基于XACML的网格授权服务的设计与实现

为更好地解决网格环境下分布式跨域授权问题、增强授权功能的可扩展性和可复用性,构建了基于可扩展访问控制标记语言(extensible access control markup language,XACML)规范的网格授权框架.在该框架的基础上,依照Web服务资源框架和Web服务通知规范,设计实现了基于XACML策略引擎的网格授权服务.将复杂的模块交互调用封装在授权框架内,通过简单易用的服务接口实现域间互操作时的权限分配.实现结果表明,该框架更加灵活,适用于动态、异构的网格环境.     

云系统中多域安全策略规范与验证方法

为了有效管理云系统间跨域互操作中安全策略的实施,提出一种适用于云计算环境的多域安全策略验证管理技术。首先,研究了安全互操作环境的访问控制规则和安全属性,通过角色层次关系区分域内管理和域间管理,形式化定义了基于多域的角色访问控制（domRBAC）模型和基于计算树逻辑（CTL）的安全属性规范;其次,给出了基于有向图的角色关联映射算法,以实现domRBAC角色层次推理,进而构造出了云安全策略验证算法。性能实验表明,多域互操作系统的属性验证时间开销会随着系统规模的扩大而增加。技术采用多进程并行检测方式可将属性验证时间减少70.1%～88.5%,其模型优化检测模式相比正常模式的时间折线波动更小,且在大规模系统中的时间开销要明显低于正常模式。该技术在规模较大的云系统安全互操作中具有稳定和高效率的属性验证性能。     

多自治域协同环境中群组通信的安全访问控制

支持多自治域协作的安全通信环境是大规模分布式应用的基础,群通信由于高效、可伸缩等特点,成为这种协作环境的一种基本通信方式．然而,由于没有集中的控制中心,实体分别隶属于异构的自治域且动态变化,引发了大量新的安全访问控制问题．针对多域协作的异构性和动态性特点,提出一套基于角色的分布式信任管理的解决方案,重点解决了动态联合授权以及基于属性的委托授权．在此基础上建立了一套较完整的安全通信体系,包括安全策略的协商、信任证的颁发、信任证与安全策略的一致性验证以及用户访问权限论证等．它为多域协作环境的群通信提供了更加灵活、可靠、安全的访问控制模式．     

多域环境下安全互操作研究进展

多域安全互操作是通过认证机制、访问控制机制和审计机制来实现多个分布、异构、自治区域间安全的资源共享和信息交互的过程.系统介绍了这一新型研究领域的理论基础和应用现状,从解决访问控制安全和域间策略冲突的角度,对域间角色转换技术、基于信任管理、基于PKI和基于时间限制等方向的多项研究成果和关键技术进行分析和点评,重点探讨了多域环境下各自治域间策略集成算法的建模和实现,最后针对目前研究工作中存在的问题,对该领域未来的发展方向和趋势做出展望.     

一种统一授权和访问控制模型的设计实现

企业信息平台(EIP)是一个基于企业模型的平台,目标是为了实现模型驱动的企业设计、分析和评价。EIP的目标之一就是建立一个可以容易地实现不同系统集成的架构,如:政府和其他企业中过程、结构、任务、目标和信息等的集成。论文的重点不是EIP中数据的集成,也不是应用的集成,而是授权的集成,主要针对的是EIP中工作流管理和资源管理中的授权集成问题。在现有的EIP系统中,工作流管理和资源管理一般都有各自独立的授权和访问控制模块,这种非一体化的授权方法容易引发多种安全问题。而先前的研究大都集中在单独的授权系统上,对它们的集成很少有讨论。论文提出了一种统一的授权和访问控制模型,可以以一种统一的策略来表示处理EIP系统中的各种授权和访问控制,解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。     

一种基于信任度的自组安全互操作方法

提出了基于信任度的自组安全互操作方法,引入信任度描述自治域和用户正确参与协作的概率.自治域对用户的信任度由二者的直接交互经验以及其他域对用户的评价共同决定,满足信任策略要求的用户允许执行角色.用户的恶意历史行为将会降低其信任度,从而影响执行角色的范围.自治域对其他域的信任度由对用户的评价与直接经验的偏差根据加权主要算法反馈更新.自治域的恶意评价影响其推荐信息的可信程度.实验结果表明,该方法能够有效地抵御欺骗和恶意行为.     

基于多Agent的I-MES在烟草企业中的实现

本文以面向敏捷企业的智能制造执行系统(I-MES)为研究对象,采用多Agent技术作为系统的实现形式,对系统的多Agent组织结构、系统中多Agent间的通信和协作机制以及多Agent的基于事件和周期的动态调度策略等理论问题和关键技术进行了研究,针对可集成制造执行系统中最常见的资源冲突问题,提出了一种基于多Agent合作的冲突消解模型;在此基础上针对敏捷环境下传统的制造执行系统的不足,以烟草企业这类流程性工艺企业为背景,基于多代理技术,构建了一个基于多代理具有开放性、集成性、动态性、敏捷性和可互操作的敏捷制造智能执行系统,     

空间访问控制研究综述

空间数据在数据类型、拓扑关系、操作模式等方面的诸多特性导致传统访问控制模型难以直接使用在以空间数据为核心的地理信息系统之中。近年来,将空间数据作为一种新的客体类型,对其实施有效的访问控制已成为信息安全和地理信息系统两个领域共同关注的热点问题。致力于从空间访问控制模型、空间访问控制授权方法、空间访问控制策略管理和空间访问控制的实现方法四个方面,对该领域的研究进展进行综述性研究。将空间访问控制模型分为基于DAC、MAC、RBAC模型的空间扩展模型及其他模型;将空间数据授权方法分为基于SAR、基于安全标签和基于角色的几种不同技术;将空间访问控制策略管理分为授权策略存储管理、授权查询和判定、授权策略的冲突检测与消解和授权策略管理模型等方面。同时分析对比了各种不同模型、授权方法、策略管理技术的使用场景、实现原理、技术优势、特点与局限性,总结其发展演化过程、研究现状及存在的问题,进而展望了今后可能的研究趋势。     

基于Agent技术的虚拟组织集成框架IFVO

虚拟组织正成为常规组织（或个人）间协同工作的重要形式,并要求集成化信息基础的支持。文中提出一个基于Ａｇｅｎｔ技术的虚拟组织集成框架ＩＦＶＯ,它以面向活动分担的联合意向作为主要手段从３个方面：体系结构方式、Ａｇｅｎｔ协作的语义互操作,支持集成化虚拟组织信息基础的开发和协调运作,ＩＦＶＯ将虚拟组织的信息基础封装和构造为可快速组合和拆卸的嵌套Ａｇｅｎｔ联邦,从而能有效地支持虚拟组织的动态建立、运营过程的     

基于OAuth的开放授权技术及在云计算中的应用

在云计算中,传统应用系统中使用的基于单一安全域的身份认证和资源授权模式已无法适应复杂环境中的管理要求,需要制定跨域访问的安全控制策略.在重点分析了云计算中数据安全和隐私保护所遇到的挑战的基础上,有针对性地介绍了OAuth2.0协议的原理和功能特点,提出了开放授权技术在云计算中的应用优势,并通过一个工程应用实例讨论了具体的实现方法和思路.