细粒度的基于角色的访问控制模型

RBAC模型是一种被广泛应用的访问控制模型。但是,RBAC模型是在角色级管理和控制权限,不能满足用户获得角色的部分权限和角色权限的部分继承等安全需求。针对这个问题,在RBAC模型中增加权限的重要程度要素,提出了FGRBAC模型（Fine-Grained Role-Based Access Control Model--细粒度的基于角色的访问控制模型）,并给出了在FGRBAC模型中求用户权限和角色权限的算法。FGRBAC模型不仅可以使用户获得角色的部分权限、父角色可以继承子角色的部分权限,而且RBAC模型可被看成是FGRBAC模型的一种特例。因此,FGRBAC模型不仅具有RBAC模型的所有优点,而且比RBAC模型具有更好的灵活性和实用性。     

多域分层系统中基于DRT的访问控制模型

为了满足多域系统的访问控制需求,提出RBAC的扩展模型——DRTBAC模型。模型中引入域、型、角色关联等概念,增加了权限的灵活设置机制,并将基本安全原则融入到模型的角色划分、指派与关联中。解决RBAC对多域系统的支持问题,方便权限的管理,实现遵循安全原则的访问控制。     

一种采用RBAC模型的权限体系设计

为了使基于角色的访问控制(RBAC)模型在权限体系中的实现程序简化,在比较分析访问控制三种主流技术--自主访问控制、强制访问控制.基于角色的访问控制的基础上,着重研究了基于角色访问控制的权限体系的模型,在基于关系数据库的权限体系的基础上,加入了用户组、菜单、菜单项等角色,提出了一套简化的基于RBAC的权限体系.最后,给出了基于RBAC模型权限体系的简化模型的实现类图,简化了权限系统中的认证和授权管理.     

扩充角色层次关系模型及其应用

基于网络的大规模软件应用系统面临着日益复杂的数据资源安全管理的难题.基于角色的访问控制方法(role-based access control,简称RBAC)实现用户与访问权限的逻辑分离和构造角色之间的层次关系,从而方便了数据的安全管理.该文在RBAC96模型的基础上,对角色之间的层次关系进行了扩充,定义了角色的公共权限和私有权限,引入了一般继承和扩展继承机制,形成了一个能描述复杂层次关系的角色访问控制模型EHRBAC(extended hierarchy role-based access contro     

基于角色与权限继承的访问控制模型解决方案

基于对RBAC模型及相关模型中角色继承规则,引入权限组等概念,提出了一个改进的角色与权限层次关系模型。在此模型上进行访问控制应用的设计,集成活动目录技术作为统一的人员库,形成了一个较为完善的访问控制解决方案,使基于角色的访问控制更为灵活与利于理解。     

G_ERBAC网格安全访问控制模型

针对网格访问控制的多域性和动态性,指出了传统访问控制策略在实际应用中的不足,对现有RBAC模型进行功能上的扩展,建立了基于环境-角色的网格访问控制模型G_ERBAC。该模型引入环境实体以及域管理的概念,根据域间动态角色映射规则实现用户-角色分配,通过基于环境的动态安全引擎机制调整角色-权限,实现了用户-动态角色-动态权限的相关,从而能更好地适用于网格环境。     

带属性策略的RBAC权限访问控制模型

传统基于角色的访问控制(RBAC)不能很好地解决多方访问控制下信任等级的细粒度区分.本文对多种角色访问控制模型及属性特征进行了研究,提出基于属性策略的RBAC模型,对模型进行了形式化定义.在基于属性策略的RBAC模型中,扩展了RBAC中角色的概念,对角色的属性进行了定义并提供基于属性策略的验证方式,进而给出了多方精确访问控制的实现,提高了访问控制的灵活性和对数据对象粒度控制的精确性.在云计算平台上,设计并实现了SaaS模式下的细粒度对象管理服务,实验验证了该模型对动态权限变化的适应能力及多方访问的权限控制能力.     

基于角色的访问控制在教务管理系统中的应用

基于角色的访问控制(RBAC)模型是目前主流的访问控制模型.本文主要论述了基于角色的访问控制模型基本理论,并在此基础上系统论述了该模型在教务管理系统中的应用,同时根据教务管理系统权限管理的特点,在RBAC模型的基础上增加了部门权限控制,弥补了RBAC 只能实现功能级别访问控制的不足.     

基于RBAC的B/S系统访问控制设计与实现

基于角色的访问控制模型RBAC通过引入角色实现了用户和访问控制权限的逻辑分离,简化了系统授权过程,提高了权限管理模块的可重用性,是当前信息系统权限管理的主流策略。基于RBAC设计实现了一个B/S系统下通用的权限管理模块,通过客户端脚本控制页面访问操作,支持部分页呈现。     

基于XML图的RBAC模型研究

针对传统XML描述的基于角色的访问控制(RBAC)模型在角色权限继承、约束方面支持的不足,提出了一种基于XML图的RBAC3模型。该模型通过属性引用的方式实现了多重继承并引入面向对象中私有继承的概念,使角色的私有权限得到保护。同时,通过引入互斥权限的概念简化了责任分离的实现。     

RBAC模型的角色层次关系及授权管理研究

针对RBAC96模型簇中角色私有权限处理存在的不足,本文提出把角色权限分为私有权限和公有权限;并且,在角色权限继承时,保证了角色的私有权限不被高层次的角色继承,高级角色只能继承低级角色的公有权限部分。针对RBAC96簇模型的普通角色继承所存在权限不能及时授予与回收的问题,给出了一种面向任务的RBAC策略方案,从而使得RBAC模型
更好地发挥其优势。     

一种基于T-RBAC的访问控制改进模型

针对T-RBAC在权限控制及职责分离上存在的不足,提出一种改进模型。新模型简化T-RBAC模型的任务分类,为任务加入任务上下文及任务状态属性,使权限的授予与任务上下文、任务状态紧密联系,增强对权限的动态管理。利用私有角色解决互斥权限在继承过程中可能产生的权限共享问题。使用历史记录保证任务执行过程中的动态职责分离。该模型提供了更细粒度的权限管理,能更好地满足职责分离和最小特权原则。     

基于MIS系统访问控制模型的研究

给出基于 MIS用户权限管理的解决方案 ,提出设计 RBAC(ROL E- BASED ACCESS CONTROL MODEL)的三个基本原则 .给出了在小规模 MIS系统中采用平面 RBAC;在大型应用 MIS系统采用层次 RBAC.并且又对层次RBAC进行了深入的探讨 .对传统的角色树完全继承方案、管理员集中授权方案进行改进 ,提出部分向上继承权限方案和实行管理员宏观整体控制授权树的深度和广度 ,拥有授权的用户进行局部控制 .增强多级授权的灵活性 ,减少了管理员授权负担 .在撤消方式上 ,探讨了几种撤消权利的方式 ,并对上述讨论给出了用关系数据库实现的表结构     

基于语义的RBAC模型权限冲突检测方法

RBAC模型通过角色将用户和权限进行了逻辑分离,然而在角色分配及权限授予时,导致的冲突检测没有得到彻底解决。提出了一种基于语义的RBAC模型冲突检测方法：利用描述逻辑作为逻辑框架构造知识库,对RBAC模型及其中的冲突关系进行了形式化的表示和推理,通过检测角色分配和权限授予过程中出现的用户角色冲突、角色权限冲突以及用户权限直接授予冲突关系,最终有效地检测出权限冲突,保证用户权限的一致性和正确性。     

基于权限的Android应用风险评估方法

针对Android权限机制存在的问题以及传统的应用风险等级评估方法的不足，提出了一种基于权限的Android应用风险评估方法。首先，通过对应用程序进行逆向工程分析，提取出应用程序声明的系统权限、静态分析的权限以及自定义的权限，和通过动态检测获取应用程序执行使用到的权限；然后，从具有恶意倾向的组合权限、"溢权"问题和自定义权限三个方面对应用程序进行量性风险评估；最后，采用层次分析法（AHP）计算上述三个方面的权重，评估应用的风险值。对6245个软件样本进行训练，构建自定义权限数据集和具有恶意倾向的权限组合数据集。实验结果表明，与Androguard相比，所提方法能更精确地评估应用软件的风险值。     

基于量化角色的Web服务访问控制研究

引入权限量值和量化角色的概念,建立一个细粒度的Web服务访问控制模型。通过定义Web服务和服务属性资源以及访问模式集,扩展权限集的定义;研究Web服务权限量值的定义和分配,以及量化角色的验证和表示形式;提出Web服务主体的行为量值的概念,建立与主体的角色量值的关联,实现根据Web服务主体的行为和上下文环境动态计算行为量值并调整主体权限的方法。     

多层次的Android系统权限控制方法

随着Android智能平台的普及,其安全问题日益受到人们关注.在底层安全方面,部分root工具已经实现了对最新版本Android的root提权,从而给恶意软件滥用权限造成可乘之机;在上层应用安全方面,目前还没有能够在应用权限进行有效管理的方法.基于安全策略的思想,提出了一种Android应用权限动态管理机制,利用安全策略对授权进行描述,在Android框架层设置权限检查点,并调用请求评估算法进行授权评估,从而实现对应用行为的监控.实验结果表明,该方法能够有效管理Android应用权限的正常调用,约束非法调用,并且系统开销较小.     

Android应用程序权限自动裁剪系统

Android系统使用权限机制对应用程序进行控制,即应用程序需要使用哪些系统资源就必须提前声明相应的权限。为了确保安全性和可靠性,应用程序声明权限时应该满足最小特权原则,即只声明其所需要使用到的最少权限,但现实中有很多应用存在权限过度声明的现象,给用户带来安全隐患。提出了一种Android应用程序权限自动裁剪系统PTailor,通过对Android应用程序安装文件（APK文件）进行分析和修改,使其满足最小特权原则。PTailor首先从APK文件中提取程序所调用的所有系统API,并在预先生成的API权限映射表中查找该API所对应的系统权限,从而得到应用程序实际使用到的最少权限列表。然后根据该权限列表对程序的权限声明文件进行修改,裁剪掉已声明但未使用的权限。最后将裁剪过的权限声明文件与程序的其他部分重新合并成新的APK文件,新的APK文件中除了所声明权限满足最小特权原则外,其结构和语义都没有发生改变。使用PTailor对现实中的1 246个Android应用进行权限裁剪实验,实验结果表明,PTailor能够在很短的时间内完成权限分析和裁剪,而且大多数被裁剪的程序都能够正确运行。     

基于权限相关性的Android恶意软件检测

针对Android平台恶意软件检测需求和Android权限特征冗余的问题,提出一套从权限相关性角度快速检测恶意软件的方案。采用卡方检验计算各权限属性对于分类结果的影响大小,去除冗余权限特征,再对权限属性聚类,提取代表性权限特征,进一步减少冗余。最后利用基于不同权限特征权重的改进朴素贝叶斯算法进行软件分类。在收集的2000个软件样本上进行了实验,恶意软件漏检率为10.33%,总体预测准确率达到88.98%。实验结果表明,该方案利用少量权限特征,能够初步检测Android应用软件是否有恶意倾向,为深入判断分析提供参考依据。     

基于动态角色服务权限控制的物联网平台设计

针对现有基于身份的访问控制系统无法满足用户定制的各种软件组合服务的需求,提出了一种基于动态角色服务权限控制的物联网平台;首先,在物联网平台设计中,通过了解设备的整个生产周期,整合物联网平台的功能模块;然后以动态角色为中心,展开逻辑设计;之后根据RBAC(基于角色访问控制)模型组织用户的权限和组,划分访问Web服务的用户的角色;最后在基于角色的操作级别上对Web服务部分功能提供更细粒度的访问控制;实验表明:基于动态角色服务权限控制后,角色权限细粒度可精确到操作级别,并可实现动态化定义,优于传统的访问控制系统;该方法实现了简单、灵活地对角色权限进行管理,在实际工程应用中具有重要的指导意义。