The Research of Role Tree-Based Access Control Model

Towards the crossing and coupling permissions in tasks existed widely in many fields and considering the design of role view must rely on the activities of the tasks process,based on Role Based Accessing Control (RBAC) model,this paper put forward a Role Tree-Based Access Control (RTBAC) model. In addition,the model definition and its constraint formal description is also discussed in this paper. RTBAC model is able to realize the dynamic organizing,self-determination and convenience of the design of role view,and guarantee the least role permission when task separating in the mean time.

一种细粒度数据权限控制框架

SaaS作为一种热点服务模式,其服务框架的权限控制方面存在数据粒度粗及配置灵活度不足等问题。为此,在RBAC模型的理论基础之上,结合SaaS的特点提出了一种细粒度数据权限控制模型(fine-grained data permission control,FDPC)。该模型首先将数据对象与企业组织结构映射成不同粒度的数据权限;其次依据企业授权业务需求,采用将功能权限集合和数据权限集合中的对象两两组合的方式,形成组合权限对象,并将其分配给不同角色,从而达到灵活授权和细粒度数据控制的目的;最后选用Spring Security和MyBatis框架,依据AOP切片原理,采用结构化查询语句拼接方式,对FDPC模型进行实现,构建权限控制框架。通过在实际业务系统中应用,结果表明该框架合理可行,有效地提高了权限控制的灵活性。

角色访问控制模型在两票管理系统中的应用

在电力调度检修票和操作票(简称两票)系统中,设计了许多功能和流程,一个用户具有多个权限,一个权限也需要授予多个用户。文中在电力调度两票管理系统中引入基于角色的访问控制(RBAC)模型,其基本特征是根据安全策略划分出不同的角色,对于每个角色分配不同的权限,并为用户指派不同的角色,用户通过角色间接地对信息资源进行许可的相应操作,使得对用户的管理更直观,在很大程度上简化了权限管理工作。

一种基于角色访问控制(RBAC)的新模型及其实现机制

文中对基于角色访问控制（ｒｏｌｅ－ｂａｓｅｄ ａｃｃｅｓｓ ｃｏｎｔｒｏｌ， ＲＢＡＣ）研究中的两大热点——模型的建立和实现进行了较深入的研究，提出了一种新的ＲＢＡＣ模型——ＮＲＢＡＣ模型．这一模型除具有全面性外，比之已有的ＲＢＡＣ９６ 模型还具有接近现实世界和形式统一的优点．针对ＮＲＢＡＣ模型的实现，文中又提出了一种新的ＲＢＡＣ实现机制——基于时间戳和素数因子分解的二进制双钥－锁对（ ＴＰＢ－２－ＫＬＰ）访问控制方案．它不仅能很好地克服已有ＲＢＡＣ实现机制存在的缺点，还兼备了对锁向量修改次数少和发生溢出可能性小的优点．

基于角色的OA系统访问控制模型及其实现

文中提出了一个基于角色的 OA系统访问控制模型 RBACOA(role- based access control of office automation) .给出了数据、操作、权限、角色、用户、约束和角色继承等模型要素及其相互关系的形式化描述 ,并且提供了基本的操作和规则 .文中简述了 RBACOA模型在 Domino/Notes平台上的设计与实现 ,通过设计与实现的 OA应用实例说明了该模型在访问控制方面的优点 .

基于RBAC模型的权限管理系统设计与实现

介绍了基于角色的访问控制技术(role-basedaccesscontrol,RBAC)在权限管理中引入角色的概念,把资源的访问权限分配给角色,通过给用户分配角色以及角色之间的继承关系简化权限的管理。在分析现有的权限管理系统的基础上,提出了一种基于RBAC模型的权限管理系统的设计和实现方案,实现了安全的权限控制,取得了较好的效果。

基于组织建模的企业级信息系统访问控制模型

针对企业级信息系统访问控制中由于用户、角色与资源客体数量多而引起的控制复杂这一问题,提出了基于组织建模的访问控制设计思想。借鉴组织视图建模思想对传统RBAC模型中角色概念进行拓展,对客体分类并进行组件化设计以支持访问粒度控制。在此基础上给出一个基于组织建模的企业级信息系统访问控制模型,定义了一组模型要素并给出了实现访问控制的机理。最后给出一个基于组织建模的访问控制模型实现,并结合具体实例表明了该模型的可行性和有效性。

基于行为的多级访问控制模型

通信、计算机、多媒体等技术的发展加速了信息的传播,网络上传播的数据呈现出多维化的特点.实行多级安全管理既可确保信息准确传递,又可保证数据的机密性和完整性.传统的多级安全模型已经与基于角色的访问控制(role-based access control,RBAC)等经典访问控制模型相结合,在一定程度上解决了多级安全访问控制的问题.但是,现有的多级安全访问控制机制缺少对时空要素的考虑,不适用于目前用户在任意时间、地点进行访问的多级授权管理,因此,如何实现具有时空特征的多级安全访问控制机制已成为亟待解决的问题.首先,针对性提出了一种基于行为的多级安全访问控制模型,实现了BLP模型与基于行为的访问控制(action-based access control,ABAC)模型的有机结合,将原有主体的安全等级、范畴的描述扩展到行为上.其次,为了解决用户权限依据时空伸缩的问题,在BLP模型的基础上细化了行为的安全级别,定义了行为读安全级别和行为写安全级别,同时描述了基本操作的安全规则,在保证数据机密性的基础上兼顾完整性.最后,结合提出的模型给出了相应的实施方案.基于行为的多级安全访问控制模型能够面向目前的复杂网络环境,结合时态、环境等时空因素,解决访问控制过程中用户、数据分级管理和访问控制问题.

RBAC模型在B/S医院信息系统中的应用

RBAC(基于角色访问控制)的核心是利用角色建立用户与权限之间的联系,实现了用户与访问权限的逻辑分离,其优点是减少了授权管理的复杂性,降低管理开销,具有灵活、易用和高效的特点。针对医院信息系统(HIS)在实际运行中存在的权限管理的复杂性和数据的安全性问题,在分析传统RBAC模型的基础上,结合B/S模式医院信息系统的实际需求,设计了一个实用的、可靠的权限管理应用模型,分析了基于该模型的访问控制模块在医院信息系统中应用的合理性,并采用ASP.NET及SQL Server 2000等技术予以实现。

一种改进的RBAC角色层次模型(英文)

介绍一种基于角色的访问控制模型,分析了RBAC96中的角色层次模型和私有权限问题,并指出Sandhu's解决方案的不足.提出了一种改进的角色层次模型用于改善RBAC96,并提出一些新的概念,比如:公有权限、私有权限和继承范围.在新的角色层次模型中,上级角色从下级角色继承公有权限,但不继承私有权限.新的角色层次模型对相同的角色层次关系的描述比RBAC96更简单和易于理解,且适合应用于具有更多、更复杂的角色层次关系,比如:操作系统,DBMS,分布式应用等.

针对基于多父角色RBAC模型的研究与应用

针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。对RBAC模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。

资源与环境遥感项目成果信息服务系统权限模型的设计与实现

在Windows 2003 Server活动目录技术的基础上,基于传统的基于角色访问控制(Role Based Access Control,RBAC)的思想,提出了一种基于活动目录角色的访问控制(Active Directory Based Kole Access Control,ADBRAC)模型。该模型在权限管理以及实现系统安全的策略中,通过对主体、客体和操作同时进行抽象,引入了用户组、视图及动作的概念,实现了细粒度的权限定义和功能权限管理,降低了管理复杂度。该模型已在资源与环境遥感项目成果信息服务系统的开发中得到实现。实践证明,模型简单实用,安全稳定,具有更强的通用性和表现现实世界的能力。

基于型号装备-角色的IETM访问控制研究

针对交互式电子技术手册应用中的管理和安全保密需求,在分析传统访问控制模型的基础上,提出基于型号装备-角色的访问控制模型。该模型包括用户、型号装备、装备用户、角色、权限、操作访问控制规则、数据访问控制规则等,支持功能操作权限和数据权限分离,支持以型号装备结构为基础的细粒度数据访问控制以及以角色、装备用户为基础的功能操作访问控制定义和管理,给出了权限定义和权限计算方法。根据IETM的功能及数据访问控制需求,对交互式电子技术手册访问控制进行软件功能、控制流程及数据模型设计。采用J2EE及Web Service技术开发模块组件,实现交互式电子技术手册层级式、细粒度访问控制。

一种扩展的委托授权模型及其面向对象的建模

基于角色的委托授权模型旨在解决传统授权管理的集中性和复杂性问题,从而满足分布式计算环境的需求。本文在RBAC96模型的基础上,给出了一种扩展的基于访问许可和角色的两级委托授权模型———PRBDM及其面向对象的建模过程。该模型降低了委托授权的粒度,解决了分布式环境下多Agent授权管理的复杂性问题。

基于属性规则的PRBAC参数模型研究与实现

PRBAC模型可以实现细粒度的数据访问控制.论文分析了以往有关RBAC数据权限的研究,总结了具体的实践探索经验,提出一种基于属性规则的PRBAC参数模型,以实现通用的数据权限管理.笔者阐述了模型的设计思路,包括数据权限规则的形式组成、具体含义,还阐述了模型的实现方案,包括规则的实现形式、PRBAC参数应用时机、规则校验的主要实现算法,以及相关的技术要点.论文还结合该模型在北京大学IAAA系统的应用实践阐述了模型的优势,即数据权限规则设置具有较强的通用性,灵活而便捷,最后指出模型实现方案可以在规则冲突检验方面进一步完善.

基于角色的多级安全数据库模型

为提高数据库模型的安全性,同时满足用户对数据的合理化存储要求,对RBAC模型与MLR模型进行改进,构造一个结合RBAC模型与MLR模型的综合访问控制模型,使主体通过多级角色间接应用强制访问控制规则来访问客体。实验结果表明,该模型可实现系统中主体对客体的灵活管理,同时具备强制访问控制模型的高安全性。

基于RBAC的CSCD系统工作流授权模型

提出一个基于RBAC的CSCD系统工作流授权模型RTSWAM,与传统的访问控制授权模型不同,该模型在已提出的时态权限概念的基础上,提出了时空权限的概念,表示基于RBAC的CSCD系统工作流授权不仅受时间约束,还受空间范围限制,即被授权者只能在某个时间段和网络空间段内,才能对某个任务执行某种操作,这样不仅可以保证组成工作流的任务只能被属于某个特定角色的用户执行,而且可以保证在授权流与工作流同步的基础上,实现授权流与网络空间范围动态变化的协调一致。

RBAC模型在数字化校园中的应用研究

基于角色的访问权限控制(RBAC)可以控制不同级别的用户对系统应用程序和数据的访问,是提高管理信息系统安全性的一种有效手段.以RBAC的基本模型为依据,对数字化校园的安全机制进行了研究,并将RBAC模型成功应用到系统的研发中.

一种扩展角色访问控制模型的研究与实现

针对传统的角色访问控制(RBAC)模型的不足,对角色权限及角色层次关系进行了分析,提出了一个改进的角色访问控制模型——ERBAC。应用实例说明,新模型在描述同样的角色关系时角色数量比传统模型要少,因而比传统模型更加简化和直观,特别适合于管理信息系统的应用。

改进的RBAC模型关系数据库的设计与实现

改进的RBAC模型是针对RBAC96模型在角色继承方面的不足而提出的。通过分析改进的RBAC模型并结合关系数据库的技术,构造一套角色权限管理模型,它易于理解、具有更强的可伸缩性,特别适合于在复杂的访问控件系统中应用。