基于RBAC的用户授权管理模型的设计与实现

在分析RBAC授权模型原理的基础上,提出了用户-权限组-权限的授权管理模型,并利用PowerDesigner进行了数据模型（CDM和PDM）的设计,最后详细阐述了基于VB和SQL Server的材料信息系统中用户授权管理的实现。该授权管理模型的设计与实现具有很强的通用性。

基于双层角色映射的跨域授权管理模型

针对传统跨域授权管理模型角色设置方法单一,以及有可能出现隐蔽提升、职责分离冲突等问题,提出一种基于双层角色结构的跨域授权管理模型。通过在管理域内设置双层角色,使得角色的设置与管理更加符合现实需求;采用单向角色映射的方式杜绝映射环路;引入属性、条件等动态因素,实现了权限的动态调整。采用动态描述逻辑刻画了模型中的概念、关系及管理动作。对模型的安全性分析表明,该模型满足自治性和安全性原则。

多域应用安全互操作的授权模型

讨论了基于角色的访问控制策略在多域安全应用中的互操作问题 ,提出了多域应用环境下角色映射的概念 ,建立了一个基于角色的组合层次关系的多域授权管理模型 ,通过约束条件和授权步给出了跨域用户的授权访问控制策略 ,实现了多域环境的安全互操作 .该模型不仅使授权机制易于实现 ,而且可以灵活地适应应用中安全需求的变化 .

一种采用动态描述逻辑表示的RBAC管理模型

针对现有RBAC的管理模型中管理范围划分不明晰、管理权限分配不明确等问题,提出一种分布式RBAC管理模型。采用基于角色的管理思想,通过合理设置管理角色,将管理范围的划分、用户授权和角色授权工作进行分离,使模型具有较好的实用性。应用动态描述逻辑对模型进行描述,详细描述了各种授权管理操作的判定条件与执行过程,并通过应用实例验证了模型的有效性和实用性。

基于属性的用户-角色委派模型可达性分析

针对传统基于角色的访问控制(RBAC)管理模型难以表达多样化策略的问题,提出了基于属性的用户-角色委派(ABURA)模型,采用属性作为用户-角色委派的先决条件,丰富了RBAC管理策略的语义。用户-角色可达性分析是验证分布式系统中授权管理策略正确性的重要机制,定义了ABURA模型的用户-角色可达性分析问题,通过分析ABURA模型状态转换特点给出策略约减定理,设计了可达性分析算法,并通过实例对算法进行了验证。

开放信息模型安全的研究

分析当前信息系统存在的主要问题,介绍信息交换平台是一个基于点对点(Peer to Peer)的信息发布系统。在这个系统里,从信息的产生、采集、加工、存储、发布、消费到监管,形成了一个完整的信息生命体系。基于XML技术,经过对信息交换平台的信息描述深入的研究,提出了开放信息模型(OIM),对信息进行统一的描述,使信息可以跨平台发布。OIM研究目标有两个:一个是信息模型的设计;另一个是信息模型在信息交换平台里的实现。本文重点设计了针对网络环境的用户授权管理模型、角色访问控制模型、工作流模型等,提供对应用系统的安全服务,从而避免应用系统和授权系统紧耦合,同时保证实现应用系统语言实现的无关性。提供了用户授权管理系统的运行界面,给出测试实例,比较了测试数据。实践证明,该研究使开放信息系统共享授权服务,加快开发速度,减少开发成本,使应用系统开发更易维护;另一方面,通过安全管理平台从全局的角度来保证系统完整性和一致性,减少敏感信息泄漏的机会。

A Hybrid Authorization Model For Project-Oriented Workflow

In the context of workflow systems, security-relevant aspect is related to the assignment of activities to (human or automated) agents. This paper intends to cast light on the management of project-oriented workflow. A comprehensive authorization model is proposed from the perspective of project management. In this model, the concept of activity decomposition and team is introduced, which improves the security of conventional role-based access control. Furthermore, policy is provided to define the static and dynamic constraints such as Separation of Duty (SoD). Validity of constraints is proposed to provide a fine-grained assignment, which improves the performance of policy management. The model is applicable not only to project-oriented workflow applications but also to other teamwork environments such as virtual enterprise.

Design and Implementation of RBAC Model Based on Graduate Education Management System

After analysis of the existing problems of traditional RBAC model, user group and resource domain are introduced to conduct finely granular extension of RBAC model. Extended model reduces the redundancy of roles, lowers the complexity of authorization management and enhances the flexibility and maintainability of users＇ authorization. It is well proved in its application in postgraduate student management system.