PMI系统中RBAC授权策略的研究

当前许多大型企业网络内部多种信息平台独立运行,用户权限认证管理复杂.给出了一种基于角色访问控制授权管理基础设施授权策略的构成,并详述了其授权策略的具体实现,为大型企业多种信息平台用户权限管理提供了一种集中统一的安全解决方案.     

扩展RBAC模型在Web信息系统中的探索

访问控制是防止非授权访问的一种重要的网络安全手段,基于角色的访问控制模型RBAC是目前主流的访问控制模型之一。而基于角色的访问控制(RBAC)作为一种新兴的技术,能减少潜在的安全管理的复杂性。扩展RBAC模型(WE-RBAC)定义了一种适用于Web的访问控制策略,具有三方面的特征:可授权的层次客体和层次权限、角色权限授权和用户角色授权。本文通过对访问控制和授权的层次化概括,为教务管理系统研究了一种控制策略选择。     

实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施（PMI）的角色模型实现基于角色的访问控制的相关问题，提出了一种改进PMI角色模型．改进模型增加了用户组规范属性证书和用户组分配属性证书，并为SOA（或AA）增加授权策略库，为权限验证者增加本地角色规范属性证书库和访问控制策略库，给出了授权和访问控制过程．改进模型便于管理具有相同角色的用户的属性证书，能够表达基于角色访问控制中的约束问题，提高了证书查询效率，增强了系统的实用性．     

二维权限设置在道路运输管理系统中的实现

权限设置是MIS系统安全核心组成部分.常规的授权方式是基于角色和用户进行授权,能够实现一维权限管理.针对用户和进行授权,工作量巨大,在对大型企事业单位多层次管理时几乎不能实现;针对角色进行授权,工作量虽有减轻,但会出现权责不明和数据操作权限混淆的情况.作者介绍了二维权限设置的模型,以及实现方式,提出了一种基于二维的权限管理,其核心思想是机构和用户的自维护,该方式既考虑到了减少系统管理员的工作量,又兼顾了数据操作的安全性和系统最高管理员的唯一性.这一管理模式,正广泛运用于重庆市道路运输管理系统,经过重庆市42个运输管理部门使用证明效果良好.     

应用软件中使用权限管理方法的研究

利用关系模型及UML（Unified Modeling Language)的设计思想，提供了一种解决权限分配与用户授权的通用方法，同时引入系统角色的概念，建立起功能→角色→用户的授权机制，使软件使用者能自定义系统角色，分配角色享有的系统功能。最后提供基于本机制的用户授权判断方法及使用权限分配解决方法。     

基于树型角色的访问控制策略及其实现

对于工作职能耦合度高、业务呈交叉状的企业，传统的基于用户或角色的访问控制(RBAC)策略已难以实现信息系统的权限管理．文中结合RBAC的基本思想，提出了一种分层的树型角色访问控制(TRBAC)模型，并在应用程序层实现了基于角色的权限管理方案，实践表明，TRBAC简化了用户、角色和许可三者之间的配置规则，方便了系统的授权管理．     

基于角色的可信数字版权安全许可授权模型

为解决数字版权管理(DRM)仅支持静态的预先许可授权在许可控制方面无法确保被保护资源被非法使用问题,提出了基于角色的可信数字版权安全许可授权模型(rDRM),通过对DRM“主体客体条件约束权限”的定义,建立支持角色的许可授权机制,给出了版权安全许可授权、收权和迁移策略,以内容版权许可管理有限状态机实现许可状态的动态控制和许可状态管理。基于角色的rDRM许可授权模型具有很强的灵活性和易管理性,适用于具有较多用户且有着不同权限层次的授权管理,防止数字内容的非法复制和扩散。     

RBAC模型权限管理中三种新的角色继承机制和授权策略

信息系统的权限管理对于系统安全是非常重要的.该研究的主要贡献包括：(a)对角色与权限的关系进行了分析；(b)对权限进行了分类；(c)提出的三种角色继承机制将RBAC模型角色数量减少了将近一半，使权限管理更具灵活性、可扩展性、安全性和实用性；(d)新的理论在实践中得到了应用.实践结果表明，新的模型提供了灵活的授权管理和访问控制服务，并简化了权限的管理.     

基于PBDM划分权限的授权代理模型

在PBDM授权代理模型的基础上, 提出一种新的授权代理模型PBDM P, 将角色划分为常规角色、 私有角色和临时代理角色, 将权限划分为可代理权限和不可代理权限. PBDM P通过划分角色和权限实现了用户 用户授权代理、 角色 角色授权代理, 从而有效解决了角色名空间爆炸和空角色等问题, 保证了系统的安全访问, 使授权代理更灵活.     

PDM系统中用户管理的研究

用户管理是PDM(产品数据管理)系统的一个基本功能,是实现安全管理、流程管理、项目管理等功能的基础.在深入调查研究的基础上,设计了一个能够实现动态角色管理、动态权限管理、授权方式灵活的用户管理方案.详细介绍了其中的人员组织、工作空间配置、权限管理的对象模型,并给出了权限控制的相应算法.该设计思想在为某建筑企业设计的PDM系统中得到应用,效果比较理想.     

An Improved Grid Security Infrastructure by Trusted Computing

Current delegation mechanism of grid security infrastructure （GSI） can＇t satisfy the requirement of dynamic, distributed and practical security in grid virtual organization. To improve this situation, a TC-enabled GSI is discussed in this paper. With TC-enabled GSI, a practical delegation solution is proposed in this paper through enforcing fine granularity policy over distributed platforms with the emerging trusted computing technologies. Here trusted platform module is treated as a tamper-resistance module to improve grid security infrastructure. With the implement of Project Daonity, it is demonstrated that the solution could gain dynamic and distributed security in grid environment.     

CNGrid GOS安全:设计与实现

分析了网格计算环境中的安全问题,并提出了针对中国国家网格系统软件(CNGrid GOS)的安全框架,即使用证书来处理相互的认证,利用虚拟组织层次的访问控制决策和资源层次的访问控制实施进行处理授权.通信安全是通过在传输层使用安全套接字标准(SSL)、在消息层使用Web服务安全(WS-security)标准实现的.此安全框架已在CNGrid GOS中实现,且在中国国家网格环境中部署.     

基于信息安全控制原理的安全网格技术

结合网格系统安全性问题的研究,分析了传统GSI的缺点以及网格系统及其安全性的特点.针对提高其可扩展性和动态特性的具体要求,提出了信息安全控制的思想,阐述了信息安全控制原理的理论基础和具体内容,研究实现了基于信息安全控制原理的安全网格模型,通过建立安全控制策略库、安全网格认证模块和安全网格控制模块,构建了具有反馈功能的安全网格模型,提高了网格系统的可扩展性和动态性能.该文提出的安全网格技术为进一步提高网格的安全性提供了新的思路.     

基于染色体族和环境信息的网格访问控制

数据本地复制主要涉及到数据的隐私和完整性,如果认证服务集成在数据本地复制里,则可以减少非法访问。因此提出了一个新的访问控制服务,称之为CCAC,这是专门针对于数据本地复制安全的。CCAC是基于染色体族和环境信息的机制,并且可以独立和分布部署,实验结果表明其性能较好。     

GT的安全机制及实现方法的演进

分析了典型的网格计算应用模型G lobus Toolk it(GT)的发展历程,研究网格的安全机制及其实现方法。早期版本GT2,是通过网格安全基础设施(GSI)来保障网格计算环境的安全。GT3则采用基于开放网格服务(OGSA)的安全机制,保留了GT2中的GSI部分结构。随着网格计算与W eb技术的不断融合,即将发布的GT4将采用网格服务资源框架(W SRF),以W S鉴定授权完全取代GSI。     

面向服务的学习评价网格安全体系

安全问题是网格系统中一个极具挑战性的问题。为了解决面向e-L earn ing的学习评价网格(LAG rid)中的安全问题,该文提出了一种面向服务的网格安全体系。该体系基于对称密钥基础设施,实现了单次登录方式的系统用户认证和基于角色的访问控制,以及一种安全令牌发行服务,并在此基础上进一步实现了网格节点认证和基于W eb服务安全规范的消息加密和签名。这种安全体系已被成功用于构建LAG rid系统,实现了一种安全、透明的基于W eb的用户环境,支持广域资源共享和跨组织的大规模协同工作。     

网格计算中的安全分析与实现

该文分析了网格计算中的安全问题与策略,并介绍了网格环境下典型的安全解决途径——GSI所涉及到的安全技术。     

基于分布式信任管理机制的网格授权研究

针对现有的网格安全机制不能满足虚拟组织的动态、自治、可扩展等需求的不足,提出了基于分布式信任管理机制的网格分布式授权模型,模型定义了网格实体之间的命名关系、授权代理关系.命名关系的定义可以在满足全局命名定义的前提下,表示局部的命名关系;授权代理关系可以实现网格实体之间自治的、动态的授权委托,并且具有良好的可扩展性.基于此授权模型实现了HowU网格授权系统.并且,还对网格授权系统的授权关系的存储和发现机制进行了阐述.     

Context-Aware Usage-Based Grid Authorization Framework

Due to inherent heterogeneity, multi-domain characteristic and highly dynamic nature, authorization is a critical concern in grid computing. This paper proposes a general authorization and access control architecture, grid usage control （GUCON）, for grid computing. It＇s based on the next generation access control mechanism usage control （UCON） model. The GUCON Framework dynamic grants and adapts permission to the subject based on a set of contextual information collected from the system environments; while retaining the authorization by evaluating access requests based on subject attributes, object attributes and requests. In general, GUCON model provides very flexible approaches to adapt the dynamically security request. GUCON model is being implemented in our experiment prototype.     

组合公钥密码的网格身份认证机制

针对目前以PKI技术为基础的网格安全基础设施认证机制存在的用户规模小、效率低、依赖第三方机构在线运行等问题,提出了基于组合公钥密码的网格身份认证机制.该机制根据离散对数难题的数学原理构建公开密钥与私有密钥矩阵,生成数量庞大的由公开密钥与私有密钥组成的公私钥对,从而实现基于标识的超大规模的密钥生产与分发.通过在网格应用中实现该机制,和网格安全基础设施的认证效率进行了比较,验证了基于组合公钥密码的网格身份认证机制的可行性和高效性.