A New Role Hierarchy Model for Role Based Access Control

A new role hierarchy model for RBAC (role-based access control) is presented and its features are illustrated through examples. Some new concepts such as private permission, public permission and special permission are introduced, based on the RRA97 model. Some new role-role inheriting forms such as normal inheritance, private inheritance, public inheritance and special-without inheritance are defined. Based on the ideas mentioned, the new role hierarchy model is formulated. It is easier and more comprehensible to describe role-role relationships through the new model than through the traditional ones. The new model is closer to the real world and its mechanism is more powerful. Particularly it is more suitable when used in large-scale role hierarchies.

扩充角色层次关系模型及其应用

基于网络的大规模软件应用系统面临着日益复杂的数据资源安全管理的难题 .基于角色的访问控制方法 (role- based access control,简称 RBAC)实现用户与访问权限的逻辑分离和构造角色之间的层次关系 ,从而方便了数据的安全管理 .该文在 RBAC96模型的基础上 ,对角色之间的层次关系进行了扩充 ,定义了角色的公共权限和私有权限 ,引入了一般继承和扩展继承机制 ,形成了一个能描述复杂层次关系的角色访问控制模型EHRBAC(extended hierarchy role- based access control) .同时 ,应用该模型完成了石化市场信息数据库系统的安全管理 .EHRBAC模型可以简化角色层次关系 ,描述复杂的角色继承场景 ,并通过区分公共权限和私有权限来进一步实现最少权限原则 .

基于角色扩展的RBAC模型

针对基于角色的访问控制(RBAC)模型在模拟复杂组织结构和权限继承关系方面的不足,提出了基于角色扩展的RBAC模型——MR-RBAC。该模型在角色集和权限集之间引入了最小角色集,并形式化定义了模型的基本集合和相关函数;同时还深入研究了扩展模型中的角色权限类型与角色关系,给出了最小角色的概念及其生成算法。分析表明,MR-RBAC模型改善了传统模型的角色层次结构和权限继承关系,具有授权粒度细、可伸缩性、可扩展性、安全等优点。最后模型性能测试表明原型系统在引入最小角色划分后对于系统时间性能的影响不大。

基于RBAC改进模型的角色权限及层次关系分析

针对著名的 RBAC96模型的不足之处 ,结合私有权限、部门权限和权限属性变化等问题 ,对角色权限及角色层次关系进行了分析 ,提出了一个改进的角色层次化关系模型 .该模型引入特征权限等概念 ,通过定义一般继承、私有化继承、公有化继承和无特征继承等新的角色继承方式建立角色层次化关系模型 .新模型比 RBAC96模型更加简化和易于理解 ,且具有更强的可伸缩性 ,特别适合于在复杂的角色层次关系中应用 ,例如网络操作系统、大型数据库、分布式应用等 .

政府机关公文流转系统访问控制基本框架及改进的RBAC模型研究

基于角色的访问控制 (Role BasedAccessControl,RBAC)研究在近几年已取得了长足的进步 ,然而真正介绍RBAC大型应用的文献却是凤毛麟角。通过一个大型公文流转系统的实例 :中国政府机关公文流转系统 (ODRS系统 ) ,研究和探讨RBAC的实际应用问题。重点介绍系统访问控制实现的基本结构、控制策略、管理方法以及存在的问题 ,在有代表性的RBAC96模型的基础上 ,提炼出了一个改进的角色层次化关系模型 ,特别提出了可变的角色继承机制及其它一些新的概念和方法 。

RBAC模型中角色的继承与互斥问题的研究

1引言 基于角色访问控制RBAC(Role-Based Access Control)的基本思想是引入角色将用户和访问权限间接联系起来,根据系统用户的工作职责设置角色,授予角色相应的访问权限,再为用户分配角色.图1给出了RBAC模型的基本思想.

基于RBAC模型的角色权限及层次关系研究

针对经典的RBAC96模型及相关模型中角色私有权限处理方法的不足之处,提出了一个改进的角色层次关系模型IHRBAC.该模型通过在角色权限委派关系中引入角色权限继承极限值和最大继承极限值,划分角色权限为私有权限和公有权限,定义私有化继承和公有化继承二种继承方式,形成了一个支持安全管理员宏观控制下的角色权限委派分级管理的改进模型,克服了多数模型集中式管理模式的局限性,并能够灵活地反映复杂的角色层次关系.

一种新型的角色层次化关系模型

分析了现有RBAC模型中角色层次关系的不足,设计了一种新型的角色层次化模型。在该模型中,将角色分为不同的类型,角色所拥有的权限也被分为公开权限、私有权限和继承权限,不同角色类型具有不同的权限继承方式。将角色组织形成层次清晰的树形结构,能够很好地模拟现实生活中的组织机构的层次关系,增强了RBAC中角色的管理能力,提高了授权管理的效率。

一个改进的角色层次化关系模型及其应用

该文针对传统的RBAC模型的不足,提出私有权限、公有权限和特征权限等概念,且提出一般继承、私有化继承、公有化继承和无特征继承等角色继承方式,并基于这些新的概念和方法建立了一个改进的角色层化关系模型。应用实例说明,新模型在描述同样的角色层次关系时角色数量比传统模型要少,因而比传统模型更加简化和直观,特别适合于在大型角色层次关系情况下的应用。

分布式协作系统中基于任务-角色的访问控制研究

针对现有基于任务-角色的访问控制模型中存在的角色继承和工作流责权和表达问题进行了研究,提出了面向协作的角色继承关系和任务组合原语,以适应分布式协作系统的需求。面向协作的角色继承根据系统中角色之间的管理关系将角色对任务的操作权分为三类,不同操作权代表了不同的职责。任务组合原语根据工作流基本形式和任务统一管理的需求,定义了组合任务和任务组合关系,给出了语言的文法描述,并结合面向协作的角色继承规范了角色定义组合任务的能力范围。实验结果表明,提出的两个方案提高了访问控制系统的安全性,灵活性和扩展性。

一种管理增强的RBAC模型

The manner of permission management in Role-Based Access Control is similar to the actual one in application fields, and it greatly simplifies system management. How to define and manage hundreds of permissions, roles,users and relations among them ( all are called RBAC special framework in this article)in large systems is one key problem that models for RBAC must resolve. This article studies the management of RBAC special frameworks, takes the management relations among roles into frameworks, and puts forward Management-Enhanced Model for RBAC. Special frameworks created according to this model are very similar to the management structures in application fields, and can manage themselves. This model also supports dynamic maintenance of management formwork while it is working.

RBAC模型中角色继承的改进

由于角色分层与组织结构无关,导致权限继承不能依赖于系统的组织。提出继承域的概念,建立基于继承域的角色层次模型,给出改进模型的定义、继承规则、约束条件和角色权限求解算法。实例证明改进模型能清晰地反映系统的组织结构,解决权限继承问题。域属性的引入使得角色的层次结构和权限的分级管理简单有效。

工作流系统中基于角色层次的任务转授权模型

针对工作流系统中用户由于某些原因不能按时完成所分配任务的情况,提出了基于角色层次的任务转授权模型。在该模型中,将系统指派给角色的任务分为可转授权私有任务、不可转授权私有任务和公有任务。委托用户在转授权申请中不指定具体的受托用户,只在下级角色中指定选择受托用户的角色范围,由转授权服务器依据角色层次关系动态选择合法的用户作为受托用户执行被转授权的任务,克服了以往转授权模型中由委托用户指定受托用户时受托用户选择不当或者多步转授权的缺点。

带空间特性的角色继承规则

由于现有RBAC模型对继承规则的定义比较笼统,尤其是角色、权限间的冲突关系没有给出具体的解决方法,所以将原有的RBAC扩充到带有空间特性的RBAC模型,并在此基础上通过对利益冲突和角色层次图中互斥问题的分析,给出了6个规则、两个定义及两个引理,并提出用矩阵表来解决角色冲突问题,为带空间特性的RBAC模型中角色继承问题提供了通用方法。

基于混合层次关系的扩展角色图模型

针对现有角色图模型无法进行动态职责分离的问题,提出基于混合层次关系的扩展角色图模型。对角色层次关系进行细化,将混合层次关系引入角色图模型中,给出扩展后角色图模型角色层次的管理功能。实验结果表明,该模型能进行动态职责分离,提高角色图模型的性能。

支持角色双向继承的约束RBAC模型

针对经典RBAC(Role Based Access Control)模型在复杂应用系统中操作繁琐以及难以映射组织结构等不足之处,提出了一种支持角色双向继承的约束RBAC模型BI-RBAC。该模型对经典的RBAC模型进行扩展,增加虚拟角色及其层次结构以支持角色的双向继承,并定义资源操作的概念。给出模型的形式化定义的同时,设计了访问控制算法。模型在自主开发的大型平台软件钱塘中间件平台软件中得到了应用,可较好地支撑恒生证券交易系统等大型软件系统。