基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。     

结合属性和RBAC的访问控制模型及算法研究

针对基于角色的访问控制系统不能实现动态授权、细粒度授权的问题,将属性与RBAC(Role Based Access Control)相结合,提出基于属性和RBAC的访问控制模型.在此访问控制模型上设计了基于最小扰动的角色挖掘算法,通过属性授权规则完成角色权限细粒度分配和用户角色动态分配,使产生的角色结果与原系统的角色集合保持一致.为验证算法的准确率和有效性在不同数据集下进行实验评估,实验结果表明,算法产生角色的准确率和有效性有明显的提高.     

继承和优先约束驱动的柔性授权机制研究

针对权限系统中存在角色授权策略单一和授权冲突的问题,设计IPC_URBAC模型,在RBAC模型的基础上增加继承约束的用户直接授权机制和优先约束的用户角色分配机制,提出基于个体和优先的授权冲突解决策略,并给出用户权限和角色权限的求解算法。运用IPC_URBAC,构造二进制授权掩码进行复杂权限设置,应用Web Service完成细粒度权限检查,达到权限与业务的剥离,实现一种与业务无关的柔性授权系统。     

一种扩展型基于角色权限管理模型(E-RBAC)的研究

通过分析基于角色的访问权限（RBAC）模型和现代企业组织结构的管理特点,本文提出一种对用户和角色混合授权的扩展RBAC模型,并介绍其在某大型系统中的有效应用和实现。     

改进的RBAC模型在电网视频监控平台中的应用

针对传统基于角色的访问控制（RBAC）模型在大规模企业应用及复杂业务权限控制中的不足,本文引入了RULES和GROUPS属性对其进行延伸和拓展,形成了改进的RBAC模型。通过RULES对数据范围细化,解决了细粒度复杂业务中的权限控制,通过GROUPS定义层次结构模型,实现了大规模授权中的分级管理。基于此模型构建了统一视频监控平台权限管理框架,讨论了其功能组成、分级管理授权过程及细粒度权限控制过程,通过项目验证了其可行性与有效性。     

支持否定授权的基于子角色的授权代理模型

提出了一种支持否定授权的基于子角色的授权代理模型SRBDM(Sub-role based Delegation Model).该模型根据角色的继承和委托特性将角色分为若干个子角色,支持部分代理、权限级粒度代理和限制性继承,并对由于同时支持肯定和否定授权而产生的权限冲突问题提出了解决方法.     

基于授权对象的角色控制模型的应用研究

权限策略在集团化企业安全需求扮演重要角色,而基于角色的访问控制（RBAC）模型是目前的研究热点.将RBAC模型优化,结合旅游集团综合信息化管理系统的要求及实际岗位情况,将权限在角色、操作等维度上进一步细化,把业务部门间的相互关系跟系统中的角色结合起来,提出了基于授权对象的角色访问控制模型（AURBAC）,从而实现旅游集团信息系统中的权限管理.     

一种基于可信度和属性的RBAC授权模型*

针对传统RBAC模型中存在用户角色指派的模糊性、用户授权认证决策的单一性及角色数量与管理的冲突等问题,提出一种结合属性与可信度的改进型RBAC授权模型——TA-RBAC模型。该模型通过增加对用户及所在平台的可信性认证,使得传统模型的认证方式得到了完善,保证了系统授权过程更为安全可靠;同时利用可信度和属性概念对传统模型的授权机制进行了扩展,通过用户认证可信度指派相应的系统角色,实现了动态的用户角色指派;在权限指派过程中引入属性实现对象激活操作,有效地减少了角色的设置数量并实现了更细粒度的授权。最后给出模型授     

权限扩展RBAC模型的本体表示和实现

针对基于角色的访问控制(RBAC)模型对权限实体的刻画能力不足,提出了带权限层次扩展的RBAC模型。为结合本体在知识表示和推理方面的优势,提出了该模型的本体表示和实现方法。该方法使用Web本体语言(OWL)表示该扩展模型,借助语义Web规则语言(SWRL)定义模型中应用逻辑规则,隐式授权知识经规则推理获得。在此基础上,通过SPARQL协议和RDF查询语言(SPARQL)查询命令生成显式和隐式授权视图,实现系统安全状态分析。最后,给出了具体应用示例,表明该方法的可行性。     

基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个“任务角色”分配的授权算法,解决工作流管理系统动态授权约束的问题。     

基于属性证书的RBAC实现模型研究

基于角色的访问控制提供了灵活安全管理授权机制,公钥基础设施(PKI)提供了一个强有力的认证系统,授权管理基础设施(PMI)作为一项新的技术提供了有效授权和访问控制管理。为了满足现在的安全需求,结合X．509公钥证书(PKCs)和属性证书(ACs),本文提出了一个基于角色的访问控制模型。     

历史信息约束的角色访问控制模型

本文分析了约束RBAC中两种授权约束机制——SSD和DSD,指出它们无记忆性的不足,提出了将有限状态机与RBAC模型结合起来,构成一种新型的FSM_RBAC模型,最后通过示例讨论了该模型的应用。     

带时间特性的角色访问控制

基于角色的访问控制模型的研究工作近年来得到了广泛的重视,但主要工作均立足于与时间特性无关的其他方面.形式化描述了一个引入时间后的角色访问控制模型.在该模型中对原有授权约束进行了时间扩充.提出的相应算法解决了时间授权约束和会话的状态转变问题.同时分析了模型的一致性状态,并讨论了一致性状态维护问题.     

Bridging the gap between role mining and role engineering via migration guides

In the context of role-based access control (RBAC), mining approaches, such as role mining or organizational mining, can be applied to derive permissions and roles from a system's configuration or from log files. In this way, mining techniques document the current state of a system and produce current-state RBAC models. However, such current-state RBAC models most often follow from structures that have evolved over time and are not the result of a systematic rights management procedure. In contrast, role engineering is applied to define a tailored RBAC model for a particular organization or information system. Thus, role engineering techniques produce a target-state RBAC model that is customized for the business processes supported via the respective information system. The migration from a current-state RBAC model to a tailored target-state RBAC model is, however, a complex task. In this paper, we present a systematic approach to migrate current-state RBAC models to target-state RBAC models. In particular, we use model comparison techniques to identify differences between two RBAC models. Based on these differences, we derive migration rules that define which elements and element relations must be changed, added, or removed. A migration guide then includes all migration rules that need to be applied to a particular current-state RBAC model to produce the corresponding target-state RBAC model. We conducted two comparative studies to identify which visualization technique is most suitable to make migration guides available to human users. Based on the results of these comparative studies, we implemented tool support for the derivation and visualization of migration guides. Our software tool is based on the Eclipse Modeling Framework (EMF). Moreover, this paper describes the experimental evaluation of our tool.     

基于上下文的普适计算角色访问控制模型

针对普适计算访问控制上下文感知的特点,分析了现有扩展RBAC模型的不足,提出了基于上下文的角色访问控制模型(CRBAC).模型定义了可执行角色集,引入由时间状态,位置信息、用户信任值组成的上下文信息,由上下文信息激活可执行角色集,并以此代表用户最终获得的权限,这样用户就只能在一定的上下文中才可以执行某个角色的某个权限,实现了细粒度的动态授权.然后分别对此模型下单用户和多用户的访问控制过程进行了描述,最后利用有限状态机验证了模型的安全性.     

基于角色的访问控制框架设计及其应用

首先介绍了访问控制相关技术研究的现状，并通过一个基于角色的访问控制框架来解决在NISTRBAC模型中未明确说明的权限的粒度问题，然后探讨了该框架在一个真实系统中的应用，并在该真实系统中对NISTRBAC模型中未明确说明或者部分说明的三个问题（权限的粒度、角色的激活、角色的回收）做出了说明。     

周期时间特性的角色访问控制*

针对传统的RBAC模型不能表达时间特性安全访问控制约束的缺点,提出了一个带有周期时间特性的安全访问控制模型。在传统的RBAC模型的基础上定义了周期时间特性的角色访问控制,分析了模型的一致性状态,讨论了一致性状态维护问题,并针对周期时间约束问题提出的相应算法解决了时间授权约束和会话的状态,极大地提高了系统的访问控制能力。     

CRBAC: Imposing multi-grained constraints on the RBAC model in the multi-application environment

Interactions between resources as well as services are one of the fundamental characteristics in the distributed multi-application environments. In such environments, attribute-based access control (ABAC) mechanisms are gaining in popularity while the role-based access control (RBAC) mechanism is widely accepted as a general mechanism for authorization management. This paper proposes a new access control model, CRBAC, which aims to combine the advantages of RBAC and ABAC, and integrates all kinds of constraints into the RBAC model. Unlike other work in this area, which only incorporates one or a few particular attribute constraints into RBAC, this paper analyses and abstracts the generic properties of the attribute constraints imposed on authorization systems. Based on these analyses and generalization, two constraints templates are presented, called authorization mapping constraint template and behaviour constraint template. The former template is able to automate the user-role and role-permission mapping, while the latter is used to restrict the behaviours of the authorization entities. The attribute constraints are classified into these two templates. Moreover, the state mechanism is introduced to build up the constraints among the statuses of the entities, and reflect the outcomes of the authorization control as well. Based on the presented templates and the state mechanism, the execution model is developed. A use case is proposed to show the authorization process of our proposed model. The extensive analyses are conducted to show its multi-grained constraints by comparing with other models.     

Security analysis of GTRBAC and its variants using model checking

Security analysis is a formal verification technique to ascertain certain desirable guarantees on the access control policy specification. Given a set of access control policies, a general safety requirement in such a system is to determine whether a desirable property is satisfied in all the reachable states. Such an analysis calls for the use of formal verification techniques. While formal analysis on traditional Role Based Access Control (RBAC) has been done to some extent, recent extensions to RBAC lack such an analysis. In this paper, we consider the temporal RBAC extensions and propose a formal technique using timed automata to perform security analysis by analyzing both safety and liveness properties. Using safety properties one ensures that something bad never happens while liveness properties show that some good state is also achieved. GTRBAC is a well accepted generalized temporal RBAC model which can handle a wide range of temporal constraints while specifying different access control policies. Analysis of such a model involves a process of mapping a GTRBAC based system into a state transition system. Different reduction rules are proposed to simplify the modeling process depending upon the constraints supported by the system. The effect of different constraints on the modeling process is also studied.     

基于角色的访问控制在ASP.NET 2.0中的应用研究

安全是影响Web发展的重要方面,访问控制和授权是Web安全的核心问题.介绍了基于角色的访问控制(RBAC)模型,研究了RBAC在ASP.NET 2.0中的应用,探讨了ASP.NET 2.0中的身份认证、用户和角色管理、RBAC模型的实现等问题,实现了基本的基于角色的访问控制模型并讨论了ASP.NET 2.0中的RBAC模型的扩展.