基于时限的角色授权委托模型

为实施用户到用户的委托,在RBDMO和RDM2000的基础上,提出了具有时间限制的角色访问控制授权委托模型.该模型使用日历时间和区间时间表示时间周期,描述了角色委托授权的周期时间约束.在此基础上,将授权过程的时间约束分为有效管理使能时间和使用使能时间,分析了时限约束对授权状态的影响,模型特别在授权链中综合考虑了角色自身激活的时限和作用于授权过程的时限,完整描述了时限委托授权模型,并给出了相应的委托判断规则,最后对模型的安全性方面进行了验证.     

基于角色的工作流授权约束规格说明

在工作流管理系统中,数据在工作流任务中流动,执行任务的用户在变化,用户的权限也在变化,现有的授权方法不能很好地描述上述这种职责分离的状态。为此,提出了一个工作流授权约束模型。该模型在工作流应用语境中定义了角色层次函数、任务偏序关系和互斥任务,在此基础上给出了一个基于角色的工作流授权约束语言,它可以准确描述工作流系统的职责分离要求,表达静态、动态授权约束和授权的历史信息,同时,所得到的约束规则集规模相对较小,保证了一致性验证在时间和空间上的可行性。     

基于角色的访问控制机制在工作流平台下扩展的研究

以比较常用的基于角色的访问控制(RBAC)机制为基础,深入分析了工作流环境下,对访问控制体制的新需求。在此基础上扩展形成了一个适应于工作流环境的基于角色的访问控制扩展模型(RBACEx-AWE),并且设计了基于RBACEx-AWE的授权服务同工作流引擎组件的集成框架,实现了独立安全域内的安全授权服务。     

工作流访问控制模型的研究及应用

在RBAC为基础上提出了工作流访问控制模型OBAC。对此模型进行了形式化定义。应用OBAC可以更容易地管理和实现工作流的访问控制,模型更贴近于生产业务。以电力系统生产管理系统为例进行了分析,表明该模型具有较高的安全性和灵活性。     

基于权限和任务的工作流授权合理性验证

为提高工作流授权合理性验证的效率,提出了基于权限和任务的工作流授权合理性验证方法.通过对工作流授权约束的分析,将授权约束分为针对任务和权限分派关系的权限约束,以及针对任务间职责冲突关系的任务约束和授权约束间约束传递,并在此基础上构建了授权约束规则集对授权合理性进行验证,给出了实现工作流授权合理性验证的算法.最后,通过一个流程实例,证明了该验证方法的实用性.授权约束规则集可以验证约束的完整性和一致性.使满足此规则集的授权工作流既具有必须和足够的授权约束,又保证其每个任务都有合法的用户执行,同时该验证算法可以提高验证的效率.     

工作流系统流程监控权限控制研究

针对工作流系统中监控权限划分粗糙的问题,提出了一个基于角色的访问控制方案.根据工作流执行原理和监控需求,将监控服务分为系统层和应用层,以监控对象、监控人、监控操作方法作为研究对象,给出了形式化描述和细粒度划分.在此基础上,提出了访问控制模型,描述了角色、用户和监控对象等各要素之间的关系,给出了授权方法、潜在规则和实例状态约束,保证了监控操作的合理性.基于以上理论和方案,在已有的项目平台上开发了流程监控子系统,满足了不同层次人员对监控权限的灵活需求.     

基于实例分解的工作流授权合理性验证

为提高工作流授权合理性验证的效率,增强对执行时任务指派的支持,提出了基于问题分解的工作流授权合理性验证方法。通过基于业务实例的工作流模型分解,将工作流授权合理性问题分解为业务实例、业务实例的并发任务集合、并发任务集合中任务的授权合理性问题,得到工作流授权合理性问题的与／或树表示。利用定义的合理指派路径及其串联操作,分析了工作流授权合理性问题与／或树节点的可解性。给出了基于与／或树搜索实现工作流授权合理性验证的算法,并分析了算法的复杂度及其输出的合理指派路径对工作流执行时任务指派的支持。在与／或树基础上,通过选择合适的启发函数,可以进一步提高验证效率,或快速生成适合问题需求的最佳解树。     

云工作流环境下隐私感知的多租户访问控制模型

云环境中的多租户服务模式与隐私保护需求给工作流系统访问控制提出了新挑战。通过考虑不同工作流任务与任务组合中的数据包含隐私信息的程度、租户对隐私保护的不同需求以及与时间、服务提供者等云环境特性因素相关的任务执行约束,提出一种云工作流环境下隐私感知的多租户访问控制模型,并结合该模型提出了一种隐私感知、动态责任分离的授权约束方法。通过应用实例验证了所提模型与方法的有效性。     

基于工作流的技术文件审查系统设计与实现

为保证对技术文件审查过程的严格控制和及时下发,研究了技术文件审查流程,建立了基于工作流的技术文件审查模型,并针对传统的RBAC模型所存在的问题,引入部门进行了改进,改进后访问控制模型使得系统权限维护简单快捷、安全有效。同时为增加流程定制的柔性,采用面向对象的技术将十二种操作类封装在节点对象中。某城轨车辆制造企业的实施验证表明,系统显著缩短了技术文件审查周期,提高了技术文件的安全性。     

工作流系统中业务工具动态集成模型研究

为增强工作流系统和相关业务工具的集成能力,提出了一种两层活动节点模型。该模型将工作流活动划分为活动控制层和活动业务层,通过各自独立封装来降低两层间的耦合度。给出了控制层与业务层的关联描述模型、活动间数据传递模型、活动内数据传递模型等3种模型。介绍了基于这些模型建立的工作流系统的运行实例,实例表明这些模型增强了流程系统的业务工具动态集成能力。     

The role delegation authorization model of a computer-supported cooperative design system

According to the specific characteristics of a computer-supported cooperative design (CSCD) system, the characteristics of role delegation authorization (RDA) are analyzed and deduced, and a set of fitful status is arrived at. Because of the diversified characteristics of RDA features in different systems, the RDA model has multi-varying status. On the basis of the basic model of role-based access control (RBAC), some basic characteristics of RDA are summed up. Then, according to the specific characteristics of CSCD system, the characteristics of RDA are recombined to develop a RDA model that is suitable for the CSCD system. It is different from the conventional role authorization models of RBAC, that is, it adopts the decentralized authorization management instead of the centralized one in CSCD system, which makes the management more flexible. This model is verified through a specific case of CSCD system. Translated from Journal of Northeastern University (Natural Science), 2006, 27(5): 548–551 [译自: 东北大学学报 (自然科学版)]     

产品生命周期管理系统中工作流的访问控制模型

为了满足产品生命周期管理系统对流程的访问控制需求，在基于角色的访问控制模型的基础上，提出一种访问控制模型，实现了产品生命周期管理系统和工作流管理系统的共同授权。由产品生命周期管理系统管理企业中的文档和用户等信息，对其进行静态授权。在流程中，为实现动态授权，防止流程死锁和权限泄漏．引入基于流程实例的对象组，用于容纳在流程中的数据；同时，允许在流程、活动和对象组这3个层次上进行授权，不同层次的权限允许被继承和重定义。这样，不仅方便管理员进行授权，而且增加了授权灵活性，细化了授权粒度。     

基于图的工作流访问控制模型

为了直观和准确地描述工作流访问控制,提出了一个基于图的工作流访问控制模型.使用图和图变换对模型进行形式化描述,并给出了模型应用的相关算法.在该模型中,使用类型图表示访问控制中各元素的类型信息,使用带变量规则表示系统授权状态转换,使用肯定、否定约束限制图结构,并建立了基于图的工作流访问控制授权约束和图变换规则模板.提出了基于图变换的约束一致性验证算法和使用图终止性对授权合理性验证的方法.最后,通过一个实例对模型进行了验证.     

角色网络动态转授权模型的研究和实现

针对信息系统中的转授权处理问题,从转授权业务处理过程中角色网络模型存在的问题入手,通过角色继承关系、转授权发起时双方协议的达成和授权粒度的动态控制三个方面,改进角色网络,并进一步提出角色网络动态转授权模型。该模型在继承角色网络全部优势的同时,对转授权发起时授权双方协议的达成和转授权过程中授权粒度的动态控制提供了支持,而角色网络动态转授权模型良好的物理和时空特性也使转授权处理流程变得更加简单和可控。在对角色网络动态转授权模型的基本思想、组成成员和形式化模型进行阐述的基础上,通过示例给出了角色网络动态转授权模型在不同业务情况下转授权发起和撤销的具体实现过程。     

产品数据管理系统的权限控制研究

提出了用户、产品数据、数据状态、数据位置和用户操作几个权限控制对象,分析了各对象在权限控制中的影响,以及各对象间的相互关系.然后依据企业实际情况,提出了权限控制解决方案,该方案较好地解决了系统中产品数据安全性的问题.     

基于Web的轻量级工作流管理系统

工作流管理针对控制、监控、优化和支持业务过程提出了一种新的解决方案。遵循工作流管理联盟参考模型,研发了一个基于Web的轻量级工作流管理系统,阐述了其基于J2EE架构的体系结构的设计,用形式化方法详细描述了其工作流理论模型。提出了一个时间约束有向图模型,并根据提出的动态角色分配方法,给出了一个基于公钥基础设施技术的条件化基于角色的访问控制方法。最后,给出了工作流实例的引擎驱动算法。实际监测和用户反馈结果表明,采用该工作流管理系统作为框架的应用系统,能够显著缩短流程信息应用系统的开发周期,大大提高用户的办事效率。