共查询到19条相似文献,搜索用时 125 毫秒
1.
基于量化角色的可控委托模型 总被引:23,自引:0,他引:23
针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足,提出了量化角色的概念,实现了一种细粒度的委托约束机制,给出了一个形式化的基于量化角色的可控委托模型QBCDM(Quantifiedrole Based Controllable Delegation Model).该模型提供了灵活的委托粒度,支持对角色任意部分权限的委托,避免了引入较高的管理代价;支持强制委托约束和细粒度的自主委托约束,保证了多步委托过程中委托能力的收敛性,显著增强了委托过程的可控性. 相似文献
2.
引入权限量值和量化角色的概念,建立一个细粒度的Web服务访问控制模型。通过定义Web服务和服务属性资源以及访问模式集,扩展权限集的定义;研究Web服务权限量值的定义和分配,以及量化角色的验证和表示形式;提出Web服务主体的行为量值的概念,建立与主体的角色量值的关联,实现根据Web服务主体的行为和上下文环境动态计算行为量值并调整主体权限的方法。 相似文献
3.
4.
5.
针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。 相似文献
6.
7.
现有的一些工作流系统访问控制模型局限于活动执行权限控制,难以满足适应性工作流系统的访问控制需求.针对适应性工作流系统的权限控制需求,对适应性工作流系统的操作行为进行分析和总结,确定操作对象、用户、操作方法为研究对象,对监控和业务过程变更进行细粒度划分,给出了规范化的形式化描述.在此基础上提出基于角色的访问控制的授权模型以及与系统的集成,描述角色、用户和对象等要素之间关系,给出授权方法,保证操作的合理性,有效解决适应性工作流系统中安全控制问题,满足了不同层次人员对监控权限的灵活需求. 相似文献
8.
为有效解决目前权限管理中存在的授权复杂、不灵活等问题,提出了基于角色的细粒度访问控制模型.改进基于角色的访问控制模型,在其中引入属性约束和用户组,从访问控制的粒度出发分析并设计出基于角色的细粒度模型.新模型有效减少了角色和权限的授予数量,降低了权限管理复杂性,确保了细粒度的访问控制.通过将新模型具体运用到基于J2EE的Web系统并以用户权限树和存储过程实现,表明了新模型的可行性、灵活性和高效性. 相似文献
9.
10.
11.
12.
基于层次角色委托的服务网格授权执行模型 总被引:1,自引:0,他引:1
针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求. 相似文献
13.
由基于TLA(Temporal Logic of Action)的使用控制策略规范所表达的授权策略得出的决策结果仅能表达简单的"允许"或"拒绝",这在服务网格中难以实现决策组件与执行组件的合理分工,也不利于独立授权过程的并发执行.因此,本文首先提出了委托凭证作为决策结果的细粒度表达方式,然后对基于条件谓词决策的策略规范进行了改进与扩充,将原来简单的访问状态改进与扩充为委托凭证处理过程的状态组合.决策组件能根据访问请求时的系统状态输出合理的委托凭证,也能根据随后的系统状态变化进行再决策,以转换委托凭证的处理状态.最后对新的策略规范的完备性和正确性进行了证明,并通过实例展示了策略规范的表达能力和访问请求的决策过程. 相似文献
14.
委托授权在PMI体系架构中的研究与应用 总被引:4,自引:0,他引:4
PMI是构建在PKI基础上实施特权管理的服务体系,目前普遍采用基于角色的安全架构和基于属性证书的实现机制。该文提出了一种面向PMI环境基于角色和权限两级的开放分布武委托授权模型——DM for PMI(Delegation Model for PMI),并在该模型的基础上引入委托证书,给出了一种扩展的PMI体系架构——EPMI(Extension PMI)。EPMI增强了原有PMI中委托授权的语义和机制,解决了开放分布式环境下电子政务与电子商务实际应用中的特权委托问题。 相似文献
15.
Delegation certificates (e.g. SPKI) support the decentralized management of access rights in organizations without the need for a centralized server to mediate every delegation operation. However, it does not allow the access rights to be delegated in a flexible way. For instance, a user cannot be granted the authorization to perform delegation of permission without granting himself/herself the authorization to exercise the associated permission at the same time. In this paper, we propose an improved delegation model, where the various users in a delegation chain may perform supervision on the delegate to exercise the delegated permission. We describe the way to support the model using SPKI as an example. Also, we describe how to support efficient authorization in delegation with supervision using proxy signature techniques. 相似文献
16.
传统的基于实体标识的授权模型会导致由于授权路径的不一致而引起权限传播的不一致,并可能导致不合法的实体进入授权路径获得不应有的权限.针对以上两方面的问题,提出一个基于属性的授权委托模型ABADM(attribute-based authorization delegation model),将授权模型中权限的传递与权力的委托均建立在实体所具有的属性集合的基础之上,以属性集合作为实体自身的代表进行授权,从而确保拥有相同属性凭证链的实体其权限是一致的.模型将属性与访问权限进行明确区分,提出了域内属性权限分配策略和域间属性计算模型,通过两者的结合给出了在ABADM模型中计算实体所拥有的跨域属性集合和访问权限的方法,并结合具体实例对模型的使用进行了说明. 相似文献
17.
在网格环境中,任务执行时需要有特定权限才能完成。用户需要拥有足够的权限才能完成任务,如果赋予权限不足,任务就无法被完成;权限过大,又容易产生安全威胁。有限委任就是针对特定任务,特定用户指定一个适当的权限,这样才能确保网格中的安全认证体系。在分析了现有认证服务体系的缺陷和不足后,提出了一种认证服务模型,该模型在一个任务的执行过程中,在不同阶段为不同的经办人分配具体权限,从而确保任务能被安全地完成。 相似文献
18.
提出了一种支持否定授权的基于子角色的授权代理模型SRBDM(Sub-role based Delegation Model).该模型根据角色的继承和委托特性将角色分为若干个子角色,支持部分代理、权限级粒度代理和限制性继承,并对由于同时支持肯定和否定授权而产生的权限冲突问题提出了解决方法. 相似文献
19.
在动态构建服务网格虚拟组织以协同问题求解的新趋势下,提出了一种服务网格工作流委托授权模型。提出委托凭证以细粒度地表示授权决策结果,定义了委托步和委托结构体以及它们之间的依赖关系以形式化地描述流程任务之间的内在约束关系。工作流的每个原子任务被授予一个由委托凭证和激活凭证集组成的委托步,每个任务被授予一个由委托步集和激活凭证集组成的委托结构体。各自的激活凭证集分别规定了委托步之间和委托结构体之间的依赖关系。通过监控委托步和委托结构体能够细粒度地控制网格工作流授权执行过程。实例表明了该模型能满足工作流应用对安全的需求。 相似文献