A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.

基于属性规则的PRBAC参数模型研究与实现

PRBAC模型可以实现细粒度的数据访问控制.论文分析了以往有关RBAC数据权限的研究,总结了具体的实践探索经验,提出一种基于属性规则的PRBAC参数模型,以实现通用的数据权限管理.笔者阐述了模型的设计思路,包括数据权限规则的形式组成、具体含义,还阐述了模型的实现方案,包括规则的实现形式、PRBAC参数应用时机、规则校验的主要实现算法,以及相关的技术要点.论文还结合该模型在北京大学IAAA系统的应用实践阐述了模型的优势,即数据权限规则设置具有较强的通用性,灵活而便捷,最后指出模型实现方案可以在规则冲突检验方面进一步完善.

基于PRBAC的Web访问控制的设计与实现

基于划分和规则的访问控制 (PRBAC)是一种重要的访问控制方式。文中提出了一种在Web应用中实施PRBAC的方法 ,通过在Web服务器中集成PRBAC访问控制核心模块 ,对Web资源进行分级和分类保护 ,以便按客户身份做出判断 ,有效避免对Web资源的非法访问。

General Attribute Based RBAC Model for Web Services

Growing numbers of users and many access policies that involve many different resource attributes in service-oriented environments cause various problems in protecting resource. This paper analyzes the relationships of resource attributes to user attributes based on access policies for Web services, and proposes a general attribute based role-based access control（GARBAC） model. The model introduces the notions of single attribute expression, composite attribute expression, and composition permission, defines a set of elements and relations among its elements and makes a set of rules, assigns roles to user by inputing user＇s attributes values. The model is a general access control model, can support more granularity resource information and rich access control policies, also can be used to wider application for services. The paper also describes how to use the GARBAC model in Web services environments.

一种基于属性的企业云存储访问控制方案

针对企业云存储应用的需求,以及目前基于属性的访问控制方案在访问规则描述方面存在的不足,提出了一种适合企业云存储的基于属性的访问控制方案。该方案直接用字典变量表示主体、资源和环境实体,用Python逻辑表达式描述访问规则,并采用eval函数执行规则,从而使访问规则容易编写,表达能力强,且执行开销小。考虑到资源的层次结构特点,分别为不同的访问权限设计了相应的访问规则继承策略以简化访问规则的编写,并采用跨语言的服务开发框架Thrift对访问控制器进行了实现。

基于RBAC技术的P2P安全机制的研究

针对P2P技术的安全需求,分析了现有的P2P系统中访问控制的缺点;提出了一种有效的分簇P2P网络结构模型及在该模型下基于RBAC技术的P2P系统的安全机制;描述了在机制中使用的JAAS和Filter技术,分析了其技术要点及实现流程。具体工程应用证明了RBAC技术适用于P2P系统的访问控制。

云计算环境中基于对象和用户的角色访问控制模型

针对云计算环境中资源按需访问的特点以及不同资源不同用户访问控制的特殊性,基于基本角色访问控制模型(role-based access control,RBAC),提出一种基于对象和用户的角色访问控制模型OURBAC(object-and-user based on RBAC);并设计了具体的用户访问权限判定规则。以实际实现应用为背景,设计了OURBAC的具体实现流程,对算法的安全性进行了分析,表明本算法使云资源访问控制得以进一步细化,能明显减少系统中角色数量,有效的提高了系统运行效率及安全性。

基于分拆数的角色访问控制模型的原理与实现

介绍了基于分拆数的权限管理策略的原理及其在角色访问控制模型中的应用,实现了一个结构简单、伸缩性好、功能强大的权限管理系统。提出了自然数按集合分拆的新概念,同时给出了一个自然数按某个有限集狭义分拆唯一的充分条件。

基于TBAC的分布式工作流访问控制模型研究

基于分布式的工作流系统面临着日益复杂的数据资源安全管理难题,基于TBAC的访问控制可以与工作事务处理流程紧密结合,因此可根据工作流中任务和任务状态实现对数据资源的动态访问控制。本文在分析基于任务的访问控制原理基础之上,将基于角色的授权机制与基于任务的访问控制相结合,采用任务层次分解方法建立全局工作流图,应用分散管理策略建立分布式工作流的安全访问控制模型,并对该模型实现进行了详细阐述。

角色转授权模型中授权冲突问题的解决方案

针对现有用户-用户的角色转授权模型存在授权冲突问题,基于转授权的组件、相关性质以及约束规则,提出了一种约束转授权模型,该模型满足最小特权和职责分离两安全原则,给出了该模型的体系架构和功能描述;以此模型为背景介绍了一种约束描述语言及其形式化语义描述;通过规约算法和构造算法论证了它与严格形式上的一阶谓词逻辑是等价的,并对该约束语言的合理性和完整性进行了讨论;最后用该约束语言给出了模型的表现能力,较好的解决了转授权冲突问题。

基于角色的访问控制技术在IBMS中的应用研究

针对智能建筑系统集成的应用特征,结合实际的行政管理模式,给出了适应于系统集成应用环境的基于角色访问控制技术的实现模型GRBAC。结合实际项目,利用J2EE技术,在Struts框架下实例化了该模型。目前,该系统已投入运行,取得了良好的运行效果,减小了集成系统授权管理的复杂性,降低了管理开销,而且灵活地支持了系统的安全策略。

一种RBAC模型中实现否定授权的方法

针对现有基于角色访问控制RBAC(Role_based Access Control)相关模型中对否定授权研究的不足,指出用户可以获得计划外权限的问题。通过引入授权状态的概念,对RBAC模型中权限与角色之间的分配关系进行扩展,定义许可授权、收回授权、否定授权及其优先级,给出授权状态合并运算的九个规则,提出RBAC模型实施否定授权的方法。分析实现否定授权的RBAC模型性能,通过具体实例充分说明实现否定授权的RBAC模型的安全性和实用性,并在实际应用中得到实现和验证。

基于角色的工程数据库安全管理的设计与实现

基于角色的安全访问控制策略依据两个重要的安全原则,强化了对访问客体的安全访问控制,并且解决了具有大量用户和权限分配的系统中管理的复杂性问题。本文分析了基于角色的访控模型中RBAC96的特征,并通过实际的工程介绍了它在决策支持系统中关于工程数据库安全管理方面的具体应用。

一种基于划分与压缩方法的改进角色挖掘

现有自底向上的角色工程方法挖掘任务繁重,挖掘规模庞大,且难以体现挖掘结果的可用性。为提取有效、完整的可用角色集,结合枚举角色挖掘的研究及用户之间的相似度属性,将角色挖掘问题转换为聚类问题,提出一种基于划分与压缩方法的改进角色挖掘。使用围绕中心点划分方法分解用户聚类,采用聚类压缩算法压缩划分用户集,利用矩阵的稠密性分析法合并重构有效矩阵,并在构造和真实数据集上进行测试与分析。实验结果表明,该方法能够降低求解问题的复杂性及挖掘规模,并能提取出有效、完整的可用角色集;与枚举法挖掘相比,压缩率控制在40%以内、支持度阈值取约0.6时,改进挖掘的效果比较理想。

基于RSBAC的Web安全配置管理技术的研究

提出了“安全配置模板”,设计并实现了基于RSBAC的Apache服务器的安全配置模板以及相应的安全管理工具,使得Web服务器的安全配置工作变得十分简便,同时最大限度地保证了Web服务器的安全。

工作流管理中基于规则策略的访问控制

提出了一个工作流管理中基于规则策略的访问控制模型,给出了规则模型的集合表达和定义,重点分析了规则解释器的实现和关键算法,最后给出了一个应用。

云计算环境中数据级权限管理研究

针对云计算环境中传统RBAC访问控制模型不能很好应对与业务逻辑高度关联的数据级权限管理的问题,结合规则引擎中规则可配置的特点提出了一种基于规则引擎的数据级权限管理模型。该模型以系统中的所有对象为事实库,使用逆向推理对数据级的权限进行判断。目前该模型已经被用于高校教学资源共享系统,实践结果表明该模型提高了系统对业务逻辑变更的应对能力,在保证云端数据安全的同时又具有一定的灵活性。

角色访问控制模型的分拆数实现

基于角色的访问控制RBAC是一种方便、安全、高效的访问控制,但是对RBAC模型内部的实现机制方面研究较少。提出一种基于分拆数的角色访问控制的实现模型。该模型的主要特点是引入RBAC模型的实现代理机制;当用户进入系统得到一个会话的同时,将直接激活该用户所获取的全部权限信息,角色的桥梁作用仅体现在控制代理映射环节。以自然数按集合分拆的概念实现了此模型。

ABAC策略语义表示和决策方法

为解决开放式系统环境中基于属性的访问控制(Attribute-Based Access Control,ABAC)策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言(SWRL)处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。

基于划分和规则的访问控制系统的实现

现在对访问控制的研究大量集中于基于角色的访问控制(RBAC)或者对PRBAC应用模型的研究,而对PRBAC的应用开发也局限于PKI授权方式的实现。本文将在PRBAC原理基础之上提出一种支持多种授权方式以及多种应用的全新的安全访问控制系统,用户可以使用该系统方便、灵活地开发、布署和管理从一般到面向企业关键业务的访问控制系统。