一种层次信任的RBAC扩展模型

针对互联网应用系统平台建设中权限管理和数据访问控制能力不易扩展和重用的局限,结合SAML对NIST-RBAC的统一模型进行了改进,提出以SAML标准实现可移植的信任角色授权的访问控制扩展模型(ExRBAC).利用SAML的可信凭证扩展用户和角色之间的层次,增加角色的信任层次以加强粒度控制,同时设置分层预处理,用于降低处理权限判决点时的复杂性,并结合分层的信任角色扩展了访问认证粒度的动态性.最后以开源门户eXo Platform为实验平台,给出了模型授权流程以及在大型企业门户服务平台应用实例,验证了提出的扩展模型的有效性.     

扩展RBAC模型在Web信息系统中的探索

访问控制是防止非授权访问的一种重要的网络安全手段,基于角色的访问控制模型RBAC是目前主流的访问控制模型之一。而基于角色的访问控制(RBAC)作为一种新兴的技术,能减少潜在的安全管理的复杂性。扩展RBAC模型(WE-RBAC)定义了一种适用于Web的访问控制策略,具有三方面的特征:可授权的层次客体和层次权限、角色权限授权和用户角色授权。本文通过对访问控制和授权的层次化概括,为教务管理系统研究了一种控制策略选择。     

网格访问控制及对RBAC模型扩展的研究

访问控制是网格安全中的一个重要问题,其目的是要实现在异构、动态的网格环境下对资源的授权访问。讨论了现有各种访问控制技术及其应用,根据网格计算的特点,对传统的基于角色的访问控制(RBAC)方法进行了扩展,提出了一种基于角色的动态最小权限角色分配、跨域访问控制模型,达到了动态最小权限角色分配及支持跨域访问控制的目的。     

基于角色的参数化访问控制模型

文章针对基于角色的访问控制（RBAC）模型在细粒度权限控制上存在的不足，对RBAC模型进行了扩展，提出了一种将权限划分为功能权限和数据权限的改进模型。该模型将数据权限从权限中独立并抽象出来，使功能权限和数据权限共同决定主体对客体的访问权限，从而实现细粒度的访问控制，改善了RBAC模型权限管理模式。同时，为提高角色授权效率，提出了一种参数化角色管理方法，增加了新建角色的默认指派，使得角色的授权过程由映射关系的逐个分配转变为对部分映射关系的修改和完善，降低了授权管理的复杂性，增强了权限分配的灵活性。     

角色访问控制模型在管理信息系统中的设计与实现

本文采用基于角色的访问控制模型设计与实现管理信息系统的访问控制功能,以提高管理信息系统的访问控制安全性,使管理信息系统采用角色来充当用户行驶权限的中介,将用户的授权分为角色委派及权限委派两部分组成,实现了操作权限与访问用户分离,降低了的管理复杂度。     

在ASP.NET中基于角色的权限控制设计与实现

ASP.NET虽然提供基于角色的授权和基于资源的授权两种权限策略,但不能满足对不同的用户分派不同的任务需求。基于角色的访问控制实现了用户与访问权限的逻辑分离,更符合企业的用户、组织、数据和应用特征。在ASP.NET中运用基于角色的访问控制使应用程序在用户管理方面具有更好的灵活性和安全性,实现多粒度控制。     

基于群组-活动的制造网格访问控制模型研究

针对制造网格访问控制的需求,提出一种网格环境下基于群组-活动的访问控制模型.模型对RBAC模型进行扩展,用活动对角色和权限对象进行封装,增加了活动状态、活动层次和活动依赖,实现动态的权限控制和灵活的权限粒度;用群组和群组层次表示参与协同的组织中原有组织结构和访问控制机制,保持了参与组织原有结构的自治性及权限的分布式管理...     

基于差异的多级角色授权模型研究及实现

基于角色与访问控制（RBAC）模型,提出了一种安全有效的多级角色授权（ERBAC）模型．ERBAC模型将单级角色扩展为多级角色,通过定义差异性权限,并引入优先权限分配机制,从而达到对普通权限的多级授权和对特殊权限的灵活控制．同时对模型实现给出了必要的缓存机制和加强缓存安全性的解决方法．模型在开发的统一认证授权系统中得到应用．     

基于信任度的网格动态访问控制研究

针对网格环境下的访问控制技术需要解决与陌生实体建立动态信任关系等问题,提出了一种基于信任度的动态访问控制(TBDAC)模型.TBDAC模型综合了信任管理和RBAC模型的优势,首先通过自动信任协商为用户分配普通角色,从而有机结合了认证和访问控制.TBDAC模型将普通角色派生系列临时角色,为临时角色分配带有信任阈值的权限集,通过实时计算出的用户信任值激活临时角色,实现了细粒度和动态授权.TBDAC模型已投入测试,运行正常.     

P2P网络环境下基于信任度的动态访问控制模型

综合信任管理和RBAC模型的优势,提出了一种P2P网络环境下基于信任度的动态访问控制模型.该模型通过自动信任协商为用户分配普通角色,在陌生实体间建立动态信任关系,然后网络实时计算用户的信任值,大于信任度阈值的普通角色派生系列带有特权限集的临时角色,临时角色能够访问网络资源,从而实现了细粒度的动态授权策略.     

A cross-domain access control model based on trust measurement

Based on trust measurement, a new cross-domain access control model is proposed to improve the security performance of the cross-domain access control processes. This model integrates the trust management and trusted platform measurement, defines several concepts (user trust degree, platform configuration integrity and intra/inter-domain trust degree) and calculates them with users’ uniform identity authentication and historical access behavior analysis. Then this model expands the extensible access control markup language (XACML) model by adding inside trust manager point (ITMP) and outside trust manager point (OTMP), and describes the architectures and workflows of ITMP and OTMP in details. The experimental results show that this model can achieve more fine-grained access control, implement dynamic authorization in a simple way, and improve the security degrees of the cross-domain access control.     

基于UCON改进模型在云环境虚拟访问控制中的应用研究

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

基于信任的普适计算的动态授权模型

提出了一种联合结构的动态信任模型.在信任模型基础上,扩展了基于角色的访问控制模型.在信任模型中,将信任表示为能够体现信息空间和物理空间的特点的基本信任和动态信任的联合结构.基本信任决定对陌生实体的认证;认证完成后,根据基本信任值,用户被分配一组角色,动态信任决定角色和许可的激活,不同的动态信任值激活不同的角色和许可,因而用户的访问权限也随之变化.     

利用RBAC机制实现WWW环境中的安全访问控制

提出了一种基于WWW的扩展RBAC模型，在用户和角色之间增加角色代理层，由客户端完成代理角色的功能，实现角色的动态分配和解决网络传输瓶颈问题，克服了标准的基于角色的访问控制模型应用于WWW环境的缺陷，并探讨了以这种扩展RBAC模型为基础的互联网环境下的安全访问控制的实现，这种安全访问控制方案能较好地适用于基于Web的应用系统。     

多维适配算法对区块链节点可信授权的优化研究

区块链技术可解决物联网传统访问控制方案中管理集中、数据易丢失等问题,实现分布式、安全性高的访问控制,但容易忽视建立动态灵活的访问控制机制的重要性,当节点被破坏时无法自动捕捉网络的动态信息,并相应地调整其授权策略.本文设计了一种基于属性的物联网访问控制机制,具有辅助授权的信任和声誉系统,提出多维适配算法(MDAA),首先利用一个公有区块链和私有侧链,将敏感信息和公共数据分开存储,服务消费节点注册属性,服务提供节点定义访问门限策略;接着信任和声誉系统逐步量化网络中每个节点的信任和声誉评分,当服务消费节点发起访问请求后,智能合约验证服务消费节点是否满足访问门限策略要求的属性和信任声誉阈值,都满足则获得访问权限;最后依据节点间交互作用定期更新节点的信任和声誉评分,实现动态验证和授权.仿真结果表明,与TARAS算法、DADAC算法相比,MDAA支持双向信任评估,具有较好的算法收敛性,在确保授权安全的同时减少了处理访问控制的延迟,具有适用性.     

Authorization Management Framework Based on Joint Trust-Risk Evaluation

0 Introduction Trust management[1-3] is an approach to managing authorization in distributed environ- ments. Blaze et al[1] firstly proposed the concept of trust, and took trust into consideration in au- thorizing. Probability computed via historical records is viewed as the grade of trust[4]. Trust is classified into two types: direct trust and recom- mendation trust. But modeling the subjective trust with the simple probability and expressing the integration of multi recommendation trusts b…     

多域应用安全互操作的授权模型

讨论了基于角色的访问控制策略在多域安全应用中的互操作问题，提出了多域应用环境下角色映射的概念，建立了一个基于角色的组合层次关系的多域授权管理模型，通过约束条件和授权步给出了跨域用户的授权访问控制策略，实现了多域环境的安全互操作．该模型不仅使授权机制易于实现，而且可以灵活地适应应用中安全需求的变化。     

一种基于信任的动态访问控制策略

基于角色的访问控制模型（role-based access control,RBAC）被普遍认为是当前最具有潜力的访问控制策略,已成为信息安全等领域研究的热点之一,然而传统的RBAC模型不能完全适合网格环境下的访问控制。针对网格环境下传统的RBAC中资源共享的伸缩性和恶意行为问题,在传统RBAC模型的基础上引入信任管理技术,提出一种新的动态的访问控制方式。这种新型的访问控制方式根据用户所属的信任等级动态调整用户的角色,在信任计算中,采用一种基于忠诚度的信任计算方法。仿真结果显示,该访问控制方式能有效地遏制恶意行为,并且可以解决伸缩性问题。     

面向任务的工作流访问控制模型

在分析工作流对访问控制需求的基础上,提出了面向任务的工作流访问控制模型.该模型引入了授权任务概念,将执行任务需要的最小权限和执行任务的角色作为授权任务的属性,使角色和权限脱离关系.同时该模型定义了任务冲突关系,并在此基础上给出了动态授权约束规则,保证了组织安全策略的实施.面向任务的访问控制模型实现了授权流同工作流的同步,能够满足工作流访问控制对动态授权、最小权限和职责分离的要求.不同于已有的模型,该模型还通过角色和权限的分离解除了组织模型和工作流模型的耦合关系.     

基于空间数据和角色的访问控制模型研究

本文结合传统的访问控制技术,提出了一个新的基于空间数据和角色的访问控制模型。模型主要由基本授权模型和授权约束组成,基本授权模型在完成业务角度的前提下,将授权限定在特定的地理空间位置,授权约束模块对用户授权过程进行管理,两部分结合实现了更灵活、更安全的访问控制。