.应用角色和任务访问控制的工作流动态授权模型

为实现职责分离和最小权限约束,在传统基于角色和任务访问控制模型的基础上,提出一种应用角色和任务访问控制的工作流动态授权模型。该模型主要包含：①引入了工作流上下文信息来加强职责分离约束;②把权限最小化到任务状态层次;③根据工作流的变化和执行任务所处的状态进行动态地授权。最后以驾驶员培训系统为例,说明了该模型怎样动态实现最小权限约束、职责分离和动态授权,以此说明该模型能够满足工作流动态变化频繁的复杂系统访问控制的需要。     

权限约束支持的基于角色的约束访问控制模型与实现

阐述现有基于角色的安全控制中的不足，通过分析角色间约束产生的根源，提出通过建立权限约束关系来支持角色之间的约束管理和实现访问控制，文中定义了权限约束支持的基于角色的约束访问控制模型及增强权限模型，并介绍这个约束访问控制模型在ZD－PDM中的应用，实践表明，这种访问控制模型型除了增强系统安全访问之外，还可以提供一种更灵活的授权机制，并降低安全管理员的工作复杂性。     

基于用户-角色-任务的多约束访问控制模型

传统的访问控制模型采用手动的授权方式, 应用在目前混合型组织企业中, 造成权限授权复杂、准确度低. 因此, 提出一种基于用户-角色-任务的多约束访问控制模型(C-URTBAC), 该模型采用用户分级管理、权限在主体和客体间的传播性思想, 实现了半自动化的授权方式, 提高授权效率和准确度; 同时细化了约束分类, 实现了细粒度化的权限管理. 最后将该模型引用到某汽车零部件公司的PLM系统中, 验证了该模型的实用性.     

基于RBAC模型的多级权限访问控制设计

在基于角色的访问控制(RBAC)模型结构的基础上,提出了一种多级权限访问控制模型。该模型采用逐级授权方式,细化了权限控制粒度,实现了权限动态配置、模块复用,能够更灵活高效地对系统进行权限访问控制。并将其应用于实际系统项目的建设。     

增强权限约束支持的基于任务访问控制模型

针对基于任务访问控制模型的权限管理与实现机制的不足，在任务规则的基础上，提出一种增强权限约束支持的基于任务访问控制模型．该模型通过任务型权限集合的定义，把任务与权限融合在一起研究权限产生的约束机制，同时给出模型形式化定义以及权限关联的各种约束规则，并介绍了该模型在AVIDM中的应用．实践表明，该模型提供了更灵活的授权机制，增强了任务模型的实用性，方便了权限管理工作，适合事务管理系统与工作流环境下的访问控制建模．     

基于RBAC与GFAC架构的访问控制模型

在对基于角色的访问控制（RBAC）模型进行优化处理的基础上,提出了一种基于RBAC与通用访问控制框架（GFAC）的访问控制模型。阐述了模型的构成、特点及其访问控制策略,引入了类、约束和特殊权限等新概念,将分级授权、最小化授权、角色继承授权等策略相结合,实现对资源访问的控制。该模型可配置性强,容易维护,降低了授权管理的复杂性。最后给出了模型实现的关键技术。     

基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个“任务角色”分配的授权算法,解决工作流管理系统动态授权约束的问题。     

一种基于任务和角色的工作流访问控制模型

对于工作流系统中的工作流控制,提出了基于任务和角色的工作流访问控制模型。模型在基于角色的访问控制模型中引入任务,并为任务的执行增加了时间约束,通过对任务的动态授权实现了权限的按需和动态分配。     

基于角色的细粒度访问控制模型的设计与实现

为有效解决目前权限管理中存在的授权复杂、不灵活等问题,提出了基于角色的细粒度访问控制模型.改进基于角色的访问控制模型,在其中引入属性约束和用户组,从访问控制的粒度出发分析并设计出基于角色的细粒度模型.新模型有效减少了角色和权限的授予数量,降低了权限管理复杂性,确保了细粒度的访问控制.通过将新模型具体运用到基于J2EE的Web系统并以用户权限树和存储过程实现,表明了新模型的可行性、灵活性和高效性.     

基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。     

网格环境下基于上下文和角色的访问控制

基于角色的访问控制RBAC是当前比较流行的访问控制模型,但和其它的传统访问控制模型一样采用的是静态授权,没有考虑所处的上下文环境,在应用于以动态性为显著特征的网格计算环境,必然导致一定的缺陷。在基于角色访问控制RBAC模型的基础上进行了扩展,加入了用户活动角色、系统活动权限、用户活动权限、主体上下文、客体上下文的概念,并通过状态矩阵实现了基于上下文的访问控制,可以解决网格环境中上下文敏感的访问控制。     

基于欧拉图的授权扩散拓扑构建与授权撤销

在分散式自主授权模式中,接受授权的用户可以将转授给他的权限再次转授给其他人,经过多步转授的权限扩散与不完全的委托撤销可能导致隐性授权冲突.在以往的授权模型中,模型设计的重点在于如何授权,而对于授权撤销考虑甚少.由于转授权路径生成的随意性,增加了遍历路径完成授权回收的难度.针对授权路径的生成和转授权回收进行研究,引入欧拉图对授权路径构建进行约束,在此基础上给出了授权路径构建算法与转授权路径遍历回收方法,通过有目的的授权路径构建,简化转授权路径遍历过程,解决转授权路径遍历不完全导致的授权撤销不完整问题,防止权限扩散并消除隐性授权冲突.     

MIS系统的授权管理

在大型ＭＩＳ系统中建有许多表和视图,对这些数据库资源的存取授权管理十分复杂,而由用户直接管理数据库中的资源的存取授权十分困难。将用户－角色授权模型引入数据库系统授权管理,限制了ＤＢＡ的权利,简化了系统的授权管理。     

数据库系统授权管理研究

在大型数据库系统中建有许多表和视图，对这些数据库资源的存取授权管理十分复杂，而由用户直接管理数据库中的资源的存取授权十分困难，我们将用户一角色授权模型引入数据库系统授权管理，限制了ＤＢＡ的权利，简化了系统的授权管理。     

Authorization and revocation in object-oriented databases

Few studies of object-oriented databases deal with their security, a fundamental aspect of systems with complex data structures. Most authorization systems give users who own resources only some basic control over them; here, we provide users with more direct control over their resources by associating with each grant propagation numbers. Propagation numbers govern the grantability and exercisability of the privileges. Of particular interest in our study of authorization in an OO environment is the combination of inheritance and granting of privileges. Diverse policies are discussed and implemented in a test-bed system     

基于角色和任务的工作流授权模型及约束描述

首先描述了一个基于角色和任务的工作流授权模型,其基本思想是角色和权限不直接挂钩而是通过任务把它们联系在一起,更方便权限粒度的控制和管理,然后以此模型为上下文背景提出了一个描述基于角色和任务的工作流授权约束的直观的形式化语言,称为RTCL·它以系统函数、集合以及变量符作为基本元素,证明了在语义上RTCL与严格形式的一阶谓词逻辑RFOPL是等价的·最后通过用RTCL表示各种各样的约束来说明RTCL的表现能力·     

基于Web Service的授权访问控制方法

授权访问控制是管理信息系统中不可缺少的重要模块,而传统的权限控制模块耦合性和复用性都有待改善.设计了一种基于Web服务的独立授权访问控制方法.该方法抽象出授权访问控制中的基本功能,通过把授权信息以五元组的形式封装到数据库表字段中,从而能够独立出授权访问控制功能,在这样的基础之上再将授权访问控制方法Web服务化,从而形成耦合性低、可复用性强、能被异构环境下各种平台上的各种应用方便地调用的授权访问控制模块.     

扩展的可信网络平台接入与认证

为了对终端接入可信网络的全生命周期的完整性进行实时监控与调节,通过分析现有可信网络认证模型的不足,基于可信网络认证与接入的三方模型,加入了元数据存储模块和流量控制器以及传感器模块,提出了一种扩展的可信网络平台接入与认证模型,并描述了一个基本的验证过程.通过在可信网络服务器端引入一个用于判定资源属性的模块,大大提高了服务器性能.然后描述了全生命周期监控的定义和实例.最后指出了扩展的可信网络认证与接入模型需要考虑的安全性和机密性问题.     

继承和优先约束驱动的柔性授权机制研究

针对权限系统中存在角色授权策略单一和授权冲突的问题,设计IPC_URBAC模型,在RBAC模型的基础上增加继承约束的用户直接授权机制和优先约束的用户角色分配机制,提出基于个体和优先的授权冲突解决策略,并给出用户权限和角色权限的求解算法。运用IPC_URBAC,构造二进制授权掩码进行复杂权限设置,应用Web Service完成细粒度权限检查,达到权限与业务的剥离,实现一种与业务无关的柔性授权系统。     

应用角色访问控制的工作流动态授权模型

形式化地描述了角色、用户、权限、任务单元、授权策略、授权约束等实体及其相互间的关系，提出将授权约束分为需求角色约束、需求用户约束、拒绝角色约束及拒绝用户约束，并在此基础上建立了授权约束的冲突检测规则．实现了授权流与工作流的同步，并通过授权约束的冲突检测确保了工作流的有效执行．文中模型具有全面性与实用性较强的特点．