T-RBAC模型在ERP系统中的研究与实现

ERP系统的动态权限控制已成为影响其应用与安全的重要问题。文中研究ERP系统中几种常用的权限控制模型，分析它们各自的优缺点。针对模型的动态性和角色的生命周期约束，结合RBAC与TBAC模型，采用T—RBAC模型，通过工作流程引擎实现了ERP系统的动态权限控制，并成功应用于东莞某印刷企业。     

基于业务流程的访问控制模型研究开发

在分析研究RBAC基本模型的基础上，根据网上申报、审批系统的实际需求，提出了一种基于业务流程的访问控制模型，将业务流程和基于角色的权限控制相结合，在业务流程和角色之间建立有效的联系，使有关业务流程的信息能够直接指导角色的设置。该模型克服了RBAC基本模型需要修改角色权限来适应不同业务流程的缺点，真正实现了权限的按需、按流程分配，角色只有在执行特定子任务时才具有权限，权限的分配和回收由系统动态实现。该模型已在网上申报、审批系统项目中应用。     

基于RBAC模型的多级权限访问控制设计

在基于角色的访问控制(RBAC)模型结构的基础上,提出了一种多级权限访问控制模型。该模型采用逐级授权方式,细化了权限控制粒度,实现了权限动态配置、模块复用,能够更灵活高效地对系统进行权限访问控制。并将其应用于实际系统项目的建设。     

基于改进RBAC模型的访问控制方法

为了解决信息系统访问控制在实际应用中暴露出的授权繁琐、权限控制粒度不足等问题,提出一种改进的RBAC模型;该模型通过增加访问主体的组成粒度并应用面向对象的建模技术对模型中客体对象进行建模描述,提高了系统授权效率并实现了数据级的权限控制;最后给出了该模型的形式化描述和控制算法,并通过在CAPP系统的应用实例验证了该模型的有效性.     

一种面向PDM系统基于权限位的访问控制方法

访问控制技术是保障信息系统安全的关键技术。在对已有的访问控制技术进行了回顾和分析的基础上,提出了PDM-RBAC访问控制模型。该模型针对PDM系统中存在的用户层次多、数据量大、数据细粒度的控制等因素造成的系统性能低效和管理困难的问题,引入了用户组层次来替代RBAC访问控制模型中的角色层次,并增加了权限层次结构来管理数据权限,同时结合在某企业PDM系统设计和实现中的实践,设计了基于权限位的访问控制算法,用于解决正负权限引起的策略冲突问题。实验结果表明了该模型和算法在大型信息系统权限管理的高效性。     

面向任务控制的柔性工作流模型的研究

针对柔性工作流在任务处理过程中动态实时进行安全管理提出一种面向任务控制的柔性工作流模型,该模型从任务的角度建立安全控制,动态地控制主体访问资源的权限,同时也实现了柔性工作流动态进行路由选择,实现了访问控制流与柔性工作流的同步,具有较好的灵活性。     

PDM权限管理模块设计与开发

提出了面向服务的架构（Service-Oriented Architecture,SOA）和基于角色的访问控制技术（Role Based Access Control,RBAC）相结合的权限管理模型,为系统提供统一的授权管理和访问控制服务,提高了系统的信息安全。并以该模型在PDM系统的实际应用阐述了权限管理模块的设计方法,实现了开放、动态环境下的权限管理。     

G_ERBAC网格安全访问控制模型

针对网格访问控制的多域性和动态性,指出了传统访问控制策略在实际应用中的不足,对现有RBAC模型进行功能上的扩展,建立了基于环境-角色的网格访问控制模型G_ERBAC。该模型引入环境实体以及域管理的概念,根据域间动态角色映射规则实现用户-角色分配,通过基于环境的动态安全引擎机制调整角色-权限,实现了用户-动态角色-动态权限的相关,从而能更好地适用于网格环境。     

基于动态目录树的权限管理模型的设计与实现

在分析了RBAC、TBAC等模型存在局限性的基础上,结合单点登录的高校综合信息管理系统的特点,提出了一种新的基于动态目录树,权限匹配码的权限管理模型,并在高校综合信息管理系统的安全管理中实现了基于动态目录树、权限匹配码的访问控制.实践结果表明,该模型能够有效地实现系统的安全管理和降低应用服务器用于权限管理的运行代价.     

PLM系统的层级式访问控制模型研究

面对PLM/PDM系统应用中提出的管理和安全需求,建立了基于上下文的层级式管理框架及其权限控制模型。控制模型包括主体、角色、权限、访问控制规则、类型和实例要素,支持功能权限和实体权限分离,支持类型ACL和实例ACL定义和管理,给出了权限定义和权限计算的过程和方法,实现了对PLM/PDM数字资源的层级式、细粒度访问控制。所建模型已在航天型号协同研制平台(AVIDM)中应用。     

语义驱动模式访问控制模型

针对现有的访问控制模型还不能满足网络化制造系统的访问控制需求,提出一种语义驱动模式新型访问控制模型,应用语义实体与过滤器相结合,以静态的配置实现动态的资源控制,解决了系统大规模和动态性带来的安全隐患问题;应用流程约束基实现了对流程管理的支持．模型能够支持网络化制造系统的大规模、动态性和群组协作．     

项目管理系统的动态安全控制模型

在分析项目管理系统过程模型、组织模型和资源模型的基础上，提出了项目管理系统中全局资源静态访问控制模型和局部资源动态访问模型相结合的新的安全模型，该模型考虑了系统执行的上下文环境，将安全问题方面的注意力从独立系统中静态的主体和客体保护，转移到随着任务的执行而进行动态授权的保护上来。     

基于量化行为的实时数据库备份系统访问控制模型

实时备份系统对访问行为动态性具有较高限制,传统的访问控制模型在模型元素粒度和权限动态分配等方面存在的不足,会进一步影响其安全性。针对这一问题,引入时态、环境的概念以及行为模型元素的定义来描述访问活动,提出面向实时备份系统的量化行为访问控制模型QABAC(Quantified Action-Based Access Control）。该模型引入量化属性及信任度的概念,使用量化函数对属性进行动态量化,计算某访问行为的安全度,进一步地根据量化结果,将访问行为分配相应的信任度,并根据信任度配合最终授权策略以决定是否将特定权限授权给该访问行为。实验结果表明,与其他传统访问控制模型相比,QABAC模型具有更灵活及更安全的特点,更适用于当前开放复杂网络环境下数据库的安全保护。     

基于信任的动态多级访问控制模型

针对传统基于角色的访问控制(Role-Based Access Control, RBAC)系统中的访问资源共享伸缩性有限、安全性不足及权限需预先设定分配等问题，为了提高权限控制的兼容性，细化访问控制粒度，本文提出一种基于信任的动态多级访问控制模型(Trust-Based Dynamic Multi-level Access Control Model, TBDMACM)，通过用户的静态角色及动态信任度获得相应的权限授权，保证数据机密性和访问过程安全可控。实验结果表明，这种访问控制方式能够有效地防止恶意访问，较好地解决系统权限伸缩性问题。     

基于大数据流的Multi-Agent系统模型研究

在智能决策支持系统(IDSS)中,由于许多推理模型和方法以巨大的数据量为基础,决策响应速度成为系统的瓶颈。结合软件开发实际,提出了一种基于速度优化的Multi-Agent模型,将系统Agent分为智能交互界面Agent、数据分析处理Agent、数据访问控制Agent三类,通过各Agent的分工与协作来实现系统数据的快速交互;并在ERP采购成本分析子系统中进行建模研究,结果表明该模型能大大缩短系统决策响应时间。     

上下文感知的动态访问控制模型

现有的访问控制技术主要依靠主体的标识来实现对系统资源的保护，在权限的控制时没有考虑执行的上下文环境。随着网络和分布式计算的发展，应用环境具有分布、异构、 动态的特点，需要考虑主体所处上下文进行动态的权限控制。本文提出了一个上下文感知的访问控制模型（DCAAC），DCAAC扩展了RBAC模型，增加了上下文约束。DCAAC从应 用环境中获取与安全相关的上下文信息来动态地改变用户的权限，同时保留了传统RBAC模型的优点。这一访问控制模型已在网格计算实验平台中实施。     

RBAC在ERP权限管理中的研究及应用

权限管理模块是ERP系统设计中的重要模块,是系统安全运行的有力保证.简要介绍了基于角色的权限控制模型,并在此基础上提出一套适用于ERP系统的权限控制应用模型.     

基于Bayesian信任网络的P2P访问控制

目前多数访问控制模型都针对集中式的和相对静态的系统,不适宜主客体动态变化的协同环境,如P2P系统.文章针对P2P网络提出一种新的访问控制模型,利用Bayesian网络技术构造P2P网络中的信任机制,从网络节点间信任的角度建立访问控制模型,根据主客体的Bayesian信任网络对实体访问权限进行动态管理.     

SOA中基于属性的访问控制安全策略

SOA环境具有分布性.异构性和动态性的特点,传统的访问控制模型已经不能满足其需求.为解决SOA环境下的访问控制问题,提出了一种基于属性的访问控制模型(Attribute-based Access Control,ABAC).模型以实体的属性作为评价的基本单位.通过对主体属性、资源属性以及环境属性的动态评估,结合访问控制策略来对用户的访问进行控制.并采用XACML和SAML两个规范对模型进行了实现.分析了框架中属性和访问控制策略的查询响应方法,以及访问授权的流程.分析结果表明,结合XACML和SAML标准实现的ABAC模型具有较好的安全性和移植性,适用于异构的SOA环境.     

网格环境中基于信任度的动态访问控制模型

针对网格自身异构、动态的特点以及现有访问控制技术无法满足网格系统动态性的安全需求,提出了一种基于信任度的动态访问控制模型.该模型在基于角色的访问控制基础上,给出域间和域内成员信任关系的计算,构建了一种基于信任度的动态访问控制模型.