在企业基础信息平台中实现基于角色的访问控制

介绍了个人权限、角色权限和临时权限的构成特点,提出了三种不同权限的访问控制方法,并采用server-pull系统架构,针对角色权限对LDAP模式进行扩展,实现了基于RBAC模型在企业基础信息平台中的访问控制应用.系统以LDAP目录服务器当作角色服务器,使用户在某种安全模式下(如在SSL上)得到需要的角色信息,从而实施相关的RBAC策略以达到访问控制目的,具有简单灵活的特点.     

基于角色-任务的办公自动化系统访问控制模型研究

根据办公自动化系统的访问控制需求,提出一个基于角色-任务的访问控制模型.该模型将办公自动化系统中的访问控制分为三类:对与公文流转无关的数据的访问控制;对与公文流转相关的文档的访问控制;受托的访问控制.不同的访问控制采用不同的权限管理方式.权限管理方便灵活,支持最小权限原则.     

扩展角色的密文数据访问控制模型

提出了一种将分级密钥授权融入角色管理的密文数据访问控制（KRBAC）模型,并基于该模型提出了一种元素级的细粒度数据保护方案. KRBAC模型通过划分独立的密钥控制域,将传统的角色扩展为由角色、角色控制域和密钥控制域构成的具有偏序集继承关系和安全约束性质的三元组;在密钥分级的基础上,通过主密钥及数据的特征信息产生元素级的加解密密钥. 分析结果表明,该模型能减少角色数量,降低访问控制的复杂度,提高权限分配的合理性,并能为细粒度的数据保护提供安全基础.     

面向任务的工作流访问控制模型

在分析工作流对访问控制需求的基础上,提出了面向任务的工作流访问控制模型．该模型引入了授权任务概念,将执行任务需要的最小权限和执行任务的角色作为授权任务的属性,使角色和权限脱离关系．同时该模型定义了任务冲突关系,并在此基础上给出了动态授权约束规则,保证了组织安全策略的实施．面向任务的访问控制模型实现了授权流同工作流的同步,能够满足工作流访问控制对动态授权、最小权限和职责分离的要求．不同于已有的模型,该模型还通过角色和权限的分离解除了组织模型和工作流模型的耦合关系．     

公钥基础设施的高校电子政务安全研究

为了解决高校电子政务中的身份认证、访问控制、信息安全等安全问题,提出了一种基于公钥基础设施（PKI）核心技术的高校电子政务模型．该模型采用桥认证（CA）结构建立PKI信任机制,在各部门内部使用分级的CA认证,各部门之间通过中心CA进行桥接CA交叉认证;采用轻量目录访问协议（LDAP）建立PKI证书库,以目录复制（Replica）实现CA对主从LDAP的数据一致性,提高使用者的身份有效认证．该模型还采用角色及权限访问控制（RBAC）进行用户合法安全访问控制,在用户和访问权限之间引人角色,用户通过角色分配的权限来访问系统资源．此模型在实践中得以验证,符合安全要求．     

基于T＆RBAC访问控制模型的改进方法研究

针对传统的基于任务-角色的访问控制模型无法为不同数据对象分配不同权限以及角色继承方法不够灵活的缺点,对其中比较流行的T＆RBAC模型提出了改进方法和模型的形式化定义。其基本思想是：将数据对象从任务-权限模型中分离出来作为权限分配的独立部分,分别与用户和角色建立联系;同时普通用户可以将任务委托给下层用户,从而减轻系统管理员权限分配的难度,为普通用户分配权限提供了更强的灵活性。     

网络电话管理系统中的信任度权限分配方法TD-RBAC

针对分布式架构的网络电话管理系统的权限分配需求,结合传统基于角色的访问控制模型RBAC(rolebased access control)提出了信任度权限分配方法 TD-RBAC(trust degree RBAC).将用户-角色-权限的模型拓展到用户-角色-信任度-权限值的模型,将传统RBAC模型权限分配问题通过信任度和权限值的引入转化为可以定量分析的数学模型问题,从而解决了传统RBAC模型在角色和权限对应复杂的问题,使网络电话管理系统在权限分配的问题上更加简单灵活.     

基于角色的安全工作流动态访问控制模型

在RBAC96模型的RBAC0基础上,提出了基于角色的安全工作流动态访问控制模型,使用基于角色的静态授权和基于任务的动态控制相结合的方法,达到在工作流推进过程中对任务的执行权限和对各种数据资源的访问权限进行有效控制的目的,并且从安全目标、安全模型、系统结构与安全机制等几个方面描述并分析了基于角色的安全工作流动态访问控制模型.     

基于实例团队和任务的RBAC模型

该文针对现有的基于角色的访问控制模型的缺陷和工作流管理系统的特征,提出了一种新的访问控制和授权管理模型,称之为基于实例团队和任务的RBAC模型。模型的主要思想是将权限分配给任务,再将任务分配给角色,任务实例启动执行时指派实例团队,角色通过任务与权限相关联,用户通过角色和实例团队获取权限。该模型解决了传统的基于角色访问控制中仅仅通过角色来分派权限的缺陷,保证了权限授予对应角色的用户集合中的某一确定用户,提高了系统的安全性和灵活性。     

基于访问控制的隐私保护方法的研究

为保护移动终端中实时上传的位置信息,提出了一种基于分级角色的访问控制方法.该方法对访问者进行二级角色定义,并根据访问者的不同角色定义不同的访问权限来保护位置信息.对该访问控制方法进行了模型构建,同时在移动终端内进行了可行性测试.实验结果表明,该访问控制方法能较好地保护实时上传的位置信息,且具有应用可行性.     

基于角色的访问控制在多应用层CIMS中的应用

为了管理多应用层系统中的资源权限,充分利用RBAC在安全管理中的优势,提出了一个将RBAC融于多应用层的安全模型——Multi-RBAC。它将RBAC合理实施到系统的各个应用层,管理位于不同应用层的系统资源权限。由于角色由各应用层的资源访问权限来定义,使角色划分更加合理、粒度更小,也更容易实现权限最小原则。同时,可充分结合各种先进的RBAC模型,满足多应用层下各种安全需求。在实现上,应用Multi-RBAC成功开发并实施了一套CIMS安全管理系统,表明该模型是可行的。     

RBAC在移动自组织互联网中的应用

移动自组织互联网是由一系列移动自组织网利用Internet互联而成。在这种网络环境下的业务应用面临许多的安全问题,其中访问控制就是一个急需解决的问题。本文分析了这种网络的特点,利用RBAC模型并结合这些特点,给出了针对单个自组织网和全局的移动自组织互联网的RBAC扩展模型,为建立安全的移动自组织互联网提供新的解决方法。     

RBAC模型在CRM系统中的应用研究

访问控制技术是一类重要的信息安全技术,基于角色的访问控制(RBAC)技术是目前访问控制领域的前沿技术.研究了RBAC的工作原理,将RBAC的思想应用于对权限设计要求灵活的CRM系统中,取得了传统的访问控制方法难于实现的应用效果.     

基于角色的层次受限委托模型

角色委托是RBAC模型需要支持的一种重要安全策略。基于构件化的思想,在基于角色访问控制模型基础上,提出了一个受限的层次角色委托模型,该模型分别在时间约束、部分委托约束、角色依赖约束、角色冲突等方面对委托进行了限制。给出了委托授权时的冲突检测算法与用户所拥有权限的计算算法及该模型的一个应用实例。     

一个基于许可的指派模型

基于角色访问控制是实现大型组织中信息安全的有效技术，指派策略是其中必不可少的部分．已经有很多文献对RBAC中的指派进行了讨论，但大部分指派模型是基于角色的，而基于许可的指派模型过于复杂，使得管理工作不易进行．因此，提出了一个基于许可指派的新模型，较好地解决了指派中非法信息流和用户到角色的指派问题．     

内容管理信息系统中访问控制方案的切换

为了解决基于角色的访问控制(RBAC)模型开发的内容管理信息系统向SOA架构切换,其中访问控制部分也需要转成更适应于分布式架构的基于属性的访问控制(ABAC)模型。该文对比研究了RBAC模型和ABAC模型两种授权模型,分析如何把已有的信息系统从RBAC模型转化成ABAC模型,为解决分布式环境提供了一种新途径,实现了RBAC模型到ABAC模型的平稳过渡,而不是完全推倒重建。     

基于用户群组RBAC模型的一种实现方法

在基于角色的访问控制中，只有角色具有权限．用户必须被赋予某种角色才能取得相应的访问权限，通过引入群组．把各个不同的用户具有相同的角色集归为同一用户群组。对多个用户授权压缩为对同一群组授权．减少了授权工作量。采用J2EE平台中的EJB—CMP／CMR技术，CMR为基于群组的RBAC模型的实现提供了很好的支持．并给出了该模型的实现过程。     

B/S环境下CIMS安全模型设计与实现

随着网络被非法攻击的可能性增大,提出了一种B/S环境下的基于角色的访问控制双层模型。该模型将RBAC合理运用于数据库层和Web容器层。同时辅以基于角色的菜单定制形成系统安全模型,将角色融入到系统的各个应用层面,统一管理系统各个应用层面的系统资源,从多个层面来保护系统安全。利用这种安全模型,采用Oracle9i/BES6.5/j2ee技术设计,实现了一套浏览器/服务器环境下的计算机集成制造系统的安全管理子系统。     

煤炭区域投入产出分析运输数据处理

将煤炭区域中生产同种产品的生产单位归并为一个经济单位,简单说明了如何处理煤炭区域内、外运输部门对各经济单位的投入量,相应得到各经济单位的运输费用;然后将经济单位中具有相同投入产出结构的单位组成一个集合作为经济单位的一个构成单元,并重点探讨了通过引入构成单元实现经济单位运输费用向产品部门运输费用的转换;最后,给出了３种确定运输费用分摊系数阵的方法,并且通过建立线性规划模型解决了涉及的排序问题．