基于角色的访问控制

摘要： 随着工业4.0的深入发展,传统手工测量已经成为现代航空制造业发展的阻碍。将测试过程信息化、数字化,加速地面测试过程中的信息传递和信息统计已经成为航空制造业的迫切需求。介绍了飞机液压系统油温地面测试模拟器设计与实现。系统软件平台基于Think PHP框架进行开发,结合基于角色的访问控制(RBAC)模型的用户管理技术、对象关系映射(ORM)技术、ThinkAjax引擎等技术支持,建立了标准的飞机液压系统测试流程。该流程包括测试需求、测试设计、测试用例、测试执行、测试统计五个步骤。系统硬件支撑层设计的油温模拟器通过定值电阻编码的方式进行油温阻值的模拟,灵活性强、误差小,符合航空测试模拟的需求。试验结果表明,模拟器对于油温的模拟高效、准确。软件平台测试流程扩展性强、灵活度高,对现有的飞机液压系统测试效率有很大的提升。

摘要： 在遵循IEC 62351—3提出的加密通信和IEC 62351—4提出的身份认证技术的基础上,以IEC62351—8为理论依据开展了面向通信链路的基于角色的访问控制技术研究。该技术按照实际应用,为每个通信链路的客户端通信设备预先分配角色,以其安全通信中使用的数字证书为载体,扩展形成角色的访问令牌。服务端设备在安全通信建立过程中,从客户端设备使用的数字证书中识别、提取客户端角色,并按照服务端设备内预置的角色与权限的映射,赋予该客户端相应的访问权限,从而实现面向变电站内通信链接的基于角色的访问控制功能,达到针对IEC 61850通信的分层级、分权限访问的目的。该技术提升了电力系统设备远方操作的可控性,目前已在变电站中得到实际应用。

摘要： 为了实现在整个物流供应链中对产品的运输行程进行跟踪,提出基于区块链以太坊(Ethereum)开源的智能合约的解决方案.首先,通过用户和物联网(IoT)传感器设备对产品的跟踪数据进行连续更新,从产品的原产地开始对产品进行跟踪追溯,其中IoT传感器设备对物品状况、位置或状态的相关信息进行测量;然后,登记到区块链上,利用区块链系统的不可纂改性,在区块链系统中提供产品相关的可信信息.通过集成区块链与IoT设备的相互通信,以监测产品并实现自动化的跟踪和通关过程.Javascript测试和查看器的结果表明所提方案的有效性,实现了基于角色的访问控制、产品跟踪和溯源等功能.

摘要： 为了实现在整个物流供应链中对产品的运输行程进行跟踪,提出基于区块链以太坊(Ethereum)开源的智能合约的解决方案。首先,通过用户和物联网(IoT)传感器设备对产品的跟踪数据进行连续更新,从产品的原产地开始对产品进行跟踪追溯,其中IoT传感器设备对物品状况、位置或状态的相关信息进行测量;然后,登记到区块链上,利用区块链系统的不可纂改性,在区块链系统中提供产品相关的可信信息。通过集成区块链与IoT设备的相互通信,以监测产品并实现自动化的跟踪和通关过程。Javascript测试和查看器的结果表明所提方案的有效性,实现了基于角色的访问控制、产品跟踪和溯源等功能。

摘要： Docker镜像库一般分为公有库和私有库。前者包括Docker官方库,阿里云镜像库以及网易蜂巢等,后者包括Docker的Registry和Harbor等。对于Harbor来说,是一个用于存储和分发Docker镜像的企业级私有Registry服务器,具有基于角色的访问控制、基于策略的镜像复制、漏洞扫描、LDAP/AD支持、镜像删除和垃圾收集等强大功能。

摘要： 在各种基于Web技术的应用系统中,基于系统安全性的需求,都需要对用户在系统中的权限进行管理,随着Web前后端开发技术的发展与应用,基于前后端分离的架构得到了深入和广泛的应用,逐渐成为Web开发的标准。该文在对前端框架Vue.js、后端SpringBoot框架、Apache Shiro安全框架技术进行分析的基础之上,基于RBAC的权限设计理念,对前后端分离在权限管理系统中的应用进行分析,为权限管理系统的设计提供了一个思路。

摘要： 信息化已深入高校各业务领域,除用于业务办理,还涉及资源管理、预约、使用以及重要数据的操作和查看,并建有涉及教学、科研、财务、资产、学工等相应系统。各系统内部基本上都采用RBAC(基于角色的访问控制)进行人员权限的设置和管理。受师生分散性及流动性较强的影响,各系统人员权限设置往往存在不合规、不合理的情况,容易造成工作或业务失控失管。

摘要： 权限管理系统是管理信息系统中代码可重用性最高的模块之一,构建强健的权限管理系统,保证管理信息系统的安全性是十分重要的。为了提高安全性,提出了基于角色的访问控制RBAC(Role-Based policies Access Control)模型的权限管理系统,而且在RBAC基本思想的基础上,增加资源权限的概念,设计了在企业应用系统中用户权限控制的一种具体的简单实现方法。系统采用J2EE架构技术实现权限的访问和控制。

摘要： 角色激活是基于角色的访问控制中的重要环节,用户通过激活系统为他分配的角色子集来执行与角色相对应的权限。目前基于角色访问控制主要特点是用户主动、系统被动,从而给用户带来记忆各种角色-权限分配情况的负担。本文提出一种分散式的基于查找的角色激活管理方法,与传统方法不同之处在于它是一种用户为被动、系统为主动的智能访问控制,在对企业环境下的动态约束提供有效支持外,减轻了在传统角色激活方式下用户需要掌握角色-权限分配情况的负担。

摘要： 针对基于Web的图书馆管理系统资源访问控制的动态性问题,提出了一种基于角色的访问控制策略描述方案.通过对基于Web的图书馆管理系统访问控制管理影响因素和访问控制需求的分析,结合NIST基于角色的访问控制统一模型标准,构造了一种基于角色的访问控制元模型.并在这一元模型的基础上,提出了一种紧凑的基于角色的访问控制XML策略描述语言框架.结果表明该访问控制策略描述语言框架适合表述动态环境下对图书馆资源的访问策略,提高了基于Web的图书馆管理系统资源访问的安全性.

摘要： 在实际应用"基于角色的访问控制"(RBAC)模型时,经常遇到由于责任分离等策略而引起的冲突问题,如权限间的互斥等.访问控制操作应满足某些约束条件,以避免冲突的存在.但这些冲突关系相当复杂,如何检测出冲突问题是模型安全实施的重要保证.借助Z语言,提出了基于状态的RBAC形式化模型,对状态转换函数进行了形式化规范,描述了操作的具体内容和应满足的冲突约束条件.根据安全不变量给出了安全性定理,分别进行数学的和形式化的证明.最后,通过实例分析,说明在实际系统中,如何形式化规约和验证RBAC系统并检测出冲突问题,从而为今后使用RBAC模型开发具有高安全保证的系统提供了一种形式化规范和证明方法.

摘要： SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

摘要： SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

摘要： SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

摘要： SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

摘要： SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

摘要： 针对大型系统中角色权限管理的复杂性,提出了一种具有时间约束的基于角色的授权管理模型.考虑到用户权限通常包括私有权限、部门权限及公有权限,并存在权限频繁变动等问题,该模型扩展了权限定义,在权限定义中增加了权限的传播深度参数,即增加了可被继承的次数,使该参数与现实世界中的各级岗位数及权限类型相对应.另外,该模型在权限的继承中也加入了时间约束,使得只有满足时间条件要求的角色的权限才可以被继承.结果表明,该模型不仅有利于权限的频繁更新,也对应了现实世界中的岗位数,易于理解与操作.

摘要： 本发明提供了访问控制系统、访问控制设备、访问卡和访问控制方法。一种访问控制系统包括访问卡和分别与一个验证码相对应的一个或多个访问控制设备，访问卡存储标识码、密钥和预先作为至少一个验证码的第一函数计算的权限码，且每个访问控制设备包括：读卡单元；存储单元，存储了主钥和与自身访问控制设备相对应的验证码；身份识别单元，基于从卡读取的标识码和密钥以及主钥，对卡进行身份识别；以及权限判定单元，在身份识别结果为卡具有有效身份时进行权限判定，包括：计算从读取的权限码和与自身访问控制设备相对应的验证码的第二函数；比较计算结果和该验证码；以及根据比较结果判定卡是否具有访问权限。

摘要： 本发明提供一种访问控制装置以及存储介质，根据实施方式，上述访问控制装置具备保留单元、决定请求生成单元、访问决定单元以及解除单元。当资源访问事件开始时，上述保留单元在资源访问单元的访问之前保留上述资源访问事件。上述决定请求生成单元在其保留过程中从上述资源访问单元获取访问请求，生成包括该访问请求的访问决定请求。当接受了上述访问决定请求和访问控制策略时，上述访问决定单元通过该访问控制策略内的禁止型策略从属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许和拒绝。上述解除单元在上述访问决定应答内的决定结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留。

摘要： 本发明提供一种防止数据处理装置非法处理的访问控制装置、访问控制方法及访问控制程序。数据处理部(210)读出(读取)记录在指令码记录部(240)的指令码，并按照指令码通过控制部(211)进行各种数据处理。数据供给部(220)，通过运算部(221)生成、计算和获取用于在数据处理部(210)中进行处理的数据，并存储在寄存器(222)。访问控制部(223)控制对记录在寄存器(222)的数据的访问。具体地讲，访问控制部(223)监视数据处理部(210)所执行的指令码，且仅在正确地执行事先设定的指令码时，才允许对记录在寄存器(222)的数据进行访问。

摘要： 根据本发明的访问控制设备提高了对在存储器中存储的数据的存储器访问效率，所述访问控制设备包括多个存储器组，划分所述数据并将所述数据存储在多个存储器组的不同存储器区域中，所述不同存储器区域是基于对所述多个存储器组的访问地址的预定比特来区分的，并且在访问存储器的相同时钟周期内，同时访问在多个存储器组的不同存储器区域中存储的数据。

摘要： 本发明公开涉及访问控制领域，具体公开了一种基于角色访问控制令牌的安全访问方法；所述方法通过依据渔业资源管理平台的分区域层级特点，简化现有的六元组控制模型结构为三元组模型结构，将上述分区域的特点与访问控制中的角色属性相匹配，通过角色属性在同一网络域中的继承和不同网络域共享角色的设置，实现在用户信息变更时能够便捷地通过令牌访问设置，在保障用户访问安全控制的同时，提升了渔业管理平台用户对工作流程访问的便捷性。

摘要： 本发明提供了访问控制系统、访问控制设备、访问卡和访问控制方法。一种访问控制系统包括访问卡和分别与一个验证码相对应的一个或多个访问控制设备，访问卡存储标识码、密钥和预先作为至少一个验证码的第一函数计算的权限码，且每个访问控制设备包括：读卡单元；存储单元，存储了主钥和与自身访问控制设备相对应的验证码；身份识别单元，基于从卡读取的标识码和密钥以及主钥，对卡进行身份识别；以及权限判定单元，在身份识别结果为卡具有有效身份时进行权限判定，包括：计算从读取的权限码和与自身访问控制设备相对应的验证码的第二函数；比较计算结果和该验证码；以及根据比较结果判定卡是否具有访问权限。

摘要： 本发明公开了一种带有精细访问控制策略的基于角色的访问控制模型的方法，其中包括精细访问控制策略和功能权限与精细访问控制策略的映射函数。精细访问控制策略是预定义好的运行时动态策略函数，包括业务逻辑所要求的在精细访问上的约束逻辑和基于外部环境及上下文信息的约束。本发明通过加入精细访问控制策略这一元素和相应的映射函数，解决了标准的访问控制模型中访问控制的粒度粗，只能精确到某角色对某客体进行了某种操作这一原子粒度的问题，使访问控制的粒度可以被更精确的划分。

摘要： 一种通过基于角色的访问控制模型管理对资源的访问的方法、系统、设备以及计算机程序产品，基于角色的访问控制模型包括使用角色过滤器和能力过滤器的动态更新功能。为每个角色定义一个角色过滤器，而不是直接将每个用户与某个角色联系起来。通过评价角色过滤器确定与给定角色匹配的用户，并且将匹配的用户自动与给定的角色联系起来。除角色过滤器之外，每个命名的角色均包含一组能力。每种能力包括一组访问条件和一个能力过滤器。每个访问条件包括一组权限。管理员可以定义每种能力的能力过滤器，而不是直接将每种资源与一种能力联系起来。当添加、删除或更改目标实例时，重新评价能力过滤器以保持适当的关系集合。

摘要： 本发明公开了一种带有精细访问控制策略的基于角色的访问控制模型的方法，其中包括精细访问控制策略和功能权限与精细访问控制策略的映射函数。精细访问控制策略是预定义好的运行时动态策略函数，包括业务逻辑所要求的在精细访问上的约束逻辑和基于外部环境及上下文信息的约束。本发明通过加入精细访问控制策略这一元素和相应的映射函数，解决了标准的访问控制模型中访问控制的粒度粗，只能精确到某角色对某客体进行了某种操作这一原子粒度的问题，使访问控制的粒度可以被更精确的划分。

摘要： 一种通过基于角色的访问控制模型管理对资源的访问的方法、系统、设备以及计算机程序产品，基于角色的访问控制模型包括使用角色过滤器和能力过滤器的动态更新功能。为每个角色定义一个角色过滤器，而不是直接将每个用户与某个角色联系起来。通过评价角色过滤器确定与给定角色匹配的用户，并且将匹配的用户自动与给定的角色联系起来。除角色过滤器之外，每个命名的角色均包含一组能力。每种能力包括一组访问条件和一个能力过滤器。每个访问条件包括一组权限。管理员可以定义每种能力的能力过滤器，而不是直接将每种资源与一种能力联系起来。当添加、删除或更改目标实例时，重新评价能力过滤器以保持适当的关系集合。