安全工作流任务分配策略

工作流系统访问控制为企业的工作流安全技术框架提供了可靠的保证。基于任务角色的访问控制模型通过任务将角色和权限联系起来．然后给用户指派合适的角色．用户通过其指派的角色获得可以执行的任务。然而在工作流多个任务实例同时执行过程中用户通过角色获得多个任务需要同时执行，如果用户执行的任务选择不当，将会导致工作流中某一任务实例中途挂起或夭折。本文根据工作流执行的特点．在基于任务角色访问控制模型的基础上，时工作流执行过程中任务实例出现的瓶颈问题进行了分析，提出了任务基本分配策略，事务任务，互斥任务，任务基数约束等分配方案，有效地提高了工．作流的执行效率。     

在电子招投标系统中基于角色和任务访问控制的应用

该文设计并实现了基于角色和任务的访问控制（Role＆Task—Based Access Control T＆RBAc）的电子招投标系统，有效地解决了政府采购活动中错综复杂的访问控制问题，对角色分配相应的任务，根据角色和任务的状态不同对权限进行动态管理，实现了权限的按需分配，保证了电子政务活动的公开、公平、公正。     

数据分片在电子政务中的应用方案

在信息技术的飞速发展的今天,电子政务日益受到各国政府的重视，相关技术也得到了迅速发展。访问控制是网络安全问题的重点之一,也是电子政务研究的重点问题。在现有的多种方法中，基于角色的数据访问控制方法应用的最广泛。文中指出了基于角色的访问控制方法的局限性，简单介绍了基于角色的数据访问控制模型、数据分片技术的类型和原则。在此基础上提出了将数据分片技术与角色权限控制相结合的访问控制思想，并应用于电子办事处系统中。     

RBAC系统中职责分离的实现

职责分离是基于角色的访问控制的特征之一，也是许多商用系统和军用系统的一个重要要求。角色互斥是实现职责分离的一种重要方法。介绍了角色互斥的特征，以及利用角色互斥达到职责分离的充分必要条件。     

基于任务-角色的访问控制模型研究

分析了访问控制领域的研究现状，简略介绍了基于角色的访问控制、基于任务的访问控制以及其它一些有价值的访问控制策略，并对其思想、特点和存在的缺陷做了讨论；在基于角色和基于任务策略的基础上，着重研究了当前比较热门的基于任务．角色的访问控制策略，并对目前提出的两种基于任务．角色的访问控制模型做了比较，分析了T＆RBAC模型的优点；最后对T＆RBAC模型提出改良意见，建立了改良模型，并对改良模型做了形式化定义。     

数据分片在电子政务中的应用方案

在信息技术的飞速发展的今天,电子政务日益受到各国政府的重视,相关技术也得到了迅速发展.访问控制是网络安全问题的重点之一,也是电子政务研究的重点问题.在现有的多种方法中,基于角色的数据访问控制方法应用的最广泛.文中指出了基于角色的访问控制方法的局限性,简单介绍了基于角色的数据访问控制模型、数据分片技术的类型和原则.在此基础上提出了将数据分片技术与角色权限控制相结合的访问控制思想,并应用于电子办事处系统中.     

用基于RBAC的方法集成遗产系统的访问控制策略

访问控制是软件系统的重要安全机制,其目的在于确保系统资源的安全访问。针对多数遗产系统的访问控制不是基于角色的且其实现形式多样,提出了一种基于RRAC的访问控制策略集成方法。该方法将遗产系统中的权限映射为集成系统中的任务,能够在任务树和策略转换规则的基础上使用统一的形式重组访问控制策略。此外,该方法给出了一组用于实现后续授权操作的管理规则。案例分析表明,提出的方法是可行的,能够有效地集成遗产系统的访问控制策略,并将RRAC引入遗产系统的访问控制。     

基于XML的电子政务数据访问控制框架研究

为适应基于XML的电子政务数据访问控制，充分利用XML自身优势和特点，提出角色，操作和内容三为一体的访问控制模式并设计和模拟了该系统，对应用XML在电子政务乃至更广泛的应用领域提供安全有效的数据访问控制进行了一定的研究。     

工作流系统中一个基于双权角色的条件化RBAC访问控制模型

传统的RBAC访问控制模型已经不能表达复杂的工作流安全访问控制约束。基于传统的RBAC模型，提出了一个新的基于双权角色的条件化RBAC访问控制模型CRDWR(conditioned RBAC based on double—weighted roles)。阐述了基于动态角色分配的条件化RBAC策略，定义了基于双权角色的工作流系统访问授权新概念，并针对多个角色协同执行任务的序约束问题，给出了基于令牌的序约束算法。该模型能够表达复杂的工作流安全访问控制约束。     

角色访问控制中基于描述逻辑的角色互斥实现

本文基于描述逻辑的本体技术在不同的系统中利用相同的分布式的词汇表来实现知识的共享，从而达到不同自治域的角色权限的统一。此外，由于角色互斥是角色访问控制中至关重要的限制之一，本文利用描述逻辑的语法完成了角色互斥的本体实现。     

面向服务的工作流动态访问控制模型

访问控制是提高工作流系统安全的重要机制.基于角色的访问控制(RBAC)被绝大多数工作流系统所采用,已成为工作流领域研究的热点.基于传统的RBAC模型,从工作流访问控制模型与流程模型分离的角度出发,提出了一种面向服务的工作流动态访问控制模型--SWDAC模型.模型中引入服务和上下文的概念,加强了对动态工作流系统的描述能力,并有效增强了访问控制的灵活性和系统的安全性.该访问控制模型已在自主研发的基于J2EE的工作流管理平台中实施.     

基于角色的工作流系统访问控制模型

工作流技术在办公自动化、电子商务、电子政务等领域得到广泛关注，工作流系统的安全问题变得日益突出．访问控制是工作流系统安全机制的重要环节．本文在NIST推荐的标准RBAC模型的基础上，结合实际情况，提出一种基于角色的工作流系统访问控制模型WRBAC．该模型描述了用户、角色、许可、活动等要素之间的关系，给出了静态和动态授权约束规则，能有效防止重要信息的泄漏和商业欺诈，满足工作流系统对访问控制的需求．     

工作流系统上下文相关访问控制模型

访问控制是提高工作流系统安全性的重要机制。基于角色的访问控制（RBAC）被绝大多数工作流系统所采用，已成为工作流领域研究的热点。但是，现有的基于角色的访问控制模型没有考虑工作流上下文对任务执行授权安全的影响，容易造成权限冗余，也不支持职责分离策略。该文提出一种工作流上下文相关访问控制模型WfCAC，首先，定义该模型的构成要素和体系结构，然后讨论工作流职责分离和访问控制机制，并对模型性质进行分析。WfCAC模型支持用户组及其层次结构，支持最小权限授权策略和职责分离策略，实现了工作流上下文相关访问控制。     

RBAC模型中角色的继承与互斥问题的研究

RBAC (Role-Based Access Control)maps naturally to an organization's structure and facilitates safety administration by separating logically users and permissions via roles as well as constructing role hierarchies, and therefore RBAC offers a powerful means of specifying access control decisions and is attracting increasing attention. In role hierarchies of RBAC,superroles inherit all properties and permissions of subroles. This paper classifies role inheritance into two types : generalization inheritance and supervision inheritance . Furthermore, it outlines two problems in relation to role inheritance :one is how to maintain data integrity,another is how to reduce the effect of absent roles on the normal running of the system. At last ,this paper discusses solutions to them 。RBAC is attracting increasing attention as a security mechanism .Separation of duty is an important safety requirement which is implemented by means of mutual exclusion of roles in RBAC. This paper presents a basic RBAC model,then explores some properties of mutual exclusion of roles,which helps enforcing security policies efficiently. At last ,this paper describes how mutual exclusion of roles affects role hierarchies.     

科学工作流管理系统中基于用户分组的角色访问控制

访问控制机制是科学工作流管理系统中安全控制的重要内容。本文在事务工作流系统中基于角色的访问控制模型的基础上,结合科学工作流的特点和需求,提出了基于用户分组的角色访问控制机制（UGRBAC）;在科学工作流管理系统中增加单独的访问控制模块,在科学工作流流程定义阶段以及工作流执行阶段对用户进行访问控制,有效地控制了各类用户对服务和资源访问的限制,并且为服务提供者提供了访问权限设置的功能。     

Secure administration of cryptographic role-based access control for large-scale cloud storage systems

Cloud systems provide significant benefits by allowing users to store massive amount of data on demand in a cost-effective manner. Role-based access control (RBAC) is a well-known access control model which can be used to protect the security of cloud data storage. Although cryptographic RBAC schemes have been developed recently to secure data outsourcing, these schemes assume the existence of a trusted administrator managing all the users and roles, which is not realistic in large-scale systems. In this paper, we introduce a cryptographic administrative model AdC-RBAC for managing and enforcing access policies for cryptographic RBAC schemes. The AdC-RBAC model uses cryptographic techniques to ensure that the administrative tasks are performed only by authorised administrative roles. Then we propose a role-based encryption (RBE) scheme and show how the AdC-RBAC model decentralises the administrative tasks in the RBE scheme thereby making it practical for security policy management in large-scale cloud systems.     

DW-RBAC: A formal security model of delegation and revocation in workflow systems

One reason workflow systems have been criticized as being inflexible is that they lack support for delegation. This paper shows how delegation can be introduced in a workflow system by extending the role-based access control (RBAC) model. The current RBAC model is a security mechanism to implement access control in organizations by allowing users to be assigned to roles and privileges to be associated with the roles. Thus, users can perform tasks based on the privileges possessed by their own role or roles they inherit by virtue of their organizational position. However, there is no easy way to handle delegations within this model. This paper tries to treat the issues surrounding delegation in workflow systems in a comprehensive way. We show how delegations can be incorporated into the RBAC model in a simple and straightforward manner. The new extended model is called RBAC with delegation in a workflow context (DW-RBAC). It allows for delegations to be specified from a user to another user, and later revoked when the delegation is no longer required. The implications of such specifications and their subsequent revocations are examined. Several formal definitions for assertion, acceptance, execution and revocation are provided, and proofs are given for the important properties of our delegation framework.     

面向工作流应用的可组合授权模型

针对分布式工作流系统授权管理的动态性、统一性和自治性的特点,将RBAC的授权管理思想和TBAC的动态访问机制结合起来,提出了支持工作流组合和动态授权控制的可组合授权模型。该模型提供了从工作流的组成结构和执行关系进行建模的方法,通过将各个处理单元的授权方案按照工作流的组合结构、执行依赖关系和主体依赖关系进行组合,从而构造适应更复杂的工作流系统的授权方案。对模型的定义和组合运算进行了形式化描述,给出了模型的表达能力和一致性、组合运算的兼容性和安全性的相关性质分析。最后介绍了支持动态授权的授权控制引擎原型。     

基于RBAC的CSCD系统工作流授权模型

提出一个基于RBAC的CSCD系统工作流授权模型RTSWAM，与传统的访问控制授权模型不同，该模型在已提出的时态权限概念的基础上，提出了时空权限的概念，表示基于RBAC的CSCD系统工作流授权不仅受时间约束，还受空间范围限制，即被授权者只能在某个时间段和网络空间段内，才能对某个任务执行某种操作，这样不仅可以保证组成工作流的任务只能被属于某个特定角色的用户执行，而且可以保证在授权流与工作流同步的基础上，实现授权流与网络空间范围动态变化的协调一致。