基于三级角色授权的ASP应用系统安全研究与实现

以数据、程序及用户为依据,将分级授权、最小化授权、角色授权继承等策略相结合,提出了三级角色授权方式。该授权方式对基于角色授权访问控制模式（RBAC）进行了优化,更适合ASP模式,在实际应用中取得了良好效果,极大地提高了ASP系统安全性。     

网格计算访问控制的实现

随着网格应用的不断建立,解决网格访问控制问题愈发急迫。该文形式化描述了网格访问控制元素,定义了网格用户角色和角色委托概念,分析了网格计算访问控制特性、授权要素、授权模式、授权策略,结合使用代理证书和属性证书提出了一个基于角色的网格计算访问控制实现方案。     

一般化RFID安全认证授权协议模型

RFID技术安全性存在的问题阻碍了它的进一步应用。提出了一个一般化RFID安全认证授权协议模型,在Seo等提出的RFID四角色模型的基础上调整了系统读写过程以便简化RFID应用模型且更接近实用要求,并引入了RFID标签管理者、数据所有者、数据运载者和数据读取者等新角色,给出了新的RFID认证/授权模型的基本结构、角色职责和实现该模型的系统化协议原型。与之前的RFID认证授权模型相比更加灵活,可以在此基础上实现RFID设备之间更加多样的管理、认证、授权模式。     

基于RBAC企业通用用户权限管理模型设计与应用

本文针对基于RBAC的权限管理模型中角色关系复杂,工作效率比较低的缺点,提出以用户组为授权中心的授权模式,再辅之直接对用户授权的解决方法。进行基于角色的企业访问控制分析,设计出企业访问控制的总体框架,进行了系统建模,并付诸应用于系统管理及人事管理模块的功能设计。     

层次化角色的受限授权模型研究

针对现有用户-用户的层次化角色授权模型存在授权冲突问题,基于授权的时限和约束限制规则,对层次化角色的授权组件、相关性质以及互斥角色的约束限制规则进行了描述.提出了一种层次化角色的受限授权模型,该模型满足最小特权和职责分离两安全原则.给出了角色授权的生成和撤销算法,并对该模型的正确性和完整性进行了讨论.最后给出了实现该模型的体系架构,并通过应用实例验证了模型的有效性和实用性,较好地解决了角色层次上的授权冲突问题.     

扩展RBAC在公共页面中的应用研究

基于角色的权限管理在管理信息系统中得到了广泛的应用,在实现的过程中,为了灵活实现不同用户登录系统后系统自动生成相应的交互界面（公共页面）,对基于角色的访问控制方法（RBAC）进行了扩展,提出了一种扩展RBAC模式-基于角色和功能点的授权模式,并分别从数据库设计、权限验证逻辑、应用实例等方面阐述了该模式的设计和实现过程。     

一种关系数据库系统角色授权非级连撤消算法

在目前的商用RDBMS的RBAC系统中，当某角色授权被撤消时，由其传播构成的所有角色授权均被撤消，即角色授权级连撤消．这不但使角色授权管理复杂化，而且使某些依赖于被级连撤消角色授权的应用程序产生运行错误．为了克服RDBMS的RBAC的这个缺点，我们通过引入角色授权支持关系，提出了一种时间复杂度为0(n^2)的RDBMS角色授权非级连撤消算法，通过改变角色授权支持关系，撤消某可传播角色授权时，保留其传播构成的角色授权，使得依赖于这些传播角色授权的应用程序运行不受影响．本文给出了这一算法的描述，正确性证明和时间复杂度分析．使用该算法能够使RDBMS的RBAC系统具有更大的灵活性和简单性．     

管理信息系统多级访问控制管理模型

基于角色的访问控制在信息管理系统应用时缺少对分级授权的支持。多级访问控制模型在基于角色的访问控制模型基础上,使用角色树表现角色的层次关系,将用户域、角色域和许可域组合为管理域来限定分级授权的操作范围,实现了权限在角色树上的逐级分发,支持信息管理系统的分级授权要求。     

管理信息系统多级访问控制管理模型

基于角色的访问控制在信息管理系统应用时缺少对分级授权的支持。多级访问控制模型在基于角色的访问控制模型基础上,使用角色树表现角色的层次关系,将用户域、角色域和许可域组合为管理域来限定分级授权的操作范围,实现了权限在角色树上的逐级分发,支持信息管理系统的分级授权要求。     

B/S应用系统中的细粒度权限管理模型①

针对B/S模式下的油库网络信息系统的实际需求,为提高用户权限管理的动态性和授权访问的安全性,结合基于角色的访问控制原理,提出了一种在B/S应用系统中针对用户人员复杂、职务变动频繁特点的细粒度权限管理模型。该模型把资源的访问权限按细粒度分解,实现了由粗到细,不同级别的权限控制,既可进行角色授权也可直接用户授权,大大改善了用户权限管理的灵活性和可扩展性。     

网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制,鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器,很难细粒度地控制客户权限,本文提出了一种新的授权模型,采用了SPKI电子证书进行授权。与CAS相比,该模型授权更加灵活,通过委托授权增强了系统的可扩展性,而且能够细粒度地控制用户权限。     

基于XACML的网格授权服务的设计与实现

为更好地解决网格环境下分布式跨域授权问题、增强授权功能的可扩展性和可复用性,构建了基于可扩展访问控制标记语言(extensible access control markup language,XACML)规范的网格授权框架.在该框架的基础上,依照Web服务资源框架和Web服务通知规范,设计实现了基于XACML策略引擎的网格授权服务.将复杂的模块交互调用封装在授权框架内,通过简单易用的服务接口实现域间互操作时的权限分配.实现结果表明,该框架更加灵活,适用于动态、异构的网格环境.     

基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个“任务角色”分配的授权算法,解决工作流管理系统动态授权约束的问题。     

XML文档存取控制研究

提出了一种基于授权树的XML存取控制标记算法，通过①避免在每个XML结点上进行授权匹配；②避免在每个结点上进行授权冲突解决；③避免标记每个结点，有效地改善了处理性能，另外，提出了一种灵活的、用户可配置的授权冲突解决模式，并且将这种解决模式自然地集成到授权树算法之中。     

基于Web的工作流安全性研究

基于Web的工作流管理系统的安全问题主要涉及到两方面:授权(及访问控制)和安全通讯。工作流管理系统需要一个动态的授权机制,即在工作流的执行过程中动态地分配和撤销相应的权限。文中提出一个动态授权模型,即利用5个授权函数、授权数据库(AB)以及任务执行过程中产生的一些事件来实现动态授权机制。此外还简要介绍了基于Web的工作流中涉及到的安全通讯问题及其解决方法。利用这个模型,可以大大地增强工作流管理系统的安全性能。     

基于信任管理的SAML授权模型

随着Web环境中的应用形式向开放、动态的模式转变,传统的授权机制不能很好地适应这种情况,信任管理这种新的授权机制弥补了这种不足.在研究信任管理与SAML技术的基础上,提出了一个新的授权模型,它解决了Web环境中采用信任管理机制的系统与其它系统之间如何采用SAML来进行互操作的问题.     

应用区域边界授权模型

应用区域边界安全系统是一个关防系统,它在使用过程中能否达到保护应用环境安全的目标是由其安全授权规则集的完备性和一致性及对其授权的简便性决定的。应用环境中的主体是通过各种不同的应用协议对客体进行访问的,它们在通过应用区域边界安全系统时,应用区域边界安全系统将根据安全授权规则集对其访问请求进行检验,若满足安全授权规则集要求,则允许通过,反之拒绝。因此,我们根据访问请求所涉及的主体、客体、协议、安全策略等部件,给出了应用区域边界授权的体系结构,同时在给出刻画它们特性的谓词基础上,提出了易于表达安全策略的应用区域边界形式化授权模型。对此形式化模型进行编译不仅可以根据安全策略对授权的合法性进行检验,而且也可以及时发现安全策略中存在的漏洞,从而可以得到一个正确的安全授权规则集。     

基于SAML标准的信任与授权服务平台设计

在对信任与授权体系的现状进行分析的基础上,针对跨信任域的身份认证和授权问题,引入SAML标准规范,提出基于SAML标准的信任与授权体系架构,并分析了相应的信任与授权平台设计与实现方法。     

基于欧拉图的授权扩散拓扑构建与授权撤销

在分散式自主授权模式中,接受授权的用户可以将转授给他的权限再次转授给其他人,经过多步转授的权限扩散与不完全的委托撤销可能导致隐性授权冲突.在以往的授权模型中,模型设计的重点在于如何授权,而对于授权撤销考虑甚少.由于转授权路径生成的随意性,增加了遍历路径完成授权回收的难度.针对授权路径的生成和转授权回收进行研究,引入欧拉图对授权路径构建进行约束,在此基础上给出了授权路径构建算法与转授权路径遍历回收方法,通过有目的的授权路径构建,简化转授权路径遍历过程,解决转授权路径遍历不完全导致的授权撤销不完整问题,防止权限扩散并消除隐性授权冲突.     

基于动态描述逻辑的UCON授权模型

使用控制(UCON)是下一代访问控制模型,其核心模型包括授权模型、义务模型和条件模型。该文的目的是使用动态描述逻辑DDL对UCON授权模型进行逻辑表述,对授权过程中的各个决定要素进行逻辑描述并提供可判定性推理,提出UCON授权模型的逻辑模型,并提供了一个完整的授权实例,为模型的实际应用奠定一个较好的逻辑基础。