一种面向业务的动态访问控制模型
Web Services中基于信任的动态访问控制
具 有与平 台无关 、 松散耦合 、 开放性等优点 , 已经成 为企业信息
集 成和应用整合 的首选 方案 。信息集 成和应 用整合 牵涉 到对
不同域 中整合和调用 , 而不 同域 中的访 问控制模 型和策略可能
vri P s & Tl o mu i t n , nig2 0 0 ,C ia esyo ot tf s e cm nc i s Naj 10 3 hn ) e ao n
、
A bsr c t a t: I e e vc ss se ,dy a cn d t m iitc u e e a i rma est e p e e c e sc n r lmo e f c l o n W b S r ie y tm n mi on eer n si s rb h v o k h r s nta c s o to d ldi u tt i f
权和认证技术 , 只是使 用 X 它 ML定义 _ 『一种普 通 的用 来描 述 信息 和安全 系统输 出的语 言。针对不 同的 目的 ,A S ML提供 以
下 几 种 不 同类 型 的 安全 断 言 :
a 身份验证 断言 ( uhni t nasro ) ) a t t ai se i 。在该 断 言中, e c o tn 主体 的身份 已经通 过验证 , 描述 了身份验证信息 。
为: 发布服务描述 、 查询 或发现服 务描述 以及根据 服务 描述绑
定 或 调用 服 务 。
b 属性 断言 ( t b t asro ) ) a r ue se in 。该 断言包含有 关主体 的 t i t 特定信息 , 如主体 的信用 限制 、 问级别 、 访 信用 等级 或其 他合法
一种面向构件的访问控制模型及访问控制框架研究
用关系以及模型的独立性和代码无关性。因此 , 提 出一种新 的以角色 为基础 的 、 向构件 的访 问控 制 面
模型和框 架 , 基 础 的 角色 分 为基 本 角色 、 能 角 把 功 色和任务 角色 , 为 每种 角 色 定义 一组 特 征 集 , 并 然 后根据这 些特 征建 立 一种 角 色 构 件 和一 种访 问控
联接适 配器进 行处 理 。同时 , 照构件 关注点 分离 按 的 区别和层次 粗 粒度 的大 小 可分 为业 务 逻辑 和 服 务构 件 、 业务 构 件 、 构件 系统 。其 中业 务构 件是 最 大粗粒 度 的可重 用 构 件单 位 。而 关 注点 分离 是 保 持构件 自治性 , 松 耦 合 度是 实 现平 台 、 言 的无 散 语 关性 。构件 系统 是 由一 系 列业 务 独 立 的构件 子 系 统组 成 , 每个构 件子 系统 由一个或 一系列业 务构 其 件组装而成 。 构件 库 是 作 为 整个 基 于 构件 的软 件
需求 。
1 相 关 概 述
研 究面 向构件 的访 问控制 模 型及 访 问控 制框
架的基础是建立在构件体系设计思想上的, 目 而 前
使 用 构 件 技 术 主 要 以 C R A、 O 、 ci X、 O B C M Ate v VC 、J L E B等为代 表 , 这些 技 术 主 要采 用 面 向对 象
和 配置文件 把权 限分 派到其他 构件和相 应 的业务逻 辑 中 , 完成 数据 访 问控 制 , 最后 还给 出了 角色
构件 与其他 构件模 式 的关 系。
关键 词 : 面向构件 ; 色构件 ; 角 配置文 件 ; 特征 集 中图分类 号 : P 9 . T 3 15 文献标识 码 : A 文章编号 :6 2 6 6 2 0 )5—0 7 1 7 —1 1 (0 7 1 0 0—0 4
面向服务角色访问控制模型研究
面向服务的角色访问控制模型研究摘要:面向服务的体系结构由于其结构的松散性和计算的动态性等特点,使得其安全管理更加复杂。
提出了一个面向服务的角色访问控制模型,该模型通过引入环境角色等概念来描述动态的上下文约束条件,并在授权时使用增强权限约束机制,提供了一种更为灵活的授权方法。
此外模型通过增强的权限集,将分派给角色的任务与需求权限之间关联,有效地加强系统的安全性和访问控制的灵活性,也更适用于具有复杂安全特性的面向服务的软件环境。
关键词:服务计算;访问控制;权限约束;动态授权中图分类号:tp3091引言面向服务的体系结构(service-oriented architecture,soa)是一种重要的构建分布式系统的组件模型,它以软件服务的形式公开业务功能,使得其它应用程序可以通过已发布和可发现的接口来使用这些服务。
由于soa具有开发效率高、响应快、费用低等优点,受到了人们的广泛关注,并已成为新一代的软件系统开发模式。
由于soa具有松散耦合性和计算动态性等特点,造成其安全管理更为复杂。
访问控制技术作为信息安全的核心技术之一,通过某种途径显式地准许或限制主体对客体访问能力及范围,来达到系统信息资源地保密性和完整性的一种方法。
它是针对越权使用系统资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证系统资源受控的、合法的使用。
现有访问控制模型,如dac,mac、rbac等,这些模型都是从系统的角度出来保护资源,都是被动的安全模型,没有考虑主体执行操作所处的环境,很难满足应用系统的动态性和开放性的要求,因此无法直接使用于soa环境中。
本文提出了一个面向服务的角色访问控制模型soa-rbac。
该模型通过引入环境角色等概念来描述动态的上下文约束条件,并在授权时使用增强权限约束机制,提供了一种更为灵活的授权方法。
此外,模型通过增强的权限集,将分派给角色的任务与需求权限之间关联,有效地加强系统的安全性和访问控制的灵活性,也更适用于具有复杂安全特性的soa环境。
一种面向云计算的任务-角色访问控制模型
( 1 . 湖 南大 学,长 沙 4 1 0 0 0 4 ;2 . 湖 南科技 职 业 学院 ,长沙 4 1 0 1 1 8 )
摘
一
要 :针 对 云计 算模 式下用 户访 问安全 的 问题 , 简单分 析 了基 于角 色和 任务 的 访 问控 制模 型 的 内容 , 提 出了
acc es s.
Ke y wo r d s :c l o u d c o mp u t i n g ;a c c e s s c o n t r o l ;r o l e;t a s k
0 引言
云计算在互联 网中的应用越来 越广泛 , 它提供 了大 型数据
来越 高 , 访 问控制模型在云计算环境 中显得尤为重要 。 1 . 1 基于 角色的访 问控 制
pl i ie f d ma na g e me nt o f p e r mi s s i o n s i n t h e a c c e s s c o n t r o l mo de l s a nd f ur t he r i mp r o v e d p e m i r s s i o n ll a o c a t i o n o f c l o u d c o mpu t i n g
Ab s t r a c t :Ba s e d o n p r o b l e ms o f u s e r a c c e s s s e c u it r y i n t h e c l o u d c o mp u t i n g mo d e l s , t h i s p a p e r ma d e s i mp l e a n a l y s i s o f t h e c o n t e n t o f t a s k — r o l e - b a s e d a c c e s s c o n t r o l mo d e l a n d o f f e r e d a mo d e l o f c l o u d c o mp u t i n g o r i e n t e d T— RB AC, i n wh i c h p e r mi s s i o n s a n d r o l e s we r e c l a s s i f i e d , u s e r s we r e g r a n t e d p e r mi s s i o n s b y a s s i g n i n g t h e m r o l e s t h a t h a v e t h o s e p e r mi s s i o n s . T h i s g r e a t l y s i m—
访问控制模型.
基本内容
访问控制首先需要对用户身份的合法性进行验证,同时利用控 制策略进行选用和管理工作。当用户身份和访问权限验证之后 ,还需要对越权操作进行监控。 因此,访问控制的内容包括认证、控制策略实现和安全审计。 1、认证:包括主体对客体的识别及客体对主体的检验确认 2、控制策略:通过合理地设定控制规则集合,确保用户对信 息资源在授权范围内的合法使用。既要确保授权用户的合理使 用,又要防止非法用户侵权进入系统,使重要信息资源泄露。 同时对合法用户,也不能越权行使权限以外的功能及访问范围 3、安全审计:系统可以自动根据用户的访问权限,对计算机 网络环境下的有关活动或行为进行系统的、独立的检查验证, 并做出相应评价与审计
第四阶段: 此后,对访问控制模型的研究扩展到更多的领域,比较有代表性的 有:应用于工作流系统或分布式系统中的基于任务的授权控制模 型(task-based authentication control,简称TBAC)、基于任务 和角色的访问控制模型(task-role-based access control,简称 T-RBAC)以及被称作下一代访问控制模型的使用控制(usage control,简称UCON)模型,也称其为ABC模型。
访问控制模型基本组成:
发起者 Initiator
提交访问请求 Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
· 发起者(Initiator)/主体(Subject):是一个主动的实体,规定可以访问 该资源的实体,(通常指用户或代表用户执行的程序) · 目标(target)/客体(Object):规定需要保护的资源 · 授权(Authorization):规定可对该资源执行的动作(例如读、写、执 行或拒绝访问) ▲一个主体为了完成任务,可以创建另外的主体,这些子主体可 以在网络上不同的计算机上运行,并由父主体控制它们 ▲主客体的关系是相对的
访问控制技术研究简介-资料
2019/10/17
访问控制技术研究简介
8
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
基于角色的访问控制(续)
RBAC时态约束模型
为满足用户-角色关系以及角色之间的关系的动态性 要求,Bertino等人于2000年提出Temporal-RBAC模 型。该模型支持角色的周期使能和角色激活的时序依 赖关系
属性的易变性(mutable)和控制的连续性(continuity) 是UCON 模型与其他访问控制模型的最大差别。
2019/10/17
访问控制技术研究简介
14
使用控制模型
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
UCON现有研究分类:
UCONABC核心模型 授权策略语言、语法和框架 安全性分析 网格计算环境 授权框架 协作环境授权框架 面向普适计算环境 面向移动自组网 面向网络服务 面向数字版权管理 多自治域环境授权
访问控制技术研究简介
9
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
基于任务的访问控制
(task-based access control,简称TBAC)
TBAC模型是一种基于任务、采用动态授权的主动安 全模型。它从应用和企业的角度来解决安全问题。它 采用面向任务的观点,从任务的角度来建立安全模型和 实现安全机制,在任务处理的过程中提供实时的安全管 理。 TBAC的基本思想:
现有的风险等级划分方法:
抽取风险因素 授予风险因素权重 简单累加得出风险等级
Jame BD 准备下一步将风险引入到访问控制中。
2019/10/17
访问控制技术研究简介
13
WS-BPEL业务流程与访问控制
[ src ]Amiga esc ryn e s f nep s p l a o ihi wi eS rieOr ne rhtc r(O ,hs a e n lzs h Abtat i n th eu t ed t r eapi t nwhc t t evc— i tdA c i t eS A)tip praaye e t i o e ri ci s hh e eu t
过程对企业资源进行访问控制的 目 。 标
2 WSB E -P L流程执行语言
WSB E —P L是一种流程执行语言 ,作 用于若干 We b服务 ( 为伙伴) 称 之上 ,将其编排成 为能 够完成特 定任 务的业务流
程 。 —P L WS E 流程本质是包含 了执行活动 等元素的容器 。 B 其 中,执行活动大体分为 2类 :基元活动( 如表 l所示) 和结构
采 用 S A 架构 组织 和 实 现 业 务 逻 辑 ,进 而 构 建 业 务 流程 。 O
综上所述 ,胜任于传统工作 流的访问控制技术不能简单 地移植到 WSB E 业务流程 。本文提出了一种面 向执行 体 —P L 的访 问控制模型 ,并将 其结合到 WSB E — P L来达到流程执行
W S BPEL sn s o e sa dAc e sCo t o . Bu i e sPr c s n c s n r l
SaaS工作流访问控制模型设计
1 ・ 2
Co m e a No. 2 2 mp r Er 3 01
Sa a S工作流访 问控制模型设计
王丰锦 。张群芳 ( 北京同方软件股份有限公司,北京 10 8) 000
摘 要 :在 Sa aS中, 们正逐渐采用基 5 ̄. 的业务 流程 来满足企业业务流程 的灵活性和定制性。从 实现 工作 流访 问 人 -a 务 控 制的角度 , 当使工作流访 问控制模型与流程模 型分 离, 应 以支持在流程 改变或组 织机构 变化 时减 少对彼 此的影响。为 此 , 计 和 实现 了一 个 面向服 务 的 、 设 支持 访 问控 制 模 型 和 流程 模 型 分 离的 S a aS工作 流 访 问控 制 模 型一R w Bs c
Absr c : S r ie re td ta t e vc o n e wokf w h s e n d p e i t e S a a piain o i rl o a b e a o td n h a S p l to t me t te le iii a d c so z t n f c e h f xbl y n u tmiai o t o e tr rs ifr t n y tm,whc e haie e s p rto c e s o to d l n d t e wo k o n epie n omai s se o ih mp sz s t e aain ofa c s c nr lmo e a r f w mo e.I i a e e h h l d 1 n t sp prt h h
0 引 言
Sa 是 Sf a saSr c( aS o w r a e i 软件即服 务) t e ve 的简称 , 是一种 通 过 互联 网 向公 众特 别是 中 小 企业 提 供 应 用软 件 的模 式 。 Sa 软件厂商将应用软件统一部署在 中心服务器上 , aS 租户可 以
访问控制技术研究简介
2019/11/20
访问控制技术研究简介
20
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
访问控制技术应用环境
网格(grid)
目前常用的有3 种网格计算环境:Condor,Legion 和Globus。 网格计算中的访问控制一般是通过身份证书和本地审计来
起源:20 世纪70 年代,当时是为了满足管理大型主机系统 上共享数据授权访问的需要。
发展:访问控制作为系统安全的关键技术,既是一个古老 的内容又面临着挑战。随着计算机技术和应用的发展,特 别是网络应用的发展,这一技术的思想和方法迅速应用于 信息系统的各个领域。对网络安全的研究成为当前的研究 热点。
映射机制(主体映射,客体映射,角色映射,属性 映射)
委托机制 指定机制 安全联盟机制 信任管理机制 等等
2019/11/20
访问控制技术研究简介
17
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
多自治域互操作访问控制技术
互操作代表性模型
IRBAC2000(角色映射,适用于具有可信任的控制 中心环境)
DRBAC(角色委托,使用于动态结盟环境) Trust Management(信任管理)
2019/11/20
访问控制技术研究简介
18
华中科技大学计算机学院智能与分布式计算机实验室(IDC)
多自治域互操作访问控制技术
互操作研究分类:
1.构建跨域授权框架或体系结构
Purdue大学的Shafiq等人提出了一套集中式的建立多域互操 作关系框架
它利用上读/下写来保证数据的完整性,利用下读/上写 来保证数据的保密性。
MAC是由美国政府和军方联合研究出的一种控制技术, 目的是为了实现比DAC 更为严格的访问控制策略。
面向虚拟企业的PT-TRBAC动态访问控制模型
面向虚拟企业的PT-TRBAC动态访问控制模型董冠群;张文芳;王小敏【摘要】在分析虚拟企业访问控制的基本要求以及现有访问控制模型特点的基础上,提出一种基于项目团队和任务角色的高效动态访问控制模型.该模型在无缝集成底层企业级基于角色访问控制模型的基础上,在上层根据任务流程将各盟员企业划分为不同的项目团队,进而实现了基于项目团队和任务角色的分层细粒度动态访问控制.同时,通过定义用户权限更新及撤销算法并引入自动角色指派策略和自动授权策略,实现了虚拟企业工作流系统的动态权限管理,支持虚拟企业中用户—角色和角色—任务—权限的自动指派.【期刊名称】《计算机集成制造系统》【年(卷),期】2014(020)007【总页数】15页(P1716-1730)【关键词】虚拟企业;访问控制;项目团队;任务角色;自动授权【作者】董冠群;张文芳;王小敏【作者单位】西南交通大学信息科学与技术学院,四川成都610031;西南交通大学信息安全与国家计算网格四川省重点实验室,四川成都610031;西南交通大学信息科学与技术学院,四川成都610031;西南交通大学信息安全与国家计算网格四川省重点实验室,四川成都610031;西南交通大学信息科学与技术学院,四川成都610031【正文语种】中文【中图分类】TP309;TP3190 引言虚拟企业(Virtual Enterprise,VE)又称敏捷企业或企业动态联盟,是指一些地理位置分散的企业、联盟或个人,围绕某些新产品开发而共同分担风险,共享技能和资源,并以最小的投资、最快的反应速度把握市场机遇,形成暂时合作的动态战略联盟。
它是经济全球化过程中最有发展前景的商业策略之一[1-4]。
在由项目驱动而临时组成的虚拟企业联盟中,随时存在着跨企业边界的商业活动,各盟员企业在共享资源的同时,还需确保自己敏感信息的安全,导致虚拟企业中的访问控制比传统企业的访问控制更加复杂。
因此,在大型分布式网络通信环境下,如何设计满足虚拟企业敏捷性、动态性、时限性、成员企业地域分散性以及不同企业信息平台差异性等特点的访问控制模型和策略,将是保证虚拟企业安全高效运作的前提。
访问控制技术研究综述
访问控制起源于20世纪60年代,是一种重要的信息安全技术。
所谓访问控制,就是通过某种途径显式地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户侵入或者合法用户的不慎操作造成破坏。
访问控制一般包括主体、客体和安全访问规则3个元素。
主体是指发出访问操作、存取要求的主动方,通常指用户或某个进程;客体是一种信息实体,指系统中的信息和资源,可以是文件、数据、页面、程序等;访问规则规定了哪些主体能够访问相应的客体,访问权限有多大。
1访问控制一般原理在访问控制中,访问可以对一个系统或在一个系统内部进行。
在访问控制框架内主要涉及请求访问、通知访问结果以及提交访问信息。
访问控制的一般模型见图1。
该模型包含了主体、客体、访问控制实施模块和访问控制决策模块。
实施模块执行访问控制机制,根据主体提出的访问请求和决策规则对访问请求进行分析处理,在授权范围内,允许主体对客体进行有限的访问;决策模块表示一组访问控制规则和策略,它控制着主体的访问许可,限制其在什么条件下可以访问哪些客体。
2传统访问控制早期的访问控制安全模型有自主访问控制(Discretionary Access Control,DAC )模型和强制访问控制(M andatory Access Control,M AC )模型,这两种模型在20世纪80年代以前占据着主导地位。
DAC 模型是根据自主访问策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。
DAC 模型的主要特点是授权灵活,系统中的主体可以将其拥有的权限自主地授予其他用户;缺点是权限很容易因传递而出现失控,进而导致信息泄漏。
M AC 模型是一种多级访问控制策略模型,它的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。
基于RBAC模型扩展的面向业务的授权访问控制方法
权 许可 ( P I i M s ) 部 分结合面 向业务 的特 征进行扩 展 ,主要新 添加了业务单元 ( B u s i n e s s U n i t ) 定 义 ,并将原模 型中的操作 ( 0 P S ) 及数据 ( O B S ) 以 业务 单元为单位 进行重新划 分 ,将操 作和数据 按 照业务 内聚度 归集到业 务单元下 ,使应用本 文 定义的授权访 问控制模 型的应用 系统中 ,不 再存 在独立 的操 作和数据 。设计时 的具体 内容
本 文提供 了一种基于R B A C 模 型扩展 的面 向 业务 的授权访 问控制方 法,将R B A C 模 型 中授权 许可 ( P 脚S ,p e r m i s s o n s ) 的操作和 数据 ,按照 业务 内聚度 ,划分成业 务单元 ,使 操作和数据 包含 在业务单 元 中,形 成一个有机 整体 ,使授 权许 可 以面 向业 务的业 务单元为分 配的单位 , 并 以此为基础 提供一种 应用系统 的授 权访 问控 制 的方法 。 针 对 以上 的问题 解决方案 。本文公开 的方 法 ,提供 了一种 基于R B A C 授 权访 问控 制模型扩 产运营调度综合信息平台 )。 展 的面向业务 的授权访 问控制方法 ,包括设计 时 、分配 时和运行时三个阶段 。 多对 1 9 8 2 -),男 , 山东苍 山人 ,硕 2 . 1设计 时 一 多关联 关系 该 关系表示一个 角色可 以分 配多 作者简 介 :余九华 ( 设计 时 阶段 。基 于 R B A C 基本 模 型 ,对授 个业务单 元 的授权 ,一个业务 单元 的授权 可以 士,研 究方 向:煤矿企业信忠化集成 与业务应用。
分配给 多个 角色,角色和业 务单元之 间的一个 分配关系 ,产 生一个关联 的角色 的授权 分配 实 体。在一个业 务单元 的角 色授 权 中,一个角 色 实体可选择分 配一个业务 单元实体下 的一个 或 多个业务操作 实体 ,表示 该角色在 当前业务 单 元下可执行 哪些业务操作 。如果该业务操作 在 业务单元授权 定义时定义 了数 据权限约束 ,则 包括 : 应根据数据权 限的定义为角色 分配执行该操 作 业务单元实体作 为授权许 可 ( P R M S ) 的基本 时可访 问的数 据范围 。从而产 生角色 的数据 授 单位 ,包含业务 数据结构 实体和业务 操作实体 权分 配实体 数据。 ( 组合 关系) ,其 中业务数据 结构实体 用于描述 2 . 3运 行时 业务 单元下 的业 务实体数据 结构 ,业 务操作实 运行时阶段 。授权访 问控制运行时服务对 体用 于识别业务 单元下 需要 进行授权访 问控制 外提 供服务调 用接 口,接 收应 用系统 中各程序 的操 作,数据权 限实体用于 定义业务 单元数据 组件 的授权访 问控 制的相关调 用。服务调用接 权 限控 制的数据 范围的划分 依据 ,由于数据权 口 遵 循基本 的R B A C 模型定义 的操 作接 口标准 , 限实体 定义可在 多个业务单 元间复用 ,因此它 在 角色的授权访 问控制部分 ,采 用 以业务单元 与业 务单元实体 之间是一种 聚合关系 。业 务操 为 基 本单 位 的访 问控 制 。在 运行 时服 务 的 内 作实体 和数据权 限实体 的关 联关系是 一种 多对 部 ,根据输入 的会 话和业务单元 、业 务操作等 多关 系,该关系表 示一个业 务操作在执 行时受 信 息,加载业务单 元定义 ,根据 分配时设置 的 到哪 些数据权 限的约束 。业 务数据结 构实体和 角色 的授权分配 结果进行逻辑运 算, 向调用返 数据授权 实体之 间是一种 多对 多关系 ,该关系 回授权访 问控 制的结果。 表示 一个 数据权 限在作用于业 务实体数据 时, 3 . 总结 具体 和该 业务 实体数 据 的哪个数 据域 ( 字段 或 本文 提供 的 面 向业务 的授权 访 问控 制方 字段组合) 相关 。 法 ,将 原R B A C 模 型中的操作和数据 ,按照业务 业务 数据结构实体 定义 ,采用数据模 型来 内聚度 ,划分成业 务单元 ,使操 作和数据包含 描述业 务数据结 构。业务数据 定义映射 到关系 在业 务单元 中,形 成一个有机整体 ,使面 向业 型数据库 中是一组 具有主从关 系或关联关 系的 务 的业 务单元成为授 权分配和授权访 问的基本 表或视 图的集合 ,因此 ,业务 数据是一组 数据 单位 。通过这种面 向业务 的划分 ,使应用系统 集 ,每个 数据集 是一个二维表 结构 ,包括 列集 的授权 的分配和访 问控制体现 出清 晰的业务 内 和行集 。 聚度特 征 ,符 合 业务 关系 的 内在 规律 性 ,业 数据 权限实体定义 ,用于定义数据权 限控 务单 元具有业务完 整性的特点 ,具有 明确的边 制 的数据 范 围的划 分依据 。其 中数据 范围是指 界 。当授权访 问控 制需求变化时 ,业 务单元作 业务 单元 中 的业务 数据 的取值 范围 。根据 上文 为授权 访 问控制 的变 化基本单位 ,与 以往孤立 所述 ,业 务数据 的取值范 围的划分 ,就是对 业 的操作 和数据作为变 化的基本单位相 比,业务 务数据对 应 的每 一个二维表 的列集和行集 两个 单元 可对变化进行 有效封装 ,使变化 分解并 限 维度进行 划分 ,数 据权限实体 用于定义对 此数 制在局部 ,从而使变化更加 可控 。 据范 围的划分 的依据 。 基金项 目:江苏省省级现代服务业 ( 软件产业 )发展 2 . 2分配时 z 0 6 5 :煤 炭企业集团安全生 分配 时阶段 。角色 的授 权 以业务 单元为单 专项 引导 资金资助项 目 (
面向业务活动的企业知识模型构建方法与系统
点 ,描 述 业 务 活 动 组 成 ,设 置 识 管 理专 员设 定 的模 型标 题 、输 知 识 资 源 ,支 持 文 本 浏 览 工 具 、 业 务 活 动 节 点 的名 称 、 背 景 色 入输 出及 业 务约束 等信 息 ,实时 F l a s h可 视 化 工 具 、P DF可 视 化 等属性 。 务 活 动 的 逻 辑 构 成 逐 层 分 解 业
可 以 帮助 企 业 减 少 3 0 % 的成 本 。 识管 理工作 的不懈追求 目标 。 识体系。面向业务活动的企业知识
其他作者 :杨秋 皓 ( 中国运 载火箭技 术研 究院 ),王志 勇 ( 中国运载 火箭技术研 究院长征 学院 ),杨 玉堑、褚厚斌 ( 中 国运载 火箭技 术研 究院研 究发展 中心 )
质 量 管 理 、销 售 与 分 销 、采 购 、 入体系化 的知识库,帮助航天科 业务活动为基础梳理知识 资源才能 人力资源等 2 9个 模 块 。 实 际 案 技 工 作者 提 高工 作效 率 ,确保 型 确保知识资源与业务流程的有效融
例研 究 表 明,参考 模 型 的应用 号任 务 的成 功率 ,是 航天 企业 知 合, 形成具有较强操作性的企业知
一
、
企 业 知 识模 型 的建 立
1 .知识模 型的 特点
业 务 活 动是指 在 日常工作 中 为完 成某 项 任务所 进 行 的相关 操
名 的德 国软件供 应商 S AP公 司
近 些年 ,航 天 型号 队伍 中涌 作 ,它是企业模型 中最小的组成单
的R / 3 参 考 模 型 ,其 为公 司研 究 人 了大量年轻人 , 传统 的 “ 传帮带 ” 元。企业模型建模过程 中通常只关 全 球 成功 企业 的管理 特色 和 总结 方式 已不能高效 地传递实践 经验 , 注大 于业 务 活动 颗粒 度 的流程 节 行 业 最佳 业务 实践 建 立 了相应 模 所 以如何 通过 知识 管理 的方式 将 点。对于企业知识模型而言 ,企业 板 ,并 将 业 务 过 程 分 解 为 生 产 、 航 天 几 十年 积淀 的 经验 、知识 纳 流程模 型构成 了其框架 ,但需要 以
面向服务的工作流访问控制系统动态授权模型
【 关键词 】 面向服务 工作流 角色指 派策略 角色授权策略 【 中图分类号 ]P 9 T 3 【 文献标识 ̄ l 【 S -A 文章编号]09 83 (0 10 - 13 0 10- 542 1 )4 04 - 3
工作流是由计算机支持或 自动处理的业务流程的执行 访 问控制模 型为基础 , 大型企业应用 中所 提 出的 自动授 针对
访 问控制模 型建立在主体一 体控制思想 上 的 ,只能授予 主 客
图1 是对基于授权服务控制的S A WD M模型示意图。
面向服 务的 工作 流控制 模型 将服务 作为访 问 控制 的客
体相关的权限, 不能授予其它权限[ 近年来, 。 面向服务的访 体 。 任务 的授权控 制通过授权 迁移最终转换 为对服务 的授 对 问控 制成为安 全控制领域 的热点问题 。 等人提 出 了一 种 权控 制。S A 模型 在原有 的 WS B C4 型 的基础 上增 徐伟 WD M RA C ] 模
[ 作者简介 ] 杨琦(96 )女 , 17一 , 安徽芜湖人 , 芜湖信息技术职业学院计算机工程系讲师, 硕士, 主要研究方向为工作流技术。
基于XACML访问控制模型在Web服务中的应用
基于XACML访问控制模型在Web服务中的应用XACML是一种广泛应用于访问控制的模型,它提供了一种规范化的方式来定义和管理访问策略。
在Web服务领域中,XACML可用于保护应用程序和数据资源,以确保只有授权用户能够获取到相关信息。
本文将探讨XACML访问控制模型在Web服务中的应用,介绍它的优势和使用方法。
XACML是一个面向策略的访问控制标准,它提供了一种灵活的方式来管理授权策略,并可与现有的身份验证和授权机制集成。
通常情况下,XACML包含一组政策和规则,这些规则定义了用户可以访问的资源以及他们可以执行的操作。
XACML 将访问控制过程划分为三个主要部分:访问请求,访问控制决策,和访问响应。
对于一个Web服务应用来说,XACML模型可通过一组授权策略来保护其数据资源,当用户请求访问资源时,应用程序将把请求发送给XACML引擎进行决策。
要通过XACML进行授权,Web应用必须显式地定义它提供的资源以及资源上用户可以执行的操作。
具体而言,这意味着将资源标识符,操作和相关的XACML规则,配置到应用程序的访问控制或授权配置文件中。
在XACML模型的内部,策略和规则是基于属性的,它们可以基于用户提供的属性或从其保存的属性中动态生成。
例如,XACML模型可以使用用户所在的地理位置或其上下文操作记录来确定用户的授权。
通过这种方式,XACML模型能够提供更加动态的和个性化的授权策略,而不是静态的、基于角色和权限的方法。
此外,XACML模型还可以提高Web服务的安全性和可扩展性。
出于安全性考虑,当XACML引擎接收到一个请求时,它可以执行一些安全检查来确保请求来源是一个合法的应用程序,并且用户是一个有效的和授权的用户。
对于可扩展性,XACML模型使得访问控制策略可以中心化管理,因此,在各个应用程序和服务之间共享这些策略更具可行性。
这种方式避免了在Web服务应用中实现访问控制时出现诸如代码冗余和不一致性等问题。
面向Web服务工作流系统的访问控制模型
集J P的映射 函数 ,记为 P r sin() PI ,) P } emi osr ={ ( , ∈ A ; s P
( )R c R× ,表 示 角 色 之 间 的偏 序 关 系 ,可 用 符 6 H R 号 表 示 。 , ∈R 表 示 角 色 继 承 了 角色 的 权 限 , ) H
( 1) 用 户 集 U= , , ,U } , 角 色 集 U…
R={ , , , } r r … ,权限集尸={ 1 2… ,P } lz P, , P ;
( )U × 2 AcU R,表 示 从 用 户 到 角 色 的 多对 多 的分 配
关系 ,U ( i表示为用户 U 分配了角色 r ; A u, ) r f j
性。
关系,P (, ) A rp 表示为角色 分配了权限P;
( )U es: 2 4 sr R ,表 示 从 角 色 集 到 用 户 集 u 的
映射函数 ,记为 U esr ={ l r ∈ A ; sr() U ( ) U ) ,
( )Pemi in : — 2 表 示 从 角 色 集 到 权 限 5 r s o s R , s
过与资源的运算生成 系统权 限,从而实现 了对权限的精细管理和动态调整能力。通过扩展 We b服务访 问的角色集和 用户 集,
并 引 入 角 色扮 演 对 象 ,实 现 了工 作 流 系统 中 We b服 务 与 其 它模 块 访 问控 制 的 一 致性 。将 该模 型应 用 于库 房 供 应 链 系 统 中 , 运行 结 果 表 明 ,该 模 型 能 够 增 强 We b服 务 工作 流 系统 授权 的 灵 活 性 和 安 全 性 。 关键 词 : 访 问控 制 ;W e b服 务 ; 工作 流 系 统 ;R AC;供 应 链 B
身份与访问控制
⾝份与访问控制⼀.基本概念1.主体和客体主体:⼀个主动的实体,它请求对客体或客体内的数据进⾏访问。
客体:包含被访问信息或者所需功能的被动实体。
主体在⼀个系统或区域内应当可问责。
确保可问责性的唯⼀⽅法是主体能够被唯⼀标识,且记录在案。
主体访问客体的要素:⾝份标识(你是谁)、⾝份验证(我是谁、我知道什么、我拥有什么)、授权(可以⼲什么,访问控制)⼆.⾝份标识⽤途:提供⾝份标识信息的主体创建或发布安全⾝份包括3个关键⽅⾯:唯⼀性:必须有唯⼀问责的ID⾮描述性:应当不表明账号的⽬的,例如不能为administrator、operator签发:由⼀个权威机构提供三.⾝份认证1.⾝份管理(IdM)1)⽬录服务⽬录服务为每个客体提供⼀个DN项⼀种为读取和搜索操作⽽进⾏过优化的专门数据库软件,它是⾝份管理解决⽅案的主要组件所有资源信息、⽤户属性、授权资料、⾓⾊、潜在的访问控制策略以及其他内容都存储在这⾥元⽬录和虚拟⽬录的区别元⽬录从不同位置收集信息后存储到中央库虚拟⽬录中没有实际数据只是⼀个实际路径的指向常见产品:轻量级⽬录访问协议(LDAP)NetIQ的eDirectoryMicrosoft AD2)密码管理3)账户管理2.⾝份验证⽤途:验证⾝份标识信息⾝份其实由属性、权利和特征构成1.密码管理密码同步:允许⽤户为多个系统维护⼀个密码。
该产品将同步其他系统和应⽤程序的密码,同步过程对⽤户来说是透明的。
⾃助式密码重设:⽤户⾃主填写基本⽤户信息和密码信息。
辅助式密码重设:提供密码提⽰和密码找回功能⽤户指派:为响应业务过程⽽创建、维护和删除,存在于⼀个或多个系统、⽬录或应⽤程序中的⽤户对象与属性。
包括变更传播、⾃助式⼯作流程、统⼀化⽤户管理、委托式⽤户管理以及联合变更控制。
2.鉴别和识别的区别鉴别/认证(authentication):⼀对⼀的搜索来验证⾝份被成为,看是不是这个⼈。
识别(Identification):⼀对多,检查是否谁。
作战仿真模型组合流程动态可编辑方法研究
作战仿真模型组合流程动态可编辑方法研究
吴畏
【期刊名称】《系统仿真学报》
【年(卷),期】2020(32)5
【摘要】针对作战仿真系统灵活性差、交互性低、可操作性难等问题,结合国内外仿真系统设计模式现状,在深入研究作战模型动态组合技术、作战模型动态编辑技术和可视化编程技术的基础上,提出了一种基于脚本语言的支持可视化编程、模型组合可动态修改的作战模型仿真技术,在模型设计上采用面向接口与切面设计方式,从而实现灵活高效作战行为建模与仿真。
通过舰艇平台仿真系统开展攻防对抗作战仿真,对方法的可行性与有效性进行了验证。
试验结果表明,该方法提高了作战仿真开发效率与灵活性,具有较好的应用前景。
【总页数】8页(P967-974)
【作者】吴畏
【作者单位】中国人民解放军92941部队
【正文语种】中文
【中图分类】TP391.9
【相关文献】
1.面向服务的作战仿真模型组合建模方法
2.基于活动授权的组合Web服务业务流程动态访问控制模型研究
3.作战仿真中组合式实体模型的资产管理组件设计
4.核
电站单压双流程凝汽器控制容积法动态仿真模型研究5.快速可编辑的形变体仿真方法研究
因版权原因,仅展示原文概要,查看原文内容请购买。
abac 形式化定义
abac 形式化定义
在计算机科学中,"abac" 是指属性基础访问控制(Attribute-Based Access Control)的缩写形式。
ABAC 是一种访问控制模型,它基于被授权主体和资源的属性来确定访问权限。
ABAC 的形式化定义可以分为以下几个要素:
1. 主体(Subject):代表试图访问资源的实体,可以是用户、应用程序或其他系统组件。
2. 资源(Resource):表示需要受到保护的对象,例如文件、数据库、网络服务等。
3. 属性(Attribute):描述主体和资源的特征或特性,可以是静态或动态的,例如用户角色、部门、时间、位置等。
4. 策略(Policy):定义了哪些主体在具备哪些属性时能够访问哪些资源,并规定了访问控制规则。
5. 访问决策(Access Decision):根据主体和资源的属性以及策略进行判断,确定是否允许主体访问资源。
ABAC 提供了更灵活的访问控制方式,与传统的基于角色的访问控制(Role-Based Access Control)相比,ABAC 可以根据更多的属性细粒度地控制访问权限。
通过使用属性,ABAC 可以实现动态的访问控制策略,以适应复杂的环境和需求。
1。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( I nf o r ma t i o n a n d Na v i g a t i o n Co l l e g e , Ai r Fo r c e En g i n e e r i n g Un i v e r s i t y, Xi ’ a n 7 1 0 0 7 7, Ch i n a )
( C h i n a P I A 9 4 7 8 9 Un i t , Na n j i n g 2 1 0 0 1 8 , C h i n a )
Ab s t r a c t Ai mi n g a t t h e p r o b l e ms o f r o u g h - g r a i n e d a c c e s s c o n t r o l a n d u n a b l e t o a d j u s t a u t h o r i z a t i o n d y n a mi c a l l y i n
B O - RB AC 模型结合 了 R B AC与 T B AC的特点 , 具有访 问控制 粒度 细、 授权动 态调整 、 满足 安全规范等优 点。
关键词 R B A C, T B A C, 动 态授 权 , 访 问控 制 , 马 尔可 夫 状 态机
中图法分类号
TP 3 0 9 . 2
文 献 标 识 码 A
D OI 1 0 . 1 1 8 9 6 / j . i s s n . 1 0 0 2 — 1 3 7 X . 2 0 1 7 . 0 8 . 0 2 5
Dy n a mi c Bu s i n e s s - o r i e nt e d Ac c e s s Co nt r o l Mo de l
第 4 4卷 第 8期 2 0 1 7年 8月
计
算机科Fra bibliotek学 Vo 1 . 4 4 No . 8
Au g. 2 01 7
COM P UTER S CI E NC E
一
种 面 向 业 务 的 动 态 访 问 控 制 模 型
谭 韧 殷 肖川 李 晓辉 卞 洋洋
( 空军 工程 大学信 息 与导航 学院 西安 7 1 0 0 7 7 ) ( 中国人 民解放 军 9 4 7 8 9部 队 南 京 2 1 0 0 1 8 )
c h a i n - b a s e d d y n a mi c a u t h o r i z a t i o n me t h o d . F i n a l l y, t h e mo d e l i s i mp l e me n t e d wi t h C+ + 1 4 p r o g r a mm i n g l a n g u a g e . 1 3 0- RBAC mo d e l c o mb i n e s t h e f e a t u r e s o f RB AC a n d TBAC。 wh i c h i n t r o d u c e s s u c h a d v a n t a g e s o f f i n e - g r a i n e d a c c e s s c o n —
b u s i n e s s p r o c e s s o f t r a d i t i o n a l r o l e - b a s e d a c c e s s c o n t r o l ( RBAC)mo d e l , a b u s i n e s s — o r i e n t e d d y n a mi c RBAC mo d e l ( B O- RBAC)wa s p r o p o s e d i n t h i s p a p e r . Ta k i n g TBAC mo d e l a s r e f e r e n c e , b u s i n e s s s t e p a n d a u t h o r i z a t i o n s t e p a r e i n t r o — d u c e d i n t o t h i s mo d e l a n d b a s i c mo d e l s e t i S d e f i n e d f o r ma l l y . Me a n wh i l e , t h e a u t h o r i z a t i o n p r o c e s s i S d i v i d e d i n t o t wo p a r t s , r o l e a u t h o r i z a t i o n a n d s t e p a u t h o r i z a t i o n, a n d t h e e x e c u t i o n i s r e g a r d e d a s r a n d o m p r o c e s s wh i c h s h o ws a Ma r k o v
摘 要 针 对 基 于 角 色的 访 问控 制 ( R B AC ) 模 型在 业 务 处 理 流 程 中访 问控 制 粒 度 过 粗 和 无 法 动 态调 整 授 权 等 方 面 的
问题 , 提 出了一种 面向业务 的动态 R B AC模 型( B ( ) I R B A C ) 。该 模型 参考基 于任 务 的访 问控 制 ( T B A C) 模 型, 引入 了
业务、 业 务 步和 授 权 步 等 概 念 , 并形 式化 定 义 了模 型 的 基 本 集 合 ; 同 时将 授 权 过 程 分 为 角 色授 权 和 授 权 步授 权 两部 分 , 将 业务执行视为 随机 过 程 , 给 出 了基 于 马 尔 可 夫链 的 动 态授 权 方 法 ; 最 后 使 用 C+ + l 4对 模 型 进 行 了 实现 。