基于角色-权限的普适计算受限委托方法

针对普适计算跨区域访问控制中的委托授权限制问题,在角色-权限分配中根据权限的重要程度关联信任阈值和访问时间限制,设计了一种基于角色的访问控制(RBAC)模型的以角色-权限为委托单位的受限委托方法。通过证明执行模型与委托条件的一致性,表明该方法能够满足普适计算权限委托限制的要求,可以灵活地支持基于角色-权限的临时性和可执行角色集的依赖性。     

基于周期时间限制的自主访问控制委托模型

参考Bertino等人的工作，基于他们提出的加入了周期时间和时序依赖的自主访问控制模型，给出了一个支持临时性限制、时序依赖性限制和传播性限制的权限委托模型PDACDM．用周期时间、使用次数、有效期限来控制临时委托，用推导规则来控制权限间的时序依赖，用委托深度来限制委托权限的传播．进一步给出了模型的形式化描述及其一致性证明，为模型在实际系统中实施委托奠定了基础．     

基于属性的扩展委托模型

为提高委托过程的安全性,对现有委托模型进行了扩展,提出了一个更加安全的基于属性的扩展委托模型(ABDM\\-A). ABDM\\-A中的委托约束不但包括委托先决条件(CR),还包含委托属性表达式(DAE).受托者必须同时满足委托先决条件和委托属性表达式才能被委托权限或角色.为保证委托过程的灵活性,ABDM\\-A将委托属性表达式进一步分为永久和临时委托属性表达式,使得委托者可临时而不是永久地将某些高级权限委托给不具备资格的用户. ABDM\\-A提高了委托过程的安全性,减轻了委托者和系统管理员的负担.     

支持用户委托的访问控制模型研究

基于委托是个体行为这一观点,剔除委托研究中的少量具有企业管理特征的行为,提出支持用户委托的RBAC模型--D-RBAC.模型的本质是在RBAC模型的基础上,增加一个委托支持模块,从而提供了用户-用户委托支持的扩展.模型本身具有策略无关、设计简单、适用面广的特点,支持现有研究中所有反映委托个体行为特征的委托操作.另外,模型还提供了管理员干预的支持,在尽量减少管理员管理工作的前提下,给出了有效的解决方案,使得管理员能够规范委托人的行为,从而达到既允许用户委托,又不破坏企业或组织的访问控制策略.     

基于时限的角色访问控制委托模型

访问权限的委托限制是一种重要的安全策略,它的基本思想是用户将自己所具有的部分或者全部权限转授给其他用户,让接受授权的用户代表发出授权的用户执行某些任务.基于角色的委托授权模型将角色作为委托的主体.目前为止它的两个基本模型RBDM0和RDM2000都没有有效地解决时限问题,事实上时限是授权的重要组成部分,本文在上述两个模型的基础上引入有效时间和角色激活的概念,描述了与之相对应的带时限的委托模型并给出了相应的委托判断规则.     

基于量化角色的可控委托模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足,提出了量化角色的概念,实现了一种细粒度的委托约束机制,给出了一个形式化的基于量化角色的可控委托模型QBCDM（Quantifiedrole Based Controllable Delegation Model）．该模型提供了灵活的委托粒度,支持对角色任意部分权限的委托,避免了引入较高的管理代价;支持强制委托约束和细粒度的自主委托约束,保证了多步委托过程中委托能力的收敛性,显著增强了委托过程的可控性．     

基于角色任务的约束委托模型

针对目前RBAC委托模型存在的问题,提出了RTBCDM模型及其形式化表述,以一种简单的方式处理角色对其特权的委托。模型支持动态环境下更细粒度的委托,普通约束、动态约束、支持部分特权的多重传递以及基于任务基础的任务互斥约束特性,极大地增强了委托的可控性和模型的表达能力。     

RBAC中基于角色的委托模型研究与构建

在委托服务器概念的基础上,加入了对冲突角色的限制,使基于角色的委托模型更加完善。文中将委托分为主动委托和被动委托,任何角色都可以发起委托请求,但委托能否进行,是由委托服务器根据委托信息来决定,突破了上层角色委托下层角色的单一委托模式。在委托过程中加入了更多限制条件,大大减少了委托过程中角色冲突的问题,并且通过建立临时委托角色,解决了委托粒度的问题。     

基于有向图模型的委托研究

委托是常见的一种安全策略形式,委托可以用带标识的有向图对其严格地形式化建模,称为委托图。给出了委托图的定义,存储,委托图中实现委托的算法,委托图无环性判定算法,并进行了分析,讨论了委托图的性质。     

基于属性的委托撤销研究

基于属性的委托模型中,受托者必须同时满足委托先决条件和委托属性表达式才能被委托权限或角色.在该模型中,委托撤销完成将委托出去的权限收回到委托者处的工作.与常见委托撤销不同,本文针对基于属性委托模型中委托过程的特点,提出了两种新的撤销模式:用于用户属性表达式变化引起的委托撤销;由于角色或权限属性表达式变化引起的撤销.这两种撤销模式能够确保当用户属性表达式不再满足委托权限或角色属性表达式时,系统能够自动地完成相应的撤销操作,保证了委托过程的安全性.     

TRDM--具有时限的基于角色的转授权模型

当前基于角色的系统的完全依赖于管理者的集中式管理方式,不能够满足分布环境下的系统管理的需求．基于角色的转授权模型(role—based delegation model,RDM)更适于分布式环境的授权管理,但当前的几种授权模型都不支持时限(temporary)和授权宽度．基于时限和授权宽度等方面,对RDM2000(role-based delegation model 2000)模型进行了扩充,提出了完备的具有时限的基于角色的转授权模型(ternporal role—based delegation model,TRDM),并提出了新的基于TRDM的角色授权和角色撤销(revocation)机制．     

几种基于角色的代理授权模型特征比较

基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略。RBAC模型通过角色将用户和权限相联系,极大降低了授权管理的复杂性,解决了具有大量用户和权限分配的系统中管理复杂性问题。基于角色的代理授权模型是基于角色的访问控制研究的一个热点。文中对现有的几种基于角色的代理授权模型进行了比较研究,系统分析了它们的优缺点及其差异,对基于角色的代理授权模型研究和应用有一定的参考价值。     

一种基于角色代理的服务网格虚拟组织访问控制模型

给出一种基于角色代理技术的虚拟组织访问控制模型，与同类研究成果相比，在不降低自治域的安全管理效率的情况下，能够实现虚拟组织的细粒度授权和确保自治域的安全策略不被破坏．该模型的一个原型系统已经实现，并通过一个基于网格的低成本电子政务平台中的实例进行了验证．     

基于角色的代理统一模型

基于角色的代理是当前访问控制领域研究的核心问题之一。文章提出一种基于角色的用户-用户代理和角色-角色代理统一模型IRBDM,讨论了IRBDM模型的基本思想、体系结构、多步代理及代理撤消策略,它可在网络、工作流管理系统中广泛应用。     

基于层次角色委托的服务网格授权执行模型

针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求.     

权限约束支持的基于角色的约束访问控制模型与实现

阐述现有基于角色的安全控制中的不足，通过分析角色间约束产生的根源，提出通过建立权限约束关系来支持角色之间的约束管理和实现访问控制，文中定义了权限约束支持的基于角色的约束访问控制模型及增强权限模型，并介绍这个约束访问控制模型在ZD－PDM中的应用，实践表明，这种访问控制模型型除了增强系统安全访问之外，还可以提供一种更灵活的授权机制，并降低安全管理员的工作复杂性。     

基于RBAC的灵活集团委托模型

针对现有基于RBAC的委托模型不支持集团用户委托形式,提出一种基于角色的灵活集团委托模型,给出了委托关系、委托授权、委托撤销的形式化描述及委托实施过程。该模型提供了一种灵活的委托机制,实现了在分布式协同工作环境下从单个用户到集团用户的统一委托。