支持授权委托的细粒度角色访问控制模型

针对传统RBAC模型在大型综合集成系统中的权限管理以及访问控制的不足,从授权委托和访问控制的细粒度方面对RBAC模型进行扩充,通过将客体资源按主体的意图以尽量小的粒度分解和设置角色属性以实现细粒度的访问控制,附加时间约束来增强模型对角色、权限、委托等的约束能力,并且引入授权委托机制以及角色组的概念,解决了综合系统授权管理的复杂性和集中性问题.     

面向任务的工作流访问控制模型

在分析工作流对访问控制需求的基础上,提出了面向任务的工作流访问控制模型.该模型引入了授权任务概念,将执行任务需要的最小权限和执行任务的角色作为授权任务的属性,使角色和权限脱离关系.同时该模型定义了任务冲突关系,并在此基础上给出了动态授权约束规则,保证了组织安全策略的实施.面向任务的访问控制模型实现了授权流同工作流的同步,能够满足工作流访问控制对动态授权、最小权限和职责分离的要求.不同于已有的模型,该模型还通过角色和权限的分离解除了组织模型和工作流模型的耦合关系.     

基于TRBAC的具有冲突约束的工作流授权模型

本文从基于任务-角色访问控制模型的核心-任务与角色的角度,提出一个具有冲突约束的工作流授权模型(CCWAM,Collision Constraint Workflow Authorization Model Based on TRBAC).基本思想是从角色管理与任务管理两方面入手,引入区域约束、角色时限约束、任务分割约束、任务优先约束和任务时限约束五个约束机制,构建了一个基于TRBAC的具有冲突约束的工作流授权模型,以避免角色或任务冲突的发生.最后给出了C C W A M模型的形式化定义以及今后研究的方向.     

基于角色的可信数字版权安全许可授权模型

为解决数字版权管理(DRM)仅支持静态的预先许可授权在许可控制方面无法确保被保护资源被非法使用问题,提出了基于角色的可信数字版权安全许可授权模型(rDRM),通过对DRM“主体客体条件约束权限”的定义,建立支持角色的许可授权机制,给出了版权安全许可授权、收权和迁移策略,以内容版权许可管理有限状态机实现许可状态的动态控制和许可状态管理。基于角色的rDRM许可授权模型具有很强的灵活性和易管理性,适用于具有较多用户且有着不同权限层次的授权管理,防止数字内容的非法复制和扩散。     

Research and Implementation of Constraint Access Control Based on Object Attribute

授权控制是软件设计中一个比较难处理的问题，目前大多授权研究均基于用户授权方法，未涉及授权后实现技术．上述授权技术通常采用简单限制或允许某些菜单、命令功能操作，授权控制方式简单、粒度大而且不灵活．文中提出一种基于对象属性的约束访问控制方法，通过对软件最小控制单位（对象属性）进行约束，很好解决上述问题；该方法具有授权管理方便以及实现简单等特点，并极大提高软件开发效率和复用程度．     

一个基于RTBAC的Petri网工作流模型

以传统Petri网理论为基础进行形式化描述其控制流.并结合基于角色任务的访问控制(RTBAC),通过扩展了时间特性以及颜色特性的Petri网进行更准确、形象的描述其工作流授权模型.该模型实现了访问控制授权流与工作流的同步,满足了公文审批业务工作流"面向任务"的访问控制要求;引入时间概念,使访问控制的授权约束与时间有关,从而满足审批业务工作流中任务的时效性要求,该模型还包含了其它安全约束如SOD(职责分离)以及角色层次关系结构等概念.最后,对所建模型进行了正确性验证.     

实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施（PMI）的角色模型实现基于角色的访问控制的相关问题，提出了一种改进PMI角色模型．改进模型增加了用户组规范属性证书和用户组分配属性证书，并为SOA（或AA）增加授权策略库，为权限验证者增加本地角色规范属性证书库和访问控制策略库，给出了授权和访问控制过程．改进模型便于管理具有相同角色的用户的属性证书，能够表达基于角色访问控制中的约束问题，提高了证书查询效率，增强了系统的实用性．     

基于对象属性约束权限控制研究与实现

授权控制是软件设计中一个比较难处理的问题,目前大多授权研究均基于用户授权方法,未涉及授权后实现技术.上述授权技术通常采用简单限制或允许某些菜单、命令功能操作,授权控制方式简单、粒度大而且不灵活.文中提出一种基于对象属性的约束访问控制方法,通过对软件最小控制单位(对象属性)进行约束,很好解决上述问题;该方法具有授权管理方便以及实现简单等特点,并极大提高软件开发效率和复用程度.     

UCONABC模型中的委托授权方案研究

在使用控制(usage control,UCON)核心模型UCONABC(usage control authorizations,obligations,conditions)中引入委托机制,对委托的粒度、深度、广度以及授权回收等问题进行研究,并通过划分主体属性,建立属性与权利的对应关系等方式,设计了新的带有委托授权特征的UCONABC模型,并给出两个具有委托授权特征的UCONABC子模型的形式化描述,最后,通过委托授权模型在数字资源访问控制中的一个应用实例,验证带有委托授权特征的UCONABC模型的有效性,并以此体现对于开放式环境中基于属主的委托授权问题的研究意义.     

主动授权管理中的关联继承机制

为解决主动授权管理模型中普遍和长期存在的任务间重复授权问题,提高工作流授权的伸缩性,提出一种基于职能关联的权限继承机制.通过对传统的角色任务指派关系进行深入挖掘,定义了职能关联概念及其特化与管理关系;根据职能关联的分量和属性给出了2种关系的推导规则,并按2种关系上的继承性区分业务性和管理性授权,从而建立了可自动配置的授权继承结构.论文评审工作流上的验证结果表明,较之现有各类模型,文中提出的模型以10％以下的额外手工操作减少了53％以上的授权操作,较好地克服了任务间重复授权这一缺陷,取得了明显的授权伸缩性优势.同时,该模型还提供对任务内多角色协作的支持.