基于策略的Web服务访问控制的研究

访问控制是开放、异构Web服务环境必须满足的重要安全需求之一,传统的访问控制模型都是静态的、粗粒度的,不能很好的满足Web服务应用的需要。通过对策略模型的研究,结合Ws-Policy规范和Ws-PolicyAttachment规范,提出了一种基于策略的Web服务访问控制模型,使访问控制能够基于策略主体、用户属性和环境属性动态的、细粒度的授权;研究并分析了访问控制模型中的生效策略。     

面向WS-BPEL的访问控制策略合成研究

在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。提出一种基于条件的访问控制策略模型以及基于该模型的策略合成代数,将WS-BPEL语言中常见控制结构映射成策略合成表达式,通过合成外部子服务的访问控制策略,生成组合服务的访问控制策略。最后,设计了原型系统描述策略合成的流程。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型，比较了PBAC与基于角色的访问控制（RBAC），分析了PBAC对策略语言和策略管理架构的需求；基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型，提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后，对语义策略语言进行了展望。     

基于XML的多粒度访问控制系统

如何为大量以Web服务形式存在的Web关键资源和应用中涉及到的XML文档资源提供安全访问控制并把二者很好地结合起来是当前电子商务安全服务研究中的一个重要课题。为此,该文提出一种基于XML的粗细粒度结合的多粒度访问控制系统。该系统采用基于角色的访问控制模型(RBAC),在扩展XACML规范的基础上,提出一种相对统一的策略描述语言;引入临时授权的概念,用于表示和实现更为丰富的访问控制策略;并提供灵活的安全映射接口,使其易于和其他安全系统相结合,为企业及企业间的应用提供访问控制服务。     

基于SAML和XACML的Web服务访问控制模型

Web服务采用了通用的协议和技术,便于用户访问,已成为了分布式计算的研究热点,但这种方便也带来了安全性的隐患。提出了一个基于SAML和XACML的Web服务访问控制模型,利用SAML协议实现单点登录,采用XACML策略描述语言对用户进行访问控制。模型在扩展SAML协议的基础上,把XACML引入Web服务能够更好地对服务端受保护资源进行控制,从而实现Web服务的安全访问控制。     

Web服务设计中的访问控制验证*

提出了一种新颖的方法,用于在设计阶段确定Web服务设计是否能根据其访问控制策略及凭证发布策略进行实施。将Web服务和Web服务设计均模拟为演进系统,并用有向图表示Web服务的凭证发布策略。证明了Web服务设计中所有可能的会话,其实都可以通过将请求者Web服务的凭证发布策略与被请求者Web服务的访问控制策略相匹配而实现。利用了一个资源发布图来完成这种证明。     

组合Web服务访问控制策略合成研究

针对Web服务多域环境下组合服务的访问控制策略合成问题,首先提出基于属性的Web服务访问控制策略描述框架,并结合原子属性值限制的属性描述方法,对服务访问控制策略进行了形式化表达。然后,通过分析服务组合描述文档中的控制结构,并研究访问控制策略合成算子和访问控制策略规则的合成运算,提出组合Web服务访问控制策略合成方法,实现了组合服务访问控制策略的合成。最后,结合实例给出组合Web服务的访问控制策略合成流程,验证了合成方法的实用性。     

Web服务访问控制策略研究

Web服务环境中,交互实体通常位于不同安全域,具有不可预见性。Web服务应该基于其他与领域无关的信息而非身份来实施访问控制,以实现对跨域未知用户的访问授权。为此,提出了适应于Web服务的基于上下文的访问控制策略模型。模型的核心思想是将各种与访问控制有关的信息统一抽象表示为一个上下文概念,以上下文为中心来制定和执行访问控制策略,上下文担当了类似基于角色的访问控制(RBAC)中角色的概念。基于描述逻辑语言(DL),定义了基于上下文的访问控制策略公理,建立了访问控制策略知识库,提出了访问控制策略的逻辑推理方法。最后基于Racer推理系统,通过实验验证了方法的可行性和有效性。     

面向Web服务的交互访问控制

针对传统访问控制策略的不足,提出面向Web服务的交互式访问控制策略模式,为适应Web服务间的信息交互访问安全,设计一种基于SAML认证授权框架以实现协同用户与服务商之间交互访问的匹配机制。以Web服务的访问控制过程为例,分析Web服务的交互式访问控制协议的实现过程,结果证明,该协议能为Web服务提供更细粒度的访问控制。     

基于SRP协议的Web服务移动agent访问控制研究*

针对Web服务安全问题中的访问控制,提出将移动agent引入Web服务的安全访问控制模型,基于SRP协议对Web服务附加了一个独立的访问控制代理层,实现了基于移动agent的Web服务访问控制模型,并对控制流程进行了描述。     

基于XACML的Web服务安全访问控制模型

Web服务已成为新一代电子商务的框架,其安全问题是不可忽视的问题,需要一种灵活高效的访问控制来保护.通过分析可扩展访问控制标记语言(XACML)和授权管理基础设施(PMI),给出了一种适合于Web服务安全的访问控制系统模型.该系统模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,适用于Web服务的动态性、异构性等特点.     

组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术。主要论述了组合Web服务访问控制技术的研究现状及其问题。首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合W cb服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势。     

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。     

Ws-AC: A Fine Grained Access Control System for Web Services

The emerging Web service technology has enabled the development of Internet-based applications that integrate distributed and heterogeneous systems and processes which are owned by different organizations. However, while Web services are rapidly becoming a fundamental paradigm for the development of complex Web applications, several security issues still need to be addressed. Among the various open issues concerning security, an important issue is represented by the development of suitable access control models, able to restrict access to Web services to authorized users. In this paper we present an innovative access control model for Web services. The model is characterized by a number of key features, including identity attributes and service negotiation capabilities. We formally define the protocol for carrying on negotiations, by specifying the types of message to be exchanged and their contents, based on which requestor and provider can reach an agreement about security requirements and services. We also discuss the architecture of the prototype we are currently implementing. As part of the architecture we propose a mechanism for mapping our policies onto the WS-Policy standard which provides a standardized grammar for expressing Web services policies.     

Aligning Semantic Web applications with network access controls

Access controls for Semantic Web applications are commonly considered at the level of the application-domain and do not necessarily consider the security controls of the underlying infrastructure to any great extent. Low-level network access controls such as firewalls and proxies are considered part of providing a generic network infrastructure that hosts a variety of Semantic Web applications and is independent of the application-level access control services. For example, it is unusual to include firewall policy rules in an application policy that constrain the kinds of application information different principals may access. As a consequence, an improperly configured infrastructure may unintentionally hinder the normal operation of a Semantic Web application. Simply opening a firewall for HTTP and HTTPS services does not necessarily result in a proper configuration. Taking an ontology-based approach, this paper considers how a firewall configuration should be analyzed with respect to the Semantic Web application(s) that it hosts.     

访问控制策略语言—EGACPL

随着访问控制技术的发展以及安全需求的多样化,访问控制模型的组合应用日益成为安全操作系统设计的重要目标,由此对策略描述语言提出了统一易用的新要求。通过对现有安全策略语言和访问控制模型的研究,设计了一种应用于安全操作系统领域的访问控制策略语言EGACPL（Easily Use and General Access Control Policy language）。EGACPL采用结构化以及面向对象的设计思想,便于开发者理解和使用;统一描述策略元素和安全规则,支持多种访问控制模型,体现了良好的通用性。