数据库安全代理的基于角色访问控制模型

针对信息战下数据库安全代理对访问控制的特殊需求,提出了数据库安全代理(DSP)扩展的基于角色访问控制模型(DSP-RBAC).该模型形式化地定义了权限的各个方面,包括操作、属性、动作、客体以及它们之间的关系.通过引入客体包含关系(OIR)和操作级联关系(COR),研究了DSP对关系数据库管理系统的认知问题.在分析操作级联关系的级联需求和继承激活基础上,阐述了对会话需求权限和会话激活权限的影响,并给出在新模型下进行访问控制决策的原则.实验结果表明,该模型解决了在数据库安全代理中应用访问控制策略的操作、客体相关性问题,能够显著提高关键应用的安全性.     

基于情景约束的工作流柔性访问控制模型

针对现有的访问控制模型在工作流系统中,基于情景的动态授权和灵活的任务相关授权等问题,提出一个应用于工作流系统的基于情景约束的柔性访问控制模型.模型定义了基于情景约束的角色指派策略和角色授权策略,分析了策略间的关系,对策略间可能存在的冲突进行了分类,给出策略冲突的静态和动态检测规则,并提出优先级规则和冲突消解策略的概念,安全管理员可以根据系统需求灵活地确定冲突消解的方式;模型还给出基于最小角色指派策略集和最小角色授权策略集的角色分配与授权决策算法,实现了工作流系统中基于情景的动态授权,并支持用户-角色和角色-权限的自动指派.     

基于RBAC模型的角色权限及层次关系研究

针对经典的RBAC96模型及相关模型中角色私有权限处理方法的不足之处,提出了一个改进的角色层次关系模型IHRBAC,该模型通过在角色权限委派关系中引入角色权限继承极限值和最大继承极限值,划分角色权限为私有权限和公有权限,定义私有化继承和公有化继承二种继承方式,形成了一个支持安全管理员宏观控制下的角色权限委派分级管理的改进模型,克服了多数模型集中式管理模式的局限性,并能够灵活地反映复杂的角色层次关系．     

基于四级访问控制策略的工作流模型

针对用户-角色-权限的三级访问控制策略(RBAC 96)的缺陷以及工作流管理系统突出活动的特性,在传统的RBAC 96模型中引入活动、上下文和柔性角色解析等概念,提出了一种工作流管理系统中基于用户-角色-活动-权限的四级访问控制策略,提高了工作流管理系统的动态适应性、安全性和实用性。     

面向任务的工作流访问控制模型

在分析工作流对访问控制需求的基础上,提出了面向任务的工作流访问控制模型．该模型引入了授权任务概念,将执行任务需要的最小权限和执行任务的角色作为授权任务的属性,使角色和权限脱离关系．同时该模型定义了任务冲突关系,并在此基础上给出了动态授权约束规则,保证了组织安全策略的实施．面向任务的访问控制模型实现了授权流同工作流的同步,能够满足工作流访问控制对动态授权、最小权限和职责分离的要求．不同于已有的模型,该模型还通过角色和权限的分离解除了组织模型和工作流模型的耦合关系．     

基于用户群组RBAC模型的一种实现方法

在基于角色的访问控制中，只有角色具有权限．用户必须被赋予某种角色才能取得相应的访问权限，通过引入群组．把各个不同的用户具有相同的角色集归为同一用户群组。对多个用户授权压缩为对同一群组授权．减少了授权工作量。采用J2EE平台中的EJB—CMP／CMR技术，CMR为基于群组的RBAC模型的实现提供了很好的支持．并给出了该模型的实现过程。     

基于实例团队和任务的RBAC模型

该文针对现有的基于角色的访问控制模型的缺陷和工作流管理系统的特征,提出了一种新的访问控制和授权管理模型,称之为基于实例团队和任务的RBAC模型。模型的主要思想是将权限分配给任务,再将任务分配给角色,任务实例启动执行时指派实例团队,角色通过任务与权限相关联,用户通过角色和实例团队获取权限。该模型解决了传统的基于角色访问控制中仅仅通过角色来分派权限的缺陷,保证了权限授予对应角色的用户集合中的某一确定用户,提高了系统的安全性和灵活性。     

基于角色的安全工作流动态访问控制模型

在RBAC96模型的RBAC0基础上,提出了基于角色的安全工作流动态访问控制模型,使用基于角色的静态授权和基于任务的动态控制相结合的方法,达到在工作流推进过程中对任务的执行权限和对各种数据资源的访问权限进行有效控制的目的,并且从安全目标、安全模型、系统结构与安全机制等几个方面描述并分析了基于角色的安全工作流动态访问控制模型.     

带时间约束和角色控制的工作流系统授权模型

分析传统RBAC授权模型直接用于工作流系统授权的不足之处，分析了传统授权模型对时间约束和责任分离约束支持的不足，构建了一个带有时间约束的基于角色的工作流系统授权模型，分析该模型对最小权限和责任分离要求的满足情况。     

基于角色的层次受限委托模型

角色委托是RBAC模型需要支持的一种重要安全策略。基于构件化的思想,在基于角色访问控制模型基础上,提出了一个受限的层次角色委托模型,该模型分别在时间约束、部分委托约束、角色依赖约束、角色冲突等方面对委托进行了限制。给出了委托授权时的冲突检测算法与用户所拥有权限的计算算法及该模型的一个应用实例。     

一个基于许可的指派模型

基于角色访问控制是实现大型组织中信息安全的有效技术，指派策略是其中必不可少的部分．已经有很多文献对RBAC中的指派进行了讨论，但大部分指派模型是基于角色的，而基于许可的指派模型过于复杂，使得管理工作不易进行．因此，提出了一个基于许可指派的新模型，较好地解决了指派中非法信息流和用户到角色的指派问题．     

一种改进的基于角色的委托模型

文章在分析Barka和Sanhu提出的基于角色委托模型RBDM1基础上，针对它在处理委托关系方面引发的种种弊端，提出了一种改进模型。测试结果表明，改进的模型使得委托双方对委托关系唯一确定，并同时明确了委托责任。     

服务网格中基于UCONB的授权决策模型

针对基于义务行为决策的使用控制模型(UCONB)表达能力弱的缺陷,为了解决服务网格中决策组件与执行组件的合理分工以及独立授权过程的并发执行问题,提出了委托凭证作为决策结果的细粒度表达方式.改进与扩充了UCONB,将原来简单的访问状态改进与扩充为委托凭证处理过程的状态组合.决策组件能根据访问请求时的系统状态输出合理的委托凭证,也能根据随后的系统状态变化进行再决策以转换委托凭证的处理状态.实例展示表明新模型细粒度地表达了授权策略,输出了合理的决策结果,提高了决策效率.     

一种新型的角色层次化关系模型

分析了现有RBAC模型中角色层次关系的不足,设计了一种新型的角色层次化模型。在该模型中,将角色分为不同的类型,角色所拥有的权限也被分为公开权限、私有权限和继承权限,不同角色类型具有不同的权限继承方式。将角色组织形成层次清晰的树形结构,能够很好地模拟现实生活中的组织机构的层次关系,增强了RBAC中角色的管理能力,提高了授权管理的效率。     

基于委托模型的孤儿处理算法研究

对于移动代理系统中的孤儿处理问题，通常的研究主要集中在中间过程，即检测和终止上.实现的方法中需要改变代理间的对等关系，这增加了通讯成本及系统的复杂性.提出了一种基于委托模型的孤儿处理算法，根据委托合作策略，可以创建接收者代理组，进而把对孤儿问题的处理从对中间过程的控制转为对发起者和接收者代理组之间关系的控制.实验表明，在相同的测试环境下该算法比阴影算法更有效地减少了孤儿出现的比率.     

CoVer:一种支持协同设计的版本模型

在Ｃｈｅｃｋｏｕｔ模型的基础上提出了一种新的支持多用户协同设计的工程数据库版本模型ＣｏＶｅｒ．通过引入多工作区、代理、告知、语义协调检查、锁和观察等机制来支持长持久性的、交互的、协同的设计活动．虽然ＣｏＶｅｒ模型是根据ＩＣＣＡＤ提出的,但它对其他的工程领域也是适用的．     

一种改进UCONC的服务网格授权决策模型

针对基于条件谓词决策的使用控制模型(UCON_C)表达能力弱的缺陷,为了在服务网格实现决策组件与执行组件的合理分工,促进独立授权过程的并发执行,提出一种委托凭证模型细粒度表达决策结果．基于此改进UCON_C,用委托凭证处理过程的状态组合替换原来简单的访问状态,决策组件根据请求时系统状态输出合理的委托凭证,根据系统状态的变化再决策可转换委托凭证的处理状态．该方法有效避免了相同访问请求重复产生委托凭证,委托凭证真实反映授权的实际需求．在e-Learning Grid系统中,改进后的决策模型能够细粒度地表达授权策略,输出合理的决策结果,各种访问请求通过合适的决策与控制满足了应用对安全的需求．     

基于带权有向图的授权委托模型

针对目前信任管理系统存在信任量化和传递、环状授权和冲突授权等问题,提出一种新的基于带权有向图的授权委托模型,使用带权有向图来表达主体之间的信任关系,很好地解决了这些问题.模型简单直观明了,其中的一致性验证算法经过分析和论证是正确而且有效的.