利用规则RBAC模型实现门户的安全访问控制

基于角色的访问控制(Role—Based Access Control,RBAC)是一种安全、高效的访问控制机制,并不能满足门户中根据用户特征的动态改变而动态地改变用户角色的需要。结合RBAC模型思想和门户的需要提出一个基于规则的RBAC模型,在用户和角色之间增加规则,并通过定义规则表达式实现了动态的用户角色分配,克服了标准的基于角色访问控制模型应用于门户的缺陷。讨论了以规则RBAC模型为基础的门户中资源访问控制的实现,有效地解决了门户中的安全访问控制问题。     

一个环境适应的基于角色的访问控制模型

大型网络应用如疫情报告系统需要访问控制系统根据环境变化调整访问控制策略,而现有的访问控制模型缺乏灵活性,难以适应环境动态变化的需要.通过对RBAC模型进行扩展,提出了一个环境适应的基于角色的访问控制模型EA-RBAC.该模型相对于传统RBAC模型,增加了事件触发、基于事件的状态等价类迁移、环境角色和虚拟域等机制.通过事件触发机制和状态等价类迁移实现了系统对环境变化的感知和随环境变化的状态迁移.通过环境角色和虚拟域的概念,实现了环境角色的动态调整和用户授权的按状态调整.该模型能够根据环境变化,在不失安全性的前提下为大型网络应用灵活实施访问控制策略.作为示例,给出了模型在疫情报告系统中的适用性分析.     

G_ERBAC网格安全访问控制模型

针对网格访问控制的多域性和动态性,指出了传统访问控制策略在实际应用中的不足,对现有RBAC模型进行功能上的扩展,建立了基于环境-角色的网格访问控制模型G_ERBAC。该模型引入环境实体以及域管理的概念,根据域间动态角色映射规则实现用户-角色分配,通过基于环境的动态安全引擎机制调整角色-权限,实现了用户-动态角色-动态权限的相关,从而能更好地适用于网格环境。     

动态访问控制技术的研究与应用

权限访问控制模块是每一个多功能管理信息系统所必有的最重要功能模块之一。通过权限访问控制可以增强应用系统的安全性,保护应用程序和后台数据。文中主要介绍了基于RBAC模型的动态访问控制机制,详细阐述了应用RBAC模型的设计思想和实现方法以及数据库设计,并且对RBAC模型的角色与角色、权限与权限之间的关系做了进一步扩展和细化,增强了RBAC模型的灵活性和安全性。文中提出的实现方案已成功应用于“黄陵县人事管理信息系统”中。     

带属性策略的RBAC权限访问控制模型

传统基于角色的访问控制(RBAC)不能很好地解决多方访问控制下信任等级的细粒度区分.本文对多种角色访问控制模型及属性特征进行了研究,提出基于属性策略的RBAC模型,对模型进行了形式化定义.在基于属性策略的RBAC模型中,扩展了RBAC中角色的概念,对角色的属性进行了定义并提供基于属性策略的验证方式,进而给出了多方精确访问控制的实现,提高了访问控制的灵活性和对数据对象粒度控制的精确性.在云计算平台上,设计并实现了SaaS模式下的细粒度对象管理服务,实验验证了该模型对动态权限变化的适应能力及多方访问的权限控制能力.     

角色访问控制和强制访问控制的统一模型研究

分析Sandhu方法和ISandhu方法基于RBAC实施MAC方案中存在的问题和不足,指出它们在实现强制访问控制的同时,丢弃了基于角色访问控制的优点,存在角色数受安全标签数限制、角色语义不明、角色层次不能扩展、不支持最小特权和职责分离等问题,影响了模型的实用性和灵活性.提出一种扩展的URBAC模型,在该模型的基础上,通过实施不同约束集可分别实现基于角色访问控制和强制访问控制.该方案既保留了RBAC和MAC各自的优点,又可通过对约束集的调整在不同策略之间进行转换,为模型的多安全策略支持提供了一条思路.     

动态访问控制技术的研究与应用

权限访问控制模块是每一个多功能管理信息系统所必有的最重要功能模块之一。通过权限访问控制可以增强应用系统的安全性，保护应用程序和后台数据。文中主要介绍了基于RBAC模型的动态访问控制机制，详细阐述了应用RBAc模型的设计思想和实现方法以及数据库设计，并且对RBAC模型的角色与角色、权限与权限之间的关系做了进一步扩展和细化，增强了RBAC模型的灵活性和安全性。文中提出的实现方案已成功应用于“黄陵县人事管理信息系统”中。     

基于角色的时空访问控制模型

在RBAC模型基础上,提出了一种新的基于角色的时空访问控制模型（ST-RBAC）。ST-RBAC对RBAC中的用户、客体、许可、角色等要素进行了时空化,使之具备时空属性。与RBAC相比,该模型在不增加规则的前提下,通过要素之间的时空关系隐性地实现模型的时空约束。在计算和存储能力受限的移动计算、普适计算环境中,该模型可以得到应用。     

面向SELinux的角色权限研究

SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.     

基于RBAC模型的安全访问机制建模研究

基于角色访问控制（RBAC）是一种方便、安全、高效的访问控制机制。介绍了软件系统安全控制策略,分析了RBAC的基本思想和用户角色分配的基本方法,提出了基于面向对象的RBAC建模思想,并用标准建模语言UML的交互图描述RBAC的授权流程,从而使系统开发人员有效理解RBAC模型并建立基于角色的系统。文中还给出了在数据备份系统中运用RBAC实现用户权限管理应用模型的实例。     

基于角色的扩展可管理访问控制模型研究与实现

基于角色的访问控制(RBAC)具有简单灵活、细粒度控制、可用性强等特点,受到广泛的关注,近10年来,RBAC得到了广泛的研究与扩展．针对RBAC模型中存在的不足,提出了一种基于角色的可管理访问控制模型EARBAC．EARBAC通过对客体资源、访问类型的进一步抽象,对NISTRBAC参考模型进行了有效的扩展,更具通用性与更强的现实世界表达能力,同时与ARBAC96的结合,使其具有良好的可管理能力．基于该扩展模型,实现了一个安全的网络文件原型系统．     

ERBAC模型的改进与实现*

阐述了RBAC96模型在实际应用中存在授权、访问规则、细粒度访问控制等方面的不足,分析了基于角色对用户和角色混合授权的ERBAC模型的不足,提出了一种改进ERBAC模型,使其授权更加灵活,安全性更高,并采用引入访问规则和模糊时间约束机制以及把系统模块和角色进行绑定的方法予以实现。访问规则和审计功能及模糊时间约束机制的引入能使安全性更高,把系统模块和角色进行绑定达到细粒度的访问控制。改进ERBAC模型的授权更加灵活,其安全性更高。     

使用控制支持的动态Web服务访问控制模型研究*

提出了使用控制支持的动态Web服务访问控制模型(WS-DAUCON)。该模型提供了足够的灵活性,能够根据分布式开放网络环境中的属性信息,基于authorization、obligation和condition三种决定策略来检查访问控制决策,实施动态的细粒度Web服务访问控制;同时保留了传统RBAC模型的优点。最后给出了WS-DAUCON的实施框架。     

一种新的UCON的数据仓库安全模型

使用控制模型(UCON)是作为下一代访问控制模型被提出的,一经提出就得到了广泛研究,其应用范围也得到了极大扩展.数据仓库安全问题的核心之一是安全模型的建立,结合基于角色访问控制模型(RBAC)和使用控制模型(UCON)建立了一个新的数据仓库安全模型RUCON.模型结构分为两部分,RBAC组件和UCON组件,管理安全、角色授权由RBAC组件负责,解决用户授权问题;客体权力、决策处理由UCON组件负责,解决属性易变性和访问持续性的问题.     

扩展式基于角色的访问控制模型的研究

在企业规模不断扩大的背景下,面对用户数量庞大,权限分配粒度要求较高的大型系统,传统的RBAC模型存在的角色数量过多、授权管理负担过重等问题尚未得到有效解决.为此,在传统RBAC的基础上进行改进,提出了一种扩展式基于角色的访问控制模型ERBAC,并给出了此模型的实现方式.     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

多数据库系统中基于角色的访问控制策略研究

本文提出了一个基于角色的多数据库访问控制策略,它包含了基于RBAC的授权主体定义、基于面向对象公共数据模型的授权客体定义和基于语义的授权规则。另外,我们还深入讨论了授权冲突的解决和具体的实现算法。     

基于多维度量和上下文的访问控制模型

在分布式系统中,用户身份难以确定、接入平台复杂,且网络环境动态多变,传统的基于角色或身份的访问控制模型已无法满足用户需求。为此,结合基于角色访问控制(RBAC)和信任管理(TM)的特点,在RBAC的基础上,引入信任与上下文的概念,对用户身份、接入平台及用户行为进行多维度量,根据网络环境和用户状态的动态多变性,提出一种基于多维度量和上下文的访问控制模型(MCBAC),该模型主要依据用户的身份信息和可信度分配角色,通过上下文约束,实现动态角色授权控制,具有较高的安全性及较好的灵活性。     

PMI授权管理系统设计与实现

企业的安全应用面临着资源信息需共享,跨组织边界的用户和服务资源会随时调整,安全策略中的安全属性种类繁多,权限决策辅助因素的多变等问题。文中介绍的PMI授权管理系统为上述问题提供了一个可行的解决方案。该系统将GB／T16264．8-2005和ISO／IEC9594-8（2005）相结合,遵循属性证书的X．509协议,利用改进的RBAC模型建立授权机制,将各类权限信息存储在LDAP数据库及属性证书中。应用结果表明,系统将访问控制机制从具体应用的开发和管理中分离出来,不仅屏蔽了安全技术的复杂性,也拥有很强的灵活性、适应性和可扩展性。文中给出了系统总体设计、授权体系与访问控制模型及LDAP数据库设计方案。     

一种基于用户行为信任的动态角色访问控制

在基于角色的访问控制(RBAC)模型基础上,引入了属性的概念,增加了用户行为信任级别集合,建立了一种基于用户行为信任评估的动态角色访问控制(UT-DRBAC)模型。对新的模型进行了详细的形式化描述并讨论了模型的授权流程,最后从动态性、信任机制、角色数量和性能方面对模型的优越性进行了分析。新的访问控制模型通过角色属性的动态指派实现了模型授权的动态性,通过把用户信任级别作为一个必需的角色属性实现了基于身份信任和行为信任相结合的访问控制,改变了现有访问控制模型单一基于身份信任的静态授权机制;通过设置角色属性减少角色数量,从而缓解了因角色过多而带来的角色管理问题,同时提高了性能。