RBAC在B／S模式信息管理系统中的研究与实现

基于角色的访问控制（RBAC）具有减少授权管理复杂性、降低管理开销、增强系统安全性等优良特性。本文分析了RBAC模型的基本原理、结构,描述了RBAC在B／S模式信息管理系统中的应用模型,并将这种新的应用模型应用到某公司的业务信息管理系统开发中,实现了用户与角色相关联、角色与权限相关联,不同用户拥有不同的操作权限,增加了系统使用的安全性以及系统管理的工作效率。     

基于信任的动态多级访问控制模型

针对传统基于角色的访问控制(Role-Based Access Control, RBAC)系统中的访问资源共享伸缩性有限、安全性不足及权限需预先设定分配等问题，为了提高权限控制的兼容性，细化访问控制粒度，本文提出一种基于信任的动态多级访问控制模型(Trust-Based Dynamic Multi-level Access Control Model, TBDMACM)，通过用户的静态角色及动态信任度获得相应的权限授权，保证数据机密性和访问过程安全可控。实验结果表明，这种访问控制方式能够有效地防止恶意访问，较好地解决系统权限伸缩性问题。     

Web服务中基于XACML和SAML的访问控制模型

Web服务为传统的安全模型带来了许多新的安全隐患,为了解决Web服务中存在的安全性问题,通过分析XACML、SAML以及RBAC等相关技术,提出了一种基于XACML和SAML的RBAC模型。该模型采用XACML对用户进行访问控制,利用角色管理用户授权,使用RBAC分离用户和权限,提高了权限管理的灵活性;通过SAML协议使不同角色的用户实现单点登录,整个架构基于XML技术,保证了模型的灵活性以及扩展性。     

电子政务基于属性证书的访问控制模型

随着我国电子政务的发展,如何保障电子政务中的资源信息不被非法访问已成为当务之急。如何进行用户对资源和服务使用的限制,决定主体是否对客体有权限进行某种操作,即对用户进行访问控制的问题信息安全研究中的重要方面。授权来源于访问控制,即先对用户进行授权,然后根据用户具有的权限来进行访问控制。属性证书包含了一系列用户的权限信息,所以属性证书可以看作是权限信息的载体。根据属性证书中用户的权限信息可以对用户访问资源进行控制,基干角色的访问控制(RBAC)是一种新兴的访问控制技术和理念,是将用户划分成与其职能和职位相符合的角色,根据角色赋予相应操作权限,以减少授权管理的复杂性,降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境,是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。NRBAC模型是一种更接近现实情况的模型。基于属性证书和电子政务中存在的特殊要求和特点,结合RBAC96、ARBAC97模型以及NRBAC模型,构造了一个适合电子政务系统使用的基于角色的安全访问控制模型eGA-NRBAC;利用该访问控制模型解决了电子政务工程中授权管理系统和授权服务系统的工程化实现问题。测试和实际使用都证明了此访问控制模型的正确性、可行性和可靠性。     

企业CMS中RBAC模型的研究与改进实现

传统内容管理系统中,对用户直接授权的方法虽然简单,但不易管理;基于角色的访问控制方法（RBAC）增强了权限管理的灵活性和易扩展性,却可能造成权限泄露;给出ECMSAC模型,在RBAC的基础上,引入可实施的最小特权原则,减少了权限泄露的可能,提高了CMS的安全性。     

支持资源分类授权的通用权限管理模型研究

针对当前Web应用程序中存在的安全性问题.概要介绍了现有的权限管理模型;在详细分析Web应用程序自身权限管理的特点基础上,基于RBAC模型提出了一种支持资源分类授权的通用权限管理模型;在该模型中,管理员首先对WEB应用程序中的资源进行分类,然后定义每类资源的具体操作种类,随后定义每个角色对某一资源的操作权限,最后为用户分配合适的角色;基于.NET平台和SQL SERVER数据库设计和开发了一套支持资源分类授权的通用权限管理系统,并给出了一个具体应用实例;实践表明,该模型能够非常有效地解决Web应用程序中的权限授权和权限管理问题,增强了系统安全性.     

一种采用RBAC模型的权限体系设计

为了使基于角色的访问控制(RBAC)模型在权限体系中的实现程序简化,在比较分析访问控制三种主流技术--自主访问控制、强制访问控制.基于角色的访问控制的基础上,着重研究了基于角色访问控制的权限体系的模型,在基于关系数据库的权限体系的基础上,加入了用户组、菜单、菜单项等角色,提出了一套简化的基于RBAC的权限体系.最后,给出了基于RBAC模型权限体系的简化模型的实现类图,简化了权限系统中的认证和授权管理.     

基于RBAC的B/S系统访问控制设计与实现

基于角色的访问控制模型RBAC通过引入角色实现了用户和访问控制权限的逻辑分离,简化了系统授权过程,提高了权限管理模块的可重用性,是当前信息系统权限管理的主流策略。基于RBAC设计实现了一个B/S系统下通用的权限管理模块,通过客户端脚本控制页面访问操作,支持部分页呈现。     

基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。     

基于ASP面向移动商务的集成平台访问控制模块研究与实现

该文分析了几种常用访问控制模型的优缺点,研究和探讨了基于角色的访问控制(RBAC)策略在ASP平台中的应用,设计实现了应用与基于ASP面向移动商务集成平台的RBAC模型,该模型基于平台用户类别与企业组织结构,将角色分类分层进行管理,有效降低了系统授权的复杂性,提高了权限管理的效率和平台的安全性。     

改进的RBAC模型在信息服务平台上的应用

针对RBAC模型的不足,在研究传统的RBAC基本原理基础上,结合信息服务平台权限众多、用户和角色数目庞大的特点,提出一种改进的RBAC模型。该模型引入了组织结构、用户组的概念,扩展了资源的类型和资源权限授权形式,给出了模型的形式化定义,并将其运用在信息服务平台上。平台已成功与某高校科研管理系统进行了整合,实践表明,改进的RBAC模型不仅简化了权限管理、减少了角色数量,并且提高了系统的安全性和权限管理的灵活性。     

PMI授权管理系统设计与实现

企业的安全应用面临着资源信息需共享,跨组织边界的用户和服务资源会随时调整,安全策略中的安全属性种类繁多,权限决策辅助因素的多变等问题。文中介绍的PMI授权管理系统为上述问题提供了一个可行的解决方案。该系统将GB／T16264．8-2005和ISO／IEC9594-8（2005）相结合,遵循属性证书的X．509协议,利用改进的RBAC模型建立授权机制,将各类权限信息存储在LDAP数据库及属性证书中。应用结果表明,系统将访问控制机制从具体应用的开发和管理中分离出来,不仅屏蔽了安全技术的复杂性,也拥有很强的灵活性、适应性和可扩展性。文中给出了系统总体设计、授权体系与访问控制模型及LDAP数据库设计方案。     

基于RBAC的权限复杂性与可靠性控制模型研究

面对业务系统的规模不断扩大,传统的RBAC(Role-Based Access Control)权限控制变得越来越复杂,不仅增加了企业运维难度,也越来越容易因为权限分配不合理而出现安全事故.为解决以上问题,在对RBAC层次模型研究的基础上,进一步将权限治理分为可靠性、复杂性、权限修正策略三部分,从不同维度进行权限管理....     

基于任务机制的工作流安全控制的研究

工作流技术是生产与办公提高效率的有效办法,然而工作流系统的安全问题却没有得到很好的解决.通过研究RBAC安全访问与控制技术的优缺点,结合工作流系统的安全需求,提出一种基于任务机制的RBAC模型.该模型引入任务群管理机制,通过任务的动态授权,实现对角色访问权限约束,消除角色最小权限约束假象,提高工作流的安全性能.     

面向工作流应用的可组合授权模型

针对分布式工作流系统授权管理的动态性、统一性和自治性的特点,将RBAC的授权管理思想和TBAC的动态访问机制结合起来,提出了支持工作流组合和动态授权控制的可组合授权模型。该模型提供了从工作流的组成结构和执行关系进行建模的方法,通过将各个处理单元的授权方案按照工作流的组合结构、执行依赖关系和主体依赖关系进行组合,从而构造适应更复杂的工作流系统的授权方案。对模型的定义和组合运算进行了形式化描述,给出了模型的表达能力和一致性、组合运算的兼容性和安全性的相关性质分析。最后介绍了支持动态授权的授权控制引擎原型。     

权限可控传递的物联网共享设备委托授权访问机制

为了解决在共享模式下设备所有者在委托授权时权限敏感度保护以及中间代理滥用授权的问题,综合基于信任度访问控制模型和代理签名的特征,提出了一种基于信任度的可控部分权限委托授权机制。该机制采用基于角色和信任度值的授权策略,通过代理签名实现可控的部分权限委托传递。经安全分析证明,该机制可满足权限传递所需的可验证性、不可否认性、可区分性、可识别性和不可滥用性等安全属性,确保了设备所有者权限的可控安全传递,有效防止中间代理过度授权的问题。     

一种面向业务的动态访问控制模型

针对基于角色的访问控制(RBAC)模型在业务处理流程中访问控制粒度过粗和无法动态调整授权等方面的问题,提出了一种面向业务的动态RBAC模型(BO-RBAC)。该模型参考基于任务的访问控制(TBAC)模型,引入了业务、业务步和授权步等概念,并形式化定义了模型的基本集合;同时将授权过程分为角色授权和授权步授权两部分,将业务执行视为随机过程,给出了基于马尔可夫链的动态授权方法;最后使用C++14对模型进行了实现。BO-RBAC模型结合了RBAC与TBAC的特点,具有访问控制粒度细、授权动态调整、满足安全规范等优点。     

多域多应用环境下的访问控制研究

为适应多域多应用环境下的安全互操作的需求，本文通过扩展RBAC96模型有关概念。增加其对多域环境下多应用的刻画，通过引入全局角色、域角色和关联角色概念，提出了一种多域多应用访问控制模型DPM。通过对PMI授权管理构架进行扩展，实现了DPM模型，为多域多应用环境下的安全互联提出了一个实际的解决方案。