A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.

A Cache Considering Role-Based Access Control and Trust in Privilege Management Infrastructure

PMI （privilege management infrastructure） is used to perform access control to resource in an E-commerce or E-government system. With the ever-increasing need for secure transaction, the need for systems that offer a wide variety of QoS （quality-of-service） features is also growing. In order to improve the QoS of PMI system, a cache based on RBAC （Role-based Access control） and trust is proposed. Our system is realized based on Web service. How to design the cache based on RBAC and trust in the access control model is deseribed in detail. The algorithm to query role permission in cache and to add records in cache is dealt with. The policy to update cache is introduced also.

Attribute-based access control policy specification language

This paper first introduces attribute expression to describe attribute-based access control policy.Secondly,an access control policy enforcement language named A-XACML （attribute-XACML）is proposed,which is an extension of XACML.A-XACML is used as a simple,flexible way to express and enforce access control policies,especially attribute-based access control policy,in a variety of environments.The language and schema support include data types,functions,and combining logic which allow simple and complex policies to be defined.Finally,a system architecture and application case of user-role assignment is given to show how attribute expressions and A-XACML work in access control policy description and enforcement.The case shows that attribute expression and A-XACML can describe and enforce the complex access control policy in a simple and flexible way.

RBAC实施中国墙策略及其变种的研究

中国墙策略的目的是防止在有竞争关系的企业间访问信息导致的利益冲突.著名的中国策略模型包括Brewer等人提出的BN模型和Sandhu提出的基于格访问控制模型实施的中国墙模型.然而这些模型都存在严重的缺陷:灵活性不够或者实施不方便.RBAC是目前主流的访问控制模型,该模型的特点是策略中立.基于RBAC模型全面研究了实施中国墙策略及其各种变种策略的方法,利用角色体系和RBAC的约束机制,给出了具体的构造方法,讨论了这些构造中约束的形式化描述方法.与传统的中国墙模型相比,更加灵活,并可在支持RBAC的系统中直接实施.

Web服务中基于XML的RBAC策略模型

访问控制系统由于分布式网络的发展而日趋复杂,并且已经延伸到了多个领域,由于没有统一的描述语言,为各系统之间带来了互操作性问题。简要介绍了可扩展访问控制标记语言XACML的原理,针对Web服务中的访问控制问题,将XACML与基于角色的访问控制模型相结合,提出了一种基于角色的访问控制策略模型。策略模型适应网络分布式发展,提供了一种解决不同系统之间访问控制的互操作问题的方法。

基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合,并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户—角色分配、角色—权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。

带属性策略的RBAC权限访问控制模型

传统基于角色的访问控制(RBAC)不能很好地解决多方访问控制下信任等级的细粒度区分.本文对多种角色访问控制模型及属性特征进行了研究,提出基于属性策略的RBAC模型,对模型进行了形式化定义.在基于属性策略的RBAC模型中,扩展了RBAC中角色的概念,对角色的属性进行了定义并提供基于属性策略的验证方式,进而给出了多方精确访问控制的实现,提高了访问控制的灵活性和对数据对象粒度控制的精确性.在云计算平台上,设计并实现了SaaS模式下的细粒度对象管理服务,实验验证了该模型对动态权限变化的适应能力及多方访问的权限控制能力.

Novel scheme to specify and integrate RBAC policy based on ontology

To describe and integrate various policies applied in different domains, the definition of the family of OntoRBAC based on the ontology of a general role-based access control （RBAC） policy is proposed, which can support and extend the RBAC96 model. The uniform ontology-based description mechanism of secure policies is applied in OntoRBAC, which can be used to describe different secure policies in distributed systems and integrate policies in semantic level with upper concepts. In addition, some rules have been defined to reason within the OntoRBAC to extend the inference algorithms in ontology, which makes the system accommodate itself to RBAC policies better.

面向任务的RBAC扩展模型研究

针对RBAC模型的普通角色继承所存在权限不能及时的授予与回收、没有包含明确的策略状态以及没有反映元素状态的改变等问题,给出了一个面向任务的RBAC扩展模型RBAC-T,该模型引入了任务概念并将任务划分成公有任务和私有任务,通过部分角色继承P-RH,控制了角色权限继承粒度,解决了传统RBAC角色继承中出现的继承问题,给出状态变换图及模型状态变化的描述,通过对状态的分析控制实现了权限的动态分配与回收.还描述了模型的实现原型和处理流程.

混合RBAC-DTE策略的多角色管理

混合的基于角色访问控制-域型增强(RBAC-DTE)访问控制模型因其不同层次的保护机制近年来颇受关注,但是尚未见到公开的文献讨论混合RBAC-DTE策略中的多角色管理问题.因此,从特权层面和访问许可权层面上,提出了一种角色划分粒度比域划分粒度粗的角色和域的划分方法,并引入域的静态继承关系.这种混合RBAC-DTE策略的多角色管理方法解决了不同域的进程共享访问许可权集、控制策略代码尺寸的问题,特别是它可以充分支持极小特权原则.

RBAC动态判决模型的分析与设计

提出了一种等级角色访问控制判决模型,目的在于增强系统的动态访问控制判决能力和灵活性。通过使用XML描述判决策略,等级角色判决模型将能处理复杂的逻辑条件判决,而非原先简单的数值比对。

基于在线学习系统的扩展RBAC模型研究

在线学习是一种新型的学习模式,被广泛应用培训、教学中。访问控制技术能够有效保障在线学习系统中共享资源的安全性。基于角色的访问控制技术RBAC(Role-Based Access Control)是目前使用最广泛的访问控制技术之一,且RBAC模型还具备良好的扩展性。文章针对在线学习系统的访问控制需求,提出了扩展的RBAC模型,并给出其详细定义和说明。扩展RBAC模型中,引入了层级用户组策略、三级权限及权限屏蔽概念。扩展RBAC模型最后被应用于在线学习系统中设计实现,结果表明该扩展RBAC模型能够满足在线学习系统的访问控制需求。

PMI系统中RBAC授权策略的研究

当前许多大型企业网络内部多种信息平台独立运行,用户权限认证管理复杂。给出了一种基于角色访问控制授权管理基础设施授权策略的构成,并详述了其授权策略的具体实现,为大型企业多种信息平台用户权限管理提供了一种集中统一的安全解决方案。

运用RBAC策略实现权限管理

论文描述了基于角色的访问控制(RBAC)的策略以及基于策略的权限管理的系统框架,介绍了一个X.509[7]权限管理模型及怎样来实现RBAC,以及如何用XML设计网上交易系统权限管理的RBAC策略。

基于X.509证书的授权管理中RBAC策略的研究

描述了基于角色的访问控制(RBAC)的策略以及基于策略的权限管理的系统框架,介绍了一个X.509权限管理模型及怎样来实现 RBAC,以及如何用XML设计网上交易系统权限管理的RBAC策略模型。

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制(Role-Based Access Control,RBAC)是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性(Attribute)和信任(Trust)的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密(CP-ABE)的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。

General Attribute Based RBAC Model for Web Services

Growing numbers of users and many access policies that involve many different resource attributes in service-oriented environments cause various problems in protecting resource. This paper analyzes the relationships of resource attributes to user attributes based on access policies for Web services, and proposes a general attribute based role-based access control（GARBAC） model. The model introduces the notions of single attribute expression, composite attribute expression, and composition permission, defines a set of elements and relations among its elements and makes a set of rules, assigns roles to user by inputing user＇s attributes values. The model is a general access control model, can support more granularity resource information and rich access control policies, also can be used to wider application for services. The paper also describes how to use the GARBAC model in Web services environments.

分布式系统中的RBAC管理模型

针对在分布式环境下的RBAC管理问题,提出了一种新的分布式系统中的RBAC管理模型。该模型没有专门保存一个全局的RBAC访问控制策略,各子系统只是保存自身的访问控制策略。当策略发生改变后,模型中各子系统根据管理指令进行自身的策略改变,使整个分布式系统中的RBAC访问控制策略达到一致。

基于RBAC校园环境数据管理与监控系统设计

校园环境数据在线服务平台主要用于数据处理、在线共享与信息发布,为校园信息化的顺利推广提供可靠保证,针对目前现有系统存在用户管理方式简单、安全访问控制机制不成熟、运维响应不及时等问题,设计并开发基于RBAC的校园环境数据运行管理与监控系统。采用基于角色的访问控制技术(RBAC),实现用户统一认证和权限管理;运用分布式文件系统对数据进行分布式管理与存储,利用Oracle数据库实现对用户信息统一存储与管理;采用Socket同步技术、多进程负载均衡技术,实现系统的监控与数据传输,有效保证数据实时传输与共享服务。

一种基于任务角色的云计算访问控制模型

数据安全问题是云计算推广的一大阻碍,主要来源于数据共享带来的安全问题和云服务提供商的超级特权导致的潜在危险。为此,分析云计算中数据存储和用户群体的特点,提出一种基于任务角色的云计算访问控制模型,对不同访问主体采取不同访问控制策略,以提供分级的安全特性,使云服务提供商不再享有超级特权。分析结果表明,该访问控制模型使得云端数据访问安全无须依赖于服务器的绝对可信,为云计算提供了更为可靠的安全特性。