基于工作流任务实例变迁的动态访问控制模型

在研究工作流已有安全策略的基础上，提出了基于工作流任务实例变迁的动态访问控制模型，通过角色执行工作流任务实例，并结合工作流任务上下文内容确定任务实例所处的不同状态，动态地将任务权限传递给执行角色，用户通过角色分配自动拥有执行角色的访问权限，实现了对工作流的动态安全访问。同时，对模型的动态访问控制机制进行了形式化描述，并结合电力系统工作流给出了具体的动态访问控制设计。     

电力工作流中基于组织与任务的访问控制模型

传统的基于角色的访问控制应用于电力工作流系统中能大大简化用户的权限管理。然而,仅使用角色的概念不足以反映企业的组织结构,而且不能为任务指定组织单元,角色之间的权限继承关系与电力工作流应用实际不相符,静态的访问控制约束不能满足电力工作流的动态需求。因此,提出了一种基于组织和任务的访问控制模型。该模型去除了角色之间的权限继承关系,引入组织单元和任务的概念,将任务分为普通任务和专门任务,普通任务分配到组织单元,可以被继承,专门任务分配到组织单元中的角色,不能被继承,再将权限分配给任务,用户通过分配组织单元中的角色或组织单元来获得执行任务的权限。结合提出的模型,通过给每个任务定义黑名单数据结构,给出了一种动态的访问控制算法。最后以变电站设备检修工作流为例给出了具体的动态访问控制设计,实例表明该模型和算法可以实现动态的权责分离及权责绑定约束。     

基于任务和角色的工作流权限控制研究与实现

结合国家电网ERP工作流项目的实际情况,分析了几种常见的访问控制模型在工作流权限控制中的不足,以及基于任务和角色的访问控制模型在实现权限动态管理方面的优势。并以项目模块工程付款流程为例,阐述了SAP客户化工作流的开发过程,以及基于任务和角色的访问控制在ERP工作流中的具体应用,最后介绍了本项目中工作流待办的展现方式。实践证明基于任务和角色的访问控制能够有效地实现权限的动态管理,较好地满足ERP工作流权限控制的需要。     

基于角色——任务的访问控制模型在电力绩效考核系统中的研究与应用

通过对常用的访问控制技术进行分析,以基于角色的访问控制技术为基础,结合基于任务的访问控制技术相关特性,将任务与部门,计划类型进行关联,提出一种基于角色-任务的访问控制模型,并将该模型应用到电力绩效考核系统中,实现了用户权限动态管理。     

基于角色和任务的工作流权限管理模型在甘肃电力绩效考核系统中的应用研究

工作流权限管理模型的权限控制是工作流的重要因素。对传统的访问控制权限进行改进,在基于角色和任务的工作流权限管理模型中将任务与组织部门、时间进行关联,为工作流的权限管理提出一种新的思路。最后将该模型应用到甘肃电力绩效考核系统中,实现了用户权限动态分配的设计模式。     

基于角色的访问控制的应用研究

利用角色访问控制技术可以有效地实现用户访问权限的动态管理,而Filter对用户非法请求进行过滤,保证了对系统的安全访问。通过对访问控制技术的比较研究,介绍了如何利用Filter和基于角色访问控制原理实现多级角色访问控制的策略和方法。     

基于PKI/PMI和T-RBAC的网格工作流安全模型

研究网格工作流的安全问题,结合网格和工作流的特点,给出一种基于PKI/PMI和T-RBAC的网格工作流安全模型。该模型采用PKI/PMI技术进行身份认证和角色授权,利用基于角色和任务相结合的访问控制方式(T-RBAC)机制对工作流程动态管理,达到更加安全和灵活的目的。最后给出一个实例,并对该模型的安全性进行分析。     

基于RBAC模型的电力营销系统用户权限分配方法

为了提高电力营销系统用户访问控制效果,提出基于RBAC模型的电力营销系统用户权限分配方法。利用信任度属性扩展访问策略表达式,通过监控用户的访问行为,获得电力营销系统信息资源的全局信任度,控制访问权限;根据访问权限控制结果,在分析自主型访问控制模型和强制型访问控制模型的基础上,基于RBAC模型,引入角色的概念,通过量化计算用户中不同的访问行为在分配权限时彼此的信任度,获取用户权限访问等级,完成电力营销系统用户权限分配。实验结果表明,所提方法的电力营销系统用户访问权限控制时间较短,用户权限分配误差率较低,提高了用户满意程度。     

工作流技术在编务信息管理系统中的应用

为有效提高编辑部内部业务流程管理的效率,开发了基于工作流的期刊编务信息管理系统。通过与常见的面向数据的编务管理系统的比较,介绍了期刊编辑业务管理中采用面向过程(面向任务)的工作流技术以及基于角色的访问权限控制的技术特点,并介绍了工作流系统的主要功能设计与系统功能。该系统的实施,显著提高了编辑部管理的有序性及协调性,提高了工作效率。     

电力调度自动化系统中基于可信度的访问控制模型

针对电力调度自动化系统对访问控制的要求和基于角色的访问控制模型存在的缺陷,提出了一种基于可信度的角色访问控制模型。将用户身份可信与行为可信相结合,根据用户身份认证过程中捕获到的隐含信息,借助人工智能不确定性推理理论计算用户的可信度,并将可信度参与用户授权。对角色、权限分别设置可信度激活阈值,用户必须通过角色、权限的可信激活约束才能获得相应的权限。该模型能实现灵活的系统授权,保证了用户对系统资源安全访问,很好地适用于现有的电力调度自动化系统。     

工作流在电力标准体系管理平台中的应用研究

针对电力标准体系管理平台对流程集中管理、灵活定制的需求,文章设计了一种基于Web的工作流管理系统。该系统采用基于状态机原理、以事件驱动为机制的工作流引擎和基于任务的访问控制（TBAC）模型,并设计了基于Web技术的界面友好、使用方便的m{y流图形化建模工具。系统实现了电力标准制修订等业务流程的动态配置和流程多样化,满足了应用推广的需求,并已得到实际的应用验证。     

角色访问控制模型在两票管理系统中的应用

在电力调度检修票和操作票(简称两票)系统中,设计了许多功能和流程,一个用户具有多个权限,一个权限也需要授予多个用户。文中在电力调度两票管理系统中引入基于角色的访问控制(RBAC)模型,其基本特征是根据安全策略划分出不同的角色,对于每个角色分配不同的权限,并为用户指派不同的角色,用户通过角色间接地对信息资源进行许可的相应操作,使得对用户的管理更直观,在很大程度上简化了权限管理工作。     

基于UCON的访问控制的应用

针对如何解决开放式网络环境中的访问控制问题展开研究,将UCON模型与Flask安全体系结构结合,提出并设计了基于UCON的访问控制框架,将其应用到Web系统中,实现了其在“数字化校园”中的应用.该框架允许管理员为应用制定更为精确、更为细粒度的安全策略,同时其动态的授权机制使访问控制决策取决于策略中多种有效的上下文限制条件.设计的基于UCON的访问控制框架支持灵活、动态的访问控制、分布式应用和统一的策略管理,解决了开放式网络环境中复杂的访问控制问题.     

基于RBAC改进模型的电力系统数据安全设计

根据电力企业的特点,系统分析信息共享与数据安全的重要性,在解决以往权限模型存在的缺陷和不足的同时,提出基于RBAC(RoleBasedAccessControl)改进模型的权限管理系统设计方案。该方案提出了静态责任区控制、动态责任区控制和运行参数的概念,对于保证模块级数据安全性、记录级数据安全性和变电站级数据辨识提供可行、可靠、高效的技术支撑,并从实用性角度详细分析该方案在三层C/S结构下的实现方法。     

Identity management systems

Most organizations have difficulty keeping track of and controlling all the user identifiers and passwords across their systems. In particular, with people leaving the organization and constantly changing roles, it is more difficult to make sure every user has appropriate access to the systems. In our case at a university, we constantly have new students arriving and former students leaving. New students need access to our systems to register for classes and use e-mail, library resources, and the computing labs. Former students should no longer have access to systems we don't have permission to provide (such as some library resources) or don't have the capacity to continue to provide. At companies, similar problems exist with new and former employees, as well as the need to meet requirements from laws such as Sarbanes-Oxley regarding who is permitted access. Identity management (IdM) systems are designed to help manage user identifiers across multiple systems as well as providing a way to manage user access over their lifecycle of roles in the organization. They are tightly integrated with other systems such as those that provide a single sign-on mechanism and the checking of their credentials. As such, these IdM systems have become extremely common in information technology infrastructure.     

电力信息系统中基于属性的访问控制模型的设计

电力信息系统构成一个复杂的多域环境,它为电力行业进行信息交换和协作带来便捷的同时,也带来了极大的安全隐患。由于多域环境下存在多种应用系统,且用户数目众多、来源广泛,给传统的基于角色访问控制（RBAC）模型带来了用户 — 角色赋值工作量大、多域间映射困难等问题。文中针对多域环境设计了一种基于属性的访问控制模型,属性是在角色的基础上扩展得来的,并提出利用元属性和元策略分别对域内的属性和策略进行描述,充分满足电力信息系统所处的异构环境和所有者对资源进行自主管理的需求,保证了域内、域外用户对系统资源进行访问的安全。