基于角色与任务的访问控制模型研究

基于角色与任务的访问控制模型研究

杨凯[1]2008年在《RBAC模型在Web环境下的研究与应用》文中指出随着互联网的应用普及,人们对网络安全的需求日益增加,访问控制(Access Control)成为了防止非授权访问的一种重要的网络安全手段。访问控制就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。自主型的访问控制(DAC)和强制型的访问控制(MAC)是两类传统的访问控制技术,但两种技术都存在着明显的不足。基于角色的访问控制(RBAC)引入了“角色”这一重要概念,有效地克服了传统访问控制技术中存在的不足,减少授权管理的复杂性,降低管理开销,使制定和执行特定企业保护策略的过程更加灵活,能为管理员提供一个比较好的实现安全政策的环境。但传统的RBAC模型仍存在缺乏动态角色验证、权限粒度细化不够和工作流没有任务分解等不足之处。本课题在对传统RBAC模型研究的基础上,改进提出了一种任务-时间约束RBAC模型,引入了工作流中的任务单元概念和时间约束概念,弥补了传统RBAC模型的不足,很好的实现了为Web环境下的服务系统提供动态访问控制的能力。根据此模型完成了应用系统方案的设计开发。系统实现了可视化的角色编辑,工作流定义,任务分解,管理员可以快速直观地完成角色继承等级建立、权限关联和角色分派等操作;系统还实现了资源访问的动态权限验证和任务执行的时间约束机制,而且对用户访问完全透明,很好的解决了Web下的资源动态安全访问控制问题。

吴佩莉[2]2008年在《基于角色的工作流系统访问控制模型的研究》文中研究说明随着企业信息系统的发展,工作流系统的访问控制问题越来越引起研究者的关注。目前,在基于工作流的访问控制技术中大都采用以角色为基础的访问控制模型。当前研究的一个主要工作是在RBAC参考模型之上扩展的表达能力,然而其重点几乎都集中在对权限和角色的表达能力的扩展上,对于用户(User)却很少有深入的研究。一个应用软件系统开发的目的就是为特定问题域中的用户提供所需的特殊服务,使用户通过人机交互能安全高效地履行其角色的职责。因此,扩展用户集的表达能力是一个非常值得关注的重要问题,尤其是在基于工作流的访问控制技术中,而当前的研究几乎都忽略了这一点。此外,在RBAC应用于诸如工作流系统的研究中,很少考虑企业组织结构对RBAC实现的影响,对于企业信息系统中角色和权限的特点也未作研究,而如何设置角色与权限对一个实际系统实施基于角色的访问控制起着至关重要的作用。本论文对工作流系统访问控制技术进行了较深入的研究。通过分析影响工作流系统访问控制的各种因素,在借鉴传统访问控制模型的基础上,从用户角度出发,引入企业人员的组织方式,提出了基于用户集扩展的角色访问控制模型,从而扩展了用户集的表达能力、考虑了企业组织结构对访问控制实现的影响,并以此为基础,将静态和动态授权融合在同一个访问控制系统之中,进而结合了当前被动和主动安全模型的优点。访问控制的实现是本文的另一个研究重点。通过较深入的研究与分析目前各种不同的实现访问控制的方法,本文针对被动式的基于角色访问控制在企业环境中的应用,设计出了一种基于加密权限代码的访问控制方法,并利用加密技术,以提高权限数据的安全性。文中结合信息系统开发实例,详细介绍了该方法在被动式的基于角色访问控制中的实现原理及其使用方法。最后,对该方法在主动式的基于任务访问控制中的应用进行了探讨。该方法已应用于《旅馆业治安管理信息系统》,此软件已通过公安部安全与警用电子产品质量检测中心(公京检062038号)的检测,且在应用中取得了较好的效果。

陈丽萍[3]2008年在《工作流系统访问控制模型的研究》文中研究说明近年来,工作流管理系统越来越多地被应用到各种领域中。然而,工作流系统还存在很多问题有待于进一步研究和解决,其中之一就是系统的安全问题。本文的研究重点是:访问控制技术,它是实现工作流信息系统安全性的重要手段之一。访问控制本身是一门很深奥的学问,而工作流的访问控制研究的是如何将访问控制模型,更恰当、更简洁地应用到工作流系统中,使得工作流运转更好地和人的操作有序地结合起来。访问控制技术与访问控制模型理论密切相关,目前业界提出了多种访问控制模型,如自主访问控制模型(DAC)、强制访问控制模型(MAC)、基于角色的访问控制模型(RBAC)和基于任务的访问控制模型(TBAC)等,但这些模型并不能完全满足工作流环境下的访问控制需求。本论文首先介绍了工作流与访问控制技术的研究现状与发展进程,通过分析各种访问控制模型的优缺点,结合扩展RBAC模型和TBAC模型的优点,设计出一个专门适用于工作流环境的访问控制模型——扩展T-RBAC(Task-Role-Based Access Control,T-RBAC)模型。实现了工作流环境中的最小特权原则、解决了动态职责分离约束问题,并且访问控制的粒度可以根据实际的需要达到合理的程度。之后本文论述了扩展T-RBAC系统的设计与实现,着重叙述了其中的关键技术和设计难点。包括系统静态模型的类图、获取权限的时序图、任务列表生成算法、动态授权等。扩展T-RBAC原型系统分别在设计定义和工作流运行这两个阶段给工作流系统提供访问控制服务,较好地解决了当前工作流系统中存在的安全性问题。最后对论文的工作进行了总结,并对未来的工作进行了展望。

张川波[4]2007年在《Web统一用户权限控制模型的研究与设计》文中提出基于角色的访问控制从上世纪90年代开始出现,其基本思想是:把对资源的访问权限分配给角色,根据用户的职能和责任把适当的角色赋予用户,角色在资源和用户之间起到桥梁作用。它支持最小特权、责权分离和数据抽象等安全原则,在大型应用系统中应用广泛。在学术界,基于角色的访问控制也是一个研究热点,其中以美国George Macron大学的Sandhu等人提出的基于角色的访问控制模型(RBAC96、ARBAC97、ARBAC99等)影响较大。尽管目前已有的基于角色的访问控制模型可以解决一般的权限问题,但是也存在一些不完善之处,比较难于在大企业和组织的管理信息系统中使用:比如很多模型的具体实现只能控制业务权限,对数据权限的控制很弱或者不好控制;权限控制的粒度太粗,不能做到细粒度、精致的控制;很多权限系统实现效率太低,每次权限验证都需要多次访问数据库,对系统响应时间影响较大;RBAC96模型中角色只能集中式管理,不适应大组织和企业中的非集中式管理和分级授权要求;以及RBAC系列模型不支持动态权限,对工作流中产生的动态角色无法进行细致的控制权限等等。论文借鉴了RBAC96、ARBAC97模型和TBAC模型的核心思想和优点,并进行了改进,引入了管理域的思想进行分级授权,并使用规则策略实现主体和客体的关联以及对动态权限、上下文相关权限的支持,提出了基于管理域和规则策略的角色管理模型,即DR-ARBAC模型,很好的解决了上述问题。针对Web应用中的管理信息系统的特点,结合实验室科研项目中国某极地研究所极地科学数据库系统和上海某学院数字校园项目的具体需求,论文分析并给出了DR-ARBAC模型的具体实现,透明的应用于新开发的系统,实现了权限的非集中式管理,在不同组织机构中保证权限控制相对统一,同时又不相互影响,对于数据权限、动态权限和工作流中的动态角色也提供了支持;对于模型实现中的效率和灵活性问题,也给出了具体的解决方案。在扩展性和灵活性方面,DR-ARBAC模型本身也提供模型的扩展点,通过规则策略中自定义不同的策略,并在上下文支持下,可以扩展本模型,从而支持管理信息系统中复杂多变的权限业务要求。

陆春晖[5]2015年在《基于角色和任务的工作流访问控制管理模型》文中认为随着计算机技术和网络技术的快速发展,工作流管理系统得到了广泛应用,工作流管理系统的安全问题也日益突出。访问控制技术是保障信息安全的一个重要手段,已被广泛应用于工作流管理系统中来保证系统数据的安全性和对数据操作授权的有效性。本文在深入研究了工作流管理系统现在常用的一些访问控制技术基础上,提出了一种基于属性约束的RTBAC访问控制模型,该模型仍然是基于角色和任务的访问控制模型,但在角色和任务实例动态指派中,加入了任务实例的属性约束,使得任务实例的执行者更加符合任务实例的要求。本文研究内容主要有一下几个方面:(1)深入研究和分析了工作流管理系统领域的访问控制模型,研究了现有访问控制模型的优缺点。(2)提出了一种基于属性约束的RTBAC访问控制模型——A-RTBAC访问控制模型。该模型在RTBAC模型基础上,在角色-任务实例的动态指派中,增加了任务属性约束,使得角色用户集中只有满足任务实例属性约束的用户才能获得执行任务的权限。在原来RTBAC模型的基础上,提高了任务实例与任务实例执行者之间的匹配准确性,提高了系统的安全性。(3)给出了A-RTBAC模型的形式化建模,定义了模型的相关约束规则。(4)将A-RTBAC模型应用于Weike学习资源管理系统中,完成了系统的权限管理子系统的设计和实现。

刘宏[6]2005年在《角色与任务相结合的访问控制技术研究与应用》文中研究指明本论文研究角色与任务相结合的访问控制技术及其在电子政务系统中的应用。访问控制作为国际化标准组织定义的五项标准安全服务之一,是实现信息系统安全的一项重要机制。然而,传统的访问控制技术——自主型访问控制和强制型访问控制,已远不能适应当代系统安全的需要,而基于角色的访问控制(Role-Based Access Control,简称RBAC)和基于任务的访问控制(Task-Based Access Control,简称TBAC)成为近年访问控制技术研究热点。 作者在参加宜宾商务局信息管理系统(以下简称“宜宾商务系统”)开发工作中,访问控制的设计采用了RBAC和TBAC相结合的基本思想,初步的实践表明:与仅采用RBAC或TBAC的控制方式相比,二者相结合的访问控制方式更能够充分发挥两种方式的优点,弥补各自的不足,是一种值得进一步探讨的访问控制技术。 本论文反映的研究工作及其贡献包括: 1.采用RBAC和TBAC相结合的思想,设计并实现了“宜宾商务局信息管理系统”的访问控制,使用实践表明访问控制在方便性、灵活性和安全性方面比传统方式更优。 2.进一步界定了RBAC中“角色”和TBAC中“任务”内涵。 3.对宏观的“角色”和“任务”进一步细化为树型结构的“角色类”、“角色子类”和“任务类”、“任务子类”等。 4.在传统方式远程访问中常采用CA与角色挂钩的方式,在宜宾商务系统设计中,笔者探索性地将CA功能仅限于身份认证,而与角色相分离,以便在RBAC和TBAC相结合的访问控制中使角色易于重用。 5.为将来进一步改善TBAC模型,建议: ①将授权处理过程状态细化,明确划分多个阶段; ②在授权规则的依赖关系中加入状态因素,使任务进程迁移更加清晰。

宁运飞[7]2010年在《信息系统访问控制模型研究与应用》文中研究指明访问控制是对信息系统资源进行保护的重要措施,能显式的允许或限制用户访问的能力及范围,其基本目标就是防止非法用户进入系统以及合法用户对系统资源的非法使用。随着信息化建设的发展,访问控制技术的思想和方法迅速应用于各个领域的信息系统中,成为解决系统安全的关键技术之一。本文介绍了已有的访问控制模型,在对信息系统访问控制需求及特点进行分析的基础上,把RBAC模型和TBAC模型结合起来,同时将组织结构从以往的角色属性中独立出来,构建了一种改进的基于角色与任务的访问控制(ETRBAC)模型,并给出了其基本概念、形式化定义及约束描述。在模型的实际应用中,根据信息系统的任务特点,讨论了任务流程的流转控制和动态权限的授予过程。结合Lotus平台自身的安全机制,将访问控制模型应用到信息系统中,实现了访问控制的应用流程。并以系统中的公文管理流程应用为例,分析了公文处理流程的执行过程和权限分配,解决了传统的工作流信息系统中访问控制的不足,提高了系统的安全访问控制能力。

邓金侠[8]2008年在《B/S模式下基于工作流的访问控制模型研究》文中认为随着信息技术的发展,工作流系统变得越来越复杂,在满足应用需求的同时对其安全性有了更高的要求,因而需要更好的安全模型应用于工作流系统,其安全模型中运用最典型的安全技术是访问控制技术。近年来工作流系统中访问控制技术得到广泛的研究,其中两种广泛应用的访问控制模型RBAC(Role-Based Access Control)和RTAC(Task-Based Access Control)在一定的程度上解决了角色授权和任务分配的控制问题。但是,随着系统复杂性增加,这两种模型并没有真正解决最小特权和职责分割问题,也不能满足用户工作流流程频繁变动的需求。针对这些不足,本文构建了一种可变流的动态角色_任务_视图访问控制(DRTVBAC)的细粒度访问控制模型,通过一种可变流的动态任务授权方法和在实际系统中的算法实现,有效解决了实际应用中复杂系统的最小特权和动态职责分割的安全问题。DRTVBAC模型根据角色策略进行动态角色分配管理,非敏感角色可以进行交叉分配,敏感角色不能交叉分配。角色在特定的任务流条件下,根据职责被分配一定的任务,该任务是工作流中一个原子性节点任务。角色满足预定的相容和相斥属性,通过获得访问某种功能模块权限的动态视图,实现具有层次关系的可执行任务的角色集R(Role)的动态管理,提高了界面操作的简洁和界面信息的安全。为满足实际应用需求,在活动视图的基础上通过可变流算法改变任务流的执行顺序,不影响各个角色执行相应的任务,但会改变各个角色执行任务的时间顺序,并通过视图展示出各角色的相关任务;无论任务流的顺序怎么改变,DRTVBAC模型始终保持了角色、任务和视图叁者的安全关联关系。DRTVBAC模型可变流算法实现基本思想是:K_i表示一个工作流中任务单元N_i的状态,K_(i+1)表示一个工作流中任务单元N_(i+1)的状态,i表示一个任务在工作流中的位置,通过判断Ni的状态Ki和N_(i+1)的状态K_(i+1)而确定是否执行N_(i+1)直到工作流执行完毕。DRTVBAC模型在机动车驾驶员培训管理系统已经成功应用,特点是:与任务相关联的动态角色管理,灵活的权限控制、授予与收回;符合权限激活角色执行某一特定任务的最小特权原则;实现了工作流中的权限授予和任务完成分离的职责分割原则;防止敏感信息泄露的简洁动态视图操作界面;满足用户实际需求的可变任务流。

刘泽民[9]2015年在《基于工作流的档案数字化管理系统研究与实现》文中认为随着信息化技术的高速发展,信息化建设的步伐也在不断的推进,越来越多的基于工作流的信息化管理系统被广泛的应用于企业、政府等组织。其中所涉及的工作流、权限管理等技术一直是人们不断研究的课题。随着信息管理系统变得越来越复杂,既要满足应用需求,还要保证功能权限及数据资源的安全性。安全控制模型在工作流系统中对于流程的访问控制至关重要,需要更好的细粒度化的安全模型应用于工作流系统。安全模型中运用最典型的安全技术是访问控制模型技术,其中基于角色的访问控制模型和基于角色和任务的访问控制模型在一定的程度上解决了角色授权和任务分配的控制问题。但是,随着系统复杂性增加,这两种模型将访问控制的权限控制到任务级别,并没有解决的动态数据的访问控制问题。针对以上不足,本文在基于角色和任务访问控制模型基础上提出改进模型:基于角色/任务/信标可变流动态分发的访问控制模型,并实现工作流的可变流动态分发算法,很好的解决了流程中动态数据控制及流程转发的问题。其次,本文针对现有信息管理系统中的权限管理技术,分析了基于角色访问权限(RBAC)模型,其使用功能级别权限来限制数据资源的访问权限的方式已经不能满足目前实际需求的需要。基于以上分析,本文针对基于角色访问权限(RBAC)模型的不足进行改进,提出其改进的模型—基于角色访问数据权限的细粒度模型,将原有的功能权限控制到数据权限级别,达到了对数据资源的最小约束的控制,保证了安全性。基于以上对工作流访问控制模型及权限管理的研究,本文结合实际的某研究所档案管理的具体项目,开发了基于工作流的档案数字化管理系统。完成了档案管理工作由传统方式向数字化管理模式的转变,信息系统的内部较完善的权限管理保证了系统的安全性,同时使得人员对系统的使用更加方便;工作流技术的引入使得档案管理工作的流程更加规范化,基于流程任务驱动的方式提高了工作的效率,新的访问技术模型的应用,使得工作流的流程转发的访问控制达到细粒度的管理,对于流程的操作更加安全、高效。

隋韦韦[10]2007年在《企业环境下基于角色与任务的访问控制研究》文中研究表明访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法,在电子商务环境下,它是解决企业信息系统安全的关键方法之一,也是信息安全领域研究的重点和热点。目前已存在多种访问控制模型,但均具有一定的局限性,不能很好地满足现代企业中用户岗位频繁变化、业务流程日益复杂以及分布式管理等要求。本文在对已有访问控制模型进行研究的基础上,分析了各种模型的优势及其不足,并根据企业环境下访问控制的特点和需求,将基于角色的访问控制(Role-Based Access Control,RBAC)与基于任务的访问控制(Task-Based Access Control,TBAC)相结合,提出了一种分布式环境下基于角色与任务的访问控制模型T-ARBAC(Task-Administrative RBAC),这种模型能较好地满足企业访问控制的要求,具有灵活性和通用性;同时,本文利用统一建模语言(Unified Modeling Language,UML)对T-ARBAC模型进行了建模、分析和设计,在模型的可实现性上,引入单点登录对其进行了验证,并取得了较好的效果。本文所提出的T-ARBAC模型以角色与任务作为访问控制的主元素,使用户与权限实现了逻辑分离,该模型具有如下特点:1.主动访问控制与被动访问控制相结合,既能处理属于业务流程的任务,又能处理不属于业务流程的任务,提高了访问控制的灵活性;2.对管理角色和管理权限进行了划分,较好地满足了企业的分布式管理要求,减少了授权管理的复杂性;3.对任务进行了类别划分,解决了继承中的私有权限问题。

参考文献:

[1]. RBAC模型在Web环境下的研究与应用[D]. 杨凯. 中北大学. 2008

[2]. 基于角色的工作流系统访问控制模型的研究[D]. 吴佩莉. 兰州理工大学. 2008

[3]. 工作流系统访问控制模型的研究[D]. 陈丽萍. 大连海事大学. 2008

[4]. Web统一用户权限控制模型的研究与设计[D]. 张川波. 上海交通大学. 2007

[5]. 基于角色和任务的工作流访问控制管理模型[D]. 陆春晖. 苏州大学. 2015

[6]. 角色与任务相结合的访问控制技术研究与应用[D]. 刘宏. 西南交通大学. 2005

[7]. 信息系统访问控制模型研究与应用[D]. 宁运飞. 中南大学. 2010

[8]. B/S模式下基于工作流的访问控制模型研究[D]. 邓金侠. 重庆工学院. 2008

[9]. 基于工作流的档案数字化管理系统研究与实现[D]. 刘泽民. 西安电子科技大学. 2015

[10]. 企业环境下基于角色与任务的访问控制研究[D]. 隋韦韦. 青岛大学. 2007

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于角色与任务的访问控制模型研究
下载Doc文档

猜你喜欢