基于RBAC的车辆监控系统权限控制研究与实现

本文以智能交通系统中的车辆监控系统为对象，设计了一种权限管理系统。采用基于角色的访问控制技术（RBAC），通过引入角色的概念，使得用户权限管理条理化，减少授权管理的复杂性，并能支持用户类型、子系统数量和功能的自由增加，具有高扩展性、易维护的特点。最后给出该权限模块在实际的车辆监控系统中的接口设计和应用方式，验证了方案的可行性，为同类系统的设计提供了参考。     

基于RBAC的用户授权管理模型的设计与实现

在分析RBAC授权模型原理的基础上，提出了用户-权限组-权限的授权管理模型，并利用PowerDesigner进行了数据模型（CDM和PDM）的设计，最后详细阐述了基于VB和SQL Server的材料信息系统中用户授权管理的实现。该授权管理模型的设计与实现具有有很强的通用性。     

权限系统在集团化企业电子商务中的应用研究

权限系统已成为企业电子商务系统中非常重要的组成部分,本文提出一种基于授权对象的角色控制模型(AURBAC),通过对授权对象中字段赋值实现集团化企业电子商务系统的权限控制。     

继承和优先约束驱动的柔性授权机制研究

针对权限系统中存在角色授权策略单一和授权冲突的问题,设计IPC_URBAC模型,在RBAC模型的基础上增加继承约束的用户直接授权机制和优先约束的用户角色分配机制,提出基于个体和优先的授权冲突解决策略,并给出用户权限和角色权限的求解算法。运用IPC_URBAC,构造二进制授权掩码进行复杂权限设置,应用Web Service完成细粒度权限检查,达到权限与业务的剥离,实现一种与业务无关的柔性授权系统。     

油气开采成本预算系统权限管理的探讨应用

采用ASP.NET技术，用户／角色／权限的模型，实现中石化油气开采成本预算系统中的权限管理。阐述了权限管理的设计原则和设计方法．权限管理的数据库设计，用户授权的实现和用户权限控制的实现，在开发过程中，使用C#语言，开发了权限管理组件，提高了牙发效率．简化了权限管理．用户使用灵活方便。     

Windows NTFS文件（夹）权限计算模型

研究了Windows NTFS提供的文件(夹)对象权限管理方法.通过实验发现了对象基本权限之间的偏序关系,总结出了系统用于设置对象权限的状态模式.针对用户可以从角色、父对象以及直接授权等多种方式获得对象操作权限的特点,结合NTFS多重权限合并规则,建立了计算用户有效权限的数学模型.模型表明,有效权限集合与多重权限合并运算具有半群结构.     

授权管理中的权限衍生计算方法

权限之间的衍生关系简化了授权管理,同时也增加了权限判决的难度,准确、高效地计算权限衍生对授权和访问控制具有重要意义。在给出基于资源和操作层次的权限衍生规则基础上,针对授权管理中权限查询较频繁而权限更新较少的特点,设计了一种新的基于可达矩阵的权限衍生计算方法,并研究了权限衍生关系动态调整的算法步骤。仿真实验表明,当权限的数量较大时,该新方法比基于权限衍生规则的直接计算方法具有较高的计算效率。     

面向企业的层级授权的数据库设计

系统权限的设计一直是企业数据库设计的核心,往往需要占用较长的开发时间,而且很难重用。为了缩短开发周期,提高可重用性。本文介绍了一种非传统的,基于层次的权限设计框架。并且将这种设计与传统的基于关联表的设计进行了比较。本文所描述的权限设计是一种类似Windows操作系统文件夹式授权方式。一个用户一旦具有了上层实体的权限,无须显式授权即可自动地,默认地拥有对下级实体的权限。本文还对此类授权方式的未来发展趋势进行了探讨。     

基于特征的空间数据访问控制模型研究

提出一个新的基于特征的空间数据访问控制模型,模型主要由基本授权模型和授权约束模块所组成,基本授权模型从完成业务活动所需权限的角度出发进行较粗粒度但简单的授权,授权约束模块将授权限制在特定的地理区域或空间对象集合内,以控制权限的行使范围,两个部分互相配合实现较为灵活、细粒度的访问控制,根据职责分离和最小特权原则提出该模型的分布式管理模型.     

分级的行列级权限系统的设计和实现

为实现权限系统中用户授权的灵活性和数据级的权限控制,在传统权限访问控制模型的基础上,设计了一种基于内存数据库的分级的行列级权限控制模型。通过分级授权实现授权的灵活性和可继承性,通过分级行列级权限实现数据级权限控制,通过内存数据库和预排序遍历树算法实现数据的快速查询。开发了相应的软件系统,与传统权限模型进行了比较,结果表明了该模型的可行性和高效性。     

基于使用控制和上下文的动态网格访问控制模型研究

网格环境动态、多域和异构性的特点决定其需要灵活、易于扩展和精细的授权机制.近来在网格环境下的访问控制方面做了大量研究,现有的模型大多在相对静止的前提下,基于主体的标识、组和角色信息进行授权,缺乏具体的上下文信息和灵活的安全策略.本文提出了网络环境下基于使用控制和上下文的动态访问控制模型.在该模型中,授权组件使用主体和客体属性定义传统的静态授权;条件组件使用有关的动态上下文信息体现了对主体在具体环境中的动态权限控制.在该模型的基础上,本文实现了一个原型系统,以验证模型的效率和易于实现性.     

电子税务信息系统中权限控制的设计与实现

权限管理和访问控制是电子税务信息系统的重要组成部份,它关系到整个系统的安全性和可靠性,如何对系统的权限进行规划并设计出一个有效的权限管理系统,是电子税务信息系统成败的关键。本文首先描述了现有的权限控制模型的特点,然后结合电子税务系统的特点,介绍了一种基于角色、部门、岗位和用户的四层次的访问控制模型和实现方法。     

电子税务信息系统中权限控制的设计与实现

权限管理和访问控制是电子税务信息系统的重要组成部份,它关系到整个系统的安全性和可靠性,如何对系统的权限进行规划并设计出一个有效的权限管理系统,是电子税务信息系统成败的关键。本文首先描述了现有的权限控制模型的特点．然后结合电子税务系统的特点,介绍了一种基于角色、部门、岗位和用户的四层次的访问控制模型和实现方法。     

多数据库系统中基于角色的访问控制策略研究

本文提出了一个基于角色的多数据库访问控制策略,它包含了基于RBAC的授权主体定义、基于面向对象公共数据模型的授权客体定义和基于语义的授权规则。另外,我们还深入讨论了授权冲突的解决和具体的实现算法。     

An authorization model for geospatial data

The advent of commercial observation satellites in the new millennium provides unprecedented access to timely information, as they produce images of the Earth with the sharpness and quality previously available only from US, Russian, and French military satellites. Due to the fact that they are commercial in nature, a broad range of government agencies (including international), the news media, businesses, and nongovernmental organizations can gain access to this information. This may have grave implications on national security and personal privacy. Formal policies for prohibiting the release of imagery beyond a certain resolution, and notifying when an image crosses an international boundary or when such a request is made, are beginning to emerge. Access permissions in this environment are determined by both the spatial and temporal attributes of the data, such as location, resolution level, and the time of image download, as well as those of the user credentials. Since existing authorization models are not adequate to provide access control based on spatial and temporal attributes, in this paper, we propose a geospatial data authorization model (GSAM). Unlike the traditional access control models where authorizations are specified using subjects and objects, authorizations in GSAM are specified using credential expressions and object expressions. GSAM supports privilege modes including view, zoom-in, download, overlay, identify, animate, and fly by, among others. We present our access control prototype system that enables subject, object as well as authorization specification via a Web-based interface. When an access request is made, the access control system computes the overlapping region of the authorization and the access request. The zoom-in and zoom-out requests can simply be made through a click of the mouse, and the appropriate authorizations will be evaluated when these access requests are made     

可信计算中对象访问授权协议的分析与改进

可信平台模块的对象访问授权协议是可信平台模块安全的基础。依据可信计算对象访问授权模型,在对OIAP和OSAP协议的特点及所存在的安全漏洞进行分析的基础上,提出了一个改进的对象访问授权协议。通过对改进协议的形式化分析和模拟实现,证明该协议可以抵抗外部调用者的替换攻击和中间人攻击。此外,通过在协议中引入对称密码算法,有效地解决了外部调用者和TPM之间授权认证和传输会话的机密性保护问题,在一定程度上提高了作为TCB信任根的TPM模块的安全性。     

虚拟化环境中TPM对象访问授权协议分析与改进

可信计算的主要功能由TPM完成.TPM的对象访问授权协议是TPM在可信计算平台中安全运行的基础.本文根据TPM对象访问授权模型,在对OIAP和OSAP协议及在虚拟化环境中存在的安全漏洞进行分析的基础上,提出一种新的对象访问授权协议,并通过形式化的安全分析,证明新协议可以解决虚拟域间共享授权数据而引起的安全问题,并能够抵抗重放攻击和中间人攻击.     

一种基于角色的访问控制模型

分析了几种访问控制技术，讨论了基于角色的访问控制模型以及该模型中各种元素的作用及相互关系，引入对象和动作元素来完善对权限的定义，提出了一种改进的基于角色的访问控制模型，并以此为基础在上海市公务网上实现了一个安全授权管理系统。     

基于用户-角色-任务的多约束访问控制模型

传统的访问控制模型采用手动的授权方式, 应用在目前混合型组织企业中, 造成权限授权复杂、准确度低. 因此, 提出一种基于用户-角色-任务的多约束访问控制模型(C-URTBAC), 该模型采用用户分级管理、权限在主体和客体间的传播性思想, 实现了半自动化的授权方式, 提高授权效率和准确度; 同时细化了约束分类, 实现了细粒度化的权限管理. 最后将该模型引用到某汽车零部件公司的PLM系统中, 验证了该模型的实用性.     

基于扩展角色访问控制的普适计算访问控制模型

针对普适计算访问控制对客体部分动态管理的需要,分析了现有扩展基于角色的访问控制（RBAC）的不足,提出一种新的扩展RBAC模型。模型引入客体与客体的关联,使得权限既可以通过角色也可以通过客体获得,并采用描述逻辑对模型访问控制过程进行了形式化描述。该模型能够实现细粒度的动态授权,解决了因决策的固有性导致角色数量过多、授权不灵活的问题。