共查询到17条相似文献,搜索用时 109 毫秒
1.
面向Web服务资源的两层访问控制方法 总被引:1,自引:1,他引:0
Web服务资源具有静态的Web服务接口和动态的有状态资源两个组件.针对这两个组件的不同特征为它提出一种基于属性的两层访问控制方法(Two Level Attribute-Based Access Control,2L-ABAC).2L-ABAC扩展基于属性的访问控制模型(Attribute-Based Access Control,ABAC),对这两个组件分别进行访问控制.ABAC系统的访问决定依赖于用户提供的主体属性,所以2L-ABAC采用策略发布机制告知用户所需的属性,并根据各层特征分别采用WSDL附件和元数据交换两种发布方式.除了分层设计带来的灵活性,2L-ABAC还继承了ABAC模型的特性,能够对来自其他安全域的用户进行访问控制.另外,它基于相关国际规范实现,如XACML和SAML,故具有通用性. 相似文献
2.
Web服务中结合XACML的基于属性的访问控制模型 总被引:4,自引:1,他引:3
分析了XACML(eXtensible Access Control Markup Language,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-Based Access Control,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。 相似文献
3.
业务流程访问控制机制是组合Web服务安全应用中的难点问题。针对现有研究不足,提出基于活动授权的Web服务业务流程动态访问控制模型AACBP(Activity Authorization Based Dynamic Access Control Model for BPEL4WS)。通过解除组织模型和业务流程模型间的耦合关系,AACBP将活动授权作为BPEL4WS(Business Process Expression Language for Web Services)活动访问控制实施的基本单元。依据活动实例动态感知上下文,AACBP细粒度约束活动访问授权,实现授权流与业务流程执行同步。最后给出AACBP模型在Web服务安全组合中的实施机制。 相似文献
4.
面向Web服务的基于属性的访问控制研究 总被引:4,自引:1,他引:4
Web服务是一种新的面向服务的计算模式,由于其异构性、多域性和高度动态性,它提出了独特的安全挑战。一个关键的安全挑战就是要设计有效的访问控制机制。但目前存在的访问控制机制大多是基于身份的,存在严重的管理规模和控制粒度问题。本文提出利用基于属性的访问控制(Attribute-Based Access Control,ABAC)机制来处理Web服务的访问控制问题。ABAC采用相关实体的属性进行授权决策,能解决管理规模问题,并提供细粒度的控制。另外,文中对ABAC进行了建模,讨论了其应用,最后还给出了一种实施框架。 相似文献
5.
基于属性的Web服务访问控制模型 总被引:3,自引:0,他引:3
传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型(ABAC),它结合 SAML(Security Assertion Markup Language,,安全声明标记语言)和XACML ( Extensible Access Control Markup Language,可扩展访问控制标记语言)标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适用于动态的Web服务环境。 相似文献
6.
为解决开放式系统环境中基于属性的访问控制(Attribute—Based Access Control,ABAC)策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言(swRL)处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。 相似文献
7.
基于属性的访问控制(Attribute-Based Access Control, ABAC)因其灵活、表达能力丰富等特性,成为最常见的访问控制模型之一。然而,ABAC的策略决策点(Policy Decision Point, PDP)繁琐的策略查询任务以及PDP与策略执行点(Policy Enforcement Point, PEP)之间的网络通信影响其访问控制决策的效率。访问控制决策结果的回收利用是解决以上问题的有效方法之一。本文提出一种支持访问控制策略动态变化的、带策略的ABAC访问控制决策结果的回收利用方案。方案针对ABAC的3种变体模型给出如何创建和更新访问控制决策结果的缓存、如何由缓存内容进行精确和近似的访问控制决策。最终,通过原型系统对方案的可行性和有效性进行实验验证,实验结果显示本文提出的方法一定程度上能降低系统的访问控制决策时间并减少PDP的工作负荷。 相似文献
8.
《计算机应用与软件》2015,(11)
为应对开放网络环境以及跨域访问的需求,提出一种基于属性的访问控制概念。针对此概念设计一种多优化技术的ABAC(Attribute Based Access Control)模型。采用XACML(extensible access control markup language)标准实现了ABAC模型,在进行属性检索和策略检索时引入业务逻辑,以业务为索引值建立索引机制,加快属性和策略检索的匹配效率,并在策略评估时加入了缓存机制,进一步提高评估效率。仿真实验的结果表明该模型的效率与传统ABAC模型相比具有优势。 相似文献
9.
目前,传统的RBAC(Role-Based Access Control)访问控制模型在支持细粒度服务和角色迁移的可控性上存在一定不足.针对这些不足,结合开放式网络环境的实际情况,文中提出了量化服务的概念,实现了一种基于细粒度角色和服务的访问控制机制,给出了一个形式化的基于量化服务和角色的访问控制模型QSRBAC(Quantified Services and Roles Based Access Control).该模型提供了灵活的访问控制粒度,支持对角色和服务的多角度访问控制,支持权限动态调整和条件角色迁移,可以用于大规模开放式网络环境.经测试,在百万规模规则的情况下,基于该模型的访问控制系统内存占用9.6GB以下,平均规则执行时间20μs以内.实验结果证明,该模型可以满足访问控制的效果和时间要求,它的应用显著增强了访问控制过程的可管理性. 相似文献
10.
SOA环境具有分布性.异构性和动态性的特点,传统的访问控制模型已经不能满足其需求.为解决SOA环境下的访问控制问题,提出了一种基于属性的访问控制模型(Attribute-based Access Control,ABAC).模型以实体的属性作为评价的基本单位.通过对主体属性、资源属性以及环境属性的动态评估,结合访问控制策略来对用户的访问进行控制.并采用XACML和SAML两个规范对模型进行了实现.分析了框架中属性和访问控制策略的查询响应方法,以及访问授权的流程.分析结果表明,结合XACML和SAML标准实现的ABAC模型具有较好的安全性和移植性,适用于异构的SOA环境. 相似文献
11.
云计算、物联网和移动互联网等新型计算模式的出现,使得域间相互访问以及数据共享的需求不断扩大,而目前"中心化"的传统访问控制技术所显现出的访问控制策略执行不透明、动态数据管理不灵活、资源拥有者自主性差,使其难以满足海量、动态和分布的新型计算模式.提出了一种以ABAC模型为基础、以区块链为交互方式的域间访问控制模型.介绍了ABAC模型和区块链的技术原理、特点、研究现状,详细阐述了模型框架,对ABAC模型进行了形式化定义;同时,对模型中的智能合约进行了具体描述,给出了本模型在具体场景中的应用和具体的访问控制流程;最后对比了现有的研究方案.该模型可以为域间访问提供标准化的安全、便捷、自主且细粒度的访问控制. 相似文献
12.
面向Web服务工作流系统的访问控制模型 总被引:1,自引:0,他引:1
提出了一种面向Web服务工作流系统的访问控制模型(WSWF-RBAC)。在基于角色的访问控制模型基础上引入系统资源的概念,把Web服务对象、属性和其它功能模块当做资源统一管理。引XT资源访问模式的概念,在约束条件下通过与资源的运算生成系统权限,从而实现了对权限的精细管理和动态调整能力。通过扩展web服务访问的角色集和用户集,并引入角色扮演对象,实现了工作流系统中Web服务与其它模块访问控制的一致性。将该模型应用于库房供应链系统中,运行结果表明,该模型能够增强Web服务工作流系统授权的灵活性和安全性。 相似文献
13.
在分析Web服务访问控制需求的基础上,指出了现有访问控制模型在Web服务访问控制方面的局限性,提出了一种结合属性和角色的Web服务访问控制模型ARBAC,给出了软件实现结构.ARBAC模型给出了Web服务访问控制领域中的概念定义,提出了相关判定定理.ARBAC模型根据Web服务资源对用户的属性限制条件自动生成角色集,完成用户到角色、权限到角色的映射,能够表达职责分离约束、环境参数限制和最小权限策略,统一了Web服务和服务所涉及的数据资源的访问控制. 相似文献
14.
Web服务已成为新一代电子商务的框架,其安全问题是不可忽视的问题,需要一种灵活高效的访问控制来保护.通过分析可扩展访问控制标记语言(XACML)和授权管理基础设施(PMI),给出了一种适合于Web服务安全的访问控制系统模型.该系统模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,适用于Web服务的动态性、异构性等特点. 相似文献
15.
Many efforts in the area of computer security have been drawn to attribute-based access control (ABAC). Compared to other adopted models, ABAC provides more granularity, scalability, and flexibility. This makes it a valuable access control system candidate for securing platforms and environments used for coordination and cooperation among organizations and communities, especially over open networks such as the Internet. On the other hand, the basic ABAC model lacks provisions for context, trust and privacy issues, all of which are becoming increasingly critical, particularly in high performance distributed collaboration environments. This paper presents an extended access control model based on attributes associated with objects and subjects. It incorporates trust and privacy issues in order to make access control decisions sensitive to the cross-organizational collaboration context. Several aspects of the proposed model are implemented and illustrated by a case study that shows realistic ABAC policies in the domain of distributed multiple organizations crisis management systems. Furthermore, the paper shows a collaborative graphical tool that enables the actors in the emergency management system to make better decisions. The prototype shows how it guarantees the privacy of object’s attributes, taking into account the trust of the subjects. This tool incorporates a decision engine that relies on attribute based policies and dynamic trust and privacy evaluation. The resulting platform demonstrates the integration of the ABAC model, the evolving context, and the attributes of actors and resources. 相似文献
16.
黄晓宇 《计算机工程与设计》2006,27(20):3811-3813,3820
在软件集成的研究中,控制集成是一个重要的组成部分,研究了Web服务的控制集成,提出了Web服务的包容模型与聚合模型,包容模型使用容器对Web服务进行封装,对外提供统一的服务访问接口,Web服务消费者通过该接口访问Web服务;聚合模型使用聚合器对Web服务进行管理,聚合器本身不参与Web服务调用,它向Web服务消费者提供Web服务的链接,Web服务消费者在从聚合器处获得链接后再访问相应的服务,其成果已经在一个原型系统中得到了验证. 相似文献