支持偏序和同异步权限建模角色访问控制框架

角色访问控制（Role Based Access Control,RBAC）的应用提高了系统易用性和健壮性。分析了RBAC标准模型,指出其在细粒度和表达能力等方面的一些缺陷,结合UML对其重构,提出支持偏序权限建模的面向对象角色访问控制模型（Object Oriented Role Based Access Control,OORBAC）,基于该模型结合部分GoF模式设计了通用应用框架。与其他应用框架相比有着良好的通用性,支持权限关系的同异步及偏序关系表达,并在细粒度动态访问控制上具有更好的效率。     

基于RBAC模型的同名角色研究与设计

安全模型既是可信信息系统的核心内容,也是可信计算研究的重要领域.基于对角色访问控制（RBAC： Role Based Access Control）和安全操作系统标准的深入研究,提出了同名角色的概念,扩展了RBAC中角色的控制范畴,便于灵活地权衡控制粒度与空间需求的对立关系,实施细粒度的访问控制;同时根据同名角色的思想,为自主存取控制（DAC：Discretionary Access Control）系统提供了同名控制域的能力.最后,在FreeBSD操作系统中设计实现了同名控制域,提高了访问控制的灵活性.     

利用规则RBAC模型实现门户的安全访问控制

基于角色的访问控制(Role—Based Access Control,RBAC)是一种安全、高效的访问控制机制,并不能满足门户中根据用户特征的动态改变而动态地改变用户角色的需要。结合RBAC模型思想和门户的需要提出一个基于规则的RBAC模型,在用户和角色之间增加规则,并通过定义规则表达式实现了动态的用户角色分配,克服了标准的基于角色访问控制模型应用于门户的缺陷。讨论了以规则RBAC模型为基础的门户中资源访问控制的实现,有效地解决了门户中的安全访问控制问题。     

结合属性和RBAC的访问控制模型及算法研究

针对基于角色的访问控制系统不能实现动态授权、细粒度授权的问题,将属性与RBAC(Role Based Access Control)相结合,提出基于属性和RBAC的访问控制模型.在此访问控制模型上设计了基于最小扰动的角色挖掘算法,通过属性授权规则完成角色权限细粒度分配和用户角色动态分配,使产生的角色结果与原系统的角色集合保持一致.为验证算法的准确率和有效性在不同数据集下进行实验评估,实验结果表明,算法产生角色的准确率和有效性有明显的提高.     

基于SOAP消息扩展的服务访问权限控制

简单对象访问协议(SOAP)是面向服务架构(SOA)中实现远程服务调用的协议,但是它没有定义标准的服务访问控制规范。本文提出了一种符合SOAP消息中XML语法的服务访问控制结构,并以此结构为基础,构建了一个动态细粒度基于角色的服务访问控制模型DFG-RBAC(Dynamic Fine Grain Role-based Access Control)。同时,利用目录服务器设计了服务访问权限数据存储与查询机制,实现了精确、高效的服务访问控制。     

基于区块链的工业控制系统角色委派访问控制机制

IT和OT的融合模糊了工业控制系统"网络边界"的概念,细粒度的访问控制策略是保障工业企业网络安全的基石.基于角色委派的访问控制机制可把域中用户对网络资源的访问权限委派给其他域的用户或企业合作伙伴,这样为企业员工或企业合作伙伴远程访问企业网络资源提供了便利.然而,这种便利可能增加工业控制系统的攻击面.区块链技术固有的去中心化、防篡改、可审计等特征可以成为基于角色委派访问控制管理的基础架构,因而提出了基于区块链技术的角色委派访问控制方案(Delegatable Role-Based Access Control,DRBAC).DRBAC包括用户角色管理及委派、访问控制、监控机制等几个重要组件,并基于智能合约实现该方案,DRBAC的目的是保证每个网络连接必须受到细粒度访问控制策略的保护.最后,通过搭建本地私有区块链网络测试分析了DRBAC的正确性、可行性和开销.     

基于角色的空间信息强制访问控制模型研究

针对军事领域中地理空间数据具有更高的敏感性、机密性的特点,对传统的基于角色的访问控制和强制访问控制结合后进行空间扩展,提出了一种基于角色的空间信息强制访问控制模型(Spatial Vector Data Role-Based Mandatory Access Control, SV_RBMAC),在RBMAC模型的形式化描述和安全性定理基础上提出了此模型运用在空间矢量数据的操作模式,满足军事环境中重要信息系统的访问控制需求,在实现细粒度访问控制的同时,保障了空间数据的安全性。经实际原型系统试验证明,具有较高的实用性。     

基于角色和属性的访问控制模型

针对现有RBAC（Role-Based Access Control）模型在应用中出现的对于角色的管理较为复杂的情况．本文提出一种基于属性和角色的访问控制模型，能够在不影响控制效果的前提下有效减少角色数量，便于管理。然后在角色和权限之间相应地引入规则，一方面适应属性的出现，另一方面可以适应工作流访问控制中对于时间，空间的种种限制要求。     

一种扩展的基于角色的工作流访问控制模型

提出了一个扩展的基于角色工作流访问控制模型E WACM(Extended Workflow Access Control Model Based on Role).该模型提供细粒度的授权控制,使授权更为灵活,更符合工作流过程的需要,加入的时间参数使授权过程与工作流过程相互协调,实现最小特权原则.     

一种基于任务和角色的访问控制模型及其应用

近年来RBAC(Role-Based Access Control)及TBAC(Task-Based Access Control)模型得到广泛的研究。文中比较了一些现有访问控制模型的各自特点和适用范围,针对现有模型的不足,为了提高系统的安全性、通用型和实用性,通过结合RBAC及TBAC模型各自的优点,提出了一个新型的访问控制模型T-RBAC(Task-Role Based Access Control)。描述了T-RBAC模型结构和特点,阐述了模型对最小权限原则、职权分离原则、数据抽象原则及角色层次关系的支持,给出了模型在协同编著系统中的一个应用和将来工作的主要目标。     

基于量化角色的可控委托模型

针对现有RBAC委托模型在支持细致委托粒度和权限传播的可控性上存在的不足，提出了量化角色的概念，实现了一种细粒度的委托约束机制，给出了一个形式化的基于量化角色的可控委托模型QBCDM（Quantifiedrole Based Controllable Delegation Model）．该模型提供了灵活的委托粒度，支持对角色任意部分权限的委托，避免了引入较高的管理代价；支持强制委托约束和细粒度的自主委托约束，保证了多步委托过程中委托能力的收敛性，显著增强了委托过程的可控性．     

基于Perti网的工作流访问控制模型研究

提出了一种工作流访问控制模型WACM(Workflow Access Control Model)，该模型支持基于角色的授权，通过工作流引擎中的访问控制矩阵进行同步授权，采用Perti网来描述工作流，对工作流参考模型进行了定义和描述，分析了工作流访问控制模型WACM的体系结构，并将该模型应用到电子商务工作流中，建立了基于安全电子商务协议(SET)的访问控制模型。     

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML（eXtensible Access Control Markup Language,可扩展访问控制标记语言）的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制（Attribute-Based Access Control,ABAC）模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。     

利用LSM框架实现基于角色的访问控制

传统的Linux操作系统只提供有限的访问控制机制，缺乏对现有访问控制模型的有效支持，为了克服Linux在安全访问控制方面的不足，增强安全管理的灵活性和易用性，本文深入研究了LSM（Linux Security Module）安全访问框架和基于角色的访问控制（RBAC-Role-Based Access Control）技术，提出了一种利用LSM框架实现RBAC的方法，并详细讨论了在Linux环境中有关实现问题。     

基于ABAC的Web Services访问控制研究

为解决Web Services访问控制问题,分析了传统访问控制模型在Web Services应用中的不足,给出了面向Web Services的基于属性的访问控制模型ABAC(Attribute Based Access Control)的定义,设计了ABAC访问控制架构,并利用可扩展的访问控制标记语言XACMLe(Xtensible Access Control Markup Language)实现了细粒度的Web Services访问控制系统。系统的应用有效保护了Web Services资源。     

一种带时间和空间约束的角色授权管理模型

在基于角色的访问控制模型(Role-based Access Control，简称RBAC)的基础上，提出了一种带时间约求和空间约束的角色授权管理模型，给出了模型的定义，解决了相互冲突的角色的授权问题。     

基于量化角色的细粒度授权委托方法

目前基于角色的访问控制模型大多数都不支持细粒度操作。为此,提出一种细粒度的授权委托方法。利用为权限元组分配量值的方法,实现对角色内任意部分权限的表达和控制。引入量化角色,将普通角色与权限量值组合,用于描述不同的权限范围。在胜利油田滨南采油厂物资供应系统中的应用结果表明,该方法能提供更细化的授权和委托粒度,减少过多临时角色的创建,降低系统的管理和维护 代价。     

ERBAC模型的改进与实现*

阐述了RBAC96模型在实际应用中存在授权、访问规则、细粒度访问控制等方面的不足,分析了基于角色对用户和角色混合授权的ERBAC模型的不足,提出了一种改进ERBAC模型,使其授权更加灵活,安全性更高,并采用引入访问规则和模糊时间约束机制以及把系统模块和角色进行绑定的方法予以实现。访问规则和审计功能及模糊时间约束机制的引入能使安全性更高,把系统模块和角色进行绑定达到细粒度的访问控制。改进ERBAC模型的授权更加灵活,其安全性更高。     

基于规则引擎的访问控制研究

针对基于角色的访问控制模型RBAC没有将上下文考虑在内,而且控制力度只能到达商务方法级,提出了一种基于规则引擎的访问控制模型.该模型不仅继承了RBAC的优点,同时还利用规则实现了细粒度的访问控制,使开发人员能够动态地控制应用程序的行为.     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。