Consistency maintenance for constraint in role-based access control model

Constraint is an important aspect of role-based access control and is sometimes argued to be the principal motivation for role-based access control (RBAC). But so far'few authors have discussed consistency maintenance for constraint in RBAC model. Based on researches of constraints among roles and types of inconsistency among constraints, this paper introduces correaponding formal rules, rulebased reasoning and corresponding methods to detect, avoid and resolve these inconsistencies. Finally,the paper introduces briefly the application of consistency maintenance in ZD-PDM, an enterprise-ori-ented product data management (PDM) system.

ESG表现对财务风险影响的实证研究

基于2010—2021年A股上市公司的面板数据,采用计量经济方法就ESG表现对财务风险的影响进行实证研究。研究发现,ESG表现可显著降低企业财务风险,其中,内部控制和分析师的关注起完全中介作用,融资约束起到部分中介作用。另外,相比于国有企业,非国有企业的ESG表现对降低财务风险的效应更大。基于此,企业应促进ESG发展以更好降低财务风险。

The Research of Role Tree-Based Access Control Model

Towards the crossing and coupling permissions in tasks existed widely in many fields and considering the design of role view must rely on the activities of the tasks process,based on Role Based Accessing Control (RBAC) model,this paper put forward a Role Tree-Based Access Control (RTBAC) model. In addition,the model definition and its constraint formal description is also discussed in this paper. RTBAC model is able to realize the dynamic organizing,self-determination and convenience of the design of role view,and guarantee the least role permission when task separating in the mean time.

带时间特性的角色访问控制

基于角色的访问控制模型的研究工作近年来得到了广泛的重视,但主要工作均立足于与时间特性无关的其他方面.形式化描述了一个引入时间后的角色访问控制模型.在该模型中对原有授权约束进行了时间扩充.提出的相应算法解决了时间授权约束和会话的状态转变问题.同时分析了模型的一致性状态,并讨论了一致性状态维护问题.

角色访问控制

Role based access control (RBAC)was proposed in 70's, and prevailed in 90's, and then Sandhu etc pro-posed formal RBAC model. Now RBAC is attracting increasing attention, and many governmental and commercial or-ganizations have adopted it, its importance is more and more apparent. In this paper we illuminates the distinctionsand similarities of role and user groups, and based the model that was proposed by Sandhu, we examine the relation-ship of role hierarchies and role constraints and formally describes that, and explain the most important part of roleconstraints ,which is separation of duties.

工作流系统带权角色与周期时间访问控制模型

带权角色激活任务和周期时间授权是工作流系统访问控制研究尚未解决的核心问题.以基于角色的访问控制模型为基础,提出了一种新的工作流系统带权角色与周期时间访问控制模型WRPTAC(weighted role and periodic time access control).讨论了周期时间表示方法,定义了工作流系统授权新概念和时态授权推导规则,给出了时间复杂度为O(n2)的时态授权推导规则一致性验证图论算法,并定义了任务激活约束规则.它能够表达复杂的工作流系统访问控制约束.

增强权限约束支持的基于任务访问控制模型

针对基于任务访问控制模型的权限管理与实现机制的不足,在任务规则的基础上,提出一种增强权限约束支持的基于任务访问控制模型.该模型通过任务型权限集合的定义,把任务与权限融合在一起研究权限产生的约束机制,同时给出模型形式化定义以及权限关联的各种约束规则,并介绍了该模型在AVIDM中的应用.实践表明,该模型提供了更灵活的授权机制,增强了任务模型的实用性,方便了权限管理工作,适合事务管理系统与工作流环境下的访问控制建模.

基于角色的访问控制模型中私有权限问题的研究

介绍了RBAC模型及由于继承关系产生的子角色不能拥有私有权限的问题,并分析了当前提出的几种解决方法的不足。提出了一种新的方法解决该问题,即通过把角色中的权限集分为公有权限集和私有权限集,公有权限集可以被父角色继承,而私有权限集则不能被继承。同时提供一个算法来求每个角色的权限集。

域间动态角色转换中的静态互斥角色约束违反

安全互操作是实现跨管理域的资源共享与保护的关键技术.Kapadia等人的IRBAC2000模型提供了一种灵活的通过角色关联和动态角色转换实现安全互操作的方法.廖俊国等人指出该模型可能违反静态互斥角色约束,对问题的原因进行了分析,提出了约束违反检测算法和添加角色关联的先决条件.首先指出廖俊国等人关于约束违反原因的分析是片面的,其检测算法和先决条件也不能保证系统不会违反约束;然后指出在给定角色关联的前提下,外域的用户/角色分配是造成约束违反的根本原因;进而提出动态角色转换违反静态互斥角色约束的充要条件和约束违反检测算法;给出了添加角色关联和用户/角色分配的先决条件,保证了模型状态始终满足静态互斥角色约束.

一种面向用户的约束角色挖掘优化

现有自底向上的角色工程方法挖掘规模庞大,系统管理任务繁重,且挖掘结果未能反映系统功能的安全需求.为优化角色挖掘,从终端用户的角度出发,将角色挖掘问题转化为聚类问题,提出一种面向用户的约束角色挖掘优化.该方法利用用户聚类四元组及角色约束优化挖掘过程,以综合评价挖掘效果及系统的安全性,并在构造和真实数据集上进行测试与分析.实验结果表明,该方法能够减轻系统的管理负担,并能保证信息系统的安全性.

基于角色访问控制中的约束研究

基于角色访问控制具有比传统自主访问控制和强制访问控制在保证企业安全方面的众多优点,从而成为企业建立安全应用的首选模型,而要确保企业安全需求和管理的有效实施,则离不开确保基于角色访问控制系统安全原则得以实施的一套强制性约束规则.文中从基于角色访问控制系统的优点出发,简要介绍了基于角色访问控制系统中引入约束的必要性,总结了基于角色访问控制系统中的不同约束的定义,阐述了基于约束的角色生成以及基于角色的约束生成的方法及意义,最后对约束研究的发展趋势进行了展望.

基于角色的时态对象存取控制模型

以基于角色的存取控制模型RBAC3为基础,提出一种新的时态对象存取控制模型TRBAC,讨论了模型的构成要素,体系结构,时态多重继承机制和存取控制方法.它支持时态用户、时态角色和时态客体及其层次结构,具有动态存取控制功能,在时态数据库和工作流系统等领域会得到广泛应用.

角色约束模型及其在软件模式实现中的应用

在已有的角色约束描述方法的基础上,对角色约束进行了分类,提出了一个结构化的角色约束模型SRCM及形式化方法,分析了模型中角色约束间的关联,并介绍了角色约束在建模中的应用实例。使用该结构化的角色约束模型不仅可以更完整地描述角色约束,而且可以使角色约束的描述更加清晰,有助于设计者实现角色的分配及组合,有利于角色模型的实现。

基于角色访问控制授权约束条件的生成方法

将角色和权限的属性表达式作为授权约束条件的重要组成部分,给出约束条件的定义,引入角色工程的思想和方法,在此基础上提出产生授权约束条件涉及的属性、属性表达式、权限属性表达式、角色属性表达式和用户属性表达式的识别、产生和优化的方法及相关算法,通过一个应用实例说明方法的可行性。

工作流系统流程监控权限控制研究

针对工作流系统中监控权限划分粗糙的问题,提出了一个基于角色的访问控制方案。根据工作流执行原理和监控需求,将监控服务分为系统层和应用层,以监控对象、监控人、监控操作方法作为研究对象,给出了形式化描述和细粒度划分。在此基础上,提出了访问控制模型,描述了角色、用户和监控对象等各要素之间的关系,给出了授权方法、潜在规则和实例状态约束,保证了监控操作的合理性。基于以上理论和方案,在已有的项目平台上开发了流程监控子系统,满足了不同层次人员对监控权限的灵活需求。

基于角色的代理模型的实现

讨论了用户之间的基于角色的代理，以RBAC96中的模型作为基础，分别考虑不存在角色继承和约束情况下，存在角色继承情况下以及存在角色约束情况下，用户之间的代理行为。

基于量化角色的可控委托模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足,提出了量化角色的概念,实现了一种细粒度的委托约束机制,给出了一个形式化的基于量化角色的可控委托模型QBCDM(Quantified-roleBasedControllableDelegationModel).该模型提供了灵活的委托粒度,支持对角色任意部分权限的委托,避免了引入较高的管理代价;支持强制委托约束和细粒度的自主委托约束,保证了多步委托过程中委托能力的收敛性,显著增强了委托过程的可控性.

协同环境下基于角色的细粒度委托限制框架

提出了基于角色的细粒度委托限制框架,将角色分为对象角色和委托角色,实现细粒度的控制。分析了三类委托限制:时间限制、禁止限制和义务限制。针对不同类型定义相应限制规则,并用于描述条件委托和受控使用,条件委托要求满足条件后执行委托操作,防止非法扩散;受控使用约束委托权限,防止权限滥用。多个委托限制规则之间可能冲突,给出了时间复杂度为O(n2)的基于图论的一致性检测算法。

适用于无线网络的RBAC扩展模型

以NIST RBAC参考模型为基础,引入地理域和逻辑域的概念,对RBAC模型作了空间维扩展:通过用户-角色或角色-权限的动态分配,用户只拥有在其所在位置的所需权限;对角色的授权约束加入空间特性,使之能够形式化描述多个层面的空间职责分离约束,从而适用于无线网络的应用环境。

面向组织结构的访问控制模型

引入组织域的概念,描述企业组织的层状结构,在此基础上重新定义访问控制要素,提出面向组织结构的访问控制(OSOAC)模型,并扩展得到等级OSOAC模型和约束OSOAC模型。与RBAC模型相比,OSOAC模型能减少角色数量和权限分配关系,降低大型访问控制系统的管理复杂度。