数据库访问控制模型分析

综合分析比较了几种数据库访问控制模型:自主访问控制(DAC),强制访问控制(MAC)和基于角色访问控制(RBAC)。DAC主要根据访问者身份或访问者所属工作组来进行访问控制,MAC是基于被访问信息的敏感程度,而RBAC则是控制对象角色,而不是个人。通过具体模型分析,可以得出尽管RBAC模型仍有些局限,但RBAC模型与传统访问控制模型相比更具优异性,并会在复杂环境中得到更广泛的应用。     

一种RBAC的新模型及其在异构数据库系统中的应用

对基于角色访问控制（rule-based accss control ,RBAC)研究中的热点之一模型的建立进行了较深入的研究，提出了一种针对异构数据库系统新的RBAC模型——H-RBAC（Heterogcncous RBAC,异构基于角色的访问控制），H-RBAC模型引入角色集成继承实现局部角色和全局角色的层次关系，通过会话分流实现动态的访问控制，该模型能够高效、灵活地实现异构数据库系统的联合访问控制。     

一种采用RBAC模型的权限体系设计

为了使基于角色的访问控制(RBAC)模型在权限体系中的实现程序简化,在比较分析访问控制三种主流技术--自主访问控制、强制访问控制.基于角色的访问控制的基础上,着重研究了基于角色访问控制的权限体系的模型,在基于关系数据库的权限体系的基础上,加入了用户组、菜单、菜单项等角色,提出了一套简化的基于RBAC的权限体系.最后,给出了基于RBAC模型权限体系的简化模型的实现类图,简化了权限系统中的认证和授权管理.     

强制访问控制在基于角色的安全系统中的实现

讨论了在基于角色的安全系统中实现强制访问控制(mandatory access control,简称MAC)的 问题.首先介绍了角色的基本概念及其在安全系统中的应用和MAC的基本概念,然后给出了一 个利用角色机制实现强制访问控制的方法,通过将每个角色上下文处理为独立的安全级并施 行非循环信息流要求,实现了强制访问控制.     

一种军用的基于任务-角色的访问控制模型

传统的强制访问控制策略(MAC)可操作性、灵活性差，日益不适应分工明确、分布性广、实时性要求高的军事领域，基于任务-角色的访问控制策略(T_RBAC)结合了基于角色(RBAC)和基于任务(TBAC)访问控制的优点，应用性很广。在分析了强制访问控制思想后，将其引入基于任务-角色的访问控制模型中，构建了一种军用的基于任务-角色的访问控制模型，并对模型的性能作了简要分析。     

在基于角色的安全系统中实现强制访问控制

本文讨论了在基于角色的安全系统中实现强制访问控制的问题。首先介绍了角色的基本概念及在安全系统中的应用和MAC（强制访问控制）的基本概念,然后给出了一个利用角色机制实现强制访问控制的方法。这种方法源于利用角色可以方便的访问某些特定的信息上下文,通过将每个角色上下文处理的为独立的安全级并施行非循环信息流要求,实现了强制访问控制,还提出了一个阻止特洛伊木马的方法。     

RBAC在管理信息系统中的应用

基于角色的访问控制（RBAC）是一种符合实际的访问控制模型,真正实现了用户和权限的逻辑分离,降低了管理和维护用户权限的复杂度和数据库的存储开销.本文介绍了RBAC的基本模型,并且提出了一种适合信息管理系统的访问控制模型.     

基于扩展角色访问控制的普适计算访问控制模型

针对普适计算访问控制对客体部分动态管理的需要,分析了现有扩展基于角色的访问控制（RBAC）的不足,提出一种新的扩展RBAC模型。模型引入客体与客体的关联,使得权限既可以通过角色也可以通过客体获得,并采用描述逻辑对模型访问控制过程进行了形式化描述。该模型能够实现细粒度的动态授权,解决了因决策的固有性导致角色数量过多、授权不灵活的问题。     

基于RBAC与GFAC架构的访问控制模型

在对基于角色的访问控制（RBAC）模型进行优化处理的基础上,提出了一种基于RBAC与通用访问控制框架（GFAC）的访问控制模型。阐述了模型的构成、特点及其访问控制策略,引入了类、约束和特殊权限等新概念,将分级授权、最小化授权、角色继承授权等策略相结合,实现对资源访问的控制。该模型可配置性强,容易维护,降低了授权管理的复杂性。最后给出了模型实现的关键技术。     

基于RBAC扩展的网格访问控制的研究

访问控制是众多计算机安全解决方案中的一种，是最直观最自然的一种方案。而基于角色的访问控制（RBAC）是最具影响的高级访问控制模型。然而，由于网格的跨组织、动态、异构的特点，建立访问控制还需要对RBAC扩展。文中对RBAC做了简单介绍，分析了其在网格环境下的不足，重点给出了扩展RBAC定义，并以此建立了基于RBAC扩展的网格动态访问控制模型，给出了访问控制流程。     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

Building hybrid access control by configuring RBAC and MAC features

ContextRole-Based Access Control (RBAC) and Mandatory Access Control (MAC) are widely used access control models. They are often used together in domains where both data integrity and information flow are concerned. However, there is little work on techniques for building hybrid access control of RBAC and MAC.ObjectiveIn this work, we present a systematic approach for developing a hybrid access control model using feature modeling with the aim of reducing development complexity and error-proneness.MethodIn the approach, RBAC and MAC are defined in terms of features based on partial inheritance. Features are then configured for specific access control requirements of an application. Configured features are composed homogeneously and heterogeneously to produce a hybrid access model for the application. The resulting hybrid model is then instantiated in the context of the application to produce an initial design model supporting both RBAC and MAC. We evaluate the approach using a hospital system and present its tool support.ResultsRBAC and MAC features that are specifically configured for the application are systematically incorporated into a design model. The heterogeneous features of RBAC and MAC are not only present in the resulting model, but also semantically composed for seamless integration of RBAC and MAC. Discharging the proof obligations of composition rules to the resulting model proves its correctness. The successful development of the prototype demonstrates its practicality.ConclusionFeatures in the access control domain are relatively small in size and are suitable to be defined as design building blocks. The formal definition of partial inheritance and composition methods in the presented approach enables precisely specifying access control features and feature configuration, which paves the way for systematic development of a hybrid access control model in an early development phase.     

基于角色的存取控制--RBAC

ＲＢＡＣ作为对传统的自主和强制存取控制的替代方案，近来有了长足的发展。     

一种通用访问控制管理模型

目前的访问控制管理模型都是针对某种特定的访问控制模型提出的,不能适应多访问控制模型共存于一个大型系统的情况,一个管理模型不能同时适用于多访问控制模型的主要原因是管理者管理范围定义包含了某种访问控制模型中特有的组件.通过使用各种访问控制模型中共有的主体和权限来定义管理模型中的管理范围,将管理模型与访问控制模型之间的关系抽象为一个用于计算策略相关管理范围的函数,提出了一种能够用来管理不同访问控制模型的通用访问控制管理模型,为了便于模型实际使用,在模型中引入管理空间的概念与实际组织结构相对应,形成分布式访问控制管理结构,同时模型严格区分了管理空间的直接管理者和间接管理者在管理权限上的不同,使得管理者具有一定的自治性.最后讨论了管理模型中的管理规则和语义,证明了模型的完备性,并讨论和分析了针对不同访问控制模型的policy*算法.     

新型网络环境下的访问控制技术

访问控制是系统安全的关键技术,不同网络环境下的访问控制机制也是不同的.首先对3种传统的访问控制策略加以介绍,给出DAC(discretionary access control),MAC(mandatory access control)和RBAC(role-based access control)各自的特点及应用,并简要介绍下一代访问控制UCON(usage control)模型,然后分别针对网格、P2P、无线网络环境下的访问控制技术及目前的研究现状进行总结,详细阐述可信网络作为下一代互联网发展的必然     

基于文件操作阻断的系统安全加固技术

根据监狱信息系统功能模块多、用户数量大、人员调动频繁、信息机密性高的特点,提出了一种综合访问控制模型,给出了模型的形式化描述.该模型把MAC, RBAC, TRBAC有机地结合在一起,有可控性强和授权管理方便的特点.利用该模型,设计了权限管理子系统,给出了系统中权限管理的具体实现,解决了监狱系统中复杂的访问控制问题.     

监狱信息系统中权限管理的设计与实现

根据监狱信息系统功能模块多、用户数量大、人员调动频繁、信息机密性高的特点，提出了一种综合访问控制模型，给出了模型的形式化描述。该模型把MAC, RBAC, TRBAC有机地结合在一起，有可控性强和授权管理方便的特点。利用该模型，设计了权限管理子系统，给出了系统中权限管理的具体实现，解决了监狱系统中复杂的访问控制问题。     

一种改进的以基于角色的访问控制实施BLP模型及其变种的方法

该文指出了Sandhu等人提出的以基于角色的访问控制(Role-Based Accesas Control,RBAC)实施强制访问控制(Mandatory Access Control．MAC)策略的方法存在拒绝服务(Denial of Service,DoS)和给主体赋予过多权限等错误，且缺乏对经典BLP模型的充分的支持．为此作者提出了一种改进的方法——ISandhu方法，引入了辅助角色层次，加强了角色间关系并提供了对可信主体概念的支持．此方法修正了原有方法的错误，在RBAC中实施了经典的BLP模型及其变种模型以满足实际需求．保证了强制访问控制策略的正确实施，为在大量商业系统中以较小的代价引入强制访问控制提供了理论依据．     

面向多级关系数据库的RBAC扩展模型

提出了一种角色访问控制扩展模型,该模型在标准RBAC体系中引入分级策略,通过扩展读写规则和授权限制消除了RBAC中向下的信息流,并通过范围分离和会话密级等语义保留了标准RBAC的灵活性和表达力。该模型可应用在众多既需要控制信息流动的强制存取控制又需要有角色存取机制灵活性的系统中。在给出模型的形式化定义后,对模型的实现规则、访问策略、权限分配管理、在多级关系数据库中的实现机制及模型的BNF范式以及具体应用做了说明。     

一种基于角色PMI的访问控制安全模型

访问控制一直是信息安全的重要保证之一。它包括三种主要的策略，即自主访问控制、强制访问控制和基于角色的访问控制。文中介绍了以上三种访问控制策略以及角色指派属性证书和角色规范属性证书，以此为基础讨论了基于角色的PMI体系结构，然后探讨了基于角色PMI的访问控制安全模型。该模型具有灵活、方便、占用较少存储空间以及减少了网络通信的开销等优点，目前正将该模型使用到大型网络信息管理系统中，实现系统的访问控制。