增强伸缩性的主被动集成访问控制模型课件.pptVIP

. . 约束的层次覆盖 . 语义泛化的静态职责分离 约束1 (角色k层次静态互斥) 涵义: 表示用户不能在层次k上直接或间接地同时指派给r1和r2.该约束具有泛化语义. 作用: 阻止用户同时分配(甚至激活)分别属于r1和r2的任务或权限,从而实施欺诈,破坏业务规则,损害数据完整性或机密性,等等. 示例: 设角色层次k是特化关系,则出纳员和会计师,从而出纳员和高级会计师,是层次k互斥的. . 语义泛化的静态职责分离 约束2 (主动任务泛化静态互斥) 涵义: 表示分别由t1,t2特化而来的实体任务,其同一案例中的实例不能由同一用户执行.该约束具有泛化语义. 作用: 阻止用户在同一案例中同时分配来自t1和t2的权限. 示例: 例如开发和测试任务是互斥的,在同一个项目(即案例)中的实例不能由同一用户执行. . 语义泛化的静态职责分离 约束3 (被动任务泛化静态互斥) 涵义: 表示分别由t1,t2特化而来的任务不能由同一用户执行.该约束具有泛化语义. 作用: 阻止用户同时分配(甚至激活)分别属于t1和t2的权限. 示例: 例如账簿维护,收付款凭证管理等会计信息维护与支票管理不能分配给同一用户. . 语义泛化的静态职责分离 约束4 (主动权限静态互斥) 涵义: 表示用户不能同时分配同一案例的两个实例,由其可分别激活p1,p2的上级权限.该约束具有泛化语义. 作用: 阻止用户在同一案例中同时分配p1,p2. 示例: 例如bug的修正和关闭权限有此关系. . 语义泛化的静态职责分离 约束5 (被动权限静态互斥) 涵义: 表示用户不能同时指派给两个角色 ,由其可分别激活p1,p2的上级权限.该约束具有泛化语义. 作用: 阻止用户同时分配(甚至激活) p1,p2. 示例: 例如账簿写入和支票签发权限有此关系 . . 语义泛化的动态职责分离 约束6 (角色k层次动态互斥) 涵义: 表示在k层次上分别高于r1,r2的角色不能在会话中同时激活.该约束具有泛化语义. 作用: 阻止用户同时激活分别属于r1和r2的任务或权限(从而实施欺诈,破坏业务规则,损害数据完整性或机密性,等等). 示例: 某程序员可能同时担任某系列培训的讲师和学员,但不能同时激活它们. . 语义泛化的动态职责分离 约束7 (被动任务泛化动态互斥) 涵义: 表示分别由t1,t2特化而来的实体任务不能在会话中同时激活.该约束具有泛化语义. 作用: 阻止用户同时激活属于t1和t2的权限. 示例: 例如自动对账和借贷登记任务均由会计负责,但不能同时激活,以免破坏数据完整性. . 语义泛化的动态职责分离 约束8 (被动权限动态互斥) 涵义: 表示p1,p2的上级权限不能在会话中同时激活 .该约束具有泛化语义. 作用: 阻止用户同时激活p1,p2. 示例: 例如账簿的备份和写入权限,多级安全策略下的高级别对象读取和低级别对象写入权限均有此种关系. . 约束覆盖规则 规则1 (角色k层次覆盖) 在k角色层次上,上级角色的用户必然是下级角色的用户,因此下级角色的互斥蕴涵着上级角色的互斥.例如(会计,出纳)互斥蕴涵着(高级会计,出纳)互斥. . 迁移学习方法研究及其在跨领域数据分类中的应用 * 增强伸缩性的主被动集成访问控制模型 作者:翟治年,卢亚辉,郭玉彬, 贾连印,奚建清,刘艳霞 报告人:卢亚辉 . 内容提要 研究背景和意义 本文的研究工作 角色建模体系 任务分类标准 授权继承机制 约束覆盖规则 总结和展望 . 企业以各种预定义流程和日常事务为基础进行运作 为此需要管理和调度大量数据/人力资源 这对访问控制提出了怎样的要求? . 企业访问控制需求 主被动集成访问控制(A-PIAC) 面向业务过程,根据工作流执行规划和上下文,协调有序地开放和回收权限 支持日常事务,用户可以根据身份与职责,随时发起对数据资源的访问 以可伸缩和自动化的方式进行授权和约束管理 . 研究现状 RBAC开创了管理伸缩的基本模式 以角色作为用户授权的中介;建立角色层次,以