一种动态角色委托代理授权模型

1引言近年来,随着计算机信息系统安全问题愈来愈重要,对数据存取控制策略的研究已成为当前信息系统领域研究的热点问题之一.目前,存取控制主要有三种:自主存取控制(DAC,Discretionary Access Control),强制存取控制(MAC,Mandatory Access Control)和基于角色的存取控制(RBAC,Role-Based Access Control)[1～4].

一种CSCD系统的角色委托授权模型

结合计算机支持的协同设计(CSCD)系统的具体特点,对角色委托授权(RDA)特征进行分析和归纳,并给出CSCD系统的RDA特征集表示·由于不同系统具有不同的RDA特征集,导致不同系统的RDA模型也具有各种不同形态·在介绍RBAC基本模型的基础上,归纳出几种基本的RDA特征,并根据CSCD系统的具体特点对RDA特征进行组合,从而建立起适合CSCD系统的RDA模型·与传统的RBAC角色授权模式不同,该模型将权限的集中方式管理分散实施,使权限管理更加灵活方便·最后通过CSCD系统实例对上述RDA模型进行了验证·

基于层次角色委托的服务网格授权执行模型

针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求.

基于时限的角色授权委托模型

为实施用户到用户的委托,在RBDM0和RDM2000的基础上,提出了具有时间限制的角色访问控制授权委托模型。该模型使用日历时间和区间时间表示时间周期,描述了角色委托授权的周期时间约束。在此基础上,将授权过程的时间约束分为有效管理使能时间和使用使能时间,分析了时限约束对授权状态的影响,模型特别在授权链中综合考虑了角色自身激活的时限和作用于授权过程的时限,完整描述了时限委托授权模型,并给出了相应的委托判断规则,最后对模型的安全性方面进行了验证。

一种改进的基于角色的授权委托模型

委托是访问控制模型中非常重要的组成部分,已成为分布式计算环境下重要的访问控制管理机制。提出了一种改进的基于角色的授权委托模型,此模型对用户的角色划分不仅仅基于用户的身份,还要考虑用户的信任度、能力等属性,通过综合多种因素对用户进行属性级别划分,不同的属性级别对应不同的角色从而对应不同的访问权限,以达到对用户进行访问控制的目的,是一种基于属性的角色授权委托模型。与传统基于身份划分的角色委托模型相比,此模型具有更细的访问控制粒度和更高的安全性。

支持授权委托的细粒度角色访问控制模型

针对传统RBAC模型在大型综合集成系统中的权限管理以及访问控制的不足,从授权委托和访问控制的细粒度方面对RBAC模型进行扩充,通过将客体资源按主体的意图以尽量小的粒度分解和设置角色属性以实现细粒度的访问控制,附加时间约束来增强模型对角色、权限、委托等的约束能力,并且引入授权委托机制以及角色组的概念,解决了综合系统授权管理的复杂性和集中性问题.

基于量化角色的细粒度授权委托方法

目前基于角色的访问控制模型大多数都不支持细粒度操作。为此,提出一种细粒度的授权委托方法。利用为权限元组分配量值的方法,实现对角色内任意部分权限的表达和控制。引入量化角色,将普通角色与权限量值组合,用于描述不同的权限范围。在胜利油田滨南采油厂物资供应系统中的应用结果表明,该方法能提供更细化的授权和委托粒度,减少过多临时角色的创建,降低系统的管理和维护代价。

网格计算环境的一种基于信任度的授权委托机制

针对网格计算环境下跨域授权过程的委托服务需求,在现有的RBDM和RT模型基础上,结合主观信任机制对委托过程进行信任协商,实现角色和权限的授权委托过程,并给出了细粒度的授权委托策略,最后对委托过程中的主观信任机制进行仿真,证实了使用信任度实现对委托过程控制的有效性。

基于委托的分布式动态授权策略

针对分布式协作环境中的授权问题,基于委托模型和RBAC模型,提出一种基于委托的分布式动态授权策略。通过扩展RBAC模型的元素集和静态授权操作,并由委托者动态创建临时委托角色和委托授权,支持"部分角色转授权"。系统授权采用三级层次结构实现,并给出了动态委托授权过程。系统实现及应用表明了其能够适应分布协作环境下的分布动态授权需求,遵循"最小特权"原则。

一种扩展的委托授权模型及其面向对象的建模

基于角色的委托授权模型旨在解决传统授权管理的集中性和复杂性问题,从而满足分布式计算环境的需求。本文在RBAC96模型的基础上,给出了一种扩展的基于访问许可和角色的两级委托授权模型———PRBDM及其面向对象的建模过程。该模型降低了委托授权的粒度,解决了分布式环境下多Agent授权管理的复杂性问题。

P2P环境下基于信任度的可控委托信任管理模型

结合基于角色的访问控制和信任管理各自的优势,提出一个适用于开放式环境的基于信任度的可控委托授权模型,实现对角色中包含的本地和继承权限的委托控制。提出了为本地策略中的角色分配信任度阈值的方法,为角色授权增加信任度的考虑,给出在这种扩展后的信任管理系统中计算实体信任度的算法,并结合具体实例对模型的使用进行了说明。

协作环境下支持委托的访问控制技术

协作环境下的访问控制具有动态性和上下文相关性,传统的访问控制不能满足协作系统的特殊需求。针对协作环境的特点,从任务分解及映射、时间约束、授权委托等方面对传统的RBAC模型进行扩展,提出一个支持委托的访问控制模型(DS-RBAC)。最后给出了由多种控制机制相结合的实现方案,实现了协作组内部自主授权和动态访问控制相结合的灵活权限管理。

基于RBAC的灵活集团委托模型

针对现有基于RBAC的委托模型不支持集团用户委托形式,提出一种基于角色的灵活集团委托模型,给出了委托关系、委托授权、委托撤销的形式化描述及委托实施过程。该模型提供了一种灵活的委托机制,实现了在分布式协同工作环境下从单个用户到集团用户的统一委托。

属性委托授权逻辑系统中的主观信任控制

扩展了现有的属性委托授权机制的二值信任为主观区间信任,提出了可信角色和信任约束概念的定义,建立了依据角色信任评估的角色委托控制策略,建立了依据实体信任评估的授权控制规则,给出了委托策略中实体信任度递减的计算方法,将这些策略和规则用逻辑的语法形式表示,并进一步对逻辑程序赋予计算推导的语义,在属性委托授权机制的逻辑语义基础上实现了委托和授权的主观信任控制。

特权管理基础设施的实现模型

特权管理基础设施(PMI)设计用来补充公钥基础设施(PKI)的不足,它可以为PKI所认证的实体提供特权管理服务。类似于PKI的公钥证书,PMI也提供了X.509的属性证书(AC)。同时,PMI也定义了相应的一般模型,委托授权模型,角色模型,这些模型展示了PMI的工作框架。通过使用属性证书和这些模型框架,开发人员可以将PKI和PMI集成在一起,为开放系统提供与应用相关的身份认证、授权、访问控制、加解密、电子签名等一系列安全服务。