实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施（PMI）的角色模型实现基于角色的访问控制的相关问题,提出了一种改进PMI角色模型．改进模型增加了用户组规范属性证书和用户组分配属性证书,并为SOA（或AA）增加授权策略库,为权限验证者增加本地角色规范属性证书库和访问控制策略库,给出了授权和访问控制过程．改进模型便于管理具有相同角色的用户的属性证书,能够表达基于角色访问控制中的约束问题,提高了证书查询效率,增强了系统的实用性．     

一种扩展的基于角色访问控制模型ERBAC的研究及其应用

访问控制是系统安全的重要技术。对常用的几种访问控制策略进行了比较,介绍了RBAC模型的基本概念及其特点、优势和不足;着重研究了一种对用户和角色混合授权的ERBAC模型,分析了ERBAC模型的优点;最后对ERBAC模型提出改良意见,建立了改良模型;并介绍其在某大型系统中的有效应用和实现。     

基于角色的参数化访问控制模型

文章针对基于角色的访问控制（RBAC）模型在细粒度权限控制上存在的不足，对RBAC模型进行了扩展，提出了一种将权限划分为功能权限和数据权限的改进模型。该模型将数据权限从权限中独立并抽象出来，使功能权限和数据权限共同决定主体对客体的访问权限，从而实现细粒度的访问控制，改善了RBAC模型权限管理模式。同时，为提高角色授权效率，提出了一种参数化角色管理方法，增加了新建角色的默认指派，使得角色的授权过程由映射关系的逐个分配转变为对部分映射关系的修改和完善，降低了授权管理的复杂性，增强了权限分配的灵活性。     

一种ERBAC模型的设计与实现

针对传统的RBAC模型的不足,对角色权限及角色层次关系进行了分析,提出了一个改进的角色访问控制模型——ERBAC;应用实例说明新模型在描述同样的角色关系时角色数量比传统模型要少,因而比传统模型更加简化和直观,特别适合于管理信息系统的应用。     

基于PBDM划分权限的授权代理模型

在PBDM授权代理模型的基础上, 提出一种新的授权代理模型PBDM P, 将角色划分为常规角色、 私有角色和临时代理角色, 将权限划分为可代理权限和不可代理权限. PBDM P通过划分角色和权限实现了用户 用户授权代理、 角色 角色授权代理, 从而有效解决了角色名空间爆炸和空角色等问题, 保证了系统的安全访问, 使授权代理更灵活.     

在RBAC模型中"责权分离约束"的冲突检测与消解

详细论述了责权分离约束在基于角色的访问控制（RBAC）中的冲突检测与解决方案.研究了该约束在“权限-角色授权”（PRA）、“权限-主体授权”（PSA）、“角色-主体授权”（RSA）、“角色-角色授权”（RRA）等各类授权关系中的典型示例,并结合数学中的有向图理论给出冲突检测的算法分析,为实际应用奠定了基础.此外,还对冲突产生后的消解方法进行了深入讨论,总结出多种方案并进行仿真比较,根据实验结果给出一套优化后的解决途径.     

一种可代理的访问控制模型

基于角色的访问控制模型具有很多优越性,但当系统管理员和某一"角色"缺席时,其他角色无法完成该角色的权限,致使紧急任务无法完成.造成上述情况的原因是基于角色的访问控制的基本模型不支持拥有权限的主体的任意授权.为解决这一问题文章提出了一种可代理RBAC模型,文章详尽地给出了模型的定义,以及建立撤销代理角色的规则,具有现实的应用价值,并为实现代理角色的权限的自动授权提供了可能.     

一种灵活的基于权限划分的授权代理模型

针对传统授权代理模型灵活性较低、结构复杂等问题,在基于权限代理模型的基础上,提出一种改进的授权代理模型灵活的基于权限划分的授权代理模型.该模型使用划分权限方法代替划分角色,将所有权限划分为3个集合:可代理权限集、半可代理权限集和不可代理权限集,实现了特定权限代理并简化了模型结构.实验结果表明,该模型在保证系统安全性的同时,使授权代理的实现和管理更简单、灵活。     

应用软件中使用权限管理方法的研究

利用关系模型及UML（Unified Modeling Language)的设计思想，提供了一种解决权限分配与用户授权的通用方法，同时引入系统角色的概念，建立起功能→角色→用户的授权机制，使软件使用者能自定义系统角色，分配角色享有的系统功能。最后提供基于本机制的用户授权判断方法及使用权限分配解决方法。     

支持授权委托的细粒度角色访问控制模型

针对传统RBAC模型在大型综合集成系统中的权限管理以及访问控制的不足,从授权委托和访问控制的细粒度方面对RBAC模型进行扩充,通过将客体资源按主体的意图以尽量小的粒度分解和设置角色属性以实现细粒度的访问控制,附加时间约束来增强模型对角色、权限、委托等的约束能力,并且引入授权委托机制以及角色组的概念,解决了综合系统授权管理的复杂性和集中性问题.     

一个带有时间特性的职责分离模型

基于角色的访问控制模型自提出以来一直被视为用来进行访问控制的普遍方法。作者主要是从时间的角度去探讨该模型中职责分离的情况,并采用一种较为简单规范来说明此种带有时间特性的职责分离并提出了相应的执行模型。     

基于知识服务的信息系统访问控制机制研究

对访问控制机制进行了分析,探讨了基于知识服务信息系统的RBAC模型,并进行了基于知识服务的信息系统的RBAC模型构建。     

基于角色访问控制的权限管理系统改进与应用

对基于角色的访问控制模型进行了研究,对传统访问控制模型、基于角色的访问控制（RBAC）模型、角色管理模型ARBAC97进行了描述和分析。对RBAC模型进行范围扩展,通过引入角色范围的概念,以（用户,角色,范围）三元组来标识系统用户的权限,解决RBAC模型无法对资源实例进行权限控制的问题,也就是解决了系统用户拥有相同的角色,操作的数据范围可以不同。结合实际应用系统的需求,实现了权限管理系统。     

基于角色访问控制的移动代理安全系统的UML建模

鉴于移动代理的安全机制,文中用统一建模语言(UML)描述了基于角色的访问控制安全模式基于角色的访问控制(RBAC)和移动代理系统的系统结构,利用RBAC控制代理对代理平台资源的访问,得出了若干结论。     

增强约束的角色访问控制模型

分析NIST标准RBAC模型的约束机制,针对授权过程和对客体访问过程约束能力不足,通过对约束的扩展和将具有约束能力的业务逻辑映射至模型约束中,形成一种增强约束的基于角色的访问控制模型.给出了该模型的形式化定义,并对其安全性作了简要分析.     

基于角色和活动的数字校园访问控制模型

为建立动态、灵活、高效的访问控制模型,针对建设高校校级统一信息系统时角色访问控制(RBAC)模型的不足,引入参与、动作与活动等概念对基于角色的访问控制模型进行扩展,提出基于角色与活动访问控制(R-ABAC)模型的模型结构、组件关系及框架结构.应用结果表明:该模型可准确地描述教学、科研、管理、服务各种活动中的授权关系,并较好地适应信息集成阶段数字校园身份与权限管理的需求.     

基于角色的代理访问控制模型及其实现

针对传统的基于角色的访问控制模型的不足,给出了一种基于角色的代理访问控制模型,将上下文、观察者和代理的概念引入到了访问控制中。该模型能够根据上下文环境的变化而动态地做出访问决策,访问控制检查也不需要放入业务逻辑实现的代码中,而是由观察者观察业务逻辑执行情况,当需要访问控制检查时通知代理主体,由代理主体做出访问控制决策。这种模型可以很好地在Spring AOP框架中实现。     

基于RBAC模型的访问控制方法的研究

本文通过对基于RBAC的访问权限的访问机制的分析,阐述了基于角色的访问控制模型的设计思想,并讨论了权限管理系统的设计模型。提出了一种基于RBAC模型的权限管理系统的设计和实现方案,并分析了基于RBAC的权限访问、权限控制等关键技术。     

基于角色和部门的两级访问控制模型

在典型RBAC的基础上，提出一种基于角色和部门的两级访问控制模型DRBAC，将部门从角色的一个属性独立抽象出来，使角色和部门共同决定主体对客体的访问权限，并将授权过程事务化，以降低操作要求。