基于资源状态和角色访问控制的网格授权方法

提出了一种基于资源状态和角色访问控制的授权方案，该方案利用授权服务器信息扩展网格信息服务，将资源站点本地角色作为访问目标资源，加入到授权服务器策略库中，支持对虚拟组织(VO)外用户的授权，并实现了基于资源当前负载状态的细粒度授权。实验表明，在大规模VO中，该方案能够优化授权速度，缓解授权服务器访问的瓶颈问题。     

基于GSI的网格授权网络安全体系研究与实现

针对网格网络安全体系的需求,研究了基于GSI的网格授权网络安全体系和改进的CAS授权模型,分析了GIS的功能、模型和网格授权模型的概念以及体系结构,提出了基于Web Service的网格授权体系结构的网格安全接口和基于改进的CAS授权模型,以及授权体系系统应用开发实现及优化方法。     

网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制，鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器，很难细粒度地控制客户权限，本文提出了一种新的授权模型，采用了SPKI电子证书进行授权。与CAS相比，该模型授权更加灵活，通过委托授权增强了系统的可扩展性，而且能够细粒度地控制用户权限。     

网格环境下基于联合代理证书的社区授权服务的UML建模研究

随着网格研究的不断深入,网格安全问题不容忽视。访问控制是安全防范和保护的主要策略,而GSI中的授权机制难以扩展到拥有大量资源和大量用户的大规模网格环境中。社区授权服务(CAS)正是针对这种大规模网格环境中存在的授权机制问题而提出的。通过统一建模语言UML,详细阐述了社区授权服务机制的关键技术,并将联合代理证书机制融合到社区授权服务中,对进一步完善社区授权服务体制具有较大的实用价值。     

网格计算访问控制的实现

随着网格应用的不断建立，解决网格访问控制问题愈发急迫。该文形式化描述了网格访问控制元素，定义了网格用户角色和角色委托概念，分析了网格计算访问控制特性、授权要素、授权模式、授权策略，结合使用代理证书和属性证书提出了一个基于角色的网格计算访问控制实现方案。     

网格环境下基于VO的统一认证授权研究

网格计算系统中的资源共享和协同工作建立在虚拟组织基础之上,各种资源的共享是受认证和授权控制的。可以说,认证授权是网格安全的本质,是网格计算系统成败的关键。因此,研究虚拟组织的认证授权模型具有重要意义。根据GSl模型提出了一种基于VO的统一认证与授权模型。     

一种社区授权服务的拉式模型

针对目前网格中的社区授权服务（CAS）推式模型所存在的某些安全问题，提出了一种拉式模型。在拉式模型中，引入一个CAS缓存服务器；由资源提供者（而不是用户）向CAS缓冲服务器查询用户的权限声明，并与本地授权策略相结合形成用户在本资源上的最终有效权限。该文详细描述了用户向资源提供者进行服务请求的认证步骤，并从运行效率和安全性、可靠性等方面与推式模型进行了对比分析。     

基于Globus的网格安全机制研究及扩展

随着网格应用的发展,网格安全问题日渐突出。为解决此问题,Globus项目组作了大量工作。讨论网格环境下的安全问题,分析Globus的安全机制,结合虚拟组织技术和基于角色的访问控制方法,探讨基于Globus安全基础设施的扩展的安全技术——社区授权服务机制,并对网格环境下的安全技术的基本问题进行了总结。     

一个具有强授权特性的网格安全框架

网格安全技术主要解决网格环境中实体之间的认证和授权问题。Globus网格项目中的GSI(Grid Secudty Infrastmcture)主要基于X．509技术实现身份认证以及数据的机密性、完整性和抗否认性,重点解决了认证和消息保护问题,然而在授权问题上缺乏必要的技术支撑。在分析现有安全技术的基础上,提出了将基于X．509的PKI技术和PMI技术相结合的网格安全框架,旨在实现基于安全认证基础之上网格用户和虚拟群组实体间的安全授权机制,从而构建强认证、强授权的网格安全基础设施。     

一种基于角色代理的服务网格虚拟组织访问控制模型

给出一种基于角色代理技术的虚拟组织访问控制模型，与同类研究成果相比，在不降低自治域的安全管理效率的情况下，能够实现虚拟组织的细粒度授权和确保自治域的安全策略不被破坏．该模型的一个原型系统已经实现，并通过一个基于网格的低成本电子政务平台中的实例进行了验证．     

本地站点网格作业监控模块的设计和实现

为构建基于用户网格身份的本地站点网格作业监控系统,该文在分析和研究WSRF规范和WS-GRAM实现机制的基础上给出网格作业监控模块的设计方案和体系结构,并阐述在其原型系统中各个组成模块的实现细节。网格监控模块原型系统能与WS-GRAM整合以提供基于用户网格身份的作业状态监控,并可进一步为网格授权服务提供动态信息。     

一种社区授权服务的拉式模型

针对目前网格中的社区授权服务(CAS)推式模型所存在的某些安全问题,提出了一种拉式模型。在拉式模型中,引入一个CAS缓存服务器;由资源提供者(而不是用户)向CAS缓冲服务器查询用户的权限声明,并与本地授权策略相结合形成用户在本资源上的最终有效权限。该文详细描述了用户向资源提供者进行服务请求的认证步骤,并从运行效率和安全性、可靠性等方面与推式模型进行了对比分析。     

一种基于任务的计算网格访问控制模型*

网格安全基础设施(GSI)解决了身份鉴别、保密性和完整性问题,却难以有效地解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求.为此,提出了一种基于任务的计算网格访问控制模型.该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现.     

基于委托的分布式动态授权策略

针对分布式协作环境中的授权问题,基于委托模型和RBAC模型,提出一种基于委托的分布式动态授权策略。通过扩展RBAC模型的元素集和静态授权操作,并由委托者动态创建临时委托角色和委托授权,支持“部分角色转授权”。系统授权采用三级层次结构实现,并给出了动态委托授权过程。系统实现及应用表明了其能够适应分布协作环境下的分布动态授权需求,遵循“最小特权”原则。     

网格中的认证授权技术

由于网格技术广泛的应用前景,网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面:公钥基础设施,SSL与相互认证进行了研究,分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点,并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。