一种RBAC的新模型及其在异构数据库系统中的应用

对基于角色访问控制（rule-based accss control ,RBAC)研究中的热点之一模型的建立进行了较深入的研究，提出了一种针对异构数据库系统新的RBAC模型——H-RBAC（Heterogcncous RBAC,异构基于角色的访问控制），H-RBAC模型引入角色集成继承实现局部角色和全局角色的层次关系，通过会话分流实现动态的访问控制，该模型能够高效、灵活地实现异构数据库系统的联合访问控制。     

一种基于Agent自适应RBAC包装器

基于角色的访问控制方法(Role-BasedAccessControl,简称RBAC)实现用户与访问权限的逻辑分离和构造角色之间的层次关系,从而方便了数据的安全管理。为实现RBAC在复杂环境中的应用,文章提出了一种基于Agent的自适应RBAC包装器。按照Agent设计方法研究了包装器的体系结构,设计了知识库、RBAC实现部件、底层通讯部件、顶层通讯部件和外部世界感知部件,构造了RBAC、R-D、R-M和R-X四种知识模型。     

基于RBAC的权限系统设计与实现

基于角色访问控制（RBAC）是一种方便、安全且高效的访问控制机制。文章在对基于RBAC的层次管理模型以及角色访问控制的基本思想作充分论述的基础上,从数据库表的设计、角色的添加与访问控制的实现等三个方面在．NET环境中实现了基于RBAC的授权系统。     

网格环境下动态访问控制模型的研究与实现

网格为我们整合异构、分布的资源提供便利的同时,也带来了使用资源时访问控制的问题。网格环境下并没有形成一个成熟、完善的访问控制模型,而传统的基于角色的访问控制模型（RBAC）也并不完全适合于动态、异构的网格环境。我们结合了“科学数据网格”系统中访问控制的研究,提出了一个扩展RBAC的动态访问控制模型。最后介绍了这个动态访问控制模型系统的实现。     

强制访问控制在基于角色的保护系统中的实现

研究了通过对基于角色的访问控制（RBAC）进行定制实现强制访问控制（MAC）机制的方法。介绍了RBAC模型和MAC模型的基本概念，讨论了它们之间的相似性，给出了在不考虑角色上下文和考虑角色上下文两种情形下满足强制访问控制要求的RBAC系统的构造方法。从这两个构造中可以看出，强制访问控制只是基于角色的访问控制的一种特例，用户可以通过对RBAC系统进行定制实现一个多级安全系统。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型，比较了PBAC与基于角色的访问控制（RBAC），分析了PBAC对策略语言和策略管理架构的需求；基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型，提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后，对语义策略语言进行了展望。     

OA系统中基于角色的访问控制

本文基于集成OA系统的实际安全性需求，研究了用基于角色的访问控制（RBAC）技术实现异构数据库中数据访问控制的机制，分析了OA系统实施中的一般安全策略和存在问题，实现了用户与访问权限的逻辑分离，以及最少权限原则和职责分离的原则。     

多域安全互操作的可管理使用控制模型研究

多域环境的异构、动态和区域自治的特点为安全互操作访问控制研究提出了新的挑战。近来在多域安全互操作访问控制方面做了大量研究,大多在单域内基于角色访问控制的前提下,将外域角色映射到本地角色来实现访问控制,在外域和本地角色的管理上缺乏系统化的统一。本文提出了可管理的使用控制模型,对外域和本地用户角色指派进行统一管理,弥补了原有模型的安全漏洞。该模型提供了足够的灵活性,可以区分外域用户和本地用户,并且对外域用户实施更为严格的控制,同时保留了传统 RBAC 模型的优点。该访问控制模型正在实践中实施。     

基于CORBA的分布式访问控制

随着网络应用的发展,应用对安全管理的需求逐步提高。由于安全管理最终目的的实现对资源的安全使用,访问控制成为安全协议中的核心问题。目前基于角色的访问控制（RBAC）正在因为适应于广大的商业和政府应用的需要而逐渐为人们所重视。另一方面,由于异构环境的存在和异构环境下实现互操作的需求,CORBA凭其广泛的支持力而成为中间件规范的公认标准。本文基于[6]的分析之上,描述CORBA对RBAC的方便支持,但是现有的CORBA中对角色的管理有诸多不足,对此本文提出基于CORBA的RBAC实现中角色的动态管理机制,给出了管理框架描述,从而使RBAC更加适合于分布式异构环境。     

基于角色的访问控制在ASP．NET200中的应用研究

安全是影响Web发展的重要方面,访问控制和授权是Web安全的核心问题。介绍了基于角色的访问控制（RBAC）模型,研究了RBAC在ASP．NET2．0中的应用,探讨了ASP．NET2．0中的身份认证、用户和角色管理、RBAC模型的实现等问题,实现了基本的基于角色的访问控制模型并讨论了ASP．NET2．0中的RBAC模型的扩展。     

RBAC模型在水利规划管理系统中的应用

基于角色的访问权限控制（RBAC）控制不同级别的用户对系统应用程序及数据的访问,是一种较为成熟的数据库权限管理机制。文章分析了RBAC的基本思想和基本模型,给出了RBAC在水利规划管理系统中的应用设计和实现过程。对确保数据库的信息安全,防止非法用户盗取破坏水利管理信息,保障管理信息系统的正常运行具有重要的作用。     

角色访问控制技术在放射治疗中的应用

放射治疗计划系统(RTPS)是放射治疗解决方案的重要组成部分,其安全性直接影响整个治疗方案的执行效果。该文介绍基于角色访问控制(RBAC)模型的基本原理,结合RTPS的开发实践和放射治疗临床实际情况,说明RBAC模型在RTPS中的应用合理性和有效性,分析基于该模型的访问控制模块与治疗计划系统的关系,给出访问控制模块的系统结构、数据库表结构设计及其在VC6.0 下的实现方式。     

RBAC在Web考试管理系统权限控制中的设计和实现

该文首先对基于角色的访问控制(RBAC)模型的基本概念作了详细的阐述,然后,结合考试管理系统,重点介绍了Web考试管理系统数据库的设计方法,以及用户角色、角色权限的设计理念。通过该考试管理系统的实际应用表明,RBAC是一种方便、安全和快捷的权限控制机制。     

基于NFA异构数据库集成系统的查询优化

XML文档信息容量的增长、数据敏感程度的增加,对异构数据源集成系统提出了新的挑战。为了降低查询复杂度、提高查询效率、增强数据库文档信息的安全性,本文采用感知情景因素的RBAC扩展模型,用一种新的基于XML的访问控制描述语言描述异构数据库集成系统中的访问控制策略,并使用查询优化技术,构造不确定性自动机(NFA)对用户查询进行重写。通过这些技术,最终过滤掉异构数据库集成系统中不符合安全策略的查询,实现细粒度的访问控制。     

Role-Based Access Control in a Data Grid Using the Storage Resource Broker and Shibboleth

In this paper, we propose a role-based access control (RBAC) system for data resources in the Storage Resource Broker (SRB). The SRB is a Data Grid management system, which can integrate heterogeneous data resources of virtual organizations (VOs). The SRB stores the access control information of individual users in the Metadata Catalog (MCAT) database. However, because of the specific MCAT schema structure, this information can only be used by the SRB applications. If VOs also have many non-SRB applications, each with its own storage format for user access control information, it creates a scalability problem with regard to administration. To solve this problem, we developed a RBAC system with Shibboleth, which is an attribute authorization service currently being used in many Grid environments. Thus, the administration overhead is reduced because the role privileges of individual users are now managed by Shibboleth, not by MCAT or applications. In addition, access control policies need to be specified and managed across multiple VOs. For the specification of access control policies, we used the Core and Hierarchical RBAC profile of the eXtensible Access Control Markup Language (XACML); and for distributed administration of those policies, we used the Object, Metadata and Artifacts Registry (OMAR). OMAR is based on the e-business eXtensible Markup Language (ebXML) registry specifications developed to achieve interoperable registries and repositories. Our RBAC system provides scalable and fine-grain access control and allows privacy protection. Performance analysis shows that our system adds only a small overhead to the existing security infrastructure of the SRB.     

上下文感知的动态访问控制模型

现有的访问控制技术主要依靠主体的标识来实现对系统资源的保护，在权限的控制时没有考虑执行的上下文环境。随着网络和分布式计算的发展，应用环境具有分布、异构、 动态的特点，需要考虑主体所处上下文进行动态的权限控制。本文提出了一个上下文感知的访问控制模型（DCAAC），DCAAC扩展了RBAC模型，增加了上下文约束。DCAAC从应 用环境中获取与安全相关的上下文信息来动态地改变用户的权限，同时保留了传统RBAC模型的优点。这一访问控制模型已在网格计算实验平台中实施。