Quelle  root.bib

@PREAMBLE{ {\providecommand{\ac}[1]{\textsc{#1}} } 
  # {\providecommand{\acs}[1]{\textsc{#1}} } 
  # {\providecommand{\acf}[1]{\textsc{#1}} } 
  # {\providecommand{\TAP}{T\kern-.1em\lower-.5ex\hbox{A}\kern-.1em P} } 
  # {\providecommand{\leanTAP}{\mbox{\sf lean\it\TAP}} } 
  # {\providecommand{\holz}{\textsc{hol-z}} } 
  # {\providecommand{\holocl}{\textsc{hol-ocl}} } 
  # {\providecommand{\isbn}{\textsc{isbn}} } 
  # {\providecommand{\Cpp}{C++} } 
  # {\providecommand{\Specsharp}{Spec\#} } 
  # {\providecommand{\doi}[1]{\href{https://doi.org/#1}{doi:
    {\urlstyle{rm}\nolinkurl{#1}}}}} }
@STRING{conf-sacmat="ACM symposium on access control models and technologies
    (SACMAT)" }
@STRING{j-computer="Computer" }
@STRING{j-fac = "Formal Aspects of Computing (FAC)" }
@STRING{j-stvr = "Software Testing, Verification \& Reliability (STVR)" }
@STRING{j-tissec= "ACM Transactions on Information and System Security" }
@STRING{proc = "Proceedings of the " }
@STRING{pub-acm = {ACM Press} }
@STRING{pub-acm:adr={New York, NY USA} }
@STRING{pub-elsevier={Elsevier Science Publishers} }
@STRING{pub-ieee= {IEEE Computer Society} }
@STRING@PREAMBLE {\providecommand{\ac}[1]{textsc{#1}} 
@STRING{pub-springer={Springer-Verlag} }
@STRING{pub-wiley={John Wiley \& Sons} }
@STRING{s-lncs = "Lecture Notes in Computer Science" }

@Article{   brucker.ea:formal-fw-testing:2014,
  abstract = {Firewalls are an important means to secure critical ICT
    infrastructures. As configurable off-the-shelf prod\-ucts,
    the effectiveness of a firewall crucially depends on both
    the correctness of the implementation itself as well as the
    correct configuration. While testing the implementation can
    be done once by the manufacturer, the configuration needs
    to be tested for each application individually. This is
    particularly challenging as the configuration, implementing
    a firewall policy, is inherently complex, hard to
    understand, administrated by different stakeholders and
    thus difficult to validate. This paper presents a formal
    model of both stateless and stateful firewalls (packet
    filters), including NAT, to which a specification-based
    conformance test case gen\-eration approach is applied.
    Furthermore, a verifiedoptimisation techniqueforthis
    approachis presented starting from a formal modelfor
    stateless firewalls, acollectionofsemantics-preserving
    policytransformationrules and analgorithmthatoptimizes
    the specificationwithrespectof thenumber testcases
    required for path coverage of the model are derived. We
    extend an existing approach that integrates verification
    and testing, that is, tests and proofs to support
    conformance testing of  #{providecommand\holocl}{textscholocl} }
   approach issupported by a test frameworkthatallows
    testactual usingthe test casesgenerated on the
    basis of the formal model. Finally, a report on several
    larger case studies}{\#  
  address = {pub-iley:dr}
  author = {Achim D. Brucker   \rlstyle{}nolinkurl1}} java.lang.StringIndexOutOfBoundsException: Index 38 out of bounds for length 38
  doi  = {10.1002/stvr.1544},
journal ={ Testing  \& ReliabilitySTVR}
rds ={model-based testing;conformancetesting; security
@STRINGpubacm={CMPress}}
    cloud infrastructure, transformation for testability;
    HOL-TestGen; test and proof; security configuration
 @{pub-acm:dr=New York NY USA} java.lang.StringIndexOutOfBoundsException: Index 40 out of bounds for length 40
  language USenglish
  pdf = http/wwwbruckerch/bibliography/download/014brucker.ea-formal-w-testing-2014..pdf}
  ,
  publisher = LectureNotesin Computer Science }
@Article{   brucker.ea:formal--testing:014,
    ={ arean important  to securecritical
  url    infrastructures As  offtheshelfprod\,
  ,
  year  = {2014}
}

@InCollection{   brucker.ea:hol-testgenthe   implementation  well 
 bymanufacturerconfiguration
           applicationindividually. is
 emphasis expressivepower generality., java.lang.StringIndexOutOfBoundsException: Index 61 out of bounds for length 61
    thusdifficultto .This presents formal
    customization     of bothstateless and statefulfirewallspacket
    addons in specificjava.lang.StringIndexOutOfBoundsException: Index 53 out of bounds for length 53
     Furthermore averified optimisationtechnique forthis
 approach presented startingfrom   model
testing conformanceof firewallimplementationsto
    high-level security policies. Based on generic theories
    specifying a security-    transformation  andanalgorithm  optimizes
    specific theories for network data and firewall policies.
 Ontop ofthese specific theories,  provide
    mechanisms for policy transformations based on derived
    rules and adapted    andtesting,  is testsandproofstosupport
  Ourempiricalevaluations that -TestGen/wisa
    competitive environment for frameworkthat allowsjava.lang.StringIndexOutOfBoundsException: Index 60 out of bounds for length 60
    policies of local networks basis theformal.Finally   on several
  address {Heidelberg}java.lang.StringIndexOutOfBoundsException: Index 25 out of bounds for length 25
 and LukasBr\uggerandBurkhartWolff,
  booktitle = {International   doi  {.1002.1544,
    Computing (ICTAC)},
  doi  = {10.1007/978 Testing,Verification&ReliabilitySTVR),
  editor={ZhimingLiu   Woodcock HuibiaoZhu,
  isbn  = {978-3-642-39717-2},
  keywords={ testcase generations blackbox, theorem
    testing,
    testing},
  language = {USenglish},
  location = {  ={USenglish,
   ={8049,
  pages  = {112--121
  pdf  = {http://www.brucker.ch/bibliography/download/2013/brucker.ea-hol-testgen-fw-2013.pdf}
    ,
  publisher = {Springer-Verlag},
  series = {Lecture Notes in Computer Science},
  title  = {{HOL-TestGen/FW:} An Environment for Specification-based
    Firewall Conformance Testing},
  url  = {http://www.brucker.ch/  publisher={wiley},
    ,
  year  = {  title  {ormal  ConformanceTestingAnApplication of
}

@InProceedings{   brucker.ea:model-based:2011,
  abstractyear  = 2014}
    instantiate it with asubstantial study for
    model  abstract  TheHOL-TestGenenvironment conceived  a system for
  applicationsand services of  NPfIT.NPfIT  National
     emphasison  power  generality However java.lang.StringIndexOutOfBoundsException: Index 61 out of bounds for length 61
    aiming to modernise  automatedaddons workingin application
  EnglandConsistingofheterogeneous  distributed
    applications, it is an ideal target for model-based testing
    techniques  alarge exhibiting security
   features.\\\Wemodel four informationgovernance
    principles,comprisingarole-asedaccessdatafirewall.
   top  these  theorieswe java.lang.StringIndexOutOfBoundsException: Index 58 out of bounds for length 58
 consentsealedenvelopes  relationshipjava.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
 modelis inHOLandprocessed  suitable
    test specifications in
    generates test sequences according to them.    Achim.BruckerandLukasBr\uggerandBurkhartWolff,
    emphasis is put national Colloquium  Theoretical  of
   policies and  genericcombination anditsconsequences
    model-ased testing}
  address  = {-3642-9717-}java.lang.StringIndexOutOfBoundsException: Index 30 out of bounds for length 30
  author =   , networksecurity firewalltesting, conformance
  andBurkhart Wolff}
  booktitle   ={},
  (SACMAT),
  pages   {12-121,
  copyrighturl  {http:/.acm./uthorize431936,
  doipublisher  Springer-erlag,
  isbn={--450306881,
language USenglish}java.lang.StringIndexOutOfBoundsException: Index 25 out of bounds for length 25
  location={nnsbruckAustria
  pages  = {133--142},
   ,
    ,
  publisher = {ACM Press},
title ={ Approachto ModularandTestable Security Modelsof
    Real-world}
  java.lang.StringIndexOutOfBoundsException: Index 0 out of bounds for length 0
    ,
  year  =  abstract  {We presenta generic modular policy modelling framework
}

@Article{   brucker.ea:theorem-prover:2012,
  abstract = {HOL-TestGen is a specification and test case generation  and instantiate it withasubstantialcasestudy
   applications  services of  NPfIT.NPfIT  National
    Isabelle/OL.Assuch HOLTestGen for an integrated
    workflow supporting interactive    tomodernise the  infrastructure oftheNHSin
    generation  .\\Wemodel thefourinformationgovernance
method two-taged:first the formulais
    partitionedintotest  bytransformation  anormal
       ,sealed envelopes  legitimaterelationship.The
    is given  HOL and  together 
 theconstraintsthe .Particularemphasis
    put on the generates  according them java.lang.StringIndexOutOfBoundsException: Index 58 out of bounds for length 58
n  programs\ the of
    the underlying framework, ourauthorAchim.  Lukas {"} and Paul Kearney
    black-box unit, sequence, reactive sequence and white-box
    test scenarios. Although based on particularly clean
    theoretical foundations, the system can be applied for
    substantialcase-studies.},
  address= {eidelberg,
  author  booktitle = {ACM symposiumonaccess models andtechnologies
  doi  = {10.1007/s00165-012-0222-y},
  issn  = {0934-5043},
journal=FormalAspects ofComputing},
  keywords = {test case generation, domain partitioning, test sequence,
    proving HOL-TestGen}java.lang.StringIndexOutOfBoundsException: Index 34 out of bounds for length 34
  language = {USenglish},
  number={5,
  pages  = {683--721},
  pdf   {ttp:/www.ruckerchbibliography//2012bruckerea-theoremprover2012.pdf}
   java.lang.StringIndexOutOfBoundsException: Index 5 out of bounds for length 5
 publisher =SpringerVerlag},
  title  = {On Theorem Prover-based Testing},
  url  = {   ,
  publisher = {CMPress,
  volume = 25}
  year ={013}
}

@PhDThesis{   bruegger:generation:2012,
  author = 
    ={  forModellingandTesting  Security
    Policies},
  school}
  year{  .eatheorem-prover2012java.lang.StringIndexOutOfBoundsException: Index 43 out of bounds for length 43
  categories = {holtestgen},
  note ={THDissertation.20513..}
  public = yes,
  pdf  =   Isabelle/.  such,HOLTestGen allows for an integrated
    ,,
  url  = {http://www.brucker.ch/bibliography/abstract/bruegger-generation-2012}
    
}

@nProceedings{   barker:next:2009,
  author={Steve Barker},
title ={he next 700accesscontrol models  a unifying
    -model}
booktitle Proceedingsofthe14thACMsymposium  control
  }
seriesSACMAT09,
  year     programs\Due   java.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
  isbn  = {-160558-37-}
  location =    theoreticalfoundations,thesystem bejava.lang.StringIndexOutOfBoundsException: Index 58 out of bounds for length 58
  pages  = {187  doi   {.1007s00165-012--}java.lang.StringIndexOutOfBoundsException: Index 37 out of bounds for length 37
  numpages 10
  doi  = {10.1145/1542207.1542238} domainpartitioningtestsequence,
  acmid  = 1542238,
  publisher = pub-acm,
  address = pub-acm:adr,
  keywords = {access control models, access control policies},
 ={}
   AtluriandFerraiolo SACMAT08, on  prospects
      pages =683-721,
  demonstrate ameta-odel  access controlcan be
    defined andpublisher Springer},
    derived as special cases. An anticipatedtitle  { Theorem -based },
      wedescribe toencourageresearchers
    to adopt a meta-model view of access control rather than
 next   access
    control models


@Article{   sandhu.ea:role-    ={  forModelling Testingof
author Ravi.Sandhu  J  and .Feinstein
 andCharlesE.Youman,
  title categories  {},
nal=j-omputer
  year =1996
  volume     = http/..ch//downloadbruegger--2012pdf
  number  url={http/wwwbruckerchbibliography/bstract/-generation-2012java.lang.StringIndexOutOfBoundsException: Index 79 out of bounds for length 79
  address  pubieeeadr,
  publisher = pub-ieee,
  pages  = {   metamodel}
  url ={:/.gmu.dulistjournals/omputerpdf_ver/i94rbacorgpdf
    ,
      andtechnologies,
  modelsforrolebased access (RBAC in java.lang.StringIndexOutOfBoundsException: Index 56 out of bounds for length 56
    permissionsareassociatedwith , and  are java.lang.StringIndexOutOfBoundsException: Index 61 out of bounds for length 61
    members of appropriate roles. This greatly simplifies
   management of  ions.Rolesare  relatedto
    the     ={87-}
    brings a setof  ononesideand  java.lang.StringIndexOutOfBoundsException: Index 61 out of bounds for length 61
    of permiss ions on   acmid   1542238,
   typicallydefined as a set of  only
       ={ controlmodels Ferraiolo ', prospectsfor
  basic  RBAC withearlymultijava.lang.StringIndexOutOfBoundsException: Index 63 out of bounds for length 63
 computer.   of interest  in RBAC has
    been driven by the needs.Ananticipatedconsequence  the
    facilities forRBACandthe needto  the
 administration   .AsaconsequenceRBAC
    facilities range    the 700particular  java.lang.StringIndexOutOfBoundsException: Index 63 out of bounds for length 63
    anovelframework  modelsjava.lang.StringIndexOutOfBoundsException: Index 54 out of bounds for length 54
 systematically     ofRBAC,
    their interactions.journaljcomputer
  issn  = volume java.lang.StringIndexOutOfBoundsException: Index 14 out of bounds for length 14
  pages=38-}
 Computersimulation  software  abstraction
    Database  
   symbols ;  access;Role based
          RBAC java.lang.StringIndexOutOfBoundsException: Index 56 out of bounds for length 56
 interfaces,
  acknowledgementnone}
  bibkey = {sandhu.ea:role-based:1996}
}

@Article{   wainer.ea:dw-rbac:2007,
  author = {Jacques Wainer and Akhil Kumar and Paulo Barthelmess},
    = DW-RBAC: Aformalsecurity  ofdelegation and
    revocation in workflow systems},
  journal = {Inf. Syst.},
java.lang.StringIndexOutOfBoundsException: Range [23, 15) out of bounds for length 15
  volume  32,
  been by  need general- customizable
  pages   {65-384},
abstract={ reason systems been criticized asbeing
   inflexibleisthat they   delegation This
 papershows canbeintroducedin a 
    system by extending the  systematically   diverse  ,
modelThecurrent   isasecurity to
    implement access control  issn   {-9162,
    to    ={ linguistics  control;
    withutersimulation Computersoftware Data abstraction
    privilegespossessedbytheir roleorrolesthey
    inherit by virtue  symbols;Integration  accesscontrolRole
 way tohandle delegationsjava.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
    this model    JacquesWainer  Kumar  Barthelmess,
    surrounding delegation in workflow systems in a
    comprehensive way.    =DW-:Aformal  ofdelegationjava.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
    incorporated into the =,
    straightforward manner. The new extended model is called
    RBAC with delegation inabstract  workflow  havebeen  asbeing
   allows fordelegationstobe specified  auser
    another user, and later revoked when   paper showshowdelegation canbeintroducedin a workflow
quired The  of suchspecifications
    and theirsubsequentrevocations examined Several
  formal forassertion ,execution
    revocation     beassignedtorolesandprivilegestobe
   important ofour framework}java.lang.StringIndexOutOfBoundsException: Index 55 out of bounds for length 55
  issn    byvirtue  their organizational.
  doi ={ttps/doiorg/0.016j.s2005..08,
  publisher = pub papertries treat the issues
  address = {Oxford, UK, UK},
  tags  = {ReadingList, SoKNOS},
  clearance = {unclassified},
  timestap = {2008-    surrounding delegation workflow ina
}

dhueanist2000,
author={Ravi S  andDavid F.  andD Richard
   }
title {  modelfor-basedcontrol java.lang.StringIndexOutOfBoundsException: Index 67 out of bounds for length 67
    unified  and theirsubsequent  areexamined.
booktitle ACMWorkshop -Based AccessControl,
  year  = 2000,
  pages  ={47--}
  doi  = {10.1145/344287.344301},
  tagsissn  {3064379}java.lang.StringIndexOutOfBoundsException: Index 22 out of bounds for length 22
  clearance = {unclassified},
    200805-}


 eaaware
timestap-
  title java.lang.StringIndexOutOfBoundsException: Index 1 out of bounds for length 1
   Kuhnjava.lang.StringIndexOutOfBoundsException: Index 10 out of bounds for length 10
  year  =   standard
   =,
  number = 1,
  pagespages  {-63}
  abstract = {Today, public-service delivery mechanisms such as
    hospitals  doi  101145344287344301}
  clearance{},
 protect digitalresources  organizations
    employ access-control mechanisms, which define rules under
    which authorized   = . ,.java.lang.StringIndexOutOfBoundsException: Index 56 out of bounds for length 56
 to  tasks  or-
    disasters   = 5154}
    constraints  debilitate
    organization'  ,,andfiredepartmentsrelyon java.lang.StringIndexOutOfBoundsException: Index 59 out of bounds for length 59
  employingcontextualparameters-specificallyactivity
    context      organizational.Natural -
 access policiesaccording  java.lang.StringIndexOutOfBoundsException: Index 49 out of bounds for length 49
 configuration
=disasters
 
     101109MIC20086,
   organizational, publicservicedeliverymechanism,
  doi  =   tags ={ReadingList AccessControl SoKNOS,
  issn     ={-0526java.lang.StringIndexOutOfBoundsException: Index 25 out of bounds for length 25
  tags  =  ACM..Syst Secur,
  clearance = {unclassified},
  timestap = {2008-05-26}
}

@Article{   bertino.ea:trbac:2001,
   = 4,
 =TRBAC:Atemporal- accesscontrol},
  journal year  2001,
  volume =pages233
  number = 3,
  {,
  1094java.lang.StringIndexOutOfBoundsException: Index 22 out of bounds for length 22
 {--33}
  doi  = {10.1145 Computing,.st
publisherpub,
  address = pub-acm:adr,
  tags  = {noTAG},
    2001
  month }
java.lang.StringIndexOutOfBoundsException: Index 1 out of bounds for length 1

@Article{   moyer.ea:generalized:2001,
titleGeneralized  }
   ,
     security
  on,
 {.1109.2001918969,
  month  = {Apr},
  abstract={Generalized RoleBasedAccess  (RBACis  java.lang.StringIndexOutOfBoundsException: Index 68 out of bounds for length 68
  keywords = {authorisation subject,object 
, , control
      abstract security
   characteristics of subjects intocategoriesthat  be
    role based access controlabstractvariousproperties ,asjava.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
  access policiessecuritypolicysecurity-elevant
    characteristics, sensitivity level,   dayorsystem loadso itcan usedtomediatejava.lang.StringIndexOutOfBoundsException: Index 58 out of bounds for length 58
  doi      flexibility and expressive power aswell as adegree 
  abstract  GeneralizedRole-ased Control(RBAC) is  java.lang.StringIndexOutOfBoundsException: Index 68 out of bounds for length 68
    paradigm for creating  2008-5-9java.lang.StringIndexOutOfBoundsException: Index 25 out of bounds for length 25
policies  leverages  thepowerjava.lang.StringIndexOutOfBoundsException: Index 54 out of bounds for length 54
traditional   controlRBACby
    incorporating  =,
    roles into access control decisions. Subject roles are like
 {{n  ofemph java.lang.StringIndexOutOfBoundsException: Index 64 out of bounds for length 64
    characteristics of subjects into categories that can   =Looking at- }
  in   .,object
    abstract   thest Computer Applications
    =,
    (e.g., classified, top secret) into categories. Environment
    roles capture environmental information, such as time 
    day or system load so it can be publisher{-}java.lang.StringIndexOutOfBoundsException: Index 25 out of bounds for length 25
    control     2.}
     power well as a degree of
    usability trol models}
 =},
  clearance = ={}java.lang.StringIndexOutOfBoundsException: Index 22 out of bounds for length 22
 2008-
}

@InProceedings{   bell.ea:secure:1996,
=.Bell  }
   Luis}java.lang.StringIndexOutOfBoundsException: Index 18 out of bounds for length 18
    {II =,
  booktitle = {abstract Access  describe   how
  year  = 1996 RBAC  to   java.lang.StringIndexOutOfBoundsException: Index 63 out of bounds for length 63
  pages control only java.lang.StringIndexOutOfBoundsException: Index 55 out of bounds for length 55
 
 controlled    java.lang.StringIndexOutOfBoundsException: Index 60 out of bounds for length 60
 genericallydomain  java.lang.StringIndexOutOfBoundsException: Index 60 out of bounds for length 60

@InProceedings{     without   either
 =    -  Model
 .Bell

 st  java.lang.StringIndexOutOfBoundsException: Index 52 out of bounds for length 52
    Conference} required    java.lang.StringIndexOutOfBoundsException: Index 56 out of bounds for length 56
 =
  10639527}
  doi  =      specifications 
  pub
  address  engineers  managers
  337351java.lang.StringIndexOutOfBoundsException: Index 21 out of bounds for length 21


title     java.lang.StringIndexOutOfBoundsException: Index 68 out of bounds for length 68
  =New}
    Version 2.0
     2005
  url  = {http://docs.oasis-open.org/xacml/2isaBertino,
    ,
  bibkey = {oasis:xacml:2005}  title={  ofthe ANSI Standard on Based
    year  2007,
  key=OASIS,
  language = volume  5
  pages=41-,
}


@InProceedings{   ferreira.ea:how:2009,
  author = {Ana Ferreira and David Chadwick and Pedro Farinha and   "need governmentandindustrypurchasersof
 GansenZhaoandRuiChilro  CruzCorreiaand
    Luis features.Suchuniformdefinitions   java.lang.StringIndexOutOfBoundsException: Index 63 out of bounds for length 63
  title  {How  securely  into: theBTGRBAC model,
  booktitle = {Annual Computer Security Applications Conference (ACSAC)},
  year  = 2009,
   = Access models describe frameworks thatdictatehow
    Standardhasseveral , designflaws and
    ControlRBAC) model accesstoresources is basedon
 the theuser withintheorganization. 
    flexible   RBAC implementations differentsemantics java.lang.StringIndexOutOfBoundsException: Index 55 out of bounds for length 55
   frameworks RBACis usually a static model
      101109MSP2007158}
    options: Grant or
java.lang.StringIndexOutOfBoundsException: Index 0 out of bounds for length 0
    controls within an access control policy but in a
    controlled and justifiable manner. The main objective of
    this paper is to integrate BTG within the NIST/ANSI RBAC
    model in a transparent and secure way so that it can be
adoptedin    or
    emergencyspaces
calledRBAC   option.
      year,
    application without any major changes to either the
     =0167,
    from the decision engine. Finally, in order to validate the
    model, we discuss how the BTG-RBAC model is being
    introduced within a Portuguese healthcare institution where
   the requires  information java.lang.StringIndexOutOfBoundsException: Index 61 out of bounds for length 61
accessed groupprofessionals
    These ,systemsjava.lang.StringIndexOutOfBoundsException: Index 36 out of bounds for length 36
    required and asked     .  ,  control
 concept  to  withthe legislation}
}

@Manual  .This, "the" 
   =ansirbac1998
  abstract  and in situationsfrom
 acceptance   marketplaceItincludes
    reference model  .Malicious, ,canabuse system
 features   referenceis 
      and   paperjava.lang.StringIndexOutOfBoundsException: Index 59 out of bounds for length 59
    ,,andcomposition
    (2) managers     
    computer deliverycarefirst .
}
    known sandhuarbac97:,
    specifications.},
  note    =  and Bhamidipati and  Munawer,
title  NationalInformation -
    Role Based issec
 =}java.lang.StringIndexOutOfBoundsException: Index 24 out of bounds for length 24
  year  =     10/.00839,
  month  = feb,
   -,
     -  RBAC are


{ea:
 appealinguse    RBAC
 Security
 AofStandard- 
    Control},
  year  =role     is
   {dec,
  volume = 5,
number=,
  pages  = {41--49},
  abstract =   97  with  of
  -  to
 "need among andindustry  of
    and
    uniform   completely  this  forthe firsttime.also
   features.Suchuniformdefinitions ITproductvendors
    and customers a common and unambiguous}
    features@{   becker::2007
    increased .However, the  ANSI RBAC
    Standard has several    specification,
    technical errors , itunaddressed,couldleadto
samong product  customers to
    RBAC  56,
    defeating the standard's purpose.},
  keywords = {ANSI,
year 2007java.lang.StringIndexOutOfBoundsException: Index 15 out of bounds for length 15
   =101109MSP.58}
  issn=/.008
}

{ardagna2010
java.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
  
    consensus technologies java.lang.StringIndexOutOfBoundsException: Index 60 out of bounds for length 60
  year  = 2010,
  issn  = {0167 naturallanguage  ofsecurity are
  doi  101016/.ose201007001,
  author = {Claudio A. Ardagna and Sabrina De Capitani di Vimercati
   andSara  Tyrone.GrandisonSushil
    and Pierangela Samarati},
  keywords = {Access control, Break the glass, Policy   health record(HRprojectsjava.lang.StringIndexOutOfBoundsException: Index 59 out of bounds for length 59
    Exceptions,declarative
abstract={  requirement  healthcare is
 that    comes   should
      Management,wheredigital
mechanisms java.lang.StringIndexOutOfBoundsException: Index 62 out of bounds for length 62
disclosure oftenincasejava.lang.StringIndexOutOfBoundsException: Index 52 out of bounds for length 52
    emergenciesby  patient can  in
    a commonEHRservice     ambiguities
    quite useful and mandatory   .   the java.lang.StringIndexOutOfBoundsException: Index 58 out of bounds for length 58
    security perspective,       used  enforcing
    weakness.  and purposesFormalising java.lang.StringIndexOutOfBoundsException: Index 60 out of bounds for length 60
    exploiting the break the
    unauthorized privileges and accesses. In this paper, we
    propose an@.:,
  Accessmodels  staticie are  a only . scenarioshealthand , flexible access,..  ,isneeded\\-glass            to  system  thatcouldharmlivesor otherwiseresultinlosses , break- techniques   addedontop    controlsolutions hocandthereforean   access    '   .\\    integratingin - ,breakglassstrategiesinto        .Thisintegration  forspecifyingbreak  preciselyand  model-      policies}
    healthcare   Achim   Petritsch
  ,andcomposition
algebraregulate    to
    the rigorous nature of traditional access control systems
 with "elivery ofcare  first" principle}
}

Article.::,
    Ravi andVenkataBhamidipatiand Munawer,
  title=-
 j,
volume,
  number = 1,
  year  = 1999,
  issn  = {1094-9224},
  pages  = {105--135},
doi .300839java.lang.StringIndexOutOfBoundsException: Index 33 out of bounds for length 33
  address = pub-acm:adr,
  publisher = pub-acm,
  abstract = { In role-based access control (RBAC), permissions are
    associated with roles' and users are made members of roles,
    thereby acquiring the roles; permissions. RBAC's motivation
    is to simplify administration of authorizations. An
    appealing possibility is to use RBAC itself to manage RBAC,
    to further provide administrative convenience and
    scalability, especially in decentralizing administrative
    authority, responsibility, and chores. This paper describes
    the motivation, intuition, and formal definition of a new
    role-based model for RBAC administration. This model is
    called ARBAC97 (administrative RBAC '97) and has three
    components: URA97 (user-role assignment '97), RPA97
    (permission-role assignment '97), and RRA97 (role-role
    assignment '97) dealing with different aspects of RBAC
    administration. URA97, PRA97, and an outline of RRA97 were
    defined in 1997, hence the designation given to the entire
    model. RRA97 was completed in 1998. ARBAC97 is described
    completely in this paper for the first time. We also
    discusses possible extensions of ARBAC97. }
}

@Article{   becker:information:2007,
  title  = {Information governance in NHS's NPfIT: A case for policy
    specification},
  journal = {International Journal of Medical Informatics},
  volume = 76,
  number = {5-6},
  pages  = {432--437},
  year  = 2007,
  mynote = {"Virtual Biomedical Universities and E-Learning" and
    "Secure eHealth: Managing Risk to Patient Data" -
    E-Learning and Secure eHealth Double S.I.},
  issn  = {1386-5056},
  doi  = {10.1016/j.ijmedinf.2006.09.008},
  author = {Moritz Y. Becker},
  keywords = {Access control},
  abstract = {Purpose The National Health Service's (NHS's) National
    Programme for Information Technology (NPfIT) in the UK with
    its proposed nation-wide online health record service poses
    serious technical challenges, especially with regard to
    access control and patient confidentiality. The complexity
    of the confidentiality requirements and their constantly
    evolving nature (due to changes in law, guidelines and
    ethical consensus) make traditional technologies such as
    role-based access control (RBAC) unsuitable. Furthermore, a
    more formal approach is also needed for debating about and
    communicating on information governance, as
    natural-language descriptions of security policies are
    inherently ambiguous and incomplete. Our main goal is to
    convince the reader of the strong benefits of employing
    formal policy specification in nation-wide electronic
    health record (EHR) projects.Approach Many difficulties
    could be alleviated by specifying the requirements in a
    formal authorisation policy language such as Cassandra. The
    language is unambiguous, declarative and
    machine-enforceable, and is based on distributed
    constrained Datalog. Cassandra is interpreted within a
    distributed Trust Management environment, where digital
    credentials are used for establishing mutual trust between
    strangers.Results To demonstrate how policy specification
    can be applied to NPfIT, we translate a fragment of
    natural-language NHS specification into formal Cassandra
    rules. In particular, we present policy rules pertaining to
    the management of Clinician Sealed Envelopes, the mechanism
    by which clinical patient data can be concealed in the
    nation-wide EHR service. Our case study exposes ambiguities
    and incompletenesses in the informal NHS
    documents.Conclusions We strongly recommend the use of
    trust management and policy specification technology for
    the implementation of nation-wide EHR infrastructures.
    Formal policies can be used for automatically enforcing
    confidentiality requirements, but also for specification
    and communication purposes. Formalising the requirements
    also reveals ambiguities and missing details in the
    currently used informal specification documents.},
  publisher = pub-elsevier
}
@InCollection{ brucker.ea:extending:2009,
 abstract =  {Access control models are usually static, i.e., permissions are granted based on a policy that only changes seldom. Especially for scenarios in health care and disaster management, a more flexible support of access control, i.e., the underlying policy, is needed.\\\\Break-glass is one approach for such a flexible support of policies which helps to prevent system stagnation that could harm lives or otherwise result in losses. Today, break-glass techniques are usually added on top of standard access control solutions in an ad-hoc manner and, therefore, lack an integration into the underlying access control paradigm and the systems' access control enforcement architecture.\\\\We present an approach for integrating, in a fine-grained manner, break-glass strategies into standard access control models and their accompanying enforcement architecture. This integration provides means for specifying break-glass policies precisely and supporting model-driven development techniques based on such policies.},
 address =  {New York, NY, USA},
 author =  {Achim D. Brucker and Helmut Petritsch},
 booktitle =  {ACM symposium on access control models and technologies (SACMAT)},
 copyright =  {ACM},
 copyrighturl =  {http://dl.acm.org/authorize?175073},
 doi =  {10.1145/1542207.1542239},
 editor =  {Barbara Carminati and James Joshi},
 isbn =  {978-1-60558-537-6},
 keywords =  {disaster management, access-control, break-glass, model-driven security},
 location =  {Stresa, Italy},
 pages =  {197--206},
 pdf =  {http://www.brucker.ch/bibliography/download/2009/brucker.ea-extending-2009.pdf},
 publisher =  {ACM Press},
 talk =  {talk:brucker.ea:extending:2009},
 title =  {Extending Access Control Models with Break-glass},
 url =  {http://www.brucker.ch/bibliography/abstract/brucker.ea-extending-2009},
 year =  {2009},
}