基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个“任务角色”分配的授权算法,解决工作流管理系统动态授权约束的问题。     

用户层次化的RBAC授权管理模型*

为了降低授权的管理成本,基于用户分层的思想,提出了用户层次化的授权管理模型,即AHURBAC,通过将用户和管理员分层降低了管理成本。给出了AHURBAC模型的形式化定义,并给出can_assign、can_revoke、can_assignp和can_revokep的形式化定义。给出的授权管理模型对有效降低授权管理成本是有益的。     

基于改进RBAC模型的访问控制方法

为了解决信息系统访问控制在实际应用中暴露出的授权繁琐、权限控制粒度不足等问题,提出一种改进的RBAC模型;该模型通过增加访问主体的组成粒度并应用面向对象的建模技术对模型中客体对象进行建模描述,提高了系统授权效率并实现了数据级的权限控制;最后给出了该模型的形式化描述和控制算法,并通过在CAPP系统的应用实例验证了该模型的有效性.     

基于RBAC的授权管理安全准则分析与研究

针对安全准则在授权管理安全性验证中具有的重要意义,提出了基于RBAC的授权管理安全准则。以保障授权管理的安全性为目标,分析了授权管理中的RBAC安全特性,深入剖析了授权管理安全需求,从数据一致性、授权无冗余、权限扩散可控、管理权限委托可控、满足职责分离和访问权限可用等方面给出了一致性准则、安全性准则和可用性准则3项授权管理安全准则。分析表明,该安全准则与现有的RBAC安全特性相一致,能够为基于RBAC授权管理的安全性提供有效支撑,为衡量其安全性提供标准和依据。     

基于RBAC的CSCD系统工作流授权模型

提出一个基于RBAC的CSCD系统工作流授权模型RTSWAM,与传统的访问控制授权模型不同,该模型在已提出的时态权限概念的基础上,提出了时空权限的概念,表示基于RBAC的CSCD系统工作流授权不仅受时间约束,还受空间范围限制,即被授权者只能在某个时间段和网络空间段内,才能对某个任务执行某种操作,这样不仅可以保证组成工作流的任务只能被属于某个特定角色的用户执行,而且可以保证在授权流与工作流同步的基础上,实现授权流与网络空间范围动态变化的协调一致。     

基于量化角色的细粒度授权委托方法

目前基于角色的访问控制模型大多数都不支持细粒度操作。为此,提出一种细粒度的授权委托方法。利用为权限元组分配量值的方法,实现对角色内任意部分权限的表达和控制。引入量化角色,将普通角色与权限量值组合,用于描述不同的权限范围。在胜利油田滨南采油厂物资供应系统中的应用结果表明,该方法能提供更细化的授权和委托粒度,减少过多临时角色的创建,降低系统的管理和维护 代价。     

基于角色访问控制授权约束条件的生成方法

将角色和权限的属性表达式作为授权约束条件的重要组成部分,给出约束条件的定义,引入角色工程的思想和方法,在此基础上提出产生授权约束条件涉及的属性、属性表达式、权限属性表达式、角色属性表达式和用户属性表达式的识别、产生和优化的方法及相关算法,通过一个应用实例说明方法的可行性。     

基于授权策略的RBAC信息流控制

RBAC没有明确定义非法信息流,也没有提供信息流控制机制. RBAC系统中主体的访问操作可以引起客体之间的信息流,使用户访问到未授权的信息.首次从授权策略的角度形式化地定义了RBAC非法信息流,提出了一个检测RBAC配置中用户可以引起的非法信息流的算法,给出了一个动态信息流控制算法.确保了RBAC访问控制目标的实现,增强了RBAC系统的安全性.     

基于角色的管理模型隐式授权分析

基于角色的管理模型被用于管理大型RBAC(role-based access control)系统的授权关系,UARBAC 具有可扩展、细粒度等优点.UARBAC 的管理操作包含隐式授权.隐式授权分析说明UARBAC 管理操作的两类缺陷,包括两个定义缺陷,即无法创建客体和虚悬引用,以及一个实施缺陷,即不支持最小授权.通过修改管理操作更正定义缺陷,提出实施缺陷的改进方案.定义实施最小授权的最小角色匹配问题,证明该问题是NP 难,并给出基于贪心算法的可行方案,帮助管理员选择合适的管理操作将最小角色集合授予用户.     

MAX-SAT问题的分子信标解决方法

文章采用分子信标编码方法,在解决SAT问题的同时解决MAX-SAT问题。这种方法可以用在最优化计算领域。     

RBAC授权模型及其属性证书实现机制的应用研究

在基于角色的访问控制RBAC模型中，通过角色将用户和权限相联系，极大降低了授权管理的复杂性，不失为一种灵活有效的安全措施。作为PKI技术新发展的X.509属性证书，提供了一种较好的机制来支持这一模型。首先对RBAC模型和属性证书的有关特性分别进行了介绍，而后就属性证书在RBAC中的应用进行了分析研究。     

基于RBAC与GFAC架构的访问控制模型

在对基于角色的访问控制（RBAC）模型进行优化处理的基础上,提出了一种基于RBAC与通用访问控制框架（GFAC）的访问控制模型。阐述了模型的构成、特点及其访问控制策略,引入了类、约束和特殊权限等新概念,将分级授权、最小化授权、角色继承授权等策略相结合,实现对资源访问的控制。该模型可配置性强,容易维护,降低了授权管理的复杂性。最后给出了模型实现的关键技术。     

基于多级安全和属性证书实施网络基于角色访问控制策略

RBAC（Role Based Access Control）通过变更用户的访问权限,能够灵活地改变主体和客体的访问关系,修改安全策略。〖BP（〗随着网络化信息管理系统的发展,RBAC成为信息管理系统中的主要安全机制。通过分析MLS和RBAC的特点与共性,〖BP）〗提出了基于MLS的安全策略构建RBAC的思想及解决方案,可以提高系统的开发效率,并通过属性证书在网络中给用户授权,提高信息管理系统的安全性和管理效率。     

基于XACML的访问控制与RBAC限制

限制可以视为是基于角色的访问控制(RBAC)的主要动机。该文分析基于XML的访问控制规范语言(XACML)的RBAC框架并指出了该框架的缺点,通过提出的角色激活机构对该框架进行扩充,使得XACML支持RBAC模型中的职责分离和基数限制等限制。     

基于RBAC的灵活代理委托模型

在现有基于RBAC的委托模型中,委托人由于出差或休假无法自主执行委托,然而完全依靠管理员集中式的授权管理,缺乏灵活性,且存在权限滥用的危险。结合RBAC模型,提出一种基于代理的灵活角色委托模型。给出了代理委托策略,并通过构造和规约两方法对模型的合理性与完备性进行了论证。理论分析与实例验证结果表明,该模型通过引入代理人,代表执行并对委托过程进行监督管理,能够有效地体现委托过程的灵活性,并且遵循“最小特权”和“职责分离”两安全原则。     

可扩展系统中基于RBAC模型的访问控制

可扩展信息系统的建设可运用领域工程需求方法,将领域对象从系统中分离出来形成领域对象向导,系统管理员可根据向导完成领域对象的建立,从而实现系统的动态可扩展功能,而扩展的系统应能实现对用户的安全访问控制。通过分析基于角色的访问控制（RBAC）模型,在Struts, Spring和Hibernate集成框架下,给出一种全方位可扩展的动态自定制信息系统中基于RBAC模型的访问控制模块的实现方法,论述模块的后台数据库设计和模块实现等关键技术。     

RBAC模型中用户代理机制的研究

针对ASP服务平台用户和服务之间权限分配日趋复杂的问题,提出了一种新的角色访问控制（A_RBAC）模型,利用代理层将平台服务与企业级用户关联,采用分级授权的用户角色访问控制运行机制,实现了用户代理机制下权限访问的区域自治性,并应用轻量级目录访问协议（LDAP）和J2EE技术将其设计实现于合肥市中小企业信息化托管平台。实践证明,该模型有效地降低了权限分配的复杂性。     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。