基于用户集扩展的任务和角色访问控制模型

通过分析基于任务和角色的访问控制模型,以及静态授权和动态授权各自的优缺点,针对目前访问控制模型很少考虑企业组织结构对其实现影响的不足,引入企业人员的组织方式,提出了一种基于用户集扩展的任务和角色访问控制模型,并详细介绍了建模思想.其基本思想是因企业人员具有一个固定的职能角色和多个动态的业务角色,职能角色采用静态授权、业务角色采用动态授权.最后利用形式化描述对模型进行了验证,并简述了其实现的策略.     

继承和优先约束驱动的柔性授权机制研究

针对权限系统中存在角色授权策略单一和授权冲突的问题,设计IPC_URBAC模型,在RBAC模型的基础上增加继承约束的用户直接授权机制和优先约束的用户角色分配机制,提出基于个体和优先的授权冲突解决策略,并给出用户权限和角色权限的求解算法。运用IPC_URBAC,构造二进制授权掩码进行复杂权限设置,应用Web Service完成细粒度权限检查,达到权限与业务的剥离,实现一种与业务无关的柔性授权系统。     

信息系统集中授权管理平台研究

文章从当前公安信息化业务工作中的实际需求出发,设计了信息系统集中授权管理平台。通过授权主体管理、授权客体管理、授权信息管理这几个模块实现授权智能管理功能,根据警员岗位、职务和日常工作的需要,建立网上用户和网上应用资源的立体访问控制体系,实现对各类上网人员的常规授权、临时授权和废止授权等功能。     

一种统一授权和访问控制模型的设计实现

企业信息平台(EIP)是一个基于企业模型的平台,目标是为了实现模型驱动的企业设计、分析和评价。EIP的目标之一就是建立一个可以容易地实现不同系统集成的架构,如:政府和其他企业中过程、结构、任务、目标和信息等的集成。论文的重点不是EIP中数据的集成,也不是应用的集成,而是授权的集成,主要针对的是EIP中工作流管理和资源管理中的授权集成问题。在现有的EIP系统中,工作流管理和资源管理一般都有各自独立的授权和访问控制模块,这种非一体化的授权方法容易引发多种安全问题。而先前的研究大都集中在单独的授权系统上,对它们的集成很少有讨论。论文提出了一种统一的授权和访问控制模型,可以以一种统一的策略来表示处理EIP系统中的各种授权和访问控制,解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。     

一种统一化权限体系的设计

在RBAC模型和现有应用系统中权限设计现状的基础上，提出了一种适用干大型信息系统的统一化权限体系的规范设计，它包括业务对象的规范化设计、用户与角色混合授权、对象个体权限控制以及动态的工作流授权的集成。     

支持动态授权的网格授权机制

针对网格环境下动态授权需求,提出一种支持动态授权的网格授权机制。在对授权策略进行分类并形式化描述的基础上,定义了支持静、动态授权的授权规则。该规则支持组件级、功能级和参数级3种粒度的授权,可满足不同粒度授权的需求并提供协商授权功能。设计了基于静、动态授权规则和授权转换规则的策略匹配算法,并结合该算法给出了可支持静、动态授权的应用实例,应用结果表明了授权机制的可行性和有效性。     

基于欧拉图的授权扩散拓扑构建与授权撤销

在分散式自主授权模式中,接受授权的用户可以将转授给他的权限再次转授给其他人,经过多步转授的权限扩散与不完全的委托撤销可能导致隐性授权冲突.在以往的授权模型中,模型设计的重点在于如何授权,而对于授权撤销考虑甚少.由于转授权路径生成的随意性,增加了遍历路径完成授权回收的难度.针对授权路径的生成和转授权回收进行研究,引入欧拉图对授权路径构建进行约束,在此基础上给出了授权路径构建算法与转授权路径遍历回收方法,通过有目的的授权路径构建,简化转授权路径遍历过程,解决转授权路径遍历不完全导致的授权撤销不完整问题,防止权限扩散并消除隐性授权冲突.     

一种RBAC模型中实现否定授权的方法

针对现有基于角色访问控制RBAC(Role_based Access Control)相关模型中对否定授权研究的不足,指出用户可以获得计划外权限的问题.通过引入授权状态的概念,对RBAC模型中权限与角色之间的分配关系进行扩展,定义许可授权、收回授权、否定授权及其优先级,给出授权状态合并运算的九个规则,提出RBAC模型实施否定授权的方法.分析实现否定授权的RBAC模型性能,通过具体实例充分说明实现否定授权的RBAC模型的安全性和实用性,并在实际应用中得到实现和验证.     

工程图纸设计系统中的工作流授权模型研究

工程图纸设计是一个典型的工作流,它是严格的、由一系列相关设计任务组成的自动化过程.实际的工程图纸设计包含许多环节,如设计、提交、修改和审核等.不同的设计和管理人员在整个流程的不同阶段协同工作,并在每一阶段实现特定的目标.工程图纸设计工作流的这一特点使得授权成为其中的一个关键问题.针对此问题在分析经典基于角色的访问控制授权模型的基础上提出一种新的工作流授权模型SODAM.该模型引入了服务和动态授权的概念,增强了对用户权限和角色的控制,并使得授权对工作流的动态变化有了更强的适应性.最后给出了该模型在实时工程图纸设计系统中的应用.     

铸造金牌服务 提升渠道价值——Array Networks宣布腾蒙为其首家授权服务合作伙伴

新年伊始，全球领先的应用优化和全局安全访问解决方案的提供商Array Networks全面启动Array授权服务合作伙伴计划，并宣布腾蒙国际贸易有限公司成为第一家经过认证的授权眼务合作伙伴。在这一授权服务合作伙伴计划中包含了安装协助、7×24全天候电话、邮件热线支持、软件升级、硬件保修、备品备件等支持方案，能够满足客户系统对高性能、高安全性和高可靠性的需求。Array授权服务合作伙伴计划将在更大范围为中国客户带来更完善、更规范的售后服务，从而满足中国客户的长期利益及服务需求。[第一段]     

基于CAS的代码访问控制研究与实现

对于以组件为中心的软件世界,其安全模型不同于现有的基于用户的安全访问.文章针对网络环境下代码安全问题,阐述了.NET环境下安全的实现机理,研究和分析了CAS和属性的原理,设计了通用授权访问控制模型,实现了基于自定义属性的代码层授权访问控制,保证了应用系统的安全性和灵活性.     

BeyonDB:一种地理空间数据库矢量数据授权与实现

针对矢量数据在授权和应用中的安全需求以及现有工作中在授权策略上存在的表达能力的不足,高可信空间数据库管理系统 BeyonDB采用一种基于谓词的矢量数据授权模型,并通过查询改写的方法实现矢量数据的访问控制和有效授权.此外,BeyonDB为数据属主提供一个遵循SQL99规范的SQL接口对矢量数据实施授权;同时提供图形化管理界面,更加直观地为BeyonDB矢量数据的授权策略进行管理.     

基于GSI的网格授权网络安全体系研究与实现

针对网格网络安全体系的需求,研究了基于GSI的网格授权网络安全体系和改进的CAS授权模型,分析了GIS的功能、模型和网格授权模型的概念以及体系结构,提出了基于Web Service的网格授权体系结构的网格安全接口和基于改进的CAS授权模型,以及授权体系系统应用开发实现及优化方法。     

复杂资源的小粒度分级授权机制的研究

分析了授权操作的运算规律,定义了授权算子集及其运算规则,提出了小粒度分级授权机制的三层架构;同时,基于定义的算子,对操作权限进行了分类,定义了小粒度分级授权模型的固有规则,建立了实际操作和算子组合之间的映射模型,完成了授权业务操作的同步,建立了资源可拓、分级授权的小粒度授权模型,实现了复杂资源的小粒度分级授权。最后以产品文档管理系统的小粒度授权模块为实例,证明了研究内容的有效性。     

一种面向空间数据库矢量数据的授权模型与实现方法

空间数据库的广泛应用给人们的生活带来极大便利的同时,也带来了严重的安全威胁.空间应用要求授权系统支持灵活的细粒度授权策略以及否定策略,提供高效的授权实现技术.针对这些安全需求,提出一种基于谓词的矢量数据授权模型,并依据空间数据库管理系统在实现上的特征,采用谓词改写的方法实现对矢量数据的有效授权.和现有工作相比,该模型利用授权谓词表示授权区域,具有更灵活的表达能力,且支持否定授权;所提出的谓词改写的方式不仅避免授权判定时额外增加的一次空间查询,而且可以保证与空间数据库管理系统的低耦合度,还有利于空间谓词的优化,减少空间谓词的冗余.实验证明,该授权模型和实现方法能够满足空间应用的安全需求,实现对空间数据库矢量数据的访问控制和有效授权.     

隐式授权动态推导模型研究

1.引言随着数据库技术、通讯技术的不断发展,信息管理系统得到了越来越广泛的应用。然而,对于任何一个信息管理系统,尤其是多用户信息管理系统,健壮有效的安全管理机制是合法使用信息,防止非法获得信息或破坏信息的基本保障。一个信息管理系统的安全管理包含系统级的安全管理和应用级的安全管理。本文讨论的授权模型在应用级别上实现了从显式授权到隐式授权的动态推导。这种授权的动态推导,对于一个有许多用户的大型信息管理系统非常有用。它不仅节约了大量的存储空间,而且也使得授权管理变得相对容易。     

一种面向业务的动态访问控制模型

针对基于角色的访问控制(RBAC)模型在业务处理流程中访问控制粒度过粗和无法动态调整授权等方面的问题,提出了一种面向业务的动态RBAC模型(BO-RBAC)。该模型参考基于任务的访问控制(TBAC)模型,引入了业务、业务步和授权步等概念,并形式化定义了模型的基本集合;同时将授权过程分为角色授权和授权步授权两部分,将业务执行视为随机过程,给出了基于马尔可夫链的动态授权方法;最后使用C++14对模型进行了实现。BO-RBAC模型结合了RBAC与TBAC的特点,具有访问控制粒度细、授权动态调整、满足安全规范等优点。     

协作环境中基于场所的访问控制模型

授权模型是协作环境中不可缺少的关键部件,为协作系统提供合适的授权机制很具挑战性.直接应用于协作系统的传统访问控制模型对多用户之间的协作支持不够,一些协作相关的访问控制必须在应用层上实现;针对特定协作应用背景的访问控制模型,仅适用于特定应用背景的协作系统,不能满足协作环境中更广泛的安全性需求;而现有的协作环境中通用的访问控制模型授权约束比较单一,不能满足协作环境中对授权的灵活性要求.针对这些问题,以Locale-BAC模型为基础提出协作环境中基于场所的访问控制模型,对角色、权限、场所等主要模型部件进行重新定义,实现全局访问控制和协作小组内部自主访问控制相结合的灵活的分层授权机制.     

基于JAAS的认证授权系统的设计与实现

在传统的面向对象程序设计方法中使用JAAS会导致认证和授权代码与业务逻辑的实现代码纠缠在一起,不利于重用和维护.而基于面向方面的软件开发技术--AOP,利用方面封装现有的认证授权逻辑,可以保证业务逻辑和认证授权的有效分离.以现代软件的发展趋势以及传统基于OOP的开发技术为背景研究了JASS认证和授权机制,分析了传统方法的优缺点.利用AOP设计了基于JASS的认证授权系统,并通过原型系统的构造,验证了AOP技术实现认证授权系统的可行性和有效性.     

支持授权的基于角色的访问控制模型及实现

现有的基于角色的访问控制模型多采用集中授权管理方式，不能满足大型复杂协作系统的需求．文中对RBAC96模型进行扩展，形成了支持授权的基于角色的访问控制模型．该模型引入角色语境作为自主授权活动的依据，通过语境部件授权极限值、授权域、授权类型以及撤销类型的定义，以支持灵活的自主授权活动，并支持多步授权，允许安全管理员对系统进行宏观安全控制．对该模型的基本部件和规范进行了描述，并且给出授权活动的实现算法和应用实例．