角色访问控制模型的研究及应用

针对大型企业信息系统在访问控制和安全管理方面的复杂性，传统的访问控制策略不适应大型企业信息系统在安全方面的要求。对角色的访问控制（RBAC）模型进行详细的分析，针对RBAC的不足提出改进的IRBAC模型，并将它应用到企业信息系统的设计中，建立企业的安全访问控制策略。采用IRBAC模型的访问控制策略简化了角色层次结构，方便了角色授权。     

IRBAC模型的研究与实现

目前在访问控制技术的应用方面,大型企业越来越多地使用RBAC访问控制技术来解决企业应用系统的访问控制问题.而目前经典的RBAC96模型在应对大型企业中的矩阵式组织结构以及跨地域的资源访问许可两个方面都存在着局限性.本文针对这两个方面的特点,对现有的RBAC96模型进行了改进,提出了一种改进的基于角色的访问控制模型IRBAC.IRBAC模型着重于访问控制中主体的组织管理,并扩展了对许可的定义与描述,以提高RBAC模型在大型企业应用环境下的灵活性和易用性.     

基于角色的访问控制技术的用户权限管理及实现

本文通过将基于角色的访问控制模型RBAC与传统的访问控制策略相比较,详细描述了基于角色的访问控制模型在角色分配和授权管理上良好的灵活性,同时将RBAC用于某企业的信息系统的设计中,以建立企业的安全访问控制策略。     

RBAC模型的细粒度扩充及应用

基于角色的访问控制是一种高效安全的访问控制机制，但是RBAC2001建议标准中没有提出根据单位特征、功能特征和数据特征来细化控制角色指派的详细方法。本文结合RBAC模型思想和大型企业信息系统的实际需求，对核心RBAC模型进行细粒度的扩充，在单位、功能、数据等维度对模型进行了细化，并给出了实例应用，有效地解决了大型企业信息系统的安全访问控制难以细化的问题。     

利用细化RBAC模型实现大型信息系统的安全访问控制

基于角色的访问控制是一种高效安全的访问控制机制,但是传统的RBAC模型没有提出根据单位特征、功能特征和数据特征来细化控制角色指派的方法。本文结合RBAC模型思想和大型企业信息系统的实际需求对RBAC模型进行改进,在单位、功能、数据等维度对模型进行了细化,并给出了实例应用,有效地解决了大型企业信息系统的安全访问控制难以细化的问题。     

基于角色的访问控制

近年来,随着企业信息系统的广泛使用,系统安全问题受到越来越多的关注,而访问控制技术是解决安全问题的关键。基于角色的访问控制(RBAC)策略作为目前主流的访问控制策略,相比传统的自主访问控制(DAC)和强制访问控制(MAC),体现了更高的灵活性和扩展性。本文对企业信息系统中采用基于角色的安全访问控制(RBAC)技术进行了理论研究和实践探讨。     

基于Petri网的IRBAC 2000域间动态转换SMER约束违反检测

Kapadia等人提出的IRBAC2000模型是在基于角色的访问控制(role-based access control,RBAC)模型基础上,通过角色互联和动态角色转换实现管理域间的互操作.职责分离是RBAC模型3个基本安全原则之一,而IRBAC2000模型没有考虑静态职责分离可能会造成域中静态互斥角色约束违反问题.在相关研究基础上分析了该问题,提出一种新颖的基于Petri网模型的分析方法,该方法相比以前文献中的方法简单、直观.给出了根据IRBAC2000模型构造对应Petri网的算法,基于该图形化模型可直观表示IRBAC2000模型,分析和给出了IRBAC2000违反静态互斥角色(static mutual exclusive roles,SMER)约束的充分必要条件和检测算法,通过一个实例分析验证了其有效性与正确性.为了在进行角色关联和用户/角色分配操作时不会违反SMER约束,也基于Petri网分析讨论了执行两种管理操作保证安全的先决条件,为IRBAC2000模型的安全性提供了安全保证机制.     

工作流系统中一个基于双权角色的条件化RBAC访问控制模型

传统的RBAC访问控制模型已经不能表达复杂的工作流安全访问控制约束。基于传统的RBAC模型,提出了一个新的基于双权角色的条件化RBAC访问控制模型CRDWR(conditioned RBAC based on double—weighted roles)。阐述了基于动态角色分配的条件化RBAC策略,定义了基于双权角色的工作流系统访问授权新概念,并针对多个角色协同执行任务的序约束问题,给出了基于令牌的序约束算法。该模型能够表达复杂的工作流安全访问控制约束。     

一种面向PDM系统基于权限位的访问控制方法

访问控制技术是保障信息系统安全的关键技术。在对已有的访问控制技术进行了回顾和分析的基础上,提出了PDM-RBAC访问控制模型。该模型针对PDM系统中存在的用户层次多、数据量大、数据细粒度的控制等因素造成的系统性能低效和管理困难的问题,引入了用户组层次来替代RBAC访问控制模型中的角色层次,并增加了权限层次结构来管理数据权限,同时结合在某企业PDM系统设计和实现中的实践,设计了基于权限位的访问控制算法,用于解决正负权限引起的策略冲突问题。实验结果表明了该模型和算法在大型信息系统权限管理的高效性。     

多域间动态角色转换的职责分离

两个或多个管理域间的安全互操作是一个重要的研究课题．Kapadia等人提出的IRBAC 2000模型通过动态角色转换灵活地实现了域间安全互操作．在IRBAC 2000模型中每个管理域均采用RBAC模型,职责分离是RBAC模型支持的最基本的3个安全原则之一,并可用一组静态互斥角色约束来表示．而IRBAC 2000模型没有考虑职责分离．因此,对动态角色转换违背静态互斥角色约束的各种情形进行了详细分析,并抽象出各种情形的本质特征;对动态角色转换是否会违背静态互斥角色约束提供了一种判定方法并给出了相应的算法;提出了使用先决条件来加强IRBAC 2000模型安全性的保护机制．     

基于Web服务的联合访问控制系统的研究与实现

针对复杂的跨不同自治域的应用需求,对IRBAC2000模型进行研究,提出了一种联合访问控制模型。该模型主体以Web服务形式实现,对IRBAC2000访问控制模型进行扩展,针对R-R角色映射进行改进,增加了角色映射限制条件,提出了一种防止权限冲突的算法,并且在应用中采用了可扩展策略语言SAML和XACML对应用的访问控制策略进行描述。最后在已有的应用系统上对模型进行验证,表明了其实用性,并提出了下一步要解决的问题。     

基于两级角色管理的访问控制

访问控制一直是企业信息系统中安全性的重点内容,目前存在很多种访问控制,基于角色的访问控制近来备受关注,分析了目前在信息系统中基于角色访问控制技术所存在的一些问题,提出了基于两级角色管理的访问控制思想,并给出相应的模型,同时给出了用两级角色管理在企业信息管理平台中的应用模型,讨论了两级角色管理方法的优点,两级角色管理即行政角色和操作角色管理,将行政意义上的权限和计算机操作上的权限分离,从而在角色的管理模式上进行了改进.     

协同企业建模中的动态访问控制方法

为了保证在网络化的协同企业建模系统中对模型的安全访问,需要建立一套有效的访问控制机制。在分析基于角色的访问控制、自主型的访问控制及强制型访问控制的基础上,结合协同企业建模系统的特点,提出在模型节点状态约束下,基于角色和任务的动态访问控制方法。该方法确定用户在建模工作中的岗位、该岗位负责的任务和充当的角色,考察任务中对应的模型节点状态及确定访问权限,利于实现用户与受控对象的细粒度的访问控制。给出了系统的实现方法。     

基于任务和角色的双重Web访问控制模型

互联网／内联网和相关技术的迅速发展为开发和使用基于Web的大规模分布式应用提供了前所未有的机遇，企业级用户对基于Web的应用(Web-based application，WBA)依赖程度越来越高．访问控制作为一种实现信息安全的有效措施，在WBA的安全中起着重要作用．但目前用来实现WBA安全的访问控制技术大多是基于单个用户管理的，不能很好地适应企业级用户的安全需求．因此提出了基于任务和角色的双重Web访问控制模型(task and role-based access control model for Web，TRBAC)，它能够满足大规模应用环境的Web访问控制需求．并对如何在Web上实现TRBAC模型进行了探讨，提供了建议．同时，应用TRBAC模型实现了电子政务系统中网上公文流转系统的访问控制．     

基于组织建模的企业级信息系统访问控制模型

针对企业级信息系统访问控制中由于用户、角色与资源客体数量多而引起的控制复杂这一问题,提出了基于组织建模的访问控制设计思想。借鉴组织视图建模思想对传统RBAC模型中角色概念进行拓展,对客体分类并进行组件化设计以支持访问粒度控制。在此基础上给出一个基于组织建模的企业级信息系统访问控制模型,定义了一组模型要素并给出了实现访问控制的机理。最后给出一个基于组织建模的访问控制模型实现,并结合具体实例表明了该模型的可行性和有效性。     

信息系统中基于角色的访问控制

在一个企业级信息系统中,用户访问信息系统中资源的管理是一个复杂问题,直接对用户授权的管理模式不能适应企业的发展。文中讨论了基于角色的访问控制管理方式和ORACLE数据库管理系统的安全性策略,分析了信息系统中访问控制管理的需求,提出了对信息系统应用功能访问和数据库访问的分开控制管理,通过应用系统角色建立数据库用户和应用系统功能之间的关联,从而构成信息系统的访问控制管理策略。给出了基于角色的访问控制实现,并应用于设备信息管理系统中,实现了用户访问控制动态管理。     

一种基于角色的访问控制模型

分析了几种访问控制技术，讨论了基于角色的访问控制模型以及该模型中各种元素的作用及相互关系，引入对象和动作元素来完善对权限的定义，提出了一种改进的基于角色的访问控制模型，并以此为基础在上海市公务网上实现了一个安全授权管理系统。     

角色管理自动化的访问控制

基于角色的访问控制是简化企业信息系统访问控制的一个有效策略。近年来规则已经被用于支持用户角色的自动管理。该文引入职能控制集的概念,结合角色和规则的优点,提出了一种新的适合于大型企业的安全访问控制方案,实现角色分解和权限细粒度控制的目的,根据企业的安全管理策略和用户的属性,自动管理用户-角色的分配,还引入否定授权策略,增强了客体权限分配的灵活性和安全性。     

基于角色的访问控制技术在大型系统中的应用

在大型信息管理系统中,后台数据库的安全访问至关重要.通过分析基于角色的访问控制（role-based access control,RBAC）模型结构,提出并设计了大型管理系统中数据库安全访问控制的方法.使用角色定义有效地确定了不同用户在系统中的访同权限,有利于实现系统中各成员的职能分工和系统安全运行.     

基于RBAC的扩展访问控制模型

权限管理是信息系统的重要环节,一个好的权限管理系统是成功的信息系统的重要因素。基于角色的权限控制策略提供了较高的灵活性和较低的管理负担,是目前研究的重点,文章在经典的基于角色的访问控制模型(RBAC)和基于任务的访问控制模型(TBAC)的基础上,对角色的管理和权限的定义进行了扩展,定义了更加灵活的基于角色的扩展权限控制模型XRBAC(Extended Role-Based Access Control)。