基于门限的委托模型

为提高用户-用户委托过程的安全性,结合门限思想对PBDM.进行扩展,提出了一种基于门限的委托模型.模型中委托者根据需要将其所要授出的一些重要权限分割成n个互不相同的部分,每一部分与一子角色相对应,不同的受托者通过承担不同的子角色得到一部分权限.n个受托者构成受托团体代替受托者完成相应的工作任务.任务来临时,受托团体中的个体不能独自完成,要受托团体中任意大于等于k个受托者合作才能完成相应任务.该模型实现了多个受托者的合作,使委托更易实现,并且满足最小特权原则和应急原则.     

基于角色-权限的普适计算受限委托方法

针对普适计算跨区域访问控制中的委托授权限制问题,在角色-权限分配中根据权限的重要程度关联信任阈值和访问时间限制,设计了一种基于角色的访问控制(RBAC)模型的以角色-权限为委托单位的受限委托方法。通过证明执行模型与委托条件的一致性,表明该方法能够满足普适计算权限委托限制的要求,可以灵活地支持基于角色-权限的临时性和可执行角色集的依赖性。     

基于量化角色的可控委托模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足，提出了量化角色的概念，实现了一种细粒度的委托约束机制，给出了一个形式化的基于量化角色的可控委托模型QBCDM（Quantifiedrole Based Controllable Delegation Model）．该模型提供了灵活的委托粒度，支持对角色任意部分权限的委托，避免了引入较高的管理代价；支持强制委托约束和细粒度的自主委托约束，保证了多步委托过程中委托能力的收敛性，显著增强了委托过程的可控性．     

一种基于RBAC的UCON管理模型

UCON模型作为新一代的访问控制模型,能够通过可变属性对使用实现连续控制,可满足当前开放的网络环境需求。但UCON模型仍存在一些缺陷:不能实现对权限的管理、对权限的委托和对属性来源的管理。为此,在UCON模型的基础上引入角色元素并把角色分为提供者角色和消费者角色,然后把权限分为直接使用权限和需要授权权限,以实现对UCON模型中权限的管理和权限的委托,并通过提供者角色对可变属性的来源进行管理,使UOCN对权限管理更加灵活,属性来源更加可信,从而使UCON的应用范围更加广泛。     

基于角色的细粒度访问控制模型的设计与实现

为有效解决目前权限管理中存在的授权复杂、不灵活等问题,提出了基于角色的细粒度访问控制模型.改进基于角色的访问控制模型,在其中引入属性约束和用户组,从访问控制的粒度出发分析并设计出基于角色的细粒度模型.新模型有效减少了角色和权限的授予数量,降低了权限管理复杂性,确保了细粒度的访问控制.通过将新模型具体运用到基于J2EE的Web系统并以用户权限树和存储过程实现,表明了新模型的可行性、灵活性和高效性.     

基于角色的访问控制在CSCW系统中的应用

首先介绍了RBAC模型的主要思想。针对计算机支持的协同系统用户多、权限关系复杂、组织机构规模大的特点,设计了基于角色的访问控制在CSCW中的安全模型。结合案例分析了该模型中协同环境下的角色划分、权限管理、安全策略和协同策略。最后给出了数据库实现。     

一种采用RBAC模型的权限体系设计

为了使基于角色的访问控制(RBAC)模型在权限体系中的实现程序简化,在比较分析访问控制三种主流技术--自主访问控制、强制访问控制.基于角色的访问控制的基础上,着重研究了基于角色访问控制的权限体系的模型,在基于关系数据库的权限体系的基础上,加入了用户组、菜单、菜单项等角色,提出了一套简化的基于RBAC的权限体系.最后,给出了基于RBAC模型权限体系的简化模型的实现类图,简化了权限系统中的认证和授权管理.     

针对基于多父角色RBAC模型的研究与应用

针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。对RBAC模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。     

RBAC模型中角色继承关系的研究与改进*

针对RBAC96模型中私有权限实现方法的不足,分析了现有改进方案的研究现状和不足,引入继承属性的概念,通过继承属性值实现权限公有与私有的划分,提出了角色继承时只创建继承关系的继承方案。引入权限重载概念,给出了多角色继承及权限重载时的冲突解决规则,采用广度优先搜索算法实现了角色权限的动态获取;结合实例说明了角色继承、权限重载、解除继承关系的实现方法。     

应用特征码的角色访问控制实现方案

提出应用特征码的基于角色的访问控制实现方案,由特征码表示角色、权限,特征码的合成,即用角色导出信息来表示角色间的继承关系 .文中方案提供了角色授权、角色继承、数据存取授权等方面的安全管理,考虑了系统动态变化时的处理方法,并扩展了对角色私有权限及多角色同时控制数据存取等情况的处理 .该方案权限存取管理简单,更适用于大型网络应用系统.     

基于角色的带时限的转授权与撤销模型

当前基于角色的访问控制系统完全依赖于管理者的集中管理方式,不能够满足分布式环境下的系统管理的需求,基于角色的转授权模型更适于分布式环境的授权管理。但是,目前已有的转授权模型的研究都仅限于基于常规角色的转授权与撤销,并且没有详细地讨论带时限的转授权与撤销的机制。本文将时间因素引入到转授权模型当中,同时在基于角色的管理模型的研究基础之上所扩展的模型称作基于角色的带时限的转授权与撤销模型(Temporal Role-hased Delegation and Revocation Model,TRDRM)。TRDRM在支持常规角色的转授权与撤销的同时,也支持管理角色的转授权与撤销,是集中管理方式和分布式管理方式的有效结合,满足了协同工作的需要。     

基于角色任务的约束委托模型

针对目前RBAC委托模型存在的问题,提出了RTBCDM模型及其形式化表述,以一种简单的方式处理角色对其特权的委托。模型支持动态环境下更细粒度的委托,普通约束、动态约束、支持部分特权的多重传递以及基于任务基础的任务互斥约束特性,极大地增强了委托的可控性和模型的表达能力。     

网格环境中的一种工作流访问控制模型

鉴于现有网格虚拟组织访问控制模型没有对网格工作流授权提供有力的支持,该文提出一种网格工作流访问控制模型GWACM,定义了委托步和委托结构体以及它们之间的依赖关系,形式化地描述了流程任务间的内在约束关系,阐述了委托步的生命周期模型。给出了构建委托步和委托结构体激活上下文的相关算法,有力地支持了委托权限的动态管理。     

支持属性委托模型中委托撤销研究

支持属性的委托模型(ABDM)中,受托者必须同时满足委托先决条件(CR)和委托属性表达式(DAE)才能获得委托权限或角色.在该模型中,委托撤销完成将委托出去的权限收回到委托者处的工作.首先介绍了ABDM提出的两种新的撤销模式及其带来的多步委托中委托与撤销的优先级问题.然后详细讨论了委托与撤销的关系,对两种解决办法:"先来先响应"和"先撤销后委托"进行了分析,提出了两种方法的适应场合.     

基于规则的受限委派框架

委派(delegation)允许特权在主体间传播,是信任管理系统实现跨域授权的核心机制,但不加限制的委派可导致特权扩散,削弱了信息系统的安全性.现有信任管理系统的委派机制缺乏有效的特权传播控制能力,委派机制的安全性也有待于严格的分析和证明.文中提出了基于角色的受限委派模型RCDM,能够支持灵活的特权委派策略,并采用一种范围约束(scope constraint)结构控制特权传播的深度范围和广度范围.面向RCDM提出一种基于规则的满足性验证算法C3A,基于逻辑程序语义理论分析了C3A算法关于RCDM的可靠性和完备性问题,从理论上证明了RCDM的安全性和可用性.     

基于角色的时空约束委托模型

介绍具有时空约束的角色授权委托模型,在RBDM0和RDM2000的基础上,对授权委托中的角色、权限、操作等要素进行时空化处理,使授权委托具备时空属性,并形式化地描述严格/非严格委托、单/多步委托以及全部/部分委托的授权判断规则,为该模型在实际系统中的实现奠定基础。     

工作流管理系统中一种基于任务的委托模式

目前工作流管理系统被广泛应用在各个领域,随着流程变得越来越复杂,而且使用环境更加趋向于分布式异构环境,管理员的工作将变得十分繁重。这时需要一种委托机制,使得用户能够自主地将自己的权限委托给其他用户,从而减轻管理员的压力。论文借鉴RDM2000的思想,提出了一种任务委托模式,很好地解决了工作流环境下的任务委托。     

基于RBAC的灵活集团委托模型

针对现有基于RBAC的委托模型不支持集团用户委托形式,提出一种基于角色的灵活集团委托模型,给出了委托关系、委托授权、委托撤销的形式化描述及委托实施过程。该模型提供了一种灵活的委托机制,实现了在分布式协同工作环境下从单个用户到集团用户的统一委托。     

ARDM--基于代理的角色代理模型

提出一种新的基于代理的角色代理模型ARDM,并提出了新的基于ARDM的权限代理和撤销机制。