共查询到17条相似文献,搜索用时 171 毫秒
1.
针对网格环境下动态授权需求,提出一种支持动态授权的网格授权机制。在对授权策略进行分类并形式化描述的基础上,定义了支持静、动态授权的授权规则。该规则支持组件级、功能级和参数级3种粒度的授权,可满足不同粒度授权的需求并提供协商授权功能。设计了基于静、动态授权规则和授权转换规则的策略匹配算法,并结合该算法给出了可支持静、动态授权的应用实例,应用结果表明了授权机制的可行性和有效性。 相似文献
2.
结合传统的基于角色访问控制(RBAC)模型和授权管理的实际需求,文章提出了一种在时间和空间维度约束下的分级授权模式,该模式授权粒度中等,可灵活地按角色、岗位、部门和用户实施权限分配操作。 相似文献
3.
一种RBAC模型中实现否定授权的方法 总被引:1,自引:0,他引:1
针对现有基于角色访问控制RBAC(Role_based Access Control)相关模型中对否定授权研究的不足,指出用户可以获得计划外权限的问题.通过引入授权状态的概念,对RBAC模型中权限与角色之间的分配关系进行扩展,定义许可授权、收回授权、否定授权及其优先级,给出授权状态合并运算的九个规则,提出RBAC模型实施否定授权的方法.分析实现否定授权的RBAC模型性能,通过具体实例充分说明实现否定授权的RBAC模型的安全性和实用性,并在实际应用中得到实现和验证. 相似文献
4.
5.
6.
本文提出了一个基于角色的多数据库访问控制策略,它包含了基于RBAC的授权主体定义、基于面向对象公共数据模型的授权客体定义和基于语义的授权规则。另外,我们还深入讨论了授权冲突的解决和具体的实现算法。 相似文献
7.
使用控制是最有希望的下一代数字资源使用保护技术,Petri网能够描述使用控制模型的分布、并发、同步等特征,是表达和研究使用控制模型的有效技术。该文定义了使用前授权过程和使用中授权过程的策略规则,采用Petri网进行了表达,分析了Petri网模型能够表达授权控制模型的使用授权策略,给出了使用控制授权模型的有色Petri网表示。 相似文献
8.
9.
10.
基于层次角色委托的服务网格授权执行模型 总被引:1,自引:0,他引:1
针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求. 相似文献
11.
《Journal of Systems and Software》2004,73(3):375-387
Role-based authorizations for assigning tasks of workflows to roles/users are crucial to security management in workflow management systems. The authorizations must enforce separation of duty (SoD) constraints to prevent fraud and errors. This work analyzes and defines several duty-conflict relationships among tasks, and designs authorization rules to enforce SoD constraints based on the analysis. A novel authorization model that incorporates authorization rules is then proposed to support the planning of assigning tasks to roles/users, and the run-time activation of tasks. Different from existing work, the proposed authorization model considers the AND/XOR split structures of workflows and execution dependency among tasks to enforce separation of duties in assigning tasks to roles/users. A prototype system is developed to realize the effectiveness of the proposed authorization model. 相似文献
12.
Michiharu Kudo 《International Journal of Information Security》2002,1(2):116-130
Over the years a wide variety of access control models and policies have been proposed, and almost all the models have assumed
“grant the access request or deny it.” They do not provide any mechanism that enables us to bind authorization rules with
required operations such as logging and encryption. We propose the notion of a “provisional action” that tells the user that
his request will be authorized provided he (and/or the system) takes certain actions. The major advantage of our approach
is that arbitrary actions such as cryptographic operations can all coexist in the access control policy rules. We define a
fundamental authorization mechanism and then formalize a provision-based access control model. We also present algorithms
and describe their algorithmic complexity. Finally, we illustrate how provisional access control policy rules can be specified
effectively in practical usage scenarios.
Published online: 22 January 2002 相似文献
13.
近年来,授权策略的研究取得诸多进展。但是,在应用系统中实施这些策略还需大量具有共性和挑战性的工作。本文将对象中间件技术同信任管理技术有机地结合起来,定义了面向中间件的授权策略框架MPF,然后提出一种通用中间件授权管理体系结构StarNumen。StarNumen将授权同应用组件分离,以策略驱动或透明的方式为应用系统提供授权策略描述、策略存储、会话管理等多种具有通用性的授权机制。模拟测试结果说明了StarNumen的可行性和有效性。 相似文献
14.
15.
Juan M. Marín Pérez Jorge Bernal Bernabé Jose M. Alcaraz Calero Felix J. Garcia Clemente Gregorio Martínez Pérez Antonio F. Gómez Skarmeta 《Future Generation Computer Systems》2011,27(1):40-55
There are a few issues that still need to be covered regarding security in the Grid area. One of them is authorization where there exist good solutions to define, manage and enforce authorization policies in Grid scenarios. However, these solutions usually do not provide Grid administrators with semantic-aware components closer to the particular Grid domain and easing different administration tasks such as conflict detection or resolution. This paper defines a proposal based on Semantic Web to define, manage and enforce security policies in a Grid scenario. These policies are defined by means of semantic-aware rules which help the administrator to create higher-level definitions with more expressiveness. These rules also permit performing added-value tasks such as conflict detection and resolution, which can be of interest in medium and large scale scenarios where different administrators define the authorization rules that should be followed before accessing a resource in the Grid. The proposed solution has been also tested providing some reasonable response times in the authorization decision process. 相似文献
16.
工作流系统带权角色与周期时间访问控制模型 总被引:17,自引:1,他引:17
带权角色激活任务和周期时间授权是工作流系统访问控制研究尚未解决的核心问题.以基于角色的访问控制模型为基础,提出了一种新的工作流系统带权角色与周期时间访问控制模型WRPTAC(weighted role and periodic time access control).讨论了周期时间表示方法,定义了工作流系统授权新概念和时态授权推导规则,给出了时间复杂度为O(n2)的时态授权推导规则一致性验证图论算法,并定义了任务激活约束规则.它能够表达复杂的工作流系统访问控制约束. 相似文献
17.
基于规则推导的特权隐式授权分析 总被引:1,自引:0,他引:1
介绍了一种研究系统特权安全问题的方法.由于其特有的迁移系统安全状态的能力,使得分析及保护系统特权都很困难,因此,传统访问控制研究中所采用的技术无法复制到该领域.在访问控制空间理论下,检查了系统特权的来源问题及其特点,从而将系统规则划分为约束规则与执行规则两类,分别描述授权的限制与效果.进一步对规则逻辑形式进行推导,发现特权操作问的特殊授权关系以及相关属性,并设计了一种快速构造授权推导图的算法.在此基础上,分析隐式授权安全问题可能存在的滥用特权威胁.最后对POSIX(portable operating system interface)标准的权能机制进行形式化描述,计算并构造其授权推导图.对标准设计中存在的滥用威胁提供了对策,有效地实现了与最小特权原则的一致性. 相似文献