Centralized Role-Based Access Control for Federated Multi-Domain Environments

The secure interaction among multiple security domains is a major concern. In this paper, we highlight the issues of secure interoperability among multiple security domains operating under the widely accepted Role Based Access Control （RBAC） model. We propose a model called CRBAC that easily establishes a global policy for roles mapping among multiple security domains. Our model is based on an extension of the RBAC model. Also, multiple security domains were composed to one abstract security domain. Also roles in the multiple domains are translated to permissions of roles in the abstract security domain. These permissions keep theirs hierarchies. The roles in the abstract security domain implement roles mapping among the multiple security domains. Then, authorized users of any security domain can transparently access resources in the multiple domains.     

基于AOP的细粒度RBAC模型的设计与实现

针对核心RBAC模型实现B/S企业应用时,没有根据操作特征细化权限控制粒度,缺乏针对细分数据的访问控制问题,提出了一种在操作维度上进行了扩充的细粒度RBAC模型,给出了模型的形式化描述;针对传统企业应用中权限认证逻辑横切业务逻辑的问题,阐述了基于AOP与注解的细粒度RBAC模型实现,模块化了权限认证逻辑,解除了业务逻辑与权限通用服务的耦合,提高了权限管理模块的复用性、可维护性与可扩展性.     

基于NTFS的文件访问控制研究

为开发基于NTFS的程序,解决因NTFS对文件访问进行控制而导致系统文件被限制访问的问题,对NTFS的文件访问控制机制进行研究。研究了以安全ID作为主关键字查找$SDS数据块,以及从$SDS数据块中解析出50H属性的主要过程。通过实验总结出了50H属性中32位访问掩码的具体格式及每位掩码代表的访问权限。以上研究结果可应用于基于NTFS的文件访问的自主控制,提高相关程序开发的自由度。实验结果表明,通过修改文件的50H属性可解除设置在Windows系统文件上的访问限制。     

基于角色的工作流访问控制模型

提出了一个基于角色的工作流访问控制模型WACBR(Workflow access control model based on role)。WACBR中加入了“任务”的概念,任务是工作流系统执行时的最小工作单元。由于工作流中的任务分别对用户和权限进行授权,采用两种不同粒度的角色分别作为这两种授权的中介。     

Web信息系统中基于RBAC模型的访问控制模块设计与实现

介绍了各类访问控制技术,特别是基于角色的访问控制(role-based access control , RBAC)模型,同时根据Web信息系统的特点提供了一个基于RBAC模型的访问控制模块的实现. RBAC访问控制实现了用户与访问权限的逻辑分离,减少了授权管理的复杂性,降低了管理开销.     

基于角色的动态用户权限管理的研究与实现

用户权限管理是管理信息系统(MIS)设计中的重要环节,是系统安全运行的有力保证.简要介绍了基于角色的权限管理(RBAC),并提出了一种通用的动态用户权限管理方案及实现方法.     

一种新的基于角色的访问控制模型

文章提出了一种新的基于RBAC的角色层次控制与用户业务限制混合权限管理模型(N-RBAC),定义了角色的共有权限、基于层次控制的角色影子权限以及用户的私有业务约束;该模型比传统的RBAC或其修正模型具有更高的灵活性和更广的适用性,解决了角色与用户之间共性与个性的矛盾,既简化了信息系统中对用户授权管理,又使相同角色的用户对相同的功能模块可以有不同的操作限制;详细讨论了N-RBAC的设计原理与实现方法;应用实践表明该模型使用方便,设置灵活,能有效满足各类信息系统权限管理的需要。     

基于可信计算的CSCW系统访问控制

针对现有的CSCW系统不能有效地保障终端平台的可信性以及安全策略和上层应用实施的完整性等问题,提出了基于可信计算技术的CSCW访问控制架构和协作站点间的基于角色的委托授权策略,分别描述了安全策略与共享对象密钥的分发协议、角色委托协议及策略完整性实施协议等.应用实例表明:该框架基于完整的协作实体-平台-应用信任链的构建,提供了可信的协作实体身份与访问控制平台,依赖平台远程证明和策略分发实现了在本地站点上的完整性实施;同时角色委托提高了协同工作能力,也减轻了服务器端集中式策略执行的负担.     

高校网上支付系统的访问控制模型研究及系统实现

分析了高校收费管理活动特点以及RBAC模型;基于此,设计了适合高校环境的高校网上支付系统;定义了该系统中的收费管理业务模型以及访问控制模型;最后给出了该系统的逻辑结构和技术架构设计.实践表明该设计方案易于实现和维护.     

An extended role based access control method for XML documents

As XML has been increasingly important as the Data-change format of Internet and Intranet, acces-controlon-XML-properties rises as a new issue. Role-based access control (RBAC) is an access control method that has been widely used in Internet, Operation System and Relation Data Base these 10 years. Though RBAC is already relatively mature in the above fields, new problems occur when it is used in XML properties. This paper proposes an integrated model to resolve these problems, after the fully analysis on the features of XML and RBAC.     

实现基于角色访问控制的PMI角色模型

研究了用权限管理基础设施（PMI）的角色模型实现基于角色的访问控制的相关问题,提出了一种改进PMI角色模型．改进模型增加了用户组规范属性证书和用户组分配属性证书,并为SOA（或AA）增加授权策略库,为权限验证者增加本地角色规范属性证书库和访问控制策略库,给出了授权和访问控制过程．改进模型便于管理具有相同角色的用户的属性证书,能够表达基于角色访问控制中的约束问题,提高了证书查询效率,增强了系统的实用性．     

工作流管理系统中基于角色的访问控制

在已有的基于角色访问控制模型基础上，提出了一个基于角色的安全工作流管理系统模型．讨论了安全模型的安全目标，给出了模型的形式化描述，分析了用户牵引方式和服务器牵引方式各自的优缺点，详细描述了在服务器牵引方式下的工作方式，同时讨论了动态授权时的一些安全机制．该安全模型较好地将基于角色的访问控制策略运用到工作流管理系统中，动态授权机制使得模型的安全性进一步提高．     

Web工作流系统中属性证书访问控制研究

提出了一种基于属性证书的访问控制模型，分析了模型的工作流程与特点，提高了系统的整体存取控制能力，讨论了在现有的Web工作流系统中实现该模型时的一些具体问题。     

基于角色的访问控制中的安全三原则

定义了RBAC中的主要概念并对主要的关系给出了必要的形式化描述.与典型的RBAC的定义不同,将RBAC的核心概念角色定义为包括任务在内的一个四元组,进而提出任务是分析实现RBAC系统的基础.提出角色中任务的行为闭集和数据闭集的概念,它们分别被定义为角色内完成某任务所需的最小行为集和最小数据集.由于权限被定义为从行为集到数据集上的两元关系,因此将角色的行为闭集和数据闭集组成的两元组与系统所给的权限集取交集便得到角色的最小权限集.提出互斥的权限来自于互斥的任务,定义了互斥任务的概念,而完成互斥任务的行为和数据所形成的权限便是互斥的权限,同时正是基于角色中任务的行为闭集和数据闭集,给出了互斥权限的界定及其传递的性质.这样也尽可能地避免了因互斥权限的传递性而造成的互斥权限被扩大的情况.     

基于行为关联的Web自适应入侵检测系统设计与实现

提出了一种适用于Web服务器的自适应入侵检测机制,将检测模块直接嵌入Web服务器中,采用客户访问行为关联预测,配合异常检测和误用检测,动态产生和调整特征规则,确定合法请求,过滤异常请求并确认攻击类型,从而达到预防新型攻击与检测已知攻击事件的目的. 对实现的系统进行了测试验证,在一般攻击扫描情况下攻击检测准确率可高达95.8%.     

A Cache Considering Role-Based Access Control and Trust in Privilege Management Infrastructure

PMI （privilege management infrastructure） is used to perform access control to resource in an E-commerce or E-government system. With the ever-increasing need for secure transaction, the need for systems that offer a wide variety of QoS （quality-of-service） features is also growing. In order to improve the QoS of PMI system, a cache based on RBAC （Role-based Access control） and trust is proposed. Our system is realized based on Web service. How to design the cache based on RBAC and trust in the access control model is deseribed in detail. The algorithm to query role permission in cache and to add records in cache is dealt with. The policy to update cache is introduced also.     

一种改进的基于任务-角色的访问控制模型

针对现有访问控制模型在工作流系统应用中存在的局限,构建了一种改进的基于任务-角色的访问控制模型.该模型结合基于角色的访问控制(RBAC)和基于任务的访问控制(TBAC)模型的优点,按现实需求分别对角色和任务进行分类,在保证系统安全性的同时降低了访问策略的复杂性.以远程稿件处理系统为例,讨论了该模型在实际应用中的有效性.     

CORBA安全中的访问控制策略研究

针对CORBA安全服务需要解决的访问控制问题,在分析了CORBA安全服务的基础之上,将基于角色的访问控制策略引入其中,不仅充分利用了CORBA现有的策略对象服务,而且通过设计和定义新的管理对象接口提出了一个对象调用服务策略层上的访问控制模型,并结合该模型给出了。RBAC在CORBA安全访问控制中的阶段式授权流程,对构建安全高效的分布式应用系统有较强的指导意义。     

RBAC授权数字证书的设计与实现

为了避免传统的数据库存储用户口令验证访问控制权限方式因失窃而引起的不安全，设计了一种RBAC 授权数字证书。通过在证书中扩展角色属性，并将角色授权和资源分配与证书的颁发分隔独立，一方面实现了证 书对资源的访问控制，另一方面使得角色授权更加灵活。最后对该方式进行了验证实现。     

利用RBAC机制实现WWW环境中的安全访问控制

提出了一种基于WWW的扩展RBAC模型，在用户和角色之间增加角色代理层，由客户端完成代理角色的功能，实现角色的动态分配和解决网络传输瓶颈问题，克服了标准的基于角色的访问控制模型应用于WWW环境的缺陷，并探讨了以这种扩展RBAC模型为基础的互联网环境下的安全访问控制的实现，这种安全访问控制方案能较好地适用于基于Web的应用系统。