扩展的基于角色访问控制模型ERBAC及其应用研究

访问控制是系统安全的重要技术,RBAC（基于角色的访问控制模型）是目前得到广泛应用的访问控制模型。在RBAC96模型的基础上,对角色之间的层次关系进行了扩充,定义了角色的公共权限和私有权限．引入了一般继承和扩展继承机制。形成了一个扩展的基于角色的访问控制模型ERBAC,并给出了该模型的一个应用实例。     

基于域的综合访问控制模型

首先分析了企业实施产品全生命周期管理对于访问控制方面的需求,然后按照层次化的方式分析了访问控制模型的特点,将访问控制模型分为访问检查、授权和管理3个方面,分析了现有访问控制模型在支持这些需求方面的不足。在此基础上,提出了基于域的综合访问控制模型。该模型能够支持基于用户、基于角色和基于任务的多种主体授权方式,以及基于类型、基于实例化对象、基于属性和基于对象生命周期的多种客体授权方式。通过在国产产品全生命周期软件系统中的实际应用,证明了该模型能够较好地满足产品全生命周期系统中访问控制的特定需求。     

面向产品生命周期管理的多粒度访问控制模型

为满足复杂应用环境下产品生命周期管理系统的访问控制需求,提出一种面向产品生命周期管理的多粒度访问控制模型.该模型通过完善基于角色的访问控制方法中访问主体的组成粒度和访问客体的层次粒度,引入访问客体生命周期粒度和许可分配控制粒度,在扩大基于角色的访问控制范围的同时,一定程度上降低了误授权率和公共许可的重复授权量,实现了对不同层次和生命周期状态的访问客体的精确控制,解决了临时授权、项目授权、委托授权等导致的许可一致性控制问题.最后,给出了该模型的形式化描述和许可一致性控制算法,并通过实例验证了该模型的有效性.     

基于图的工作流访问控制模型

为了直观和准确地描述工作流访问控制,提出了一个基于图的工作流访问控制模型.使用图和图变换对模型进行形式化描述,并给出了模型应用的相关算法.在该模型中,使用类型图表示访问控制中各元素的类型信息,使用带变量规则表示系统授权状态转换,使用肯定、否定约束限制图结构,并建立了基于图的工作流访问控制授权约束和图变换规则模板.提出了基于图变换的约束一致性验证算法和使用图终止性对授权合理性验证的方法.最后,通过一个实例对模型进行了验证.     

产品生命周期管理系统中工作流的访问控制模型

为了满足产品生命周期管理系统对流程的访问控制需求，在基于角色的访问控制模型的基础上，提出一种访问控制模型，实现了产品生命周期管理系统和工作流管理系统的共同授权。由产品生命周期管理系统管理企业中的文档和用户等信息，对其进行静态授权。在流程中，为实现动态授权，防止流程死锁和权限泄漏．引入基于流程实例的对象组，用于容纳在流程中的数据；同时，允许在流程、活动和对象组这3个层次上进行授权，不同层次的权限允许被继承和重定义。这样，不仅方便管理员进行授权，而且增加了授权灵活性，细化了授权粒度。     

制造网格中访问控制的研究

针对制造网格开放的系统框架、动态的组织结构和复杂的业务流程等特性,提出了一种基于网格社区授权服务框架的动态、分粒度访问控制解决方案.在该方案中,制造网格的访问控制模型扩展了基于角色的访问控制模型.全局细粒度的访问控制策略确定用户对应角色的全局权限;根据项目状态,动态调整角色的可执行权限,本地粗粒度的访问控制策略确定服务的共享权限;服务节点做出授权决策.应用实例证明,制造网格访问控制模型支持动态授权及制造网格服务节点自主控制,可以增强制造网格的安全性.     

PLM系统中工作流访问控制模型研究

为了满足产品生命周期管理(PLM)系统对工作流访问控制的需求,提出了一种基于生命周期状态、工作流节点和角色的工作流访问控制模型。该模型实现了一种基于组织的角色动态分配机制,满足了PLM系统中多项目团队并行开发的要求,提高了工作流系统权限控制的灵活性和安全性。通过建立数据项在工作流中的工作空间模型,以及生命周期授权模型和工作流节点授权模型,实现了PLM系统中生命周期管理争工作流管理的共同授权与访问控制,并且支持多种不同的权限解析规则。给出了该模型在某大型通讯设备制造企业PLM系统中的应用实例,验证了模型的正确性和高效性。     

基于PKI技术的PMI的研究与实现

身份认证和权限管理是网络安全的两个核心内容。研发了一个基于公共密钥基础设施技术的权限管理基础设施系统。提出了一个基于属性证书和条件化的基于角色的访问控制、进行权限管理的权限管理基础设施访问控制模型,提供了属性证书的两种提交方式,即“推”模式和“拉”模式,并在此模型的基础上给出了该系统的实现,最后给出了该系统的一个应用实例。实践证明,该系统提供了一个较好的解决方案和实现,基本上能够满足大型应用(上百万用户)的用户需求。     

电力信息系统动态访问控制研究

电力信息系统主要具备以下三个特点:用户的多样性、信息的保密性以及权限的时变性,针对以上三个主要的特点提出了相应的动态访问控制模型。当比较怀疑用户时,对用户的角色权限进行等级划分,按照用户登录时的潜在信息求出相应的可信度,按照求出的可信度实时地更新用户的权限。如果想确保访问控制机制有效性,角色权限的可变更性以及用户角色层次的可靠性,把用户角色划分为角色身份、角色能力,继承可以通过不同用户之间的角色身份得以实现,用户的访问权限主要采取对角色能力的调整来获得。最后,进行了实例研究,研究结果表明该模型具有较好的使用效果。     

PLM系统中工作流访问控制模型研究

为了满足产品生命周期管理(PLM)系统对工作流访问控制的需求,提出了一种基于生命周期状态、工作流节点和角色的工作流访问控制模型.该模型实现了一种基于组织的角色动态分配机制,满足了PLM系统中多项目团队并行开发的要求,提高了工作流系统权限控制的灵活性和安全性.通过建立数据项在工作流中的工作空间模型,以及生命周期授权模型和工作流节点授权模型,实现了PLM系统中生命周期管理和工作流管理的共同授权与访问控制,并且支持多种不同的权限解析规则.给出了该模型在某大型通讯设备制造企业PLM系统中的应用实例,验证了模型的正确性和高效性.     

基于FTP协议多用户远程数据的访问

为了满足实验室大量资源的存储与共享需求,在Windows server 2012 R2系统下配置FTP服务,针对不同权限设置多个FTP用户,实现分布式远程数据的访问与共享,提高了文件传输过程中的高效性和安全性。     

内部局域网代理服务器架构

在内部局域网中,为了实现单位内部网络连接到互联网,满足局域网多个用户同时共享上网的需求,配置单独的服务器及使用代理服务器软件,利用代理服务器软件支持的各种代理协议,对不同用户分配不同权限,并对用户的连接数、访问网址进行控制。     

协同商务与设计环境中的安全体系与技术研究

为了解决相应的多域、异构和多变等复杂的安全问题,提出了协同商务与设计环境的安全策略,构建了协同商务与设计环境的安全体系,应用用户代理和资源代理提供资源的访问和安全控制,在不改变协同商务与设计环境各安全个体域的访问控制机制的情况下,实现跨异构域的安全资源访问,为协同商务与设计活动提供有效的安全保障,同时为用户提供方便的资源访问手段。最后,给出了支持协同商务与设计环境安全体系的关键技术框架结构。     

产品数据管理系统中访问控制模型的研究

产品数据管理(PDM)系统是一种管理现代企业产品数据的新的思想和技术,开放的网络环境和动态的企业环境为PDM系统的实施带来了更多的安全问题。介绍了现有的访问控制技术,分析了分布的PDM系统的访问控制需求,提出了一个新的适用于PDM系统的分层混合访问控制模型。应用实例证明该访问控制模型可以增强PDM系统访问控制的灵活性和PDM系统的安全性。     

面向设备维护联盟的知识安全管理研究

为使维护联盟中的知识资源能够在权限的约束下共享,结合基于上下文的安全管理和知识管理技术,提出了基于维护业务上下文的访问控制(MBCBAC)模型。与传统的基于角色的访问控制(RBAC)模型相比,MBCBAC模型以维护业务上下文作为访问控制的授权中介来实现业务驱动的知识安全管理,通过维护知识空间来实现知识对象粒度上的访问控制。基于MBCBAC模型构建的知识安全管理组件已成功应用于某e-维护联盟的知识管理系统中。