网格环境下的分布式RBAC模型框架

分析了网格访问控制的特性，提出了基于PKI的分布式RBAC模型（G—RBAC），它实现了网格访问控制中的跨信任域授权，并且利用可变属性值的授权证书使得系统能够动态地根据用户的登录环境授予不同的权限。该文给出了G—RBAC的形式化描述、角色分类以及访问验证算法。最后通过一个实例说明了具体的访问控制过程。     

扩展的基于角色的网格授权研究

网格安全主要解决网格环境中实体间的认证和授权问题。现有的网格授权模型大多基于传统的访问控制方式，没有考虑到具体的任务和执行环境。该文在研究现有的访问控制方式的基础上，对基于角色授权的网格模型进行扩展，引入任务和条件的概念，实现了基于任务的动态授权。     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题，讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略，利用公钥证书实现对用户的身份认证，结合角色证书实现对用户的授权访问。     

网格环境下的G-R_TRBAC访问控制模型

针对网格复杂的访问控制需求,对现有的任务-角色访问控制模型进行改进,建立了角色-任务&角色的网格访问控制（G-R_TRBAC）模型。该模型在网格环境虚拟组织域间使用基于角色的访问控制策略(RBAC)结合证书管理系统,网格环境虚拟组织域内则是经过改进的任务-角色访问控制模型,满足了网格访问控制的多域性和动态性。     

基于属性证书的Web Services访问控制模型

Web Services的安全性已成为Web Services广泛应用的主要障碍，Web Services需要解决的安全问题包括：机密性，完整性，抗抵赖性，身份认证，授权和访问控制等。该文针对Web Services的授权和访问控制中存在的问题，提出了一种基于属性证书的Web Services授权机制并分析了利用属性证书实现Web Services角色访问控制的特点。     

面向代理机制的角色访问控制

基于角色的访问控制模型简化了访问控制授权，但是与代理机制相结合所带来的授权问题，制约了其在网格中的应用。该文介绍了RBAC与代理机制相结合所带来的授权问题，在定义了角色屏蔽概念的基础上，提出了面向代理机制的角色访问控制模型。引入了全局角色、本地角色等概念，用于描述PRBAC模型。PRBAC模型对用户与角色的匹配是通过角色委派集和多种角色合并策略完成的。PRBAC模型可以很好地解决在网格环境中使用代理机制的情况下引入RBAC所带来角色屏蔽问题，加强了服务节点的访问安全控制。     

基于角色访问控制的权限管理系统

介绍了一种基于角色的权限管理系统的架构。该架构使用X509属性证书来存储用户角色。授权管理基础设施(PMI）具有权限的分配、委派、发布功能及访问控制请求的处理与决策功能，为整个系统提供统一的授权管理和访问控制服务，实现全系统统一的授权的访问控制策略与机制。     

网格计算中基于信任度的动态角色访问控制的研究

在网格计算中,资源或服务使用者和提供者之间的信任关系是安全通信的前提。由于网格计算环境的分布特性和动态特性,像传统计算那样预先建立信任关系是不现实的。为了解决这个问题,在研究中发现,可以将信任机制融入网格社区授权服务中的基于角色的访问控制中,对基于角色的访问控制策略做一定的改进,根据信任度评估算法算出网格实体的信任度,CAS服务器能依据实体的信任度动态改变实体的角色。通过基于信任度的动态角色访问控制可以在一定程度上实现网格访问控制的动态性,同时避免实体的欺骗行为,可以有效地达到在网格社区中对客户端进行访问控制的目的。     

基于属性证书的RBAC实现模型研究

基于角色的访问控制提供了灵活安全管理授权机制,公钥基础设施(PKI)提供了一个强有力的认证系统,授权管理基础设施(PMI)作为一项新的技术提供了有效授权和访问控制管理。为了满足现在的安全需求,结合X．509公钥证书(PKCs)和属性证书(ACs),本文提出了一个基于角色的访问控制模型。     

网格环境下基于上下文和角色的访问控制

基于角色的访问控制RBAC是当前比较流行的访问控制模型,但和其它的传统访问控制模型一样采用的是静态授权,没有考虑所处的上下文环境,在应用于以动态性为显著特征的网格计算环境,必然导致一定的缺陷。在基于角色访问控制RBAC模型的基础上进行了扩展,加入了用户活动角色、系统活动权限、用户活动权限、主体上下文、客体上下文的概念,并通过状态矩阵实现了基于上下文的访问控制,可以解决网格环境中上下文敏感的访问控制。     

网格授权技术的回顾与探讨

网格授权是指在网格环境下,合法用户在域内或域间单点登录进行资源访问时,网格系统对用户的访问授予不同等级的权限。本文对网格授权技术进行了回顾,介绍了现有的网格授权系统。同时,根据网格授权的当前状况,对网格授权的未来发展进行了预测。     

网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制，鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器，很难细粒度地控制客户权限，本文提出了一种新的授权模型，采用了SPKI电子证书进行授权。与CAS相比，该模型授权更加灵活，通过委托授权增强了系统的可扩展性，而且能够细粒度地控制用户权限。     

基于SOA网格访问控制模型的研究

信息网格是未来分布式计算的主要发展方向,网格安全不仅是网格推广应用的前提,也是计算网格中的一个核心问题,随着面向服务(SOA)的网格技术的发展和应用,如何解决访问资源的授权成为一个关键性问题,本文通过对当前授权系统的概述和分析,设计了一种面向服务的网格授权系统.     

计算网格中访问控制策略研究与应用

网格是未来分布式计算的主要发展方向,而网格安全不仅是网格推广应用的前提,也是计算网格中的一个核心问题。通过对网格安全需求进行分析,从不同角度观察网格安全,抽象出网格安全模型的物理视图和逻辑视图。重点研究了网格环境中访问控制策略与授权策略。结合网格安全项目的研究,设计并实现了利用网格安全认证、访问控制策略进行P2P分布式计算的应用实例。     

一种基于任务和角色的计算网格访问控制模型

网格安全基础设施解决了身份鉴别、保密性和完整性问题,但难以有效解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。该文提出一种基于任务和角色的计算网格访问控制模型。该模型通过定义授权步及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。     

一种基于企业网格的网格安全模型

针对企业网格分布式、多层、多用户的特点,提出了一种基于企业网格的网格安全模型.该模型对用户采用混合式账户管理方式,具有高效、安全的特点;通过基于PKI体系的数字证书进行用户认证,根据网格用户种类的区别提供不同的单点登录方案;另外文中综合使用RBAC与ACL的访问控制机制,既能保证用户访问资源的安全,又能简化用户授权的管理.     

基于属性和任务的网格授权研究

网格计算作为一种新的分布式计算基础架构,因其资源、服务的异构、动态等特征,决定了安全机制的重要性.访问控制是安全的一个重要的部分.现有的网格授权模型多是基于传统的访问控制方式,没有考虑到网格环境中主体属性和对象属性的多样性,以及具体的任务和执行环境.在借鉴和使用控制模型的基础上,提出一种基于属性和任务的网格授权模型.该模型在考虑主体属性和对象属性的同时,结合具体的任务和执行环境进行授权,并能够在主体属性和对象属性发生变动的情况下,实现动态授权,从而在一定程度上避免了滥用权限的现象.     

基于社区的服务网格多粒度授权与访问控制研究*

基于社区原理构建的织女星网格操作系统（VEGA GOS）是网格应用开发、运行和维护所依赖的环境和平台。在织女星网格操作系统中,结合社区具有的局部集中性的特点,在主体、资源、操作空间中建立跨管理域的授权模型,用于解决网格中授权及访问控制在好用性、自主控制、通用性方面的问题。介绍了基于社区的多粒度授权与访问控制机制的设计和实现,并对由于使用安全机制引起的系统稳定性变化进行了测试和分析评价。     

复合模式的网格系统信任授权模型

作为研究焦点的网格系统提供了一种受控的跨边界的资源共享的虚拟框架。对网格环境进行了分析，讨论了网格对信任管理的需求。在分析各种信任模型不足的基础上，基于网格具体的应用环境，并结合以PGP用户为中心的信任模型和SPKI授权证书机制各自的优势，提出了复合模式的网格信任授权模型，并完整设计了整个模型的可实现框架。