一种基于可信度和属性的RBAC授权模型*

针对传统RBAC模型中存在用户角色指派的模糊性、用户授权认证决策的单一性及角色数量与管理的冲突等问题,提出一种结合属性与可信度的改进型RBAC授权模型——TA-RBAC模型。该模型通过增加对用户及所在平台的可信性认证,使得传统模型的认证方式得到了完善,保证了系统授权过程更为安全可靠;同时利用可信度和属性概念对传统模型的授权机制进行了扩展,通过用户认证可信度指派相应的系统角色,实现了动态的用户角色指派;在权限指派过程中引入属性实现对象激活操作,有效地减少了角色的设置数量并实现了更细粒度的授权。最后给出模型授     

基于角色和用户组的扩展访问控制模型*

针对传统的RBAC模型所存在的问题,引入用户组进行了改进：除了RBAC模型的角色授权外,增加了用户组对数据资源进行授权,使用户所拥有的权限变成用户所属角色的功能权限和用户所属部门的资源权限之和。改进后的混合授权的扩展模型(E-RBAC)不仅有效解决了角色定义、用户职责、功能和资源等动态变化对系统所带来的问题,更增强了对用户授权的灵活性和可维护性,并且在实际项目中得到了应用。     

扩展RBAC的CRM动态用户访问控制模型与实现

通过研究CRM用户管理系统的特点，提出一种新型的扩展RBAC的CRM动态用户访问控制模型，并对该模型进行详细的定义和分析。该模型通过用户—角色—权限的权限授权模式，减少了授权管理的复杂性；通过角色等级和职责分离约束解决了用户角色职能交叉重叠的问题；引入团队和个性化数据集的概念，改善了系统的数据的访问隔离问题并完善了用户个性化；最后介绍系统实现实例。     

一种RBAC模型中实现否定授权的方法

针对现有基于角色访问控制RBAC(Role_based Access Control)相关模型中对否定授权研究的不足,指出用户可以获得计划外权限的问题.通过引入授权状态的概念,对RBAC模型中权限与角色之间的分配关系进行扩展,定义许可授权、收回授权、否定授权及其优先级,给出授权状态合并运算的九个规则,提出RBAC模型实施否定授权的方法.分析实现否定授权的RBAC模型性能,通过具体实例充分说明实现否定授权的RBAC模型的安全性和实用性,并在实际应用中得到实现和验证.     

基于属性的权限-角色分配模型

基于属性的RBAC提供了一种其角色是基于企业指定授权规则的并自动进行用户-角色分配的机制.该机制只对用户-角色分配进行了讨论,而缺乏对权限-角色分配(PRA)部分的考虑.对基于属性的RBAC进行了扩展,描述了基于属性的权限-角色分配模型.最后将这两种模型结合起来使之应用于分布式环境下的访问控制中.     

基于时间分区的改进RBAC授权模型

针对传统RBAC授权模型灵活性低的问题,提出了一种基于时间分区的改进RBAC授权模型.首先将系统的整体进程分成若干时间分区,分别在每个分区里分配角色和权限,使得各个分区独立且紧密相连.其次,将时间分区具体化为阶段集,并在基本RBAC模型中引入阶段集使其构成改进RBAC模型.管理员只需要控制阶段的进度就可以控制各角色、各用户的访问权限.该改进模型在公选系统的实际应用中取得了很好的效果.     

基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。     

基于角色扩展的RBAC模型

针对基于角色的访问控制(RBAC)模型在模拟复杂组织结构和权限继承关系方面的不足,提出了基于角色扩展的RBAC模型——MR-RBAC。该模型在角色集和权限集之间引入了最小角色集,并形式化定义了模型的基本集合和相关函数。同时还深入研究了扩展模型中的角色权限类型与角色关系,给出了最小角色的概念以及其生成算法。分析表明,MR-RBAC模型改善了传统模型的角色层次结构和权限继承关系,具有授权粒度细、可伸缩性、可扩展性、安全等优点。最后模型性能测试表明原型系统在引入最小角色划分后对于系统时间性能的影响不大。     

基于改进后RBAC的动态工作流模型的研究

文章对RBAC的角色授权模型进行了扩展,并将扩展后的角色权限模型引入到了工作流中,产生了基于RBAC的动态工作流系统,并且给出了基于RBAC的动态工作流系统的整体体系结构,然后在项目中得到了很好的运用.     

基于属性的权限一角色分配模型

基于属性的RBAC提供了一种其角色是基于企业指定授权规则的并自动进行用户一角色分配的机制。该机制只对用户一角色分配进行了讨论，而缺乏对权限一角色分配(PRA)部分的考虑。对基于属性的RBAC进行了扩展，描述了基于属性的权限一角色分配模型。最后将这两种模型结合起来使之应用于分布式环境下的访问控制中。     

细粒度的基于角色的访问控制模型

RBAC模型是一种被广泛应用的访问控制模型。但是,RBAC模型是在角色级管理和控制权限,不能满足用户获得角色的部分权限和角色权限的部分继承等安全需求。针对这个问题,在RBAC模型中增加权限的重要程度要素,提出了FGRBAC模型(Fine-Grained Role-Based Access Control Model--细粒度的基于角色的访问控制模型),并给出了在FGRBAC模型中求用户权限和角色权限的算法。FGRBAC模型不仅可以使用户获得角色的部分权限、父角色可以继承子角色的部分权限,而且RBAC模型可被看成是FGRBAC模型的一种特例。因此,FGRBAC模型不仅具有RBAC模型的所有优点,而且比RBAC模型具有更好的灵活性和实用性。     

数据备份系统中基于角色访问控制模型的研究

基于角色访问控制(RBAC)是一种方便、安全、高效的访问控制机制。文中分析了RBAC的基本思想和模型，然后介绍了用户角色分配和角色许可分配的基本方法，最后提出了在数据备份系统中运用RBAC实现用户权限管理的应用模型。并实现了标准建模语言UML的交互图描述RBAC的授权流程，从而使系统开发人员能深刻理解RBAC模型和建立基于角色的系统。     

基于E—cargo模型的RBAC冲突约束研究

RBAC是一种基于角色访问控制模型,该模型通过角色为核心,并加以各种约束,完成对用户权限的管理指派,一奎妻通荽引用E-CARG．O模型对RBA．C进彳亍形式化建模,并用该模型解决RBAC中的角色指派和用户指派冲突。     

关于改进的RBAC模型研究及应用实现

通过对基于角色的访问控制模型分析,结合无锡市政协数字化平台的工作需要,提出了一种基于用户组的RBAC模型。把具有相同职责的用户组成一个用户组,由原来的给每个用户分配角色,改进为给用户组分配角色,减小了授权的工作量。系统采用J2EE技术,集成Struts,Spring,Hibernate开源框架,论述了权限管理模块的实现方法。     

基于组织的访问控制模型

基于角色的访问控制（RBAC）模型在为用户分配角色和为角色分配权限方面效率不高,在权限分配方面缺少上下文限制。文章针对该缺陷提出基于组织的访问控制模型,在RBAC的基础上,通过扩展组织作为实体,降低多级组织中用户角色分配的复杂性。引入客体和行为的抽象概念,基于组织定义模型中的其他实体和关系提高角色权限分配效率,实现权限的上下文约束。     

基于RBAC模型的安全访问机制建模研究

基于角色访问控制（RBAC）是一种方便、安全、高效的访问控制机制。介绍了软件系统安全控制策略，分析了RBAC的基本思想和用户角色分配的基本方法，提出了基于面向对象的RBAC建模思想，并用标准建模语言UML的交互图描述RBAC的授权流程，从而使系统开发人员有效理解RBAC模型并建立基于角色的系统。文中还给出了在数据备份系统中运用RBAC实现用户权限管理应用模型的实例。     

基于角色的访问控制在ASP.NET 2.0中的应用研究

安全是影响Web发展的重要方面,访问控制和授权是Web安全的核心问题.介绍了基于角色的访问控制(RBAC)模型,研究了RBAC在ASP.NET 2.0中的应用,探讨了ASP.NET 2.0中的身份认证、用户和角色管理、RBAC模型的实现等问题,实现了基本的基于角色的访问控制模型并讨论了ASP.NET 2.0中的RBAC模型的扩展.     

一种RBAC改进模型及其在军事Web信息系统中的应用

军事Web信息系统要求用户权限必须严格控制、统一管理、维护简便.基于RBAC的访问控制模型能有效弥补DAC和MAC的不足.针对著名的RBAC96模型的缺陷,提出数据资源以业务功能表示、预设角色与用户临时权限的改进角色权限控制模型.该改进方法已经在某军事Web信息系统中得到了应用.     

Policy analysis for Administrative Role-Based Access Control

Role-Based Access Control (RBAC) is a widely used model for expressing access control policies. In large organizations, the RBAC policy may be collectively managed by many administrators. Administrative RBAC (ARBAC) models express the authority of administrators, thereby specifying how an organization’s RBAC policy may change. Changes by one administrator may interact in unintended ways with changes by other administrators. Consequently, the effect of an ARBAC policy is hard to understand by simple inspection. In this paper, we consider the problem of analyzing ARBAC policies. Specifically, we consider reachability properties (e.g., whether a user can eventually be assigned to a role by a group of administrators), availability properties (e.g., whether a user cannot be removed from a role by a group of administrators), containment properties (e.g., every member of one role is also a member of another role) satisfied by a policy, and information flow properties. We show that reachability analysis for ARBAC is PSPACE-complete. We also give algorithms and complexity results for reachability and related analysis problems for several categories of ARBAC policies, defined by simple restrictions on the policy language. Some of these results are based on the connection we establish between security policy analysis and planning problems in Artificial Intelligence.