四级访问控制工作流模型的研究与实现

针对用户-角色-权限的三级访问控制策略(RBAC96)的缺陷以及工作流管理系统的特性,在传统的RBAC96模型中引入活动、上下文等概念,提出了一种工作流管理系统中基于用户-角色-活动-权限的四级访问控制策略以及具体的实现方法,提高了工作流管理系统的动态适应性、安全性和实用性.     

一种基于角色的访问控制扩展模型

基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略,已成为信息安全等领域研究的热点之一.文中在经典RBAC96模型的基础上,引入组用户和事务权限的概念,提出了一种扩展RBAC模型ERBAC,它能够有效降低授权管理复杂度,提高基于角色的访问控制效率.文中给出模型的形式化定义和授权规则,然后以基于校园网的教务管理信息系统为背景,对ERBAC模型的应用方法进行了讨论.     

一种扩展的基于角色的访问控制模型

结合自主访问控制和基于角色的访问控制的特点,提出了一种扩展的基于角色的访问控制模型（ERBAC）。该模型既实现了系统中静态的信息安全访问要求,又实现了权限管理中动态的变化要求,给出了ERBAC的动态授权管理框架,最后用形式化语言描述了ERBAC模型满足的规则。     

一种基于角色的访问控制扩展模型

基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略，已成为信息安全等领域研究的热点之一。文中在经典RBAC96模型的基础上，引入组用户和事务权限的概念，提出了一种扩展RBAC模型ERBAC，它能够有效降低授权管理复杂度，提高基于角色的访问控制效率。文中给出模型的形式化定义和授权规则，然后以基于校园网的教务管理信息系统为背景，对ERBAC模型的应用方法进行了讨论。     

工作流系统上下文相关访问控制模型

访问控制是提高工作流系统安全性的重要机制。基于角色的访问控制（RBAC）被绝大多数工作流系统所采用,已成为工作流领域研究的热点。但是,现有的基于角色的访问控制模型没有考虑工作流上下文对任务执行授权安全的影响,容易造成权限冗余,也不支持职责分离策略。该文提出一种工作流上下文相关访问控制模型WfCAC,首先,定义该模型的构成要素和体系结构,然后讨论工作流职责分离和访问控制机制,并对模型性质进行分析。WfCAC模型支持用户组及其层次结构,支持最小权限授权策略和职责分离策略,实现了工作流上下文相关访问控制。     

基于角色与组织的访问控制模型

访问控制是系统安全的重要技术。RBAC（基于角色的访问控制模型）是目前受到广泛关注的访问控制模型,但在大型应用系统中操作烦琐。分析了RBAC的不足之处,提出了基于角色与组织的访问控制模型ORBAC。该模型是对RBAC的扩展,它通过定义组织结构及其权限,减少了角色的数量,从而降低了应用系统访问控制的复杂程度。     

基于角色访问控制的协同办公系统设计与实现

介绍了基于角色访问控制模型（RBAC）,给出了RBAC96中用户、权限、角色、会话集及角色的层次、授权等之间的关系。基于RBAC96设计并实现了协同办公系统,给出了该系统的功能模块、技术路线和实现方法。重点论述了本系统实现过程中的权限列表和角色列表的创建方法、协同办公中的访问控制特点及实现方法、权限控制子系统应用层开发流程等关键问题,提出了权限控制子系统服务器端三层B／S结构设计方法,解决了协同办公中的访问控制问题。实现协同办公系统所采用的方法和技术路线具有通用性。     

基于角色访问控制的协同办公系统设计与实现

介绍了基于角色访问控制模型（RBAC）,给出了RBAC96中用户、权限、角色、会话集及角色的层次、授权等之间的关系。基于RBAC96设计并实现了协同办公系统,给出了该系统的功能模块、技术路线和实现方法。重点论述了本系统实现过程中的权限列表和角色列表的创建方法、协同办公中的访问控制特点及实现方法、权限控制子系统应用层开发流程等关键问题,提出了权限控制子系统服务器端三层B／S结构设计方法,解决了协同办公中的访问控制问题。实现协同办公系统所采用的方法和技术路线具有通用性。     

基于组和角色的工作流权限访问控制模型

基于角色的权限控制已经作为国际规范被广泛应用,但是它只能解决用户对某一操作环境的操作权限问题,无法解决相同操作环境下对不同客体子集的访问控制问题,特别是在工作流系统中,对不同对象集、不同节点的权限访问控制尤为重要。针对这个问题,对基于角色的权限控制技术和工作流技术进行了研究,提出了基于组/角色的工作流权限访问控制模型,实现了对操作对象集、操作权限集的二维权限控制,很好地解决了跨区域情况下,多部门基于工作流系统工作时的对象访问控制和权限控制问题。目前该模型已经成功应用于油田作业施工的一体化办公系统中,实践证明该模型的设计是科学合理的、可行的。     

面向工作流的RBAC模型研究

针对传统的基于角色的访问控制(RBAC)模型存在数据对象划分不清晰、权限分配不够灵活等问题,基于RBAC模型提出了工作流的概念.即将所有数据对象抽象成业务表单,为每个业务表单分配一个工作流,通过工作流的结点及分配的角色来解决用户与数据对象的权限控制问题.实验结果表明,该模型有效地实现了对数据实例的细粒度控制,具有较好实用性与可操作性,较好解决了相同角色对不同数据对象的不同访问权限控制问题.     

基于语义的RBAC模型权限冲突检测方法

RBAC模型通过角色将用户和权限进行了逻辑分离,然而在角色分配及权限授予时,导致的冲突检测没有得到彻底解决。提出了一种基于语义的RBAC模型冲突检测方法：利用描述逻辑作为逻辑框架构造知识库,对RBAC模型及其中的冲突关系进行了形式化的表示和推理,通过检测角色分配和权限授予过程中出现的用户角色冲突、角色权限冲突以及用户权限直接授予冲突关系,最终有效地检测出权限冲突,保证用户权限的一致性和正确性。     

基于组织的访问控制模型

基于角色的访问控制（RBAC）模型在为用户分配角色和为角色分配权限方面效率不高,在权限分配方面缺少上下文限制。文章针对该缺陷提出基于组织的访问控制模型,在RBAC的基础上,通过扩展组织作为实体,降低多级组织中用户角色分配的复杂性。引入客体和行为的抽象概念,基于组织定义模型中的其他实体和关系提高角色权限分配效率,实现权限的上下文约束。     

基于角色访问控制的研究与实现

基于角色访问控制 (RBAC)是一种方便、安全、高效的访问控制机制。首先分析了RBAC的基本思想和模型 ,然后介绍了用户角色分配和角色许可分配的基本方法 ,最后给出了在项目管理系统中运用RBAC实现权限管理的方法。     

PDM权限管理模块设计与开发

提出了面向服务的架构（Service-Oriented Architecture,SOA）和基于角色的访问控制技术（Role Based Access Control,RBAC）相结合的权限管理模型,为系统提供统一的授权管理和访问控制服务,提高了系统的信息安全。并以该模型在PDM系统的实际应用阐述了权限管理模块的设计方法,实现了开放、动态环境下的权限管理。     

支持偏序和同异步权限建模角色访问控制框架

角色访问控制（Role Based Access Control,RBAC）的应用提高了系统易用性和健壮性。分析了RBAC标准模型,指出其在细粒度和表达能力等方面的一些缺陷,结合UML对其重构,提出支持偏序权限建模的面向对象角色访问控制模型（Object Oriented Role Based Access Control,OORBAC）,基于该模型结合部分GoF模式设计了通用应用框架。与其他应用框架相比有着良好的通用性,支持权限关系的同异步及偏序关系表达,并在细粒度动态访问控制上具有更好的效率。     

基于XML与数据库技术的权限管理

在基于角色的访问控制（RBAC）模型的基础上,结合XML应用特性,对权限管理中的系统和用户权限信息分别应用XML和数据库技术,设计并实现了将XML与数据库技术相结合的Web应用系统的权限管理方法,提高了Web系统权限管理的灵活性和复用性,并在实际系统中验证成功。     

基于角色的访问控制在网络教育中的应用研究

基于角色的访问控制（RBAC）作为一种安全机制,是当前研究的热点之一。如何根据网络教育的特点应用RBAC是当前网络教育的重点和难点。在分析了RBAC96模型的基础上,结合网络教育的特点进行系统设计,建立符合网络教育特色的新的权限管理模型,兼顾对个性权限的修改能力,最后给出该模型在网络教育中的系统实现,通过项目验证了RBAC在网络教育中的可行性。     

RBAC模型的扩充及其应用

RBAC（Role Based Access Control）是一种被广泛认可的信息系统访问安全规范管理模型,但RBAC访问安全规范模型如何与组织系统的业务过程规范模型融合,从而更有效地服务于可信业务协同系统的开发实践还值得进一步研究改进。在RBAC模型的基础上,融合协同业务规范中的义务及奖惩元素,提出RBAO（Role Based Access and Obligation）模型。RBAO模型不仅能描述角色在组织中可拥有的访问权力,还能描述角色在组织中可能要承担的义务及义务违反时将受到的处罚。这使得RBAO模型更适合用于组织可信规范业务协同系统的管理建模与开发。以具体实例说明了基于RBAO模型的可信业务协同系统管理的分析与建模方法。     

On the complexity of role updating feasibility problem in RBAC

In Role Based Access Control (RBAC) systems, it is necessary and important to update the role–permission assignments in order to reflect the evolutions of the system transactions. However, role updating is generally complex and challenging, especially for large-scale RBAC systems. This is because the resulting state is usually expected to meet various requirements and constraints. In this paper, we focus on a fundamental problem of role updating in RBAC, which determines whether there exists a valid role–permission assignment, i.e., whether it can satisfy all the requirements of the role updating and without violating any role–capacity or permission–capacity constraint. We formally define such a problem as the Role Updating Feasibility Problem (RUFP), and study the computational complexity of RUFP in different subcases. Our results show that although several subcases are solvable in linear time, this problem is NP-complete in the general case.     

MIS中基于部门和角色的细粒度访问控制模型

针对基于角色的访问控制模型的特点和不足,提出一种基于部门和角色的细粒度访问控制模型（D-RBAC模型）,对模型中的元素进行了形式化描述,给出了其实现机制和访问控制算法。D-RBAC将角色和部门相关联,有效实现了对象访问和数据范围的精确控制,同一角色在不同部门的权限分配以及细粒度访问控制,减少了角色管理数量,简化了开发配置过程,增加了权限管理的精确性和灵活性。最后,给出了该模型在某装备综合管理信息系统中的应用实例。