一种基于XACML的混合云跨域资源访问控制方案

混合云计算环境下,服务资源组合灵活、迁移频繁,资源之间的访问授权不易建立与维护。采用传统的访问控制机制对跨域资源进行授权,存在性能瓶颈与共谋攻击等问题。在研究混合云架构的基础上,提出一种基于XACML属性协商机制的混合云跨域资源访问控制方案。采用XACML架构作为跨域资源间授权访问模型,为细粒度的资源授权访问提供支持。在该模型基础上,通过属性协商策略推理引擎对协商属性进行扩展,提高协商效率。采用树状结构的XML语言描述协商策略,便于进行属性授权推理。针对协商推理过程中产生的属性暴露树结构,设计协商策略剪枝算法。最后,通过实验验证方案的可行性和高效性。     

一个Web服务访问控制模型

本文设计了一种Web服务的通信机制用来解决应用层SOAP消息的安全传输,通过扩展SAML的语法与XACML结合来实现其应用,以解决访问控制的问题,并在此基础上提出了一个完整的Web服务的访问控制模型,保证对Web服务安全的、细粒度的访问控制。最后,以一个应用的实例来具体地实现此访问控制模型。     

基于XACML的分布式系统访问控制

分析了传统访问控制中的授权管理策略:强制访问控制,自主访问控制和基于角色的访问控制。然后提出分布式环境下访问控制的特点,并详细介绍了XACML,得出XACML适合于分布式系统的结论。结合XACML研究实现分布式系统的访问控制模型,并通过Sun提供的XACML2.0工具包实现访问控制。     

基于XACML的网格访问控制研究

网格的访问控制可以解决网格环境下的信息共享,通过创建策略和规则,XACML提供了控制信息访问的机制.应用XACML作为网格策略表达,提出了网格访问控制的策略决策模型.在分析决策模型基础上,给出了基于XACML的RBAC网格访问控制模型.描述了使用XACML实现RBAC模型的基本方法.     

面向业务流程访问控制策略及决策优化方法

在分析业务流程访问控制策略需求的基础上,对经典的XACML策略实施框架进行了扩展,提出一种能够根据业务流程执行状态管理策略的实施框架。通过在策略模式中引入元素和定义元素的语义,使其能够描述访问策略和委托策略,并支持任务级最小特权的实现。给出了两种策略决策优化方法,针对策略集中无效策略数量过多的问题,采用逐步裁减法减少策略元素比对的次数,针对策略集中委托策略数量过多且需要验证可信性的问题,采用信任关联法减少策略匹配的次数,有效地提高了策略决策的效率。     

多域环境下基于属性的访问控制模型设计

针对电力信息系统的复杂多域环境,提出了一个访问控制模型(BP-SABAC).该模型将属性访问控制(ABAC)与语义Web技术结合,引入边界策略,扩展了XACML标准框架结构,确保了跨域信息共享的安全,加强了边界防护.     

分布式访问控制

信息安全包括机密性、完整性和可用性,涉及到数据加密、访问控制等多个方面.其中访问控制模型从自主访问控制、强制访问控制发展到了基于角色的访问控制模型,提出了多种不同的框架,并对3种访问控制模型进行了比较和分析,指出了它们各自的优缺点,同时对分布式访问控制模型的研究现状进行了分析,并分别给出了自己的一些思想.     

基于XACML的Web服务访问控制研究

详细介绍了Web服务授权和访问控制机制中一个重要规范：可扩展访问控制标记语言（XACML）,给出了基于XACML的访问控制模型的执行流程,使用SUN公司提供的XACML工具包实现了一个具体应用。最后得出此模型更加灵活、安全的结论,特别适用于异构的Web服务环境,并对XACML的发展作了展望。     

基于属性的跨域访问控制模型设计

本文针对基于Web服务跨域访问控制问题,首先对该问题进行了系统的分析,进而采用SAML身份认证机制和XACML访问控制策略结合ABAC的方法,提出了基于属性的跨域访问控制模型,从而实现了分布式平台的单点登录、多点认证和跨域访问。     

分布式环境下基于角色的访问控制

本文通过扩展权限的定义:给权限增加一个标示位来区别主体、访问的客体属于相同域和属于不同域时的权限,这样解决了采用对等角色时授予给非本域主体过大权限的问题.同时主体在访问非本域的客体时可以申请临时角色,这样避免了仅仅采用对等角色去访问非本域客体的简单化,更有利于最小权限的实现.通过这两点的改进,使基于角色的访问控制模型更加适合分布式访问控制的特点.     

Web服务中跨安全域的基于信任的访问控制模型*

在XACML和WS-Security规范的基础上,设计了跨安全域的基于信任的访问控制模型（CD-WSTBAC）,一种与认证中心相类似的中间件。在解决跨安全域认证的基础上,在获得提供方的访问控制策略和信任计算所需的数据与算法之后,CD-WSTBAC计算对请求方的信任度,并根据访问控制策略代替服务提供方进行信任评估和授权,将评估和授权结果以信任令牌的方式发布给服务请求方。     

网格计算中一种基于属性的访问控制方法*

为了迎合目前网格计算对动态、细粒度授权的需求,针对网格资源分层式的组织结构特点,在现有的基于属性的访问控制（ABAC）模型的基础上,提出了一种针对网格资源的ABAC模型Grid_ABAC,并设计了基于XACML的Grid_ABAC实现框架,应用在GT4平台上。最后对GT4中的应用作了测试,测试结果表明授权结果与预期结果相同,且时间开销随着规模的增长并没有增长很多,在可接受范围内。证明Grid_ABAC模型在网格平台上具有一定的实用性。     

跨域访问控制技术研究

根据国内外最新研究,对跨域数据流动中的访问控制技术进行了总结和展望。首先,结合复杂应用环境下的访问控制,概括了访问控制模型、数据安全模型的发展。其次,分别从数据标记、策略匹配和策略冲突检测方面对访问控制策略管理的研究展开论述。最后,总结归纳了统一授权管理中数据标记技术和授权与延伸控制技术的研究现状。     

网格服务中基于XACML和SAML的安全访问控制

为了解决网格环境下资源访问控制存在的安全性问题,通过分析可扩展访问标记语言XACML、安全声明标记语言SAML及其相关技术,提出了一个基于XACML和SAML的访问控制模型。模型采用可扩展访问标记语言XACML描述访问控制的授权策略,以SAML声明为载体传递用户认证和授权信息,提供安全、细粒度的访问控制,具有较高的灵活性和可扩展性。     

基于语义Web技术的属性访问控制模型*

基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型.该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性.     

结合信任的Web Services属性访问控制模型

针对目前Web Services访问控制模型中存在访问控制粒度较粗、授权不灵活及请求者的行为可信性不固定等缺点,设计了一种新的WebServices属性访问控制模型,并在该模型中引入一种改进的信任评估算法。该算法用来衡量WebServices请求者的信任值,提出了一种结合信任的Web Services属性访问控制模型——T-WSAACM(web services attribute access controlmodel combined with trust)。模型及算法分析结果表明,该模型不仅有效地阻止了不可信的Web资源请求者,使得Web Services的安全性得到进一步增强和保障,而且可以依据Web Services请求者不同的信任等级授予强弱级别的权限,这种灵活的权限授予机制更能满足实际的需求。     

大型分布式组播访问控制系统MDAC

组播安全领域的研究主要集中在端到端的数据保护方面。针对大型组播系统访问控制问题的研究成果不多,已有的研究结果存在很多局限。提出了基于SPKI技术的组播分布式访问控制系统MDAC,和现有的其它方案相比,MDAC不仅具有优越的性能,而且具备分布式、支持非对称组播、授权委托和隐私保护等特性。     

Mosco: a privacy-aware middleware for mobile social computing

The proliferation of mobile devices coupled with Internet access is generating a tremendous amount of highly personal and sensitive data. Applications such as location-based services and quantified self harness such data to bring meaningful context to users’ behavior. As social applications are becoming prevalent, there is a trend for users to share their mobile data. The nature of online social networking poses new challenges for controlling access to private data, as compared to traditional enterprise systems. First, the user may have a large number of friends, each associated with a unique access policy. Second, the access control policies must be dynamic and fine-grained, i.e. they are content-based, as opposed to all-or-nothing. In this paper, we investigate the challenges in sharing of mobile data in social applications. We design and evaluate a middleware running on Google App Engine, named Mosco, that manages and facilitates sharing of mobile data in a privacy-preserving manner. We use Mosco to develop a location sharing and a health monitoring application. Mosco helps shorten the development process. Finally, we perform benchmarking experiments with Mosco, the results of which indicate small overhead and high scalability.     

适用于分布式系统的多级安全访问控制策略

针对分布式信息系统的资源共享及安全互操作问题,在多级安全模型基础上加入管理平台和中间件模块,提出一种适用于分布式系统的多级安全访问控制策略,保证数据机密性和访问过程安全可控。用XACML语言对安全策略进行标准化描述,并对策略进行安全性和灵活性分析。     

一种分布式环境下基于角色的访问控制模型

针对访问控制模型在分布式系统下的局限性,提出一种分布式系统下的基于角色的访问控制模型。该模型以传统RBAC为基础,对其进行了扩展,一方面通过将角色扩展为职能角色和任务角色,另一方面为任务角色增加一个属性,用以标识该角色所赋予的主体属于本域还是外域,避免了采用对等角色直接进行角色分配的简单化处理。从而一方面有利于最小权限的实现,另一方面实现了对本域和外域的主体访问请求采用不同的策略,使基于角色的控制应用范围从集中式的控制领域扩展到分布式的控制领域,以适应不断发展的分布式环境系统的需求。