TRDM--具有时限的基于角色的转授权模型

当前基于角色的系统的完全依赖于管理者的集中式管理方式,不能够满足分布环境下的系统管理的需求．基于角色的转授权模型(role—based delegation model,RDM)更适于分布式环境的授权管理,但当前的几种授权模型都不支持时限(temporary)和授权宽度．基于时限和授权宽度等方面,对RDM2000(role-based delegation model 2000)模型进行了扩充,提出了完备的具有时限的基于角色的转授权模型(ternporal role—based delegation model,TRDM),并提出了新的基于TRDM的角色授权和角色撤销(revocation)机制．     

具有时限性和区域性特征的基于角色转授权模型

对分布式系统基于角色转授权模型（Role based Delegation Model,RDM）进行深入研究。RDM更适合于分布式系统的授权管理,但当前的几种RDM都不支持时限性和区域性。根据分布式系统的特点,首先提出了转授权的区域性特征;基于转授权的时限性特征和区域性特征对RDM2000模型进行扩充,提出了完备的具有时限性和区域性特征的基于角色的转授权模型（Temporary and Domain Role based Delegation Model,TDRDM）;并给出了基于TDRDM的转授权（delegation）和转授权撤销（delegation revocation）机制;最后通过分布式系统实例对TDRDM模型的转授权进行描述。     

基于时限的角色访问控制委托模型

访问权限的委托限制是一种重要的安全策略,它的基本思想是用户将自己所具有的部分或者全部权限转授给其他用户,让接受授权的用户代表发出授权的用户执行某些任务.基于角色的委托授权模型将角色作为委托的主体.目前为止它的两个基本模型RBDM0和RDM2000都没有有效地解决时限问题,事实上时限是授权的重要组成部分,本文在上述两个模型的基础上引入有效时间和角色激活的概念,描述了与之相对应的带时限的委托模型并给出了相应的委托判断规则.     

一种基于角色的访问控制模型

分析了几种访问控制技术，讨论了基于角色的访问控制模型以及该模型中各种元素的作用及相互关系，引入对象和动作元素来完善对权限的定义，提出了一种改进的基于角色的访问控制模型，并以此为基础在上海市公务网上实现了一个安全授权管理系统。     

一种扩展的基于角色的访问控制模型

结合自主访问控制和基于角色的访问控制的特点,提出了一种扩展的基于角色的访问控制模型（ERBAC）。该模型既实现了系统中静态的信息安全访问要求,又实现了权限管理中动态的变化要求,给出了ERBAC的动态授权管理框架,最后用形式化语言描述了ERBAC模型满足的规则。     

扩展式基于角色的访问控制模型的研究

在企业规模不断扩大的背景下,面对用户数量庞大,权限分配粒度要求较高的大型系统,传统的RBAC模型存在的角色数量过多、授权管理负担过重等问题尚未得到有效解决.为此,在传统RBAC的基础上进行改进,提出了一种扩展式基于角色的访问控制模型ERBAC,并给出了此模型的实现方式.     

支持授权的基于角色的访问控制模型及实现

现有的基于角色的访问控制模型多采用集中授权管理方式,不能满足大型复杂协作系统的需求．文中对RBAC96模型进行扩展,形成了支持授权的基于角色的访问控制模型．该模型引入角色语境作为自主授权活动的依据,通过语境部件授权极限值、授权域、授权类型以及撤销类型的定义,以支持灵活的自主授权活动,并支持多步授权,允许安全管理员对系统进行宏观安全控制．对该模型的基本部件和规范进行了描述,并且给出授权活动的实现算法和应用实例．     

基于角色的网格授权模型框架设计

本文提出了一种基于角色的网格授权管理方案。方案的基本思想是将大规模网格组织分成多个管理域,给域中的网格用户分配角色,用户在其所在域就可以申请相应的角色,并从LDAP目录服务器中下载得到角色属性证书。资源的访问控制分散在资源服务器端执行,避免集中控制导致的单点失效。在资源端将共享资源的访问权限分配给角色,通过域内角色管理中心的协调工作,使整个网格用户和网格内的共享资源实现整合,网格用户可以方便地使用网格内相应的资源。     

基于角色访问控制的实现研究

本文从实现角度介绍了基于角色访问控制模型RBAC3的概念,并对授权管理和访问控制两个关键部分进行形式化描述。     

基于角色的管理模型隐式授权分析

基于角色的管理模型被用于管理大型RBAC(role-based access control)系统的授权关系,UARBAC 具有可扩展、细粒度等优点.UARBAC 的管理操作包含隐式授权.隐式授权分析说明UARBAC 管理操作的两类缺陷,包括两个定义缺陷,即无法创建客体和虚悬引用,以及一个实施缺陷,即不支持最小授权.通过修改管理操作更正定义缺陷,提出实施缺陷的改进方案.定义实施最小授权的最小角色匹配问题,证明该问题是NP 难,并给出基于贪心算法的可行方案,帮助管理员选择合适的管理操作将最小角色集合授予用户.     

支持用户委托的访问控制模型研究

基于委托是个体行为这一观点,剔除委托研究中的少量具有企业管理特征的行为,提出支持用户委托的RBAC模型--D-RBAC.模型的本质是在RBAC模型的基础上,增加一个委托支持模块,从而提供了用户-用户委托支持的扩展.模型本身具有策略无关、设计简单、适用面广的特点,支持现有研究中所有反映委托个体行为特征的委托操作.另外,模型还提供了管理员干预的支持,在尽量减少管理员管理工作的前提下,给出了有效的解决方案,使得管理员能够规范委托人的行为,从而达到既允许用户委托,又不破坏企业或组织的访问控制策略.     

基于量化角色的可控委托模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足,提出了量化角色的概念,实现了一种细粒度的委托约束机制,给出了一个形式化的基于量化角色的可控委托模型QBCDM（Quantifiedrole Based Controllable Delegation Model）．该模型提供了灵活的委托粒度,支持对角色任意部分权限的委托,避免了引入较高的管理代价;支持强制委托约束和细粒度的自主委托约束,保证了多步委托过程中委托能力的收敛性,显著增强了委托过程的可控性．     

工作流程中的任务委托模型

针对现有工作流程管理系统在安全性与灵活性上的不足,提出一个基于任务的细粒度委托模型,该模型中的委托具有临时性、单步性、单调性、协议性及对称性等特征,规范了委托关系、委托条件、委托时效以及委托实施到撤消的整个委托生命过程。结果表明,该模型解决了由于执行人无法及时执行任务而引起的工作流程阻塞的问题,能提高系统的工作效率。     

基于角色的权限代理模型及其实现*

提出了一种基于角色的授权代理模型——SBDM,讨论了SBDM的基本思想、体系结构、组成要素以及权限代理约束和判定,并提供了一种有参考价值的实现权限代理模型的设计思路,它将在大型分布式网络、工作流管理系统中有广泛应用。     

几种基于角色的代理授权模型特征比较

基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略。RBAC模型通过角色将用户和权限相联系,极大降低了授权管理的复杂性,解决了具有大量用户和权限分配的系统中管理复杂性问题。基于角色的代理授权模型是基于角色的访问控制研究的一个热点。文中对现有的几种基于角色的代理授权模型进行了比较研究,系统分析了它们的优缺点及其差异,对基于角色的代理授权模型研究和应用有一定的参考价值。     

基于授权步数和角色差度的转授权模型

转授权技术能解决分布式环境下的用户授权问题,但在多步转授过程中可能引发循环授权和权限扩散。研究任务-角色访问控制(TRBAC)模型,提出基于授权步数和角色差度的工作流转授权(DR-TRBAC)模型,根据同一任务的转授关系构建转授权树,通过限定授权步数和遍历转授权树解决循环授权问题,设置转授用户间最大角色差度防止权限的扩散。应用实例证明了DR-TRBAC模型的实用性。     

基于角色的受限委托模型

角色委托是RBAC模型需要支持的一种重要安全策略.它的主要思想是系统中的主动实体将角色委托给其他主动实体,以便以前者名义执行特定的工作.角色委托者要对委托角色的使用负责,所以对委托角色进行使用限制是整个模型的关键组成部分.目前已有一些模型扩展了RBAC模型以支持角色委托,但是这些模型对委托限制的支持非常有限.提出了角色委托限制的需求,包括临时性限制、常规角色关联性限制、部分性限制和传播限制.并且,给出了一个支持临时性限制和常规角色关联性限制的基于角色的委托模型.给出模型的形式化描述,为模型在实际环境中的应用奠定了基础.     

基于RBAC的灵活集团委托模型

针对现有基于RBAC的委托模型不支持集团用户委托形式,提出一种基于角色的灵活集团委托模型,给出了委托关系、委托授权、委托撤销的形式化描述及委托实施过程。该模型提供了一种灵活的委托机制,实现了在分布式协同工作环境下从单个用户到集团用户的统一委托。     

RPRDM:基于重复和部分角色的转授权模型

基于角色的转授权模型（RDM）适于分布式环境下的授权管理。在分析重复角色转授权（RRD）和部分角色转授权（PRD）的实质和必要性的基础上，提出了基于重复和部分角色的转授权模型（RPRDM），并定义了该模型的组成元素以及转授权和转授权撤销规则。最后，基于Linux实现了RPRDM的一个实验原则。