所述问题给出若干交互方法,以可视地辅助解决角色管理中的约束和冗余问题。     

基于RBAC模型的用户权限在OA中的研究

本文阐述了RBAC模型的基本原理,并针对OA系统权限管理所遇到的问题,提出了基于RBAC的用户权限管理的解决方案。将RBAC运用到OA的用户访问权限管理中,增强了系统信息的安全性。本OA系统基于B/S架构,在一定程度上保证了权限管理的质量,有效地解决了OA系统权限的管理问题。     

基于模糊的RBAC模型研究与优化

传统的RBAC策略在企业用户数量剧增时,角色指派和权限维护成为系统管理员沉重的负担。为简化管理员的工作、规范安全策略,提出一种基于模糊的RBAC优化模型。使用位图矩阵进行角色信任度计算。将方差引入因素权重向量的调整策略,改进取大取小操作的局限性。对相似的用户聚类,在聚类中分享群体经验提高模型的精确性。为用户引入历史互斥权限表,实现带有责任分离约束的模糊RBAC模型。     

角色访问控制

1 引言角色访问控制是一种介于传统的自主访问控制和强制访问控制机制之间的安全策略,越来越引起人们的重视。角色访问控制机制很自然映射到组织机构中,每个用户可以赋予一些角色,每个角色负责一些任务。在最近20年中,角色访问控制机制已经有各种不同形式的应用。本文介绍Sandhu在96年提出的角色访问控制形式化的定义和模型,指出了角色访问控制和用户组的不同之处,并结合Sandhu提出的模型,给出了角色继承和角色限制的定义以及形式化的描述,对角色限制中最重要的部分也就是任务分离作了详细的介绍。     

一种RBAC的描述逻辑表示方法

基于角色的访问控制(RBAC)通过角色来控制用户对资源的访问,极大地简化了安全管理。虽然对RBAC的研究比较成熟,但由于RBAC目前缺乏形式化的表示,使得RBAC中的一些概念和性质存在不同的理解。描述逻辑(DL)是一种基于对象的知识表示的形式化系统,它是一阶逻辑的一个可判定的子集,具有合适定义的语义,并且具有很强的表示能力。为了给出RBAC的形式化方法,以描述逻辑为工具,RBAC96模型为基础,提出了RBAC的描述逻辑DLRBAC。用描述逻辑的符号给出了RBAC中主要的元素和关系的形式化定义,并证明了这种描述逻辑表示对于RBAC模型的忠实性。所提出的RBAC形式化模型可以作为进一步研究RBAC的理论基础。     

支持动态角色切换的RBAC模型

动态角色切换是信息系统依据用户属性改变而部分或整体改变用户-角色指派的一种自动授权机制。本文将动态角色切换引入到RBAC96模型,论述了动态角色切换的各种形态、不同切换间的相互关系及模型实现。基于动态角色切换,系统可以自动处理触发角色切换条件而引起的用户-角色指派变更问题,整个过程无须人工参与,减轻了系统管理员的工作负担,提高了授权管理的效率与安全性。     

RBAC中基于角色的委托模型研究与构建

在委托服务器概念的基础上,加入了对冲突角色的限制,使基于角色的委托模型更加完善。文中将委托分为主动委托和被动委托,任何角色都可以发起委托请求,但委托能否进行,是由委托服务器根据委托信息来决定,突破了上层角色委托下层角色的单一委托模式。在委托过程中加入了更多限制条件,大大减少了委托过程中角色冲突的问题,并且通过建立临时委托角色,解决了委托粒度的问题。     

多副本访问控制的分层结构分布式互斥算法

提出了一种用于分布式系统中多副本对象访问控制的分层结构分布式互斥实现方法,可以显著降低分布式系统中互斥访问算法的消息复杂度,并提高了系统和算法的容错能力和稳定性,为构建超大规模分布式系统,保证分布式系统中的多副本对象的互斥和一致访问提供了实现手段。