基于NETCONF的网络配置管理系统的设计与实现

为弥补SNMP在网络配置管理方面的缺陷,基于NETCONF的网络配置管理技术应运而生.本文遵循NETCONF逻辑模型的分层设计原则,设计并实现一种基于NETCONF的网络配置管理系统.采用YANG描述系统的数据模型,同时针对网络配置管理的功能需求,使用一个层次化的系统结构设计,详细分析各层次模块的关键类的设计.该系统在设计上充分考虑了管理信息和配置操作的扩展性,并且支持配置操作的安全性.     

基于XACML流媒体服务器的Web访问控制模型

互联网的迅猛发展和普及为流媒体业务发展提供了强大的市场动力,流媒体业务正变得日益流行。通过分析可扩展访问控制标记语言（XACML）和授权基础设施（PMI）,提出了一种基于XACML安全策略的流媒体服务的访问控制模型,并给出了一个XACML访问控制策略实例,另外还分析了采用XACML作为描述访问控制准则的语言来对这个模型进行描述。这个模型可以实现流媒体服务在策略机制上的灵活性,扩展能力强,从而使流媒体服务具有更加细粒度化和良好的操作性等特点。     

面向资源的细粒度可扩展访问控制策略

分析了访问控制新的需求特点,在XACML的语言模型和访问控制模型基础上,探讨了一种统一的、可移植的规则、策略及决策算法,能满足对细粒度网络资源的访问控制要求,并具有可扩展性。     

基于可信平台的一种访问控制策略框架——TXACML

根据可信平台访问控制需求,提出一个可信平台属性分类规则,定义属性评估函数,可以实现可信平台数据安全分发和访问.同时针对XACML现有的策略合成算法不能有效满足可信平台自动方策略复合需求,设计了一个基于平台可信度的策略合成算法,该算法可以使策略的优先级和可信度保持一致,实现自动方策略复合.在此基础上,进一步对XACML实施扩展,形成可信平台策略语言框架TXACML(XACML based on trusted platform).采取TXACML对一个实例给出了策略描述和策略合成过程,验证了TXACML的有效性.     

面向Web服务的基于属性的访问控制研究

Web服务是一种新的面向服务的计算模式,由于其异构性、多域性和高度动态性,它提出了独特的安全挑战。一个关键的安全挑战就是要设计有效的访问控制机制。但目前存在的访问控制机制大多是基于身份的,存在严重的管理规模和控制粒度问题。本文提出利用基于属性的访问控制（Attribute-Based Access Control,ABAC）机制来处理Web服务的访问控制问题。ABAC采用相关实体的属性进行授权决策,能解决管理规模问题,并提供细粒度的控制。另外,文中对ABAC进行了建模,讨论了其应用,最后还给出了一种实施框架。     

面向Web服务资源的两层访问控制方法

Web服务资源具有静态的Web服务接口和动态的有状态资源两个组件.针对这两个组件的不同特征为它提出一种基于属性的两层访问控制方法(Two Level Attribute-Based Access Control,2L-ABAC).2L-ABAC扩展基于属性的访问控制模型(Attribute-Based Access Control,ABAC),对这两个组件分别进行访问控制.ABAC系统的访问决定依赖于用户提供的主体属性,所以2L-ABAC采用策略发布机制告知用户所需的属性,并根据各层特征分别采用WSDL附件和元数据交换两种发布方式.除了分层设计带来的灵活性,2L-ABAC还继承了ABAC模型的特性,能够对来自其他安全域的用户进行访问控制.另外,它基于相关国际规范实现,如XACML和SAML,故具有通用性.     

基于属性访问控制方法中的策略定义研究

基于属性的访问控制(ABAC)是面向Web Selrvice应用的一种新的访问控制方法.可扩展访问控制标记语言XACML是一种支持该方法的重要规范,它给出了ABAC策略执行框架以及ABAC策略的定义语言.但XACML中策略定义非常繁琐复杂,对用户提出了很高要求.本文在对ABAC模型进行分析研究的基础上,分析了XACML的策略定义语言,提出了基于XACML的ABAC策略模版,并给出了基于策略模版编写ABAC策略的方法,从而在保证策略正确定义的基础上,有效简化了策略定义过程.     

SOA中基于属性的访问控制安全策略

SOA环境具有分布性.异构性和动态性的特点,传统的访问控制模型已经不能满足其需求.为解决SOA环境下的访问控制问题,提出了一种基于属性的访问控制模型(Attribute-based Access Control,ABAC).模型以实体的属性作为评价的基本单位.通过对主体属性、资源属性以及环境属性的动态评估,结合访问控制策略来对用户的访问进行控制.并采用XACML和SAML两个规范对模型进行了实现.分析了框架中属性和访问控制策略的查询响应方法,以及访问授权的流程.分析结果表明,结合XACML和SAML标准实现的ABAC模型具有较好的安全性和移植性,适用于异构的SOA环境.     

基于属性的Web服务访问控制模型

传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型（ABAC）,它结合 SAML（Security Assertion Markup Language,,安全声明标记语言）和XACML （ Extensible Access Control Markup Language,可扩展访问控制标记语言）标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适用于动态的Web服务环境。     

一个Web服务访问控制模型

本文设计了一种Web服务的通信机制用来解决应用层SOAP消息的安全传输,通过扩展SAML的语法与XACML结合来实现其应用,以解决访问控制的问题,并在此基础上提出了一个完整的Web服务的访问控制模型,保证对Web服务安全的、细粒度的访问控制。最后,以一个应用的实例来具体地实现此访问控制模型。     

基于XACML的Web服务访问控制模型*

为克服基于身份授权的粗粒度缺点,增强系统的互操作性和适应Web服务的特性,提出了基于XACML并结合RBAC以及SAML的Web服务访问控制系统模型.采用基于用户、资源和环境属性而不是用户身份的授权机制,可提供更细粒度的访问控制和保护隐私;采用XACML、SAML标准,既可满足分布式环境下的互操作性,又特别适合于Web服务的动态性、异构性等特点.     

基于XACML的Web服务访问控制研究

详细介绍了Web服务授权和访问控制机制中一个重要规范：可扩展访问控制标记语言（XACML）,给出了基于XACML的访问控制模型的执行流程,使用SUN公司提供的XACML工具包实现了一个具体应用。最后得出此模型更加灵活、安全的结论,特别适用于异构的Web服务环境,并对XACML的发展作了展望。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型,比较了PBAC与基于角色的访问控制（RBAC）,分析了PBAC对策略语言和策略管理架构的需求;基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型,提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后,对语义策略语言进行了展望。     

基于AC的XACML访问控制模型的设计及实现

通过分析传统访问控制模型及其实现机制的优缺点,提出了一种基于AC证书的XACML访问控制模型及其实现方法,并对模型的安全性进行了分析。     

一种可扩展访问控制标记语言的策略优化算法

可扩展访问控制标记语言XACML得到了广泛应用。为提高XACML策略的评估效率,提出一种基于韦恩图法的XACML策略优化算法。将XACML策略规则的组成结构用集合论中的韦恩图表示,在设定合并算法优先级的基础上,借助集合间的交并关系,检测和消除策略规则间的冲突与冗余,提高策略评估效率。实验测试表明,该算法在各主流引擎下将 请求评估时间平均缩短10%～20%,同时能减少占用的存储空间,达到策略优化的目的。     

基于XACML的Web服务访问控制模型

Web服务的一个显著特点是在于它们能够被互联网上的用户方便地访问。但这种方便带来了安全性的隐患。该文提出了一个适合Web服务的访问控制系统模型。基于属性证书的使用,采用XACML作为描述访问控制准则的语言。系统充分利用了Web服务支持XML和XACML的特点,集成了权限管理基础设施和XACML,使自身适合各种异构的Web服务。     

基于XACML的分布式系统访问控制

分析了传统访问控制中的授权管理策略:强制访问控制,自主访问控制和基于角色的访问控制。然后提出分布式环境下访问控制的特点,并详细介绍了XACML,得出XACML适合于分布式系统的结论。结合XACML研究实现分布式系统的访问控制模型,并通过Sun提供的XACML2.0工具包实现访问控制。     

DTD可选的XML访问控制研究

为解决XML管理安全问题,提出了DTD可选的XML访问控制系统OD-XACS(XML Access Control System with Optional DTD),并给出了安全性分析.OD-XACS支持访问控制规则中带有{//,*,[ ]}的复杂XPath式.有DTD时,ODXACS利用XPath式对DTD的可满足性验证访问控制规则的有效性,并对由规则中XPath式构造的不确定有限自动机进行具体化,消除了这些XPath式中的冗余.实验表明,访问控制规则的验证和具体化可以极大地减轻XML查询引擎的负担.     

基于属性的支持策略本体推理的访问控制方法研究

基于属性的访问控制模型(ABAC)特别适用于大规模分布式网络。然而,由于网络环境的异构性以及策略控制的复杂性,其访问控制策略集往往庞大且缺乏统一语义,策略管理也因此变得复杂和易于出错。针对以上问题,使用本体一致性推理对现有的基于XACML的ABAC授权框架进行扩展:首先,对几种主要的访问控制模型在分布式环境下的性能进行量化分析;其次,通过对本体知识库的一致性检测来判断策略的一致性;最后,设计一个实验方案来验证该方法的有效性和正确性。     

主动网络基于分散式角色激活管理的访问控制

可编程性使主动网络面临更严重的安全威胁，虽然已经提出了大量的安全策略和安全机制，但它们的实现多以静态为主，无法满足主动网络的动态需求。提出一种基于分散式角色激活管理的访问控制策略，包括身份认证、授权和权限验证，对动态约束提供了灵活有效的支持，比传统的基于角色的访问控制更适应主动网络的动态特性。最后在此基础上设计了主动节点的安全机制。