一种基于权限的使用控制委托模型

使用控制（Usage Control）作为下一代访问控制模型,综合并扩展了传统访问控制模型,提出了属性可变性和决策连续性的概念,能为现代开放性网络环境下的数字资源提供丰富的细粒度的访问控制保护。权限委托是访问控制系统的组成部分,是实现角色备份、权力分散和协同工作的重要途径。针对UCON的委托需求和已有研究成果的不足,提出了一种基于权限的委托模型,利用委托授权、委托职责和委托条件三个委托决策因素控制和约束委托过程。给出了模型的形式化定义,利用一个定义的最小断言集合实现了权限的委托和撤销过程。该模型延续了UCON的可变性和连续性特点,是一种易操作的权限委托机制,能够方便实现UCON系统用户间使用权限的相互委托。     

一个新的基于权限的委托模型CPPBDM

基于权限的委托模型PBDM实现了权限的委托,其实现方法是将角色进行划分,使组织的角色继承关系变得复杂,模型的实现和管理变得烦琐.为此,提出对PBDM进行改进的基于权限划分的新模型CPPBDM,模型引入新的角色间关系:委托继承、激活指派;新模型能够实现基于权限的委托与角色代理,简化了模型的实现与管理.     

数字版权管理系统中的使用控制模型

文中在分析数字版权管理系统和传统访问控制三种模型不足的基础上,针对数字版权管理系统的结构特点,结合使用控制的ABC模型,提出了一种数字版权管理系统的使用控制模型——UCON onA1模型。并根据UCON onA1模型的特点设计了数字版权管理系统框架,给出了系统工作的流程以及系统实现的关键技术。通过应用该模型能够对权限进行动态分发,并能在使用的整个过程中持续实现对未授权访问的控制,防范资源被随意拷贝、再次分发给其他用户,保证了数字内容的合法使用。     

P2P权限委托与访问控制模型

提出了一种P2P权限委托与访问控制模型,该模型包括3个主要协议,即权限委托协议、资源检索协议和访问控制协议。根据权限委托协议,委托发起方PEER_S选择信誉值高的对等点作为受委托对等点PEER_D,颁发权限委托证书Cd。按资源检索协议,PEER_D选择信誉值高的资源提供者发送资源请求。根据访问控制协议,资源提供者PEER_R通过资源请求者的信誉证书集Cts和权限委托证书Cd进行访问控制。基于着色Petri网验证协议模型的可达性等性质,使用CPN Tools对协议进行模拟仿真。     

通用、动态权限管理模型的设计与实现

针对B/S系统的权限管理问题,提出了一种通用、动态权限管理模型。模型中为用户分配账号,为账号分配角色,为角色分配权限,从而使用户间接的获得权限,实现了用户和权限的逻辑分离。模型中的权限管理粒度精细,不仅有功能模块级别的菜单权限,而且有页面上按钮级别的动作权限和页面上显示信息级别的数据权限,能随用户需求的变化而动态的改变,具有很好的灵活性、安全性和通用性。     

基于角色权限控制的党建应用

为了满足党建系统中对权限管理的灵活性要求,本文分析了党建应用系统的特征,将基于角色访问控制的基本思想引入到系统权限管理中,提出了一种在系统应用程序层实现基于角色的权限管理方案,使系统的权限管理更加简单、安全、高效,更加符合党建的业务管理规范.     

基于元数据和角色控制的用户权限管理

通过角色控制模型将用户与某一具体功能分离,使用户与他所属的角色相对应。通过给角色授权来实现用户与某一具体功能的连接。这既减轻了系统管理员的工作量又通过角色控制的分离机制提高了系统的安全性。在实现上使用元数据管理功能对应的控件的信息,当系统管理员管理用户权限时,系统从元数据中获取对应信息。通过基于元数据的自定义用户权限管理控件生成整个系统的功能列表,系统管理员分配用户角色,并为该角色授权。通过实际的项目开发,验证了此方法可以有效地实现对用户权限控制,同时增强了系统的安全性,提高了系统的可维护性,大大降低了系统维护的代价。     

基于角色的用户权限管理和功能模块的动态加载

介绍了基于角色的用户权限管理模型以及功能模块的动态加载技术,论述了基于角色的用户权限管理模型以及功能模块的动态加载技术在应用系统中的重要性,并以大洋渔业渔获信息管理系统为例,给出了基于角色的用户权限管理以及功能模块动态加载的设计思路和具体实现。在大洋渔业渔获信息管理系统中,通过使用基于角色的用户权限管理模型和功能模块动态加载技术,简化了用户管理难度,为系统提供了安全性和灵活性。     

一种基于T-RBAC的访问控制改进模型

针对T-RBAC在权限控制及职责分离上存在的不足,提出一种改进模型。新模型简化T-RBAC模型的任务分类,为任务加入任务上下文及任务状态属性,使权限的授予与任务上下文、任务状态紧密联系,增强对权限的动态管理。利用私有角色解决互斥权限在继承过程中可能产生的权限共享问题。使用历史记录保证任务执行过程中的动态职责分离。该模型提供了更细粒度的权限管理,能更好地满足职责分离和最小特权原则。     

具有角色特性的UCON属性管理研究

属性作为UCON模型的核心元素,缺乏灵活简洁的管理机制。针对该问题,通过分析核心UCON模型属性的特征,提出了一种具有角色特性的属性管理结构（MASUR）。该结构依据创建属性的能力将主体划分为系统管理主体、属主主体和一般主体,扩展了核心UCON模型的中心化管理方式,具备了区分各主体的职责能力;然后将属性分为系统属性、自主属性和受控属性,提出属主的概念,明确地限定属性的更新主体;最后借鉴成熟的RBAC成果,引入属性角色与操作角色,以适用于现代大规模系统的属性分类和管理。MASUR为现代系统提供了一种对属性更宽泛、更细粒度的灵活控制方法。     

A function-based user authority delegation model

User authority delegation is granting or withdrawing access to computer-based information by entities that own and/or control that information. These entities must consider who should be granted access to specific information in the organization and determine reasonable authority delegation. Role Based Access Control (RBAC) delegation management, where user access authority is granted for the minimum resources necessary for users to perform their tasks, is not suitable for the actual working environment of an organization. Currently, RBAC implementations cannot correctly model inheritance and rules for different delegations are in conflict. Further, these systems require that user roles, positions, and information access be continuously and accurately updated, resulting in a manual, error-prone access delegation system. This paper presents a proposal for a new authority delegation model, which allows users to identify their own function-based delegation requirements as the initial input to the RBAC process. The conditions for delegations are identified and functions to implement these delegations are defined. The criteria for basic authority delegation, authentication and constraints are quantified and formulated for evaluation. An analysis of the proposed model is presented showing that this approach both minimizes errors in delegating authority and is more suitable for authority delegation administration in real organizational applications.     

UCOND:Usage Control委托模型及关键技术研究

本文基于委托基本特性的研究,分析了它在UCON体系框架中的具体表现,提出了一种具有委托特征的UCON模型—UCOND,同时给出了客户端-服务器端访问监控器相结合的体系架构及关键的核心函数。UCOND补充了UCONABC基本框架,解决了使用控制中的委托授权问题,使其更具有完备性和可操作性。     

一种扩展的使用控制模型及其实施模型*

指出了原有UCON模型缺乏对特定使用会话中资源使用之后的行为处理能力、过度简化了使用会话的概念以及缺乏一种综合考虑其决策连续性和属性可变性特征的实施机制这几个方面的问题。针对上述问题,给出了一个完整的职责模型,扩展了原有的UCON,并提出了一种通用的使用控制实施模型。     

多域环境下基于属性的授权委托模型

传统的基于实体标识的授权模型会导致由于授权路径的不一致而引起权限传播的不一致,并可能导致不合法的实体进入授权路径获得不应有的权限.针对以上两方面的问题,提出一个基于属性的授权委托模型ABADM(attribute-based authorization delegation model),将授权模型中权限的传递与权力的委托均建立在实体所具有的属性集合的基础之上,以属性集合作为实体自身的代表进行授权,从而确保拥有相同属性凭证链的实体其权限是一致的.模型将属性与访问权限进行明确区分,提出了域内属性权限分配策略和域间属性计算模型,通过两者的结合给出了在ABADM模型中计算实体所拥有的跨域属性集合和访问权限的方法,并结合具体实例对模型的使用进行了说明.     

基于属性的扩展委托模型

为提高委托过程的安全性,对现有委托模型进行了扩展,提出了一个更加安全的基于属性的扩展委托模型（ABDMA）．ABDMA中的委托约束不但包括委托先决条件（CR）,还包含委托属性表达式（DAE）．受托者必须同时满足委托先决条件和委托属性表达式才能被委托权限或角色．为保证委托过程的灵活性,ABDMA将委托属性表达式进一步分为永久和临时委托属性表达式,使得委托者可临时而不是永久地将某些高级权限委托给不具备资格的用户．ABDMA提高了委托过程的安全性,减轻了委托者和系统管理员的负担．     

访问控制和数字版权管理

分析了传统的访问控制模型的缺陷，并从多方面对传统访问控制与作为现代访问控制技术的数字版权管理技术进行了比较，最后给出了一种包含传统的访问控制和数字版权管理的使用控制模型。     

基于RBAC的权限复杂性与可靠性控制模型研究

面对业务系统的规模不断扩大,传统的RBAC(Role-Based Access Control)权限控制变得越来越复杂,不仅增加了企业运维难度,也越来越容易因为权限分配不合理而出现安全事故.为解决以上问题,在对RBAC层次模型研究的基础上,进一步将权限治理分为可靠性、复杂性、权限修正策略三部分,从不同维度进行权限管理....     

基于UCON的分布式数据库安全模型

针对分布式数据库系统中已发布数据难以控制的问题,结合基于角色访问控制模型(RBAC)和使用控制模型(UCON)的特点,提出一种基于UCON的分布式数据库安全模型。将分布式数据库分为服务器端和客户端,服务器端采用UCON策略,客户端采用RBAC策略。分析结果表明,该模型能有效控制分布式数据库系统中的数据。     

PMI中AA与ARA通信模型设计及形式化描述

授权管理基础设施（PMI）系统中属性权威（AA）与属性注册权威（ARA）通信状态多且变化复杂。提出了一个PMI中AA与ARA的通信模型，以避免不安全的中间状态出现。对该模型的特征进行了分析，运用有限状态机(FSM)对该模型进行形式化描述，并证明了其安全性。