基于角色的访问控制模型中私有权限问题的研究

介绍了RBAC模型及由于继承关系产生的子角色不能拥有私有权限的问题，并分析了当前提出的几种解决方法的不足。提出了一种新的方法解决该问题，即通过把角色中的权限集分为公有权限集和私有权限集，公有权限集可以被父角色继承，而私有权限集则不能被继承。同时提供一个算法来求每个角色的权限集。     

RBAC中关于角色权限继承问题的研究

本文分析了经典的RBAC96模型中角色的继承及私有权限问题。借助面向对象中的访问限定符public、private和protected的概念，将角色的权限划分为：私有权限、保护权限和公有权限。并明确：私有权限不能被任何子角色继承，公有权限能被所有子角色不限制地继承，而保护权限则可以被部分子角色继承。然后，提出了两条角色权限的继承规则。最后给出了一个求角色权限集的算法。在该算法中，通过定义的两条角色权限的继承规则，可以实现子角色对父角色中非私有权限的不同形式的继承。     

RBAC模型的角色层次关系及授权管理研究

针对RBAC96模型簇中角色私有权限处理存在的不足,本文提出把角色权限分为私有权限和公有权限;并且,在角色权限继承时,保证了角色的私有权限不被高层次的角色继承,高级角色只能继承低级角色的公有权限部分。针对RBAC96簇模型的普通角色继承所存在权限不能及时授予与回收的问题,给出了一种面向任务的RBAC策略方案,从而使得RBAC模型
更好地发挥其优势。     

基于Web的信息系统中RBAC的实现

在分析基于Web的信息系统的特点和指出了现有基于Web的信息系统中实现RBAC的不足的基础上，提出了一种适合基于Web的大型信息系统的RBAC扩展模型，即通过权限传播度灵活地解决了权限继承和私有权限的问题，并通过角色代理层实现了动态责任分离，同时提出了静态责任分离和操作的责任分离的实现方法。该模型弥补了现有的RBAC应用于Web环境下的不足。     

RBAC模型中角色继承关系的研究与改进*

针对RBAC96模型中私有权限实现方法的不足,分析了现有改进方案的研究现状和不足,引入继承属性的概念,通过继承属性值实现权限公有与私有的划分,提出了角色继承时只创建继承关系的继承方案。引入权限重载概念,给出了多角色继承及权限重载时的冲突解决规则,采用广度优先搜索算法实现了角色权限的动态获取;结合实例说明了角色继承、权限重载、解除继承关系的实现方法。     

基于数据对象的RBAC权限访问控制模型

针对传统的基于角色的权限访问控制模型没有考虑数据对象权限分配的缺点,提出一种基于数据对象的RBAC(role-based access control)模型.该模型基本思想是:用户和角色不直接相连,而是通过数据对象把用户和角色相联系,同时将角色对象分为公有角色和私有角色,使得同一用户的不同数据对象,可以拥有不同的功能访问权限.实验结果表明,该模型有效地实现了数据权限和功能权限的分离,改善了传统RBAC模型权限管理模式.     

分布式环境下的访问控制

为适应分布式环境下的安全需求,提出了一种描述访问控制策略和判定访问请求的方法。采用类似于无函数的扩展逻辑程序的表示方法对安全访问策略进行描述,限定权限传播的深度,利用不同的优先次序定义了多种消解冲突的规则,并给出了类似扩展逻辑程序的回答集语义解释。结合确定性推理和可能性推理,描述了如何判定访问请求的算法。解决了3个问题：分布式授权、私有权限和冲突消解方法。     

针对基于多父角色RBAC模型的研究与应用

针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。对RBAC模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。     

应用特征码的角色访问控制实现方案

提出应用特征码的基于角色的访问控制实现方案,由特征码表示角色、权限,特征码的合成,即用角色导出信息来表示角色间的继承关系 .文中方案提供了角色授权、角色继承、数据存取授权等方面的安全管理,考虑了系统动态变化时的处理方法,并扩展了对角色私有权限及多角色同时控制数据存取等情况的处理 .该方案权限存取管理简单,更适用于大型网络应用系统.     

基于角色的权限分配和管理中的方法

对当前权限系统设计过程中的主要权限分配方法进行介绍和比较,发现它们各自的灵活性和适用性不一样,并着重讨论了基于角色的访问控制模块,分析了RBAC模型中用户、角色与操作权限之间的关系.在此基础上,提出了一种应用于办公自动化系统中较安全的操作权限的实现思想,通过分析提出了五种可行的操作权限分配过程中的解决方法,并评价了各自的优点与不足.     

基于企业网络信息化平台建设及共权限机制的建立

在企业网络信息化平台建设中实现角色权限机制的建立,具有广泛的实用性和扩展性。用户通过所指派的角色获得相应的权限,实现对文件的访问,确保了网络办公系统角色的访问控制和最小特权、责任分离以及数据抽象三个基本的安全原则。这种角色权限机制具有权限分配直观、易于理解、便于使用,且扩展性好,适合分层等优势。     

多政策的两层协同应用存取控制模型

总结了国内外存取控制研究，分析了目前基于角色的存取控制应用于协同系统时存在的一些问题．针对这些问题，给出了一个用于协同应用系统的存取控制框架．该框架包括两个子部件：基本模型和角色模型．基本模型规定了操作权限之间的依赖关系以及如何进行操作权限比较，并将权限与对具体对象的操作相关联，使得该模型较为直观．此外只要系统中Broker的实现支持，该模型能够实现任意粒度级的存取控制．角色模型对RBAC96的角色概念重新给予了定义，将角色的允许集划分为三部分：公共权限、私有权限和保护权限．角色允许集的划分使用户可以更加灵活地定义角色，方便地控制角色的私有信息不被其他角色所访问，有效地减少了辅助角色的定义．     

分层深度搜索树型RFID防碰撞算法设计

根据“完全利用已知信息,不发送或反馈重复信息”的原则,采用“判定标签反馈序列的冲突,得到下一步深度搜索参数”的方法,同时有效利用“堆栈技术”及“后退原则”,以二进制搜索算法为基础,提出了分层深度搜索树型RFID防碰撞算法。数学分析和仿真结果表明：分层深度搜索树型RFID防碰撞算法性能显著优于查询树、动态查询树、二进制搜索算法,尤其适用于标签数量多、ID长度较长的RFID应用环境。     

嵌入式微处理器保护方式下高特权级系统调用的研究

设计拥有我国自主版权的微处理器有着重大意义。高特权级系统调用算法及高特权级系统调用测试单元ＰＣＵ是拥有保护机制微处理器的重要组成部分,文中探讨了保护方式下高特权级系统调用的数据结构、定义,给出了高特权级系统调用算法,提出了高特权级系统调用测试单元ＰＣＵ的细胞群结构,并指出细胞是高特权级系统调用测试单元ＰＣＵ的基本测试单位。细胞群结构概念的提出解决了微处理器保护测试单元结构设计的难题,使设计拥有自主     

基于windows2000访问控制的安全代理设计

分析了Windows2000自主性访问控制的实现机制以及存在的安全问题,通过对权限和用户的分级映射,实现了具有强制访问控制功能的安全代理,在网络服务器中该代理可以提供身份认证、多级访问控制、专用对象访问控制等功能,并能有效地避免用户的权限滥用和权限提升攻击。     

基于Android权限机制的动态隐私保护模型

针对Android平台自身粗粒度权限机制的缺陷以及缺乏有效预防程序间隐私泄露机制的问题,提出一种改进的细粒度权限配置机制与隐私数据动态着色隔离相结合的Android隐私保护模型。通过对Android应用程序权限进行细粒度的动态配置,阻断隐私数据从程序内部泄露的途径,利用隐私数据着色跟踪实现对程序间传播的包含不同隐私权限标签的消息的隔离控制。通过大量实验的反复测试,该模型可以有效保护Android程序内部的隐私数据,及时发现程序间权限提升攻击进而实现隐私数据隔离,从而全方位实现Android隐私数据的保护,并为以后相关研究提供了新的方向。     

基于角色访问控制机制在MIS权限管理中的应用

企业管理信息系统规模的不断扩大,使信息系统的权限管理成为一个日益突出的问题。权限管理方案和实现方法不合理,往往会加大权限管理的复杂性,或使权限管理失去足够的灵活性。文中结合一个实际的MIS系统,应用RBAC机制,把用户角色区分为系统角色和业务角色,并与业务逻辑相结合,提出了一套高效的企业信息系统权限管理解决方案和具体实现方法。通过在多个实际系统中的应用,证明此方案不仅可以满足企业对信息系统权限管理的要求,而且使权限管理具有很高的灵活性和可操作性。     

Virtual private networks: leveraging the Internet

Proponents say virtual private networks could be the wave of the networking future for one very important reason: VPNs transmit data via the Internet, rather than via expensive traditional private networks. Proponents are quick to mention the significant cost savings organizations can realize by using networks that employ the Internet backbone as a data pipeline rather than networks that rely on leased lines, frame-relay technology, and dialup connections for private WANs. However, as with many Internet technologies, potential VPN users are concerned about possible security, reliability, and performance problems. ln addition, a lack of open standards has created concerns about compatibility. The industry is working toward adoption of such standards, but it remains to be seen whether this will lend credibility to VPN technology