基于任务的工作流访问控制模型和实现框架

工作流中角色只有在执行任务时才需要权限,任务与权限密不可分,而现有的基于角色的访问控制不能满足工作流这一特性。提出了基于任务的访问控制模型,该模型根据工作流的具体要求,对任务分配相应的权限,角色执行任务,权限则传递给角色,实现了权限的按需分配,提高了数据访问的安全性,简化了角色系统的管理,最后给出了模型的一个实现框架以及运行过程。     

基于安全标记的双认证访问控制模型研究

针对等级保护中安全标记保护级(三级)系统的区域边界访问安全,将角色特权概念与任务工作流概念相结合,提出了一个基于安全标记的双认证访问控制模型.实现了基于角色的"特权"访问控制、基于工作流的动态权限管理访问控制和基于安全标记的强制访问控制.     

基于Petri网工作流的动态访问控制

访问控制是信息系统的一项重要安全保护机制,它是通过限制主体对资源的访问权限,从而保证资源的可用性、完整性和可信性的机制。此种机制通过访问控制矩阵实现,但现在的访问控制矩阵是静态的,它们不随时间的变化而改变。文中通过访问控制矩阵和基于Petri网的工作流结合提出了动态访问控制。访问权限是根据工作流的状态来赋予的,这样减少了对资源和数据的误操作,提高了系统访问的安全性和适时性。文中的工作流模型采用Petri网来描述,Petri网具有坚实的数学分析基础,很适合于表述工作流这样的离散模型。     

基于Petri网工作流的动态访问控制

访问控制是信息系统的一项重要安全保护机制,它是通过限制主体对资源的访问权限,从而保证资源的可用性、完整性和可信性的机制.此种机制通过访问控制矩阵实现,但现在的访问控制矩阵是静态的,它们不随时间的变化而改变.文中通过访问控制矩阵和基于Petri网的工作流结合提出了动态访问控制.访问权限是根据工作流的状态来赋予的,这样减少了对资源和数据的误操作,提高了系统访问的安全性和适时性.文中的工作流模型采用Petri网来描述,Petri网具有坚实的数学分析基础,很适合于表述工作流这样的离散模型.     

基于工作流状态的动态访问控制

访问控制是信息系统的一个重要安全保护机制。访问控制规定了主体对客体访问的限制，合法的用户可以访问数据项，非法的用户将被禁止，访问控制矩阵确定主体对客体的访问权利，主要讨论了工作流执行时的访问控制问题，提出了一种基于工作流状态的动态问控制机制。同时还给出了工作流的Petri网描述，在此基础上，证明了采用这种动态访问控制机制可以降低数据误用的危险性。     

工作流系统上下文相关访问控制模型

访问控制是提高工作流系统安全性的重要机制。基于角色的访问控制（RBAC）被绝大多数工作流系统所采用，已成为工作流领域研究的热点。但是，现有的基于角色的访问控制模型没有考虑工作流上下文对任务执行授权安全的影响，容易造成权限冗余，也不支持职责分离策略。该文提出一种工作流上下文相关访问控制模型WfCAC，首先，定义该模型的构成要素和体系结构，然后讨论工作流职责分离和访问控制机制，并对模型性质进行分析。WfCAC模型支持用户组及其层次结构，支持最小权限授权策略和职责分离策略，实现了工作流上下文相关访问控制。     

WEB工作流的访问控制研究与实现

由于WEB技术本身所具有的分布式、广域访问的特点以及企业现在普遍比以往更加重视自身的信息安全问题，在基于WEB的工作流的设计和实现过程中，访问控制问题成为一个至关重要的议题。文中从一个企业级的WEB工作流系统基础出发，探讨在一个典型的基于WEB的工作流应用系统中，如何对来自广域环境下的用户访问进行有效的控制并提供安全的授权机制。同时能提供与企业组织结构相适应的动态的角色权限分配管理机制。     

工作流系统中授权控制模型设计与实现

工作流技术是实现企业信息管理系统的核心技术之一,授权控制是保证工作流系统中信息安全的一种重要手段.本文在对几种授权控制模型研究的基础上,选择了基于角色的访问控制作为工作流系统的授权控制模型.基于角色的授权实现了用户与访问权限的逻辑分离,方便了权限管理;通过不同授权粒度实现了对企业各种资源分配和访问.     

科学工作流管理系统中基于用户分组的角色访问控制

访问控制机制是科学工作流管理系统中安全控制的重要内容。本文在事务工作流系统中基于角色的访问控制模型的基础上,结合科学工作流的特点和需求,提出了基于用户分组的角色访问控制机制（UGRBAC）;在科学工作流管理系统中增加单独的访问控制模块,在科学工作流流程定义阶段以及工作流执行阶段对用户进行访问控制,有效地控制了各类用户对服务和资源访问的限制,并且为服务提供者提供了访问权限设置的功能。     

基于工作流任务状态的访问权限分配模型

权限的分配是工作流系统访问控制中的核心问题.本文以任务状态为基础,用二维矩阵描述角色与任务、任务与状态、状态与权限之间的关系,并利用关系运算计算给定时刻角色、任务和权限之间的关系,实现了对角色权限的动态分配,提高了数据访问的安全性.     

基于内容管理的资源访问控制技术研究

本文从内容资源安全管理的必要性入手,首先介绍了目前广泛应用于企业级应用系统的访问控制模型,即基于角色的访问控制（RBAC）模型。在此基础上提出了内容资源访问控制机制的理论原理,并结合RBAC模型定义了针对内容资源的访问控制策略,详细分析了内容资源访问控制的具体实现,描述了一个内容资源权限管理系统的总体设计方案。     

基于组件的访问控制系统快速开发方法

访问控制是分布式应用的一个必要组成部分。由于访问控制机制的建立要求开发人员具有丰富的访问控制专业知识,所以建立有效的访问控制机制往往成为应用系统开发中的难点问题。论文研究并提出了一种基于组件的访问控制系统快速开发方法并建立了相应的开发工具。该工具采用面向组件的软件开发方法,支持组件化访问控制系统的动态策略定义、组件库管理和配置集成,能够根据用户选择的访问控制模型以及所定义的访问控制策略快速生成访问控制系统。所生成的访问控制系统可与应用系统无缝结合或部署到Web服务等分布式计算平台中,为应用系统提供所需的访问控制功能。     

VideoAcM: a transitive and temporal access control mechanism for collaborative video database production applications

Access control models play an important role in database management systems. In general, there are three basic access control models: Discretionary Access Control (DAC), Mandatory Access Control (MAC), and Non-Discretionary Access Control (NAC). Currently, the majority of commercial DBMSs provide only DAC, and some temporal access control models have been derived based on either DAC or NAC. In the context of video database applications, since the structure of video data is complex in nature, it requires a specific and tailor-made access control mechanism which should include MAC as well as DAC and NAC. However, only few efforts have been put on access control models for video database systems. In this paper, a transitive and temporal access control mechanism for collaborative video database production applications has been proposed, which subsumes the properties of DAC, MAC, and NAC. Moreover, our proposed mechanism is integrated with the intellectual property concerns by constructing an access control hierarchy of video data with authorization rules. In particular, our mechanism can derive novel authorization rules not only on conventional client-data access control, but also on data–data access control. Besides video data, the proposed model is applicable to other data types which exhibit a hierarchical data structure.     

一种统一授权和访问控制模型的设计实现

企业信息平台(EIP)是一个基于企业模型的平台,目标是为了实现模型驱动的企业设计、分析和评价。EIP的目标之一就是建立一个可以容易地实现不同系统集成的架构,如:政府和其他企业中过程、结构、任务、目标和信息等的集成。论文的重点不是EIP中数据的集成,也不是应用的集成,而是授权的集成,主要针对的是EIP中工作流管理和资源管理中的授权集成问题。在现有的EIP系统中,工作流管理和资源管理一般都有各自独立的授权和访问控制模块,这种非一体化的授权方法容易引发多种安全问题。而先前的研究大都集中在单独的授权系统上,对它们的集成很少有讨论。论文提出了一种统一的授权和访问控制模型,可以以一种统一的策略来表示处理EIP系统中的各种授权和访问控制,解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。     

用基于RBAC的方法集成遗产系统的访问控制策略

访问控制是软件系统的重要安全机制,其目的在于确保系统资源的安全访问。针对多数遗产系统的访问控制不是基于角色的且其实现形式多样,提出了一种基于RRAC的访问控制策略集成方法。该方法将遗产系统中的权限映射为集成系统中的任务,能够在任务树和策略转换规则的基础上使用统一的形式重组访问控制策略。此外,该方法给出了一组用于实现后续授权操作的管理规则。案例分析表明,提出的方法是可行的,能够有效地集成遗产系统的访问控制策略,并将RRAC引入遗产系统的访问控制。     

A technology transfer journey to a model-driven access control system

In the model-driven security domain, access control systems provide an application for handling access of persons through controlled gates. A gate, such as a door, can have a lock mechanism for securing the area from unauthorized access. Most commercial solutions for access control management offer pre-packaged software systems where customization of the authorization logic is either not allowed or subject to payment. Moreover, cross-platform development is a barrier for solution providers due to the high cost of development and maintenance that it implies. To overcome these limitations and further optimize the entire access control systems development process, we propose a model-driven approach that supports automatic code generation to enable communication between an IoT infrastructure and platforms for Facility Access Management. Specifically, the approach combines the benefits of Near-Field Communication (NFC) and Tinkerforge (i.e., an open-source hardware platform) with model-driven techniques. This allows the approach to exploit both behavioral and structural models for the modeling and the consequent code generation of part of the authorization mechanism, thus providing complete coverage of the code generated for the whole system. We implemented and evaluated our approach in a real-world case study within the premises of a fitness center with an IoT infrastructure consisting of several heterogeneous sensors by showing its practical applicability. Experimental results demonstrate the effectiveness of our approach in supporting abstraction and automation concerning traditional code-centric development through code generation features. Consequently, our approach makes the whole development process less time-consuming and error-prone, thus reducing the system’s time to market.

     

产品数据管理系统的用户权限管理

通过对产品数据管理系统的分析，本文探讨了产品数据管理系统中数据、工作流程、活动、操作和角色之间的关系，提出了基于数据、工作流程、活动、操作和角色的用户权限管理的建模方法。通过在某航空企业PDM系统中建立用户权限管理模型的应用，证明了这种方法具有简单、规范、有效等特点，井可广泛应用于其它类型的复杂信息系统中。     

基于ASP.NET的项目管理系统的网络安全模式研究

分析了ASP.NET的三层网络结构的安全机制,以及身份验证、权限控制、数据加密访问等方式实现系统安全性的技术细节。详细介绍了该系统中的三层结构设计及关键技术和方法。基于角色访问控制(RBAC)是一种方便、安全、高效的访问控制机制。首先分析了RBAC的基本思想和模型,然后介绍了用户角色分配,最后给出了在项目管理系统中运用RBAC实现权限管理的方法,并给出了运行效果。     

多域分层系统中基于DRT的访问控制模型

为了满足多域系统的访问控制需求,提出RBAC的扩展模型——DRTBAC模型。模型中引入域、型、角色关联等概念,增加了权限的灵活设置机制,并将基本安全原则融入到模型的角色划分、指派与关联中。解决RBAC对多域系统的支持问题,方便权限的管理,实现遵循安全原则的访问控制。