周期时间特性的角色访问控制*

针对传统的RBAC模型不能表达时间特性安全访问控制约束的缺点,提出了一个带有周期时间特性的安全访问控制模型。在传统的RBAC模型的基础上定义了周期时间特性的角色访问控制,分析了模型的一致性状态,讨论了一致性状态维护问题,并针对周期时间约束问题提出的相应算法解决了时间授权约束和会话的状态,极大地提高了系统的访问控制能力。     

基于角色限制条件的用户-角色指派研究

URA97和URA02作为两个主要的用户-角色指派模型,得到广泛的应用。但这两个模型的指派先决条件较弱,不能满足一些对用户限制较强情况下的用户角色指派。本文认为同一角色下的不同用户之间存在差异,用户在指派某角色时除了常见的约束外,还要受到其他限制。提出了角色和用户属性概念,定义了角色限制条件角色资格条件,改进了指派先决条件,实现了指派先决条件的统一和更严格的用户角色指派限制。对RBAC96模型做了相应的修改。     

RBAC模型中条件时态的研究与设计

具有时态特征的角色访问控制（RBAC：Role Based Access Control）模型能够为RBAC控制机制提供动态的时间控制因素，是目前安全模型领域的研究热点。基于对周期理论和时态RBAC模型的研究，本文认为时态不仅能够为模型提供时间维的控制因素，而且模型中的约束也能作用于时间雏形成条件时态平面的控制因素，从而能够进一步提高模型控制的灵活性和多样性。为此，本文提出了条件周期表达式和条件时态的概念，形式化描述了条件时态语义；并通过条件周期事件和角色状态在条件周期下的断言详细论述了条件时态。     

分散式角色激活管理中的角色查找

角色激活是基于角色的访问控制中的重要环节,用户通过激活系统为他分配的角色子集来执行与角色相对应的权限。目前基于角色访问控制主要特点是用户主动、系统被动,从而给用户带来记忆各种角色-权限分配情况的负担。本文提出一种分散式的基于查找的角色激活管理方法．与传统方法不同之处在于它是一种用户为被动、系统为主动的智能访问控制。在对企业环境下的动态约束提供有效支持外,减轻了在传统角色激活方式下用户需要掌握角色一权限分配情况的负担。     

基于XML的角色访问控制(RBAC)

一个设计合理的企业信息平台,提供安全,调整的网上办公环境,企业员工按其权限,各司其职,协同合作,共同提高企业运行效率,在网络环境下,如果对每个员工,安全管理员都进行权限设置,将是费时费力的工作,且易于出错,基于角色的访问控制（RBAC）为解决这一问题提供了一条有效的途径。XML作为一种新兴的标识语言,由于其层次性表示数据,显示方式与内容分离等特点,在Web上得到越来越广泛的应用,利用XML作为访问控制的表达形式,使得系统具有良好的灵活性和可操作性。     

支持角色双向继承的约束RBAC模型

针对经典RBAC(Role Based Access Control)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处,提出了一种支持角色双向继承的约束RBAC模型BI-RBAC。该模型对经典的RBAC模型进行扩展,增加虚拟角色及其层次结构以支持角色的双向继承,并定义资源操作的概念。给出模型的形式化定义的同时,设计了访问控制算法。模型在自主开发的大型平台软件钱塘中间件平台软件中得到了应用,可较好地支撑恒生证券交易系统等大型软件系统。     

工作流系统中一个基于双权角色的条件化RBAC访问控制模型

传统的RBAC访问控制模型已经不能表达复杂的工作流安全访问控制约束。基于传统的RBAC模型,提出了一个新的基于双权角色的条件化RBAC访问控制模型CRDWR(conditioned RBAC based on double—weighted roles)。阐述了基于动态角色分配的条件化RBAC策略,定义了基于双权角色的工作流系统访问授权新概念,并针对多个角色协同执行任务的序约束问题,给出了基于令牌的序约束算法。该模型能够表达复杂的工作流安全访问控制约束。     

使用排斥角色在RBAC系统中实现职责分离

基于角色访问控制RBAC逐渐受到商业和军事系统的关注,该模型从根本上区别于BLP模型,能够较好地应用在分布式环境中。RBAC使用排斥角色实现任务的职责分离,该文主要研究了职责分离的安全特征,介绍了几种常用的排斥规则,定义了排斥角色和角色层次之间的限制关系,最后提出了保证系统访问控制安全的充要条件。     

主动网络基于分散式角色激活管理的访问控制

可编程性使主动网络面临更严重的安全威胁,虽然已经提出了大量的安全策略和安全机制,但它们的实现多以静态为主,无法满足主动网络的动态需求。提出一种基于分散式角色激活管理的访问控制策略,包括身份认证、授权和权限验证,对动态约束提供了灵活有效的支持,比传统的基于角色的访问控制更适应主动网络的动态特性。最后在此基础上设计了主动节点的安全机制。     

基于时间角色访问控制授权模型的研究

基于角色的访问控制作为一种新型的访问控制技术成为近年来访问控制领域研究的热点,但目前主要工作均立足于与时间特性无关的其他方面。在基于角色访问控制的几种主要模型的基础上,提出了一种基于时间的角色访问控制模型。引人时问的目的是使系统更加安全有效。充分体现了TRBAC模型更能满足信息安全管理的需求,使扩展的TRBAC模型更能适应系统的需求。     

一种基于RBAC模型的角色管理方法

基于角色的访问控制具有管理简单、安全灵活、可用性强等特点,近年来得到了广泛的研究与发展.但是对于角色的管理方法还存在一些不足.针对现有的角色管理方法中关键角色可被赋予多个用户可能导致冲突以及缺乏角色移交机制的问题,设计并实现了一种灵活的关键角色管理方法KRMM,把角色划分为关键角色与非关键角色,限制关联关键角色的用户数量,确保关键权限不被滥用,同时支持关键角色的移交,使用户能够将自己关联的关键角色移交给其他用户,确保系统任何时候都不会缺少关键角色.在麒麟安全操作系统中实现了KRMM,使角色的管理更加灵活与安全.     

基于RBAC的细粒度访问控制方法

分析基于角色的访问控制模型,提出一种基于RBAC模型的细粒度权限管理方法。引入细粒度权限管理的概念,把资源的访问权限按尽量小的粒度分解,并把分解后的权限分配给角色,通过给用户分配角色以及角色之间的继承关系简化权限的管理。基于RBAC模型的细粒度权限管理系统验证了该方法的正确性。该方法的设计和实现过程对于同类软件的开发具有参考价值。     

协同环境中基于RBAC模型的访问控制策略

协同系统具有动态性和群体性的特点,其权限管理比传统软件系统复杂。传统数据库系统中的访问控制机制比较简单,远不能满足协同系统的要求。针对共享资源访问控制策略的授权方式复杂、授权粒度不细致的问题,引入角色机制,把角色访问并发控制策略应用到系统中,设计基于角色的系统功能权限的位映射算法。该算法降低了授权管理的复杂性,增强了系统安全性。     

细粒度角色访问控制

分析基于角色访问控制的模型,在此基础上提出了一种在面向对象的编程模式中基于细粒度权限控制的管理方法。利用对象的继承特性引入细粒度权限管理的概念,把资源的控制从菜单粒度分解到原子操作粒度。分解后的权限和角色建立关系,通过给用户分配角色建立权限和用户的关系,从而简化了权限的管理。最后给出了具体的实现过程,在实际中得到了应用,验证了此方法的正确性和可行性。     

一种基于Agent自适应RBAC包装器

基于角色的访问控制方法(Role-BasedAccessControl,简称RBAC)实现用户与访问权限的逻辑分离和构造角色之间的层次关系,从而方便了数据的安全管理。为实现RBAC在复杂环境中的应用,文章提出了一种基于Agent的自适应RBAC包装器。按照Agent设计方法研究了包装器的体系结构,设计了知识库、RBAC实现部件、底层通讯部件、顶层通讯部件和外部世界感知部件,构造了RBAC、R-D、R-M和R-X四种知识模型。     

改进的基于组织结构的RBAC模型

针对传统的基于角色的访问控制模型在大型应用系统中存在角色数目巨大、临时授权管理繁琐等问题,提出了一种改进的基于组织结构的RBAC模型(IO-RBAC).该模型规定角色只有在特定的组织部门中才能获取相应的权限,并能通过对特殊用户直接授权的方式实现临时授权.实际应用案例表明,该模型在减少角色数量的同时,提高了权限管理的灵活性.     

针对基于多父角色RBAC模型的研究与应用

针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。对RBAC模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。     

Web服务中基于SAML和XACML的RBAC模型

针对Web服务中安全性方面所存在的问题,引入角色来设定用户的访问策略,在用户访问具体资源时根据资源拥有者设置的权限来确定该用户的访问权限,使用角色作为行使权限的中介,通过SAML协议对该类角色实现单点登陆,并使用XACML对服务端的受保护资源进行访问控制.在此基础上给出了基于SAML和XACML的RBAC模型,该模型具有良好的灵活性、可扩展性及跨平台性.     

RBAC模型中用户代理机制的研究

针对ASP服务平台用户和服务之间权限分配日趋复杂的问题,提出了一种新的角色访问控制（A_RBAC）模型,利用代理层将平台服务与企业级用户关联,采用分级授权的用户角色访问控制运行机制,实现了用户代理机制下权限访问的区域自治性,并应用轻量级目录访问协议（LDAP）和J2EE技术将其设计实现于合肥市中小企业信息化托管平台。实践证明,该模型有效地降低了权限分配的复杂性。