Practical Role-Based Access Control

ABSTRACT

This article presents access control from a general and a role-based perspective. The article's focus is role based Access Control from a practical vice a theoretical perspective. The article starts with some access control definitions and two secure access control models. Access control is then presented in context of an abstract model, as preface to an in-depth assessment of Role Based Access Control (RBAC).

Several examples contrast RBAC and the simple access control model. The article does not portray RBAC as a panacea, optimal for all situations. Indeed, it is feely admitted that RBAC may be counterproductive in some instances. But the point is also made that RBAC, when properly implemented in an appropriate environment, can reward the organization with economic, security and accountability benefits.

Surrogacy is discussed as an essential RBAC attribute and, in practical terms, as a means of drastically reducing authorization volume.

Lastly, the article touches on converting from simpler forms of access control to the more complex RBAC.     

基于角色的访问控制模型分析与系统实现

介绍了三种访问控制机制：自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）,并着重分析了RBAC的三种模型：RBAC96,EHRABC和ARBAC97。最后,给出了一个RBAC的实现模型。     

基于角色的访问控制

信息安全技术领域一个非常重要的方面是访问控制。文章描述了近年提出的一种新的访问控制技术RBAC。详细介绍RBAC的基本要素及NIST的RBAC四层模型,讨论比较了RBAC模型与TCSEC中的MAC和DAC的区别,最后分析了NISTRBAC四层模型的一些不完善之处。     

基于角色的访问控制

近年来,随着企业信息系统的广泛使用,系统安全问题受到越来越多的关注,而访问控制技术是解决安全问题的关键。基于角色的访问控制(RBAC)策略作为目前主流的访问控制策略,相比传统的自主访问控制(DAC)和强制访问控制(MAC),体现了更高的灵活性和扩展性。本文对企业信息系统中采用基于角色的安全访问控制(RBAC)技术进行了理论研究和实践探讨。     

New Approach Targeting Security Patterns Development and Deployment

ABSTRACT

In this paper, we address the problems related to the applicability and usability of security patterns. In this context, we propose a new approach based on aspect-oriented programming (AOP) for security patterns development, specification and deployment. Our approach allows the security experts to deliver their security patterns that describe the steps and actions required for security solutions, including detailed information on how and where to integrate each one. It also provides the pattern users with the capabilities to deploy well-defined security solutions. The pattern users are required to have knowledge in AOP with minimal expertise in the corresponding security solution domain. Moreover, we design and implement the RBAC (Role Based Access Control) model for a Library Circulation system called RBAC-LB. The elaborated RBAC-LB model illustrates all the procedures and mechanisms of the approach phases and provides authentication/access control features for the library system.     

使用会话期上下文检查的RBAC模型：RBAC CCS

在大型信息系统的设计中,访问控制一直是一项复杂的工作。基于角色的访问控制（RBAC）被推荐来代替传统的访问控制模型。应用到信息系统中时,需要解决RBAC的控制粒度问题。我们需要一个能够基于上下文进行细粒度访问控制的RBAC模型,即基于对象实例上下文上的访问控制。对现有的解决方案进行综述和比较,提出了使用会话期上下文检查的RBAC模型：RBACCCS。RBACCCS中用了参数化权限,在权限检查时用上下文变量实例化这些参数化权限,这样就解决了上下文的表示和上下文作用机制问题。最后对RBACCCS模型进行     

基于角色的访问控制在ASP.NET 2.0中的应用研究

安全是影响Web发展的重要方面,访问控制和授权是Web安全的核心问题.介绍了基于角色的访问控制(RBAC)模型,研究了RBAC在ASP.NET 2.0中的应用,探讨了ASP.NET 2.0中的身份认证、用户和角色管理、RBAC模型的实现等问题,实现了基本的基于角色的访问控制模型并讨论了ASP.NET 2.0中的RBAC模型的扩展.     

基于角色与组织的访问控制模型

访问控制是系统安全的重要技术。RBAC（基于角色的访问控制模型）是目前受到广泛关注的访问控制模型,但在大型应用系统中操作烦琐。分析了RBAC的不足之处,提出了基于角色与组织的访问控制模型ORBAC。该模型是对RBAC的扩展,它通过定义组织结构及其权限,减少了角色的数量,从而降低了应用系统访问控制的复杂程度。     

RBAC模型的扩充及其应用

RBAC（Role Based Access Control）是一种被广泛认可的信息系统访问安全规范管理模型,但RBAC访问安全规范模型如何与组织系统的业务过程规范模型融合,从而更有效地服务于可信业务协同系统的开发实践还值得进一步研究改进。在RBAC模型的基础上,融合协同业务规范中的义务及奖惩元素,提出RBAO（Role Based Access and Obligation）模型。RBAO模型不仅能描述角色在组织中可拥有的访问权力,还能描述角色在组织中可能要承担的义务及义务违反时将受到的处罚。这使得RBAO模型更适合用于组织可信规范业务协同系统的管理建模与开发。以具体实例说明了基于RBAO模型的可信业务协同系统管理的分析与建模方法。     

一种改进的以基于角色的访问控制实施BLP模型及其变种的方法

该文指出了Sandhu等人提出的以基于角色的访问控制(Role-Based Accesas Control,RBAC)实施强制访问控制(Mandatory Access Control．MAC)策略的方法存在拒绝服务(Denial of Service,DoS)和给主体赋予过多权限等错误，且缺乏对经典BLP模型的充分的支持．为此作者提出了一种改进的方法——ISandhu方法，引入了辅助角色层次，加强了角色间关系并提供了对可信主体概念的支持．此方法修正了原有方法的错误，在RBAC中实施了经典的BLP模型及其变种模型以满足实际需求．保证了强制访问控制策略的正确实施，为在大量商业系统中以较小的代价引入强制访问控制提供了理论依据．     

使用会话期上下文检查的RBAC模型:RBAC-CCS

在大型信息系统的设计中，访问控制一直是一项复杂的工作。基于角色的访问控制（RBAC）被推荐来代替传统的访问控制模型。应用到信息系统中时，需要解决RBAC的控制粒度问题。我们需要一个能够基于上下文进行细粒度访问控制的RBAC模型，即基于对象实例上下文上的访问控制。对现有的解决方案进行综述和比较．提出了使用会话期上下文检查的RBAC模型：RBAC-CCS。RBAC-CCS中用了参数化权限，在权限检查时用上下文变量实例化这些参数化权限，这样就解决了上下文的表示和上下文作用机制问题。最后对RBAC-CCS模型进行了实现．阐述了其中的关键算法并进行了应用。     

基于RBAC扩展的网格访问控制的研究

访问控制是众多计算机安全解决方案中的一种,是最直观最自然的一种方案。而基于角色的访问控制(RBAC)是最具影响的高级访问控制模型。然而,由于网格的跨组织、动态、异构的特点,建立访问控制还需要对RBAC扩展。文中对RBAC做了简单介绍,分析了其在网格环境下的不足,重点给出了扩展RBAC定义,并以此建立了基于RBAC扩展的网格动态访问控制模型,给出了访问控制流程。     

角色访问控制技术在放射治疗中的应用

放射治疗计划系统(RTPS)是放射治疗解决方案的重要组成部分,其安全性直接影响整个治疗方案的执行效果。该文介绍基于角色访问控制(RBAC)模型的基本原理,结合RTPS的开发实践和放射治疗临床实际情况,说明RBAC模型在RTPS中的应用合理性和有效性,分析基于该模型的访问控制模块与治疗计划系统的关系,给出访问控制模块的系统结构、数据库表结构设计及其在VC6.0 下的实现方式。     

Usage control in computer security: A survey

Protecting access to digital resources is one of the fundamental problems recognized in computer security. As yet it remains a challenging problem to work out, starting from the design of a system until its implementation. Access control is defined as the ability to permit or deny access to a particular resource (object) by a particular entity (subject). Three most widely used traditional access control models are: Discretionary Access Control (DAC), Mandatory Access Control (MAC), and Role Based Access Control (RBAC).Traditional access control solutions do not respond adequately to new challenges addressed by modern computer systems. Today highly distributed, network-connected, heterogeneous and open computing environment requires a fine-grained, flexible, persistent and continuous model for protecting the access and usage of digital resources.This paper surveys the literature on Usage Control (UCON) model proposed by Park and Sandhu (2002) [1], Park (2003) [2] and Zhang (2006) [3]. Usage control is a novel and promising approach for access control in open, distributed, heterogeneous and network-connected computer environments. It encompasses and enhances traditional access control models, Trust Management (TM) and Digital Rights Management (DRM), and its main novelties are mutability of attributes and continuity of access decision evaluation.     

基于角色的访问控制模型及其面向对象的建模

访问控制是信息安全的一个研究方向，基于角色的访问控制(RBAC)是目前理论研究和应用研究比较广泛的一种模型。详细介绍了RBAC96模型家族的特征和它所遵循的安全准则，并引入面向对象的思想，采用统一建模语言(UML)对RBAC96进行了静态和动态建模，这样就缩短了理论模型和实际系统开发之间的差距，有助于信息系统安全的面向对象的分析与设计。     

基于角色的强制访问控制模型的研究与应用

基于角色的访问控制是一种策略无关的访问控制模型,通过结合传统的安全访问控制模型,可以构造出更为灵活、高效的安全访问控制模型。该文结合角色访问控制和强制访问控制模型的特点,在RBAC96模型的基础上构造实现强制访问控制的ERB-MAC模型,并给出该模型的形式化描述及证明,同时给出该模型的应用实例。     

强制访问控制在基于角色的保护系统中的实现

研究了通过对基于角色的访问控制（RBAC）进行定制实现强制访问控制（MAC）机制的方法。介绍了RBAC模型和MAC模型的基本概念，讨论了它们之间的相似性，给出了在不考虑角色上下文和考虑角色上下文两种情形下满足强制访问控制要求的RBAC系统的构造方法。从这两个构造中可以看出，强制访问控制只是基于角色的访问控制的一种特例，用户可以通过对RBAC系统进行定制实现一个多级安全系统。     

新型网络环境下的访问控制技术

访问控制是系统安全的关键技术,不同网络环境下的访问控制机制也是不同的.首先对3种传统的访问控制策略加以介绍,给出DAC(discretionary access control),MAC(mandatory access control)和RBAC(role-based access control)各自的特点及应用,并简要介绍下一代访问控制UCON(usage control)模型,然后分别针对网格、P2P、无线网络环境下的访问控制技术及目前的研究现状进行总结,详细阐述可信网络作为下一代互联网发展的必然     

New role-based access control in ubiquitous e-business environment

Ubiquitous e-business is one of major topics in intelligent manufacturing systems. Ubiquitous e-business environment requires security features including access control. Traditional access control models such as access control list (ACL), mandatory access control (MAC), and role-based access control (RBAC) are unsuitable for a ubiquitous e-business environment because they cannot satisfy its requirements. In this study, we propose a new access control model termed the Ubi-RBAC model. It is based on the RBAC model and adds new components such as space, space hierarchy, and context constraints. Ubi-RBAC covers the context awareness and mobility of subjects (human users), which are the key issues of access control in the ubiquitous e-business environment.     

PMI系统中访问控制策略的分析与设计

访问控制策略是PMI（授权管理基础设施）中的重要因素，它决定着PMI系统的灵活性和适应应用的能力。通过分析目前广泛存在的3种访问控制策略DAC、MAC及RBAC的优势与不足，提出了将三者有机结合、实现一种基于条件的访问控制策略。利用XACML语言对策略进行了描述，并对采用这种策略的PMI系统进行了设计和部分功能的实现。