基于角色访问控制授权约束条件的生成方法

将角色和权限的属性表达式作为授权约束条件的重要组成部分,给出约束条件的定义,引入角色工程的思想和方法,在此基础上提出产生授权约束条件涉及的属性、属性表达式、权限属性表达式、角色属性表达式和用户属性表达式的识别、产生和优化的方法及相关算法,通过一个应用实例说明方法的可行性。

基于角色的工作流授权约束规格说明

在工作流管理系统中,数据在工作流任务中流动,执行任务的用户在变化,用户的权限也在变化,现有的授权方法不能很好地描述上述这种职责分离的状态。为此,提出了一个工作流授权约束模型。该模型在工作流应用语境中定义了角色层次函数、任务偏序关系和互斥任务,在此基础上给出了一个基于角色的工作流授权约束语言,它可以准确描述工作流系统的职责分离要求,表达静态、动态授权约束和授权的历史信息,同时,所得到的约束规则集规模相对较小,保证了一致性验证在时间和空间上的可行性。

授权约束下的平台配置证明研究

针对完整性报告协议中平台配置证明存在的安全问题,本文提出了一种基于授权策略的平台配置证明过程,在协议应答者与平台配置证明信息之间建立授权约束,解决应答者提交平台配置信息前存在的篡改攻击,以及提交平台配置信息后存在的中间人攻击.增强后的协议保持对应性属性,可有效解决平台配置证明存在的全局攻击和局部攻击问题,提高完整性报告协议的安全性.

基于RBAC的工作流管理系统授权约束方法

针对工作流管理系统动态授权的特性,在基于角色的访问控制(RBAC)模型基础上,提出一种权限约束支持的RBAC模型,利用Datalog逻辑语言描述约束策略,借助Datalog推理机实现一个"任务角色"分配的授权算法,解决工作流管理系统动态授权约束的问题。

业务流程授权约束依从性分析

授权约束的依从性研究是业务流程安全领域中的重要研究内容.针对授权约束提出了全新的业务流程依从性分析框架,该框架可以处理:1)流程授权和非流程授权;2)业务流程任务委托;3)角色继承关系;4)职责分离和职责绑定约束;5)静态约束和动态约束.提出授权图表示依从性分析框架,并给出授权图的构造和化简方法对授权图进行维护,然后设计了针对授权图的依从性分析算法.基于分析结果,给出了不依从授权约束的冲突模式,针对每一种冲突模式设计一组解决方案,并实现了原型系统.所提出的授权约束依从性分析框架独立于系统部署的平台,适用范围广泛.最后通过实例分析和实验验证说明了该方法的有效性.

应用角色访问控制的工作流动态授权模型

形式化地描述了角色、用户、权限、任务单元、授权策略、授权约束等实体及其相互间的关系 ,提出将授权约束分为需求角色约束、需求用户约束、拒绝角色约束及拒绝用户约束 ,并在此基础上建立了授权约束的冲突检测规则 实现了授权流与工作流的同步 ,并通过授权约束的冲突检测确保了工作流的有效执行

一种统一授权和访问控制模型的设计实现

企业信息平台(EIP)是一个基于企业模型的平台,目标是为了实现模型驱动的企业设计、分析和评价。EIP的目标之一就是建立一个可以容易地实现不同系统集成的架构,如:政府和其他企业中过程、结构、任务、目标和信息等的集成。论文的重点不是EIP中数据的集成,也不是应用的集成,而是授权的集成,主要针对的是EIP中工作流管理和资源管理中的授权集成问题。在现有的EIP系统中,工作流管理和资源管理一般都有各自独立的授权和访问控制模块,这种非一体化的授权方法容易引发多种安全问题。而先前的研究大都集中在单独的授权系统上,对它们的集成很少有讨论。论文提出了一种统一的授权和访问控制模型,可以以一种统一的策略来表示处理EIP系统中的各种授权和访问控制,解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。

基于实例分解的工作流授权合理性验证

为提高工作流授权合理性验证的效率,增强对执行时任务指派的支持,提出了基于问题分解的工作流授权合理性验证方法。通过基于业务实例的工作流模型分解,将工作流授权合理性问题分解为业务实例、业务实例的并发任务集合、并发任务集合中任务的授权合理性问题,得到工作流授权合理性问题的与/或树表示。利用定义的合理指派路径及其串联操作,分析了工作流授权合理性问题与/或树节点的可解性。给出了基于与/或树搜索实现工作流授权合理性验证的算法,并分析了算法的复杂度及其输出的合理指派路径对工作流执行时任务指派的支持。在与/或树基础上,通过选择合适的启发函数,可以进一步提高验证效率,或快速生成适合问题需求的最佳解树。

基于权限和任务的工作流授权合理性验证

为提高工作流授权合理性验证的效率,提出了基于权限和任务的工作流授权合理性验证方法。通过对工作流授权约束的分析,将授权约束分为针对任务和权限分派关系的权限约束,以及针对任务间职责冲突关系的任务约束和授权约束间约束传递,并在此基础上构建了授权约束规则集对授权合理性进行验证,给出了实现工作流授权合理性验证的算法。最后,通过一个流程实例,证明了该验证方法的实用性。授权约束规则集可以验证约束的完整性和一致性,使满足此规则集的授权工作流既具有必须和足够的授权约束,又保证其每个任务都有合法的用户执行,同时该验证算法可以提高验证的效率。

多维RBAC角色协同授权及其Petri网模型

基于角色的访问控制中,有效表达多角色授权、约束与激活是一个难点问题。文章从角色的语义出发,在角色集中引入维数的概念,提出一种新的多维RBAC模型,它扩展了现有的角色关系概念,使RBAC能够表达复杂的角色授权、约束与激活,另外,在此基础上提出了角色授权协同及其关系一致性分析和变换的Petri网方法,并且这种多维RBAC模型在客户关系管理系统CRM的一个基于角色的访问控制系统原型中得以实现。

一种避免授权冲突的工作流任务用户指派方法

为提高工作流用户指派的合理性,避免在工作流执行过程中任务之间的授权冲突,提高工作流运行中用户指派的效率,提出一种基于任务的用户指派方法。提出的方法分两个阶段实现。第一阶段在工作流定义时,利用工作流图的深度优先搜索方法获取所有授权约束任务之间的条件;第二阶段是在工作流实例运行过程中,在任务指派前利用第一阶段获得的条件,排除所有可能造成后续任务的可选用户集合为空的用户。最后以一个财务报销的应用实例说明了该方法的有效性。

简论公司经理权力的约束

经理由于其在公司内部的特殊地位,享有广泛的权力。而由于“经理问题”的存在,使经理权具有被滥用的可能。因此须对经理权力进行约束,其机制是复合的,包括经理权的授权约束机制、行权约束机制和滥权行为的补救机制。

工作流系统带权角色与周期时间访问控制模型

带权角色激活任务和周期时间授权是工作流系统访问控制研究尚未解决的核心问题.以基于角色的访问控制模型为基础,提出了一种新的工作流系统带权角色与周期时间访问控制模型WRPTAC(weighted role and periodic time access control).讨论了周期时间表示方法,定义了工作流系统授权新概念和时态授权推导规则,给出了时间复杂度为O(n2)的时态授权推导规则一致性验证图论算法,并定义了任务激活约束规则.它能够表达复杂的工作流系统访问控制约束.

面向任务的工作流访问控制模型

在分析工作流对访问控制需求的基础上,提出了面向任务的工作流访问控制模型.该模型引入了授权任务概念,将执行任务需要的最小权限和执行任务的角色作为授权任务的属性,使角色和权限脱离关系.同时该模型定义了任务冲突关系,并在此基础上给出了动态授权约束规则,保证了组织安全策略的实施.面向任务的访问控制模型实现了授权流同工作流的同步,能够满足工作流访问控制对动态授权、最小权限和职责分离的要求.不同于已有的模型,该模型还通过角色和权限的分离解除了组织模型和工作流模型的耦合关系.

TRBAC模型的研究及其在企业MIS中的应用

访问控制是保证企业信息系统安全性的重要组成部分,但传统的模型都不能满足企业多变的控制需求,因此引出了基于任务-角色的访问控制模型(TRBAC)来满足企业的需求。该模型解决了基于角色的访问控制模型(RBAC)不够灵活的缺点,并通过时间约束、最小特权约束和职责分离约束增加了系统的安全性。最后结合实例,详细阐述了TRBAC模型在企业权限管理中的实现。

协作环境中基于场所的访问控制模型

授权模型是协作环境中不可缺少的关键部件,为协作系统提供合适的授权机制很具挑战性。直接应用于协作系统的传统访问控制模型对多用户之间的协作支持不够,一些协作相关的访问控制必须在应用层上实现;针对特定协作应用背景的访问控制模型,仅适用于特定应用背景的协作系统,不能满足协作环境中更广泛的安全性需求;而现有的协作环境中通用的访问控制模型授权约束比较单一,不能满足协作环境中对授权的灵活性要求。针对这些问题,以Locale-BAC模型为基础提出协作环境中基于场所的访问控制模型,对角色、权限、场所等主要模型部件进行重新定义,实现全局访问控制和协作小组内部自主访问控制相结合的灵活的分层授权机制。

面向工作流系统的柔性策略访问控制模型

针对现有的访问控制模型应用于工作流系统时的不足,提出了一个面向工作流的柔性策略访问控制模型.该模型通过引入授权许可的概念,定义了各任务执行期间各角色可被授予的权限及相应的情景约束,实现了工作流中的动态访问控制和灵活的授权策略定义.为了描述工作流系统中的复杂授权规则,模型扩展了一种与授权许可相关的约束,并提供了有效的授权约束冲突检测与消解方法.分析表明模型具有良好的安全性与实用性,能较好地满足工作流系统对访问控制的需求.

基于Web的工作流安全访问控制系统上下文环境研究

访问控制机制是分布式工作流系统安全策略中的核心内容。本文以RBAC模型为基础,论述了在工作流环境下对访问控制体制的新需求,建立了一个基于W eb的工作流系统访问控制模型(W S_RBAC),对上下文约束的表示进行了分析。最后,以质量管理体系的外部质量审核实例对模型与上下文约束进行了验证。

工作流系统访问控制技术

访问控制机制是分布式信息系统安全策略中的核心内容,而访问控制的职责分割是访问控制管理实现的关键技术,是当前安全访问控制领域研究的热点。文中在详细介绍了目前访问控制具有代表性的几种模型和技术的基础上,对这些技术做出相关的评价,分析了目前工作流系统访问控制技术中所存在的不足,对工作流系统访问控制技术的应用领域和未来工作做了进一步的探讨。

云工作流环境下隐私感知的多租户访问控制模型

云环境中的多租户服务模式与隐私保护需求给工作流系统访问控制提出了新挑战。通过考虑不同工作流任务与任务组合中的数据包含隐私信息的程度、租户对隐私保护的不同需求以及与时间、服务提供者等云环境特性因素相关的任务执行约束,提出一种云工作流环境下隐私感知的多租户访问控制模型,并结合该模型提出了一种隐私感知、动态责任分离的授权约束方法。通过应用实例验证了所提模型与方法的有效性。