P_FACSM:PaaS平台下公平的访问控制安全模型

针对PaaS(平台即服务)的安全需求,设计了PaaS下公平的访问控制安全模型(P_FACSM)。该模型以ABAC(基于行为的访问控制)为基础,引入公平化QoS(服务质量)作为环境约束,并结合OAuth(开放的授权)协议进行授权。P_FACSM不仅能保护PaaS中数据的完整性和保密性,也能最大化公平的保障平台访问者的QoS,并能保护终端用户的账户隐私。经理论分析及相关项目中的实际应用表明,该模型在安全性保障及时间效率上都能到达较好效果。     

网格访问控制与授权模型的设计与实现

访问控制和资源授权是网格系统中资源与用户的关系策略的集合,分析了访问控制与资源授权的设计原则,提出了一种基于禁止表和允许表的网格用户访问控制层次式AB4L访问控制模型.给出了该模型的形式化定义,叙述了基于Postgres数据库的资源访问控制模型和授权的实现方法,并从完备性、可扩展性、自主控制和安全性方面对该模型进行了性...     

基于划分和规则访问控制授权模型的研究

针对基于划分和规则访问控制授权方式中仍存在证书的有效撤销问题,提出了一种非公钥证书方式的用户授权模型,实现信息域的安全访问控制.该模型基于X.509 v4的clearance结构,完成授权信任机构、授权证书、证书存储三个主要功能,实现了异构平台之间的信息交互,并和其它身份认证方式一起构成应用对目标资源的安全访问.     

基于属性和任务的网格授权研究

网格计算作为一种新的分布式计算基础架构,因其资源、服务的异构、动态等特征,决定了安全机制的重要性.访问控制是安全的一个重要的部分.现有的网格授权模型多是基于传统的访问控制方式,没有考虑到网格环境中主体属性和对象属性的多样性,以及具体的任务和执行环境.在借鉴和使用控制模型的基础上,提出一种基于属性和任务的网格授权模型.该模型在考虑主体属性和对象属性的同时,结合具体的任务和执行环境进行授权,并能够在主体属性和对象属性发生变动的情况下,实现动态授权,从而在一定程度上避免了滥用权限的现象.     

网格环境下多约束访问控制模型

研究互联网优化控制问题,网格技术的应用和发展,要求有更加合理、安全的网格授权方式作保障,以确保网格任务的有效执行.针对基于角色的访问控制所引起的动态授权和多管理域等难点问题,结合现有的传统访问控制方式,根据角色的访问控制为基础,保障安全可靠,引入上下文、任务和条件的概念,加入监控功能,提出多约束访问控制模型,保证了最小特权的原则,实现了网格环境中的动态授权及跨域资源有条件共享和安全互操作.实验表明,方法能很好地避免了用户静态持有权限引起的不安全的问题,与传统安全模型相比具有较高的安全性.     

基于WSRF的网格应用程序模型研究与实践

讨论了基于Web服务资源框架(WSRF)的网格应用模型研究与实践。介绍了WSRF及其在GlobusToolkit4中的实现。重点讲述了GT4框架的基础:公共运行时、信息服务、执行期管理、数据管理、安全性,以及WSRF的核心:WS-Resource。最后结合具体步骤,给出了一种基于GT4平台设计具有良好可伸缩性的Web服务资源的模型。     

支持资源分类授权的通用权限管理模型研究

针对当前Web应用程序中存在的安全性问题.概要介绍了现有的权限管理模型;在详细分析Web应用程序自身权限管理的特点基础上,基于RBAC模型提出了一种支持资源分类授权的通用权限管理模型;在该模型中,管理员首先对WEB应用程序中的资源进行分类,然后定义每类资源的具体操作种类,随后定义每个角色对某一资源的操作权限,最后为用户分配合适的角色;基于.NET平台和SQL SERVER数据库设计和开发了一套支持资源分类授权的通用权限管理系统,并给出了一个具体应用实例;实践表明,该模型能够非常有效地解决Web应用程序中的权限授权和权限管理问题,增强了系统安全性.     

基于ABAC的Web Services访问控制研究

为解决Web Services访问控制问题,分析了传统访问控制模型在Web Services应用中的不足,给出了面向Web Services的基于属性的访问控制模型ABAC(Attribute Based Access Control)的定义,设计了ABAC访问控制架构,并利用可扩展的访问控制标记语言XACMLe(Xtensible Access Control Markup Language)实现了细粒度的Web Services访问控制系统。系统的应用有效保护了Web Services资源。     

数据网格建设与系统集成

针对当前存在的大量异构应用系统不能互联互通、资源不能共享、数据不能联动的现状，利用基于OGSA体系结构的最新网格开发工具GT4构建一个数据网格平台采集成现有应用系统，并详细描述了在各应用系统端部署GT4的核心组件WebService，将各应用系统的数据封装为服务，实现各应用系统数据库、数据中心之间数据交互和联动过程。论述了在数据网格平台上建立UDDI中心和CA中心，利用UDDI中心实现服务统一描述、注册、发布和调用，利用CA中心颁发的数字证书进行用户身份和操作权限的验证，最后给出整个系统的体系结构及其描述。     

Web服务访问控制的设计和实现

为实现Web服务的安全访问,利用SSL传输SOAP报文的Web服务安全机制只考虑点到点的通信,不能实现端到端的通信,并且不能对报文的局部进行加密的弊端,在分析WS-Security开源代码WSS4J的基础上,设计了一套基于SOAP报文处理的Web服务访问控制的安全模型.利用SOAP报文处理器实现Web服务报文的安全,利用访问控制机制实现Web服务的授权处理,并在java平台上给出了对SOAP报文进行扩展的方法,对此安全模型进行了测试.此模型实现了SOAP报文的安全通信并阻止了相关资源被非法访问.     

一种基于任务和角色的计算网格访问控制模型

网格安全基础设施解决了身份鉴别、保密性和完整性问题,但难以有效解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。该文提出一种基于任务和角色的计算网格访问控制模型。该模型通过定义授权步及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。     

基于社区的服务网格多粒度授权与访问控制研究

基于社区原理构建的织女星网格操作系统（VEGA GOS）是网格应用开发、运行和维护所依赖的环境和平台。在织女星网格操作系统中,结合社区具有的局部集中性的特点,在主体、资源、操作空间中建立跨管理域的授权模型,用于解决网格中授权及访问控制在好用性、自主控制、通用性方面的问题。介绍了基于社区的多粒度授权与访问控制机制的设计和实现,并对由于使用安全机制引起的系统稳定性变化进行了测试和分析评价。     

基于GSI的网格授权网络安全体系研究与实现

针对网格网络安全体系的需求,研究了基于GSI的网格授权网络安全体系和改进的CAS授权模型,分析了GIS的功能、模型和网格授权模型的概念以及体系结构,提出了基于Web Service的网格授权体系结构的网格安全接口和基于改进的CAS授权模型,以及授权体系系统应用开发实现及优化方法。     

一种网格工作流委托授权框架模型

在动态构建服务网格虚拟组织以协同问题求解的新趋势下,提出了一种服务网格工作流委托授权模型。提出委托凭证以细粒度地表示授权决策结果,定义了委托步和委托结构体以及它们之间的依赖关系以形式化地描述流程任务之间的内在约束关系。工作流的每个原子任务被授予一个由委托凭证和激活凭证集组成的委托步,每个任务被授予一个由委托步集和激活凭证集组成的委托结构体。各自的激活凭证集分别规定了委托步之间和委托结构体之间的依赖关系。通过监控委托步和委托结构体能够细粒度地控制网格工作流授权执行过程。实例表明了该模型能满足工作流应用对安全的需求。     

网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制,鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器,很难细粒度地控制客户权限,本文提出了一种新的授权模型,采用了SPKI电子证书进行授权。与CAS相比,该模型授权更加灵活,通过委托授权增强了系统的可扩展性,而且能够细粒度地控制用户权限。     

网格环境下基于VO的统一认证授权研究

网格计算系统中的资源共享和协同工作建立在虚拟组织基础之上,各种资源的共享是受认证和授权控制的。可以说,认证授权是网格安全的本质,是网格计算系统成败的关键。因此,研究虚拟组织的认证授权模型具有重要意义。根据GSl模型提出了一种基于VO的统一认证与授权模型。     

基于层次角色委托的服务网格授权执行模型

针对网格应用中对委托限制的多方面需求,提出了基于层次角色委托的服务网格授权执行模型.模型支持委托角色授予与撤销功能以及相应的关联性限制特性.通过加入信任度,细化了关联性限制的表达粒度.通过定义角色树作为委托授权的基本单位并对角色树进行剪枝,改善了部分委托实现的难度.通过定义带信任度的委托传播树,细化了对委托传播限制的控制.提出的委托凭证全面支持了角色委托的临时性、关联性、部分性、传播性限制需求.对模型中的委托授权执行规则作了形式化描述,并证明了执行规则能够细粒度地控制委托授权的执行过程.实例展示表明,模型能够满足网格应用对委托限制多方面的需求.     

基于反馈机制的网格动态授权新模型

网格现有的授权系统存在静态性问题,表现为没有提供机制来反馈用户对授予的权限的使用情况.当一个本来可信的用户或服务变成不可信时,授权系统不能及时发现,对其权限进行调整可能导致恶意用户对网格系统的破坏.因此,在授权系统中建立反馈机制,根据用户的行为动态地调整用户角色,对于网格系统的安全具有重大意义.文中分析了网格中现有的授权系统及信任模型的特点,指出它们存在的不足.在此基础上提出一种基于反馈机制的动态授权新模型,很好地解决了现有授权系统的静态性的缺点.该模型是对CAS授权系统的改进,增加了反馈机制和信任度计算机制.其中,信任度计算机制中提出的基于行为的分层信任新模型较以往的信任模型相比,使用服务权值来区分重要服务和普通服务,从而保护了网格中的重要服务并且能有效地抑制恶意节点的行为;文中提出了一种新的更加精确地计算域间推荐信任度的方法,从而解决了不诚实反馈的问题.反馈机制则利用基于行为分层信任模型给出的用户信任度的变化,实现了根据用户的行为动态调整他的角色.文中还设计了三组模型实验,分别验证新模型的特点、对网格中恶意实体行为的抑制情况,从不同的角度对模型进行了实验,对基于行为的分层信任模型对行为的敏感性、收敛性、有效性及合理性加以了证明.     

基于RSA算法的云资源管理平台授权机制

云计算平台提供商部署和实施云资源平台时,需要对该平台软件的使用进行管理与控制.针对云资源管理平台授权模式缺乏的现状,在项目搭建云资源管理系统的过程中,设计了一套基于RSA算法的平台软件授权机制.实践证明该授权机制通过对平台底层云资源合法有效的监督与控制,从而解决云资源管理平台软件的授权问题,并可作为云资源管理平台授权的解决方案进行推广.     

网格环境下基于信任度的资源访问控制研究

首先给出了网格计算中访问控制的特点和需求。现有的访问控制技术以及分布式授权模型,均不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上,提出了基于信任度的访问控制机制。为了提高资源的利用率,提出了Ticket机制。最后给出模拟实验结果,验证有效性。