一个基于两级角色的CORBA环境下的多数据库系统授权策略

在一个多数据库系统中,安全控制是一项必要而又复杂的工作;而一个合适的授权策略则更是重要。文章简要分析多数据库系统中实现安全控制的难点,介绍了两种主要的安全模型(MAC、DAC)及几种典型的授权策略。最后,在已有的授权策略的基础上,提出了一个基于两级角色(全局角色和局部角色)的多数据库系统的授权策略。该策略不需要修改局部数据库自身的安全策略,同时实现也相对简单。最后给出了该策略在CORBA环境下的简单实现。

计算机网络分布式系统中角色访问控制的授权策略

随着网络应用的推广,网络中分布式系统和大型企业多信息平台的广泛应用,使得资源的结构日趋复杂,规模也日益增大,访问各系统平台的人员数目很大而且成份复杂,传统的权限控制机制的限制和不足日益明显.……

一种扩展角色存取控制模型

基于角色的存取控制(RBAC,Role-BasedAccessControl)已经在越来越多的MIS,DBMS,DSS,OS,OA,CAI等软件系统中使用,已成为信息系统领域研究的热点问题之一。传统的RBAC模型对角色(Role)授权管理是静态的。但是现代软件系统要求对角色的管理具有动态性。该文引入角色环境函数和角色约束规则的概念,提出了一种扩展角色存取控制模型(ERBAC,ExpandedRole-BasedAccessControl),扩展了RBAC的动态性,讨论了新的角色关系、授权规则和形式化描述,给出了实现ERBAC的基本框架。

RBAC授权策略在网格环境中的优化

分析了网格安全基础设施授权过程和存在的问题,根据网格动态性、自主性与多重管理特点提出了基于角色、能够解决大规模虚拟组织授权问题的方案,实现了虚拟组织用户有效管理与细粒度授权,完善了本地资源授权策略,为虚拟组织的安全运转提供了保障。根据网格体系结构特点,新模型改进当前存在的RBAC授权机制,从整体和局部两个方面完善了系统,为降低网格系统成本、快捷实施、增强安全性提供了一条新的解决方案。

GSI的信息栅格授权服务策略

GSI授权机制过于简单,作为对GSI授权机制补充的社区授权服务(CAS)又过于中心化,不适应情报网格信息流授权机制的要求。为此,提出了基于角色访问控制(RBAC)的虚拟组织授权服务(VOAS)策略,允许给用户分配VO角色来支持角色分层和限制。通过将VO角色映射为本地数据库角色,以及对本地角色委派细粒度权限等工作,既实现VO间用户与访问权限的逻辑分离,又杜绝了角色联合权限的方式,使VO间的授权管理比较简单灵活。解决了现有信息栅格中CAS授权粒度不够细化、可扩展性差等问题。仿真实验表明,该授权策略在不影响系统运行效率的前提下,简化了系统授权和管理的复杂度。

基于角色的Web服务的授权与访问控制

提出了一个授权与访问控制系统的设计,它以PMI为基本架构,分为授权服务和访问控制两个子系统,权限管理子系统通过各种模 块制定全局所衙的各种策略,由AA／SOA签发各种策略属性证书;管理员通过注册服务器ARA,为用户分配权限,向AA申请签发用户的属性 证书。在访问控制子系统中,策略决策实施点(AEF)截获用户的访问请求及用户身份并发送给访问控制决策点中的ADF,ADF根据权限管 理子系统制定好的策略和用户的属性证书计算出用户被授予的访问权限,作出"允许,拒绝"的决策。这样就实现了对Web资源的授权与访问 控制。保证了后端Web服务器上共享数据的安全。

一种扩展的委托授权模型及其面向对象的建模

基于角色的委托授权模型旨在解决传统授权管理的集中性和复杂性问题,从而满足分布式计算环境的需求。本文在RBAC96模型的基础上,给出了一种扩展的基于访问许可和角色的两级委托授权模型———PRBDM及其面向对象的建模过程。该模型降低了委托授权的粒度,解决了分布式环境下多Agent授权管理的复杂性问题。

基于角色访问控制在授权管理器中的实现

在以用户为中心的授权模型的基础上,提出了授权管理器的授权层次模型。在充分分析授权层次模型思想及利用授权管理器建立授权策略的基础上,给出了在程序中利用授权管理器的基本的,重要的方法。最后给出了在应用程序中使用授权管理器实现用户的权限。实践表明利用授权管理器可以方便的实现用户在应用程序中的授权。

面向信息安全的具有时间特性RBAC授权策略

授权管理是访问控制中一个非常重要的部分。以往对于RBAC访问控制模型的约束的讨论多是基于非时间特性的。具有时间特性的RBAC授权策略的研究对传统的RBAC模型进行了透彻的分析,引入时态条件约束。从访问控制策略的数学建模出发,提出了对用户、资源、策略等的数学定义,设计出了基于时态角色的跨域授权策略规则,并用形式化的数学定义来描述。

授权与访问控制策略模型的研究

针对现有授权与访问控制系统大规模、跨地域、分布式、多应用的发展趋势,在分析系统中策略分类和策略管理的作用的基础上,从策略之间的约束关系和策略作用范围的角度出发,创建了适应分布式环境的策略层次、策略作用域模型。

基于角色的联合授权管理研究

通过分析现有授权管理模型中缺乏对管理员权限约束的不足,提出一种能够满足联合管理需求的基于角色的联合授权管理模型。依据被管理对象定义了多种管理角色并对其职能进行了合理划分,进而给出了联合管理操作及规则的定义。在模型的实现架构中给出了各管理模块的功能,最后通过实例描述了联合管理过程。分析结果表明,联合管理架构具有较强的灵活性,在有效提高权限管理的安全性的同时能够满足对授权管理效率的需求。

基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合,并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户—角色分配、角色—权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。

带属性策略的RBAC权限访问控制模型

传统基于角色的访问控制(RBAC)不能很好地解决多方访问控制下信任等级的细粒度区分.本文对多种角色访问控制模型及属性特征进行了研究,提出基于属性策略的RBAC模型,对模型进行了形式化定义.在基于属性策略的RBAC模型中,扩展了RBAC中角色的概念,对角色的属性进行了定义并提供基于属性策略的验证方式,进而给出了多方精确访问控制的实现,提高了访问控制的灵活性和对数据对象粒度控制的精确性.在云计算平台上,设计并实现了SaaS模式下的细粒度对象管理服务,实验验证了该模型对动态权限变化的适应能力及多方访问的权限控制能力.

扩展访问控制模型ERBAC的研究与设计

RBAC是近年来研究和应用最广泛的访问控制技术,用角色的概念把用户和权限联系起来,简化了访问控制策略的制定和实施,非常适合大型MIS的授权管理。本文在研究分析RBAC96模型的基础上,给出了一个扩展的ERBAC访问控制模型并在某业务MIS中得到实现。

PMI系统中RBAC策略的实现与管理

文章描述了授权管理基础设施的实现基础-基于角色访问控制的策略实现。首先对授权管理基础设施做了一个简单的介绍,然后具体实现了这个策略,最后详细介绍了对这个策略的管理,以这个策略为基础,可以实现授权管理基础设施的其他方面,比如权限分配和权限认证。

一种基于可信度和属性的RBAC授权模型

针对传统RBAC模型中存在用户角色指派的模糊性、用户授权认证决策的单一性及角色数量与管理的冲突等问题,提出一种结合属性与可信度的改进型RBAC授权模型——TA-RBAC模型。该模型通过增加对用户及所在平台的可信性认证,使得传统模型的认证方式得到了完善,保证了系统授权过程更为安全可靠;同时利用可信度和属性概念对传统模型的授权机制进行了扩展,通过用户认证可信度指派相应的系统角色,实现了动态的用户角色指派;在权限指派过程中引入属性实现对象激活操作,有效地减少了角色的设置数量并实现了更细粒度的授权。最后给出模型授权过程和在数字家庭中的应用实例。

PMI系统中访问控制策略的分析与设计

访问控制策略是PMI(授权管理基础设施)中的重要因素,它决定着PMI系统的灵活性和适应应用的能力。通过分析目前广泛存在的3种访问控制策略DAC、MAC及RBAC的优势与不足,提出了将三者有机结合、实现一种基于条件的访问控制策略。利用XACML语言对策略进行了描述,并对采用这种策略的PMI系统进行了设计和部分功能的实现。

Web服务中基于XML的RBAC策略模型

访问控制系统由于分布式网络的发展而日趋复杂,并且已经延伸到了多个领域,由于没有统一的描述语言,为各系统之间带来了互操作性问题。简要介绍了可扩展访问控制标记语言XACML的原理,针对Web服务中的访问控制问题,将XACML与基于角色的访问控制模型相结合,提出了一种基于角色的访问控制策略模型。策略模型适应网络分布式发展,提供了一种解决不同系统之间访问控制的互操作问题的方法。

基于RBAC的移动代理安全策略

移动代理是一种新兴的分布式计算模式,具有广泛的应用前景,安全问题是移动代理系统能否成功应用的关键。在分析移动代理系统存在的主要安全需求及基于角色访问控制特性的基础上,利用扩展的X.509公钥证书,提出了基于RBAC的移动代理安全访问策略,通过基于角色的授权实现了对代理服务器资源的访问控制,利用公钥认证协议实现了移动代理与代理服务器之间的安全认证,同时采用数据加密实现了信息的安全传输。

一种基于SDL的角色系统描述框架

将SDL(standard deontic logic)引入到角色管理系统,提出一种基于SDL的角色系统描述框架SBDF(SDL-based role systemdescription frame).在该框架中,对系统中的角色进行分类.提供一系列的逻辑谓词,通过对各类角色的操作行为进行规范化描述,从而达到提供系统安全级别的目的.同时,为提高角色行为执行的效率,引入Agent技术,由Agent执行各角色的具体操作,通过对系统进行描述,方便对用户及角色的管理,提高了系统的安全级别.