The Research of Role Tree-Based Access Control Model

Towards the crossing and coupling permissions in tasks existed widely in many fields and considering the design of role view must rely on the activities of the tasks process,based on Role Based Accessing Control (RBAC) model,this paper put forward a Role Tree-Based Access Control (RTBAC) model. In addition,the model definition and its constraint formal description is also discussed in this paper. RTBAC model is able to realize the dynamic organizing,self-determination and convenience of the design of role view,and guarantee the least role permission when task separating in the mean time.

Experience-Based Access Control in UbiComp: A New Paradigm

Experience is a sociological concept and builds over time. In a broader sense, the human-centered equivalents of experience and trust apply to D2D interaction. Ubiquitous computing (UbiComp) embeds intelligence and computing capabilities in everyday objects to make them effectively communicate, share resources, and perform useful tasks. The safety of resources is a serious problem. As a result, authorization and access control in UbiComp is a significant challenge. Our work presents experience as an outcome of history (HI), reliability (RL), transitivity (TR), and Ubiquity (UB). This experience model is easily adaptable to a variety of self-regulating context-aware access control systems. This paper proposes a framework for Experience-Based Access Control (EX-BAC) with all major services provided by the model. EX-BAC extends attribute-based access control. It uses logical device type and experience as context parameters for policy design. When compared with the state-of-the-art, EX-BAC is efficient with respect to response time.

Tenant-based access control model for multi-tenancy and sub-tenancy architecture in Software-as-a-Service

Software-as-a-Service （SaaS） introduces multi- tenancy architecture （MTA）. Sub-tenancy architecture （STA）, is an extension of MTA, allows tenants to offer services for subtenant developers to customize their applications in the SaaS infrastructure. In a STA system, tenants can create sub- tenants, and grant their resources （including private services and data） to their subtenants. The isolation and sharing re- lations between parent-child tenants, sibling tenants or two non-related tenants are more complicated than those between tenants in MTA. It is important to keep service components or data private, and at the same time, allow them to be shared, and support application customizations for tenants. To ad- dress this problem, this paper provides a formal definition of a new tenant-based access control model based on administra- tive role-based access control （ARBAC） for MTA and STA in service-oriented SaaS （called TMS-ARBAC）. Autonomous areas （AA） and AA-tree are proposed to describe the auton- omy of tenants, including their isolation and sharing relation- ships. Authorization operations on AA and different resource sharing strategies are defined to create and deploy the access control scheme in STA models. TMS-ARBAC model is ap- plied to design a geographic e-Science platform.

基于策略的动态角色分配模型及应用

访问控制是应用系统中的重要问题之一。传统的基于角色的访问控制(RBAC)方案需要预先定义和同步用户-角色赋值关系,这会带来管理成本和同步开销,并且限制了应用系统的灵活性和动态性。文章提出一种基于策略的动态角色分配模型(Policy-based Dynamic Role Assignment Model——PDRA),它无需同步用户就可以自定义角色,并通过策略匹配的方式实现动态分配。模型完全兼容RBAC,可以成为RBAC良好的扩展机制。文章给出了模型的定义和算法,评估了模型的性能,并在华东师范大学的数据治理平台中进行了应用,验证了该方案的可行性和有效性。

基于RBAC模型的前后端分离系统设计与实现

权限管理是现代信息管理系统核心功能之一,能够让用户可以安全访问系统数据,其中基于角色的访问控制模型是常用的一种权限管理模型,其优点是能够灵活地处理角色与权限之间的变化问题,为复杂的权限管理问题提供便利性。另一方面前后端分离技术能够很好地解决前端页面开发和后端服务器功能开发解耦的问题,让分工双方更加注重各自面对的业务问题,减少对开发人员技术门槛的要求,从而大大提高了开发效率。因此采用前后端分离技术实现通用的基于角色的访问控制系统具有一定的实用价值。

管理信息系统中基于角色的权限控制

权限控制是信息系统设计中的重要环节 ,是系统安全运行的有力保证。简要介绍了基于角色的权限控制模型 ,并在此基础上提出一套适用于MIS系统的权限控制应用模型。

基于行为的云计算访问控制安全模型

针对当前流行的云计算技术,分析了其所面临的安全问题。以BLP(Bell-LaPadula)模型和Biba模型为参考,通过基于行为的访问控制技术来动态调节主体的访问范围,实现BLP模型和Biba模型的有机结合,提出了CCACSM(cloud computing access control security model)。该模型不仅能保护云端服务器中数据完整性和保密性,而且使云计算环境具有相当的灵活性和实用性。最后给出了该模型的组成部分、安全公理和实现过程。

一种改进的以基于角色的访问控制实施BLP模型及其变种的方法

该文指出了Sandhu等人提出的以基于角色的访问控制 (Role BasedAccessControl,RBAC)实施强制访问控制 (MandatoryAccessControl,MAC)策略的方法存在拒绝服务 (DenialofService ,DoS)和给主体赋予过多权限等错误 ,且缺乏对经典BLP模型的充分的支持 .为此作者提出了一种改进的方法———ISandhu方法 ,引入了辅助角色层次 ,加强了角色间关系并提供了对可信主体概念的支持 .此方法修正了原有方法的错误 ,在RBAC中实施了经典的BLP模型及其变种模型以满足实际需求 ,保证了强制访问控制策略的正确实施 ,为在大量商业系统中以较小的代价引入强制访问控制提供了理论依据 .

新型网络环境下的访问控制技术

访问控制是系统安全的关键技术,不同网络环境下的访问控制机制也是不同的.首先对3种传统的访问控制策略加以介绍,给出DAC(discretionary access control),MAC(mandatory access control)和RBAC(role-based access control)各自的特点及应用,并简要介绍下一代访问控制UCON(usage control)模型,然后分别针对网格、P2P、无线网络环境下的访问控制技术及目前的研究现状进行总结,详细阐述可信网络作为下一代互联网发展的必然目标,要求基于可信的访问控制模型保证其安全性,对可信和信誉模型进行了研究,最后给出访问控制技术的发展趋势.

MIS中基于部门和角色的细粒度访问控制模型

针对基于角色的访问控制模型的特点和不足,提出一种基于部门和角色的细粒度访问控制模型(D-RBAC模型),对模型中的元素进行了形式化描述,给出了其实现机制和访问控制算法。D-RBAC将角色和部门相关联,有效实现了对象访问和数据范围的精确控制,同一角色在不同部门的权限分配以及细粒度访问控制,减少了角色管理数量,简化了开发配置过程,增加了权限管理的精确性和灵活性。最后,给出了该模型在某装备综合管理信息系统中的应用实例。

基于角色的访问控制模型分析

介绍了一种新型的访问控制机制－基于角色的访问控制RBAC（Role－BasedAccessControl）的研究背景与基本特征，对它的规则模型RBAC96与管理模型ARBAC97进行了重点描述，并在最后给出了一个设计实例。

面向协同装配设计的基于角色显示的研究

为解决协同装配设计中敏感信息的保护问题,提出了面向协同装配设计的基于角色显示的技术。在该显示技术中,结合角色的访问控制与强制的访问控制,建立访问矩阵对用户进行访问控制。依据角色的访问权限与特征的安全等级,提出了基于特征的种类删减连续多分辨率模型,定义记录度量α控制不同角色得到的不同分辨率的装配模型。最后,通过建立基于角色显示的协同设计原型系统验证了该技术的有效性。

基于角色的管理模型隐式授权分析

基于角色的管理模型被用于管理大型RBAC(role-based access control)系统的授权关系,UARBAC具有可扩展、细粒度等优点.UARBAC的管理操作包含隐式授权.隐式授权分析说明UARBAC管理操作的两类缺陷,包括两个定义缺陷,即无法创建客体和虚悬引用,以及一个实施缺陷,即不支持最小授权.通过修改管理操作更正定义缺陷,提出实施缺陷的改进方案.定义实施最小授权的最小角色匹配问题,证明该问题是NP难,并给出基于贪心算法的可行方案,帮助管理员选择合适的管理操作将最小角色集合授予用户.

角色访问控制模型在两票管理系统中的应用

在电力调度检修票和操作票(简称两票)系统中,设计了许多功能和流程,一个用户具有多个权限,一个权限也需要授予多个用户。文中在电力调度两票管理系统中引入基于角色的访问控制(RBAC)模型,其基本特征是根据安全策略划分出不同的角色,对于每个角色分配不同的权限,并为用户指派不同的角色,用户通过角色间接地对信息资源进行许可的相应操作,使得对用户的管理更直观,在很大程度上简化了权限管理工作。

基于角色-功能的Web应用系统访问控制方法

分析现有基于角色的访问控制模型在Web应用系统中的不足,提出一种基于角色-功能模型的用户访问控制方法,并对其具体的实现进行讨论。以系统业务功能需求自然形成的Web页面组织结构和用户访问控制需求为基础,划分最底层菜单中页面实现的业务功能,以业务功能作为权限配置的基本单位,通过配置用户、角色、页面、菜单、功能之间的关系,控制用户对页面、页面中所包含的html元素及其操作等Web系统资源的访问。在山东交通学院科研管理系统中的实际应用结果表明,该方法在菜单及页面实现的业务功能上实施访问控制,可使Web系统用户访问控制较好地满足用户要求,有效降低Web系统开发的工作量。

电力调度自动化系统中基于可信度的访问控制模型

针对电力调度自动化系统对访问控制的要求和基于角色的访问控制模型存在的缺陷,提出了一种基于可信度的角色访问控制模型。将用户身份可信与行为可信相结合,根据用户身份认证过程中捕获到的隐含信息,借助人工智能不确定性推理理论计算用户的可信度,并将可信度参与用户授权。对角色、权限分别设置可信度激活阈值,用户必须通过角色、权限的可信激活约束才能获得相应的权限。该模型能实现灵活的系统授权,保证了用户对系统资源安全访问,很好地适用于现有的电力调度自动化系统。

基于属性的访问控制策略模型

研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据。

基于属性的可净化签名方案

针对云环境下文件的敏感信息隐藏问题,提出基于属性的可净化签名方案。将可净化的思想引入到基于属性的签名中,有效解决了敏感信息隐藏,保证签名者隐私性的同时提供细粒度访问控制。具体构造了该方案并在CDH假设下证明该方案在标准模型下是不可伪造的。分析表明,与已有方案相比,所提方案适用于云环境下文件的敏感信息隐藏。

基于角色权限管理的B/S与C/S模式相结合的教务管理系统安全体系的研究与设计

阐述了目前高校教务管理系统存在的各种安全问题,综合分析各种安全问题出现的原因,论证了建立教务管理系统安全体系的必要性.分析目前比较常用的B/S模式与C/S模式的优缺点,并针对高校教务管理系统的特殊性,提出基于B/S与C/S模式相结合的高校教务管理系统模型,弥补二者单独应用所存在的缺点与不足.同时,为了避免由于服务器配置不当,或者Web设计代码存在缺陷而使系统处于风险中,又在该模型基础上引入角色权限管理的机制,把教务管理的工作结构通过角色映射到系统中,实现系统权限与角色对应,而不是用户本身,最终设计了基于RBAC的B/S与C/S模式相结合的教务管理系统安全体系模型,从而使教务管理系统中信息的安全性得到了保障,同时也保证了系统安全、稳定、快捷的运行.