基于角色与组织的访问控制模型

访问控制是系统安全的重要技术。RBAC（基于角色的访问控制模型）是目前受到广泛关注的访问控制模型,但在大型应用系统中操作烦琐。分析了RBAC的不足之处,提出了基于角色与组织的访问控制模型ORBAC。该模型是对RBAC的扩展,它通过定义组织结构及其权限,减少了角色的数量,从而降低了应用系统访问控制的复杂程度。     

系统资源访问控制模型的研究与实现

本文从大型科学仪器资源访问控制的系统需求出发,在传统基于角色的访问控制模型的基础上,给出了一种适用于大型组织的系统资源访问控制模型。模型中加入了树状的组织结构,减轻了用户管理操作和权限控制的复杂性,已成功地应用到大型科学仪器资源应用系统的建设中。     

一种通用访问控制管理模型

目前的访问控制管理模型都是针对某种特定的访问控制模型提出的,不能适应多访问控制模型共存于一个大型系统的情况,一个管理模型不能同时适用于多访问控制模型的主要原因是管理者管理范围定义包含了某种访问控制模型中特有的组件.通过使用各种访问控制模型中共有的主体和权限来定义管理模型中的管理范围,将管理模型与访问控制模型之间的关系抽象为一个用于计算策略相关管理范围的函数,提出了一种能够用来管理不同访问控制模型的通用访问控制管理模型,为了便于模型实际使用,在模型中引入管理空间的概念与实际组织结构相对应,形成分布式访问控制管理结构,同时模型严格区分了管理空间的直接管理者和间接管理者在管理权限上的不同,使得管理者具有一定的自治性.最后讨论了管理模型中的管理规则和语义,证明了模型的完备性,并讨论和分析了针对不同访问控制模型的policy*算法.     

面向组织结构的访问控制管理模型

针对面向组织结构的访问控制模型静态组件和动态组件在企业环境下的不同管理需求,设计该模型的面向组织结构管理方案。对其中的静态组件集中配置,确保各组织域安全策略的一致性和权限管理的可控性。基于面向组织结构访问控制策略的应用优势,以组织域层次关系为基础对动态组件进行分散管理,实现管理架构与企业实际组织架构的对应。     

一种矩阵型组织模式下的访问控制模型

基于矩阵型组织方式下的系统产生了很多新的安全访问控制方面的问题,RBAC虽然是很好的选择,但传统的RBAC96模型在组织结构管理和客体的交叉访问方面存在着一定的局限性.针对这两方面问题,对RBAC96模型进行了扩展和改进,提出了一种基于矩阵型组织机构和角色访问控制模型--MO-RBAC.该模型着重于组织结构的管理和客体的协同访问控制,使得模型一方面具有了很好的灵活性和易用性,另一方面,提高了系统的安全,防止了相关角色对客体的非法访问.     

基于位置与标志分离的访问控制列表优化

在前期工作的LISA体系结构下,提出了IBAC模型,提供了更加精确和高效的网络访问控制,然而,IBAC增大了访问控制列表的处理开销。为此,对访问控制列表的规则组织结构进行了分析和优化,模拟实验证明了优化方法的有效性。     

基于RBAC策略的网格安全访问控制模型

针对网格环境下访问控制的特性,分析了现有网格安全访问控制方案的缺陷,提出了GRBAC-DM模型,该模型以虚拟组织为基础,采用RBAC策略,实现了分布式管理和跨信任域授权;通过将访问控制模块和策略资源管理模块分离,满足了资源动态性和策略自主性的要求,适应了网格环境的固有特点。给出了该模型的形式化描述、角色分类和资源分组规则以及访问控制和资源管理模块的具体结构。     

一种使用组织结构的访问控制方法

大型组织的信息资源往往根据组织结构维护，其中存在大量同构的、拥有同类信息资源的单元。传统RBAC模型在这种环境下进行访问控制时需要为每个同构部分定义权限和角色。其中存在大量冗余的工作，特别在同构单元数量很多时授权管理非常困难。该文提出了一个支持组织结构的RBAC模型，模型引入了组织结构，定义了抽象的角色，通过将抽象角色与组织结构单元关联解决上述问题。还给出了模型的扩展以支持角色的使用范围限制和细粒度访问控制。     

基于组织的Web服务访问控制模型

针对现有访问控制策略难以保障面向Web服务的复杂电子政务系统授权的灵活性问题,在研究基于组织的四层访问控制模型(OB4LAC)的基础上,提出一种基于组织的Web服务访问控制模型。以组织为核心,从管理的视角研究访问控制与授权管理问题。通过引入岗位代理和授权单元,使授权随着环境上下文信息的变化而调整,从而实现动态授权,同时利用授权单元的状态迁移,对工作流模式提供支持。并且模型将权限分为服务权限和服务属性权限2级,实现细粒度的资源保护。应用实例结果表明,该模型能够契合电子政务系统中的复杂组织结构,在保护Web服务资源的同时,使得授权更加高效和灵活。     

面向服务的工作流访问控制模型研究

随着企业全球化、企业业务联合与分化的发展,企业组织结构更加动态化,企业业务流程经常发生变更,这都增加了工作流访问控制的复杂性.针对此问题,从工作流访问控制模型与流程模型分离的角度,提出一种面向服务的工作流访问控制模型——SOWAC模型.服务是流程任务的抽象执行和实施访问控制的基本单元,用服务的访问控制替代流程任务的访问控制.说明了SOWAC模型的组成元素及实施实例,提出一种基于服务授权历史的动态责任分离约束方法,并给出SOWAC模型在工作流系统中的实际应用.     

A HIERARCHICAL MODEL OF INFORMATION FLOW IN COMPLEX SYSTEMS

A model of the information flow in hierarchical information processing organizations is presented. The purpose of the model is to capture the essential information activities that occur as system performs its tasks. An information processing organization transforms (input) requests into (output) responses through a set of procedures or processing rules. The hierarchical model describes transformations as changes in the information state vector of various entities in the organization. The information state vector is a dynamic quantity similar in concept to the state of a system. The paper discusses in detail how the structure of the hierarchical model allows how to deduce the optimal reorganization of procedures. In particular, there is a very strong structural linkage between the model and the problem of optimal control of dynamic systems. This linkage is demonstrated in the paper by use of dynamic programming to solve the reorganization problem using this model.     

任务分担模型和DPS控制的动态层次组织

鉴于DPS任务具有易于递归分解的特性,按任务的层次结构来组织问题求解的控制,自然而有效,既分布了控制,又具有集中控制的优点,本文提出控制的动态层次组织这一概念,旨在按问题求解特例动态地组织层次控制,以适应于任务无固定层次结构的情况,考虑到任务的逐层分担是组织层次控制的依据,各求解器以其可承担的任务为中心建立任务分担模型将是十分有帮助的,由于提供了求解器间的潜在控制关系框架和冲突监控网等全局策略性规划知识,模型可用以指导任务分担的合理展开,避免和解决可能的冲突,从而促进层次控制的优化组织。     

基于能力组件的多项目计划管理研究

企业面临的多项目管理环境日益突出,如何进行项目管理创新,高效地实现多项目目标是众多企业面临的突出问题。文章结合装备研制,概述了项目管理的现状和不足,基于虚拟企业的思想,提出了能力组件、能力架构和计划视图的概念,设计了一种基于分级计划管理的能力架构,构建了分级计划管理模型和多级PBO的项目监控机制,结合某企业实践,介绍了一种基于能力组件的项目管理组织模式。     

机床控制流程的一种有限状态机表达方法

面向过程的IEC-1131-3规范已难以满足机床 控制流程表达新的应用需求,为了更好地支持控制器开放式体系结构设计和面向对象系统实 现技术,我们扩展了有限状态机的基本概念,提出了一种机床控制流程表达的分层式有限状 态机(FSM)方法．本文首先对分层式FSM的组织方法、特性、形式定义等进行了详细讨论;为 了进一步阐明这种方法的表达特性,我们介绍了一种分层式FSM表达的机床控制器总体结构 ,并讨论了这种结构下的开放性设计表达和系统实现等相关问题．     

基于隐私保护的策略空间叠加模型研究*

研究了基于隐私保护计算模型的现状,提出多个组织在一个互不信任的分布式环境下合作计算时,任何组织无法获取和保护其他组织的隐私信息及位置隐私的问题。引入了隐私保护策略安全级的概念,给出了隐私保护策略的层次框架,论证了基于角色的策略转换和策略空间叠加的可信性,设计了一种隐私保护策略空间的叠加模型。通过开发的LaMOC（location-aware mobile collaborative system）系统的实验结果表明,位置隐私保护算法在此叠加模型下,具有较高的查询精度和有效性。     

基于类语言模型的中文机构名称自动识别

提出了一种基于类语言模型的中文机构名称自动识别方法,将分词和机构名称自动识别有机地结合起来。在机构名称识别的类语言模型中采用等级结构,使得嵌套有人名、地名等实体的机构名称能够较好地识别出来。在实验过程中,逐步增加实验条件,依次加入启发信息、缓存模型和机构名缩写处理,使得实验结果显著提高。在开放测试中,中文机构名称最终识别的查准率和查全率分别为85.47%和72.81%。     

三维可视化概念层次模型

通过建立平面、三棱柱、六面体和箭头等通用体素，并将文字、图像、定律等相关信息映射到各个通用体素的表面，表示概念设计过程中用到的功能、分功能、基本功能和原理解等概念，有效地扩展了虚拟现实建模语言(VRML)描述三维概念层次模型的能力，并以雷达为例，直观地建立概念设计过程中的三维层次模型，以辅助产品的概念设计过程。     

一种全局统一的层次化网格资源模型

网格计算通过新的组织方式将广域网上的各种计算资源、信息资源、设备资源等集成起来，以统一的方式向用户提供服务，是当前网络计算领域的研究热点，引入逻辑资源树的概念，通过抽象资源参数，提出了一种全局统一的层次化网格资源模型，支持资源的动态加入与删除，与资源池及全局一本地两层资源模型相比，提出的资源模型有效地屏蔽了广域网上资源的异构性，提高了资源的可扩展性；同时根据网络通信性能对资源进行层次化组织，避免了盲目的资源选择，该模型进行资源查找的时间复杂度为Olog(N)，有较高的查找效率。     

MODEL MANAGEMENT FOR HIERARCHICALLY STRUCTURED MODELS AND ITS APPLICATION

The implementation of a model management system for hierarchically structured models, named DIALOGO, is discussed. In the author's model management concept the structure of models is defined with the mathematical formulation of the hierarchical structure based on the framework of the theory of hierarchical, multilevel systems in the mathematical general systems theory by Mesarovic and Takahara. Assuming that model components are given as dynamical input/output systems, the mechanism which enables us to realize simulation with hierarchical structured models as a whole is discussed. The method to execute the simulation by converting a hierarchically structured model into a flat network of model components is presented. The implemented platform is applied to a typical problem in global issues, the Nile River basin problematique, in order to demonstrate effectiveness of the concept.