基于属性和RBAC的混合扩展访问控制模型

针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合并保持RBAC以角色为中心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户-角色分配、角色-权限分配、角色激活、会话角色权限缩减和权限继承等动态访问控制功能。对模型的元素、关系、约束和规则等进行了形式化描述。通过引入权限过滤策略对会话角色的有效权限进行进一步控制,分析研究了基于属性的会话权限缩减方法。应用实例表明HARBAC模型可有效实现动态授权和细粒度授权。HARBAC模型可与传统RBAC无缝集成,并在遵循其最小特权和职责分离等安全原则的基础上,有效降低了管理复杂度,支持灵活、动态、可扩展的细粒度访问控制。     

一种分布式系统的用户认证授权机制及其应用

针对用户认证和授权问题提出了一种对用户集中认证、分散授权的解决方案。通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。     

面向社交网络的多方授权模型

现有的访问控制机制大多局限在用户个人空间内的数据,难以控制个人空间以外的数据,例如用户不能对其在朋友空间中发布的评论进行访问控制,不能对共有的资源进行联合访问控制等。面向社交网络的多方授权模型MRuleSN采用单一所有、多方共有的方法处理所有权问题,采用扩展的w-Datalog规则表达授权,具有更强的灵活性、访问细粒度和表达能力。分析并说明了模型的规则结构、授权语言的语法和语义,最后通过示例说明了该模型的应用和表达能力。     

基于RBAC的XML访问控制研究

目前XML技术的应用范围越来越广泛,XML文档中可能包含不同程度的敏感信息,需要受到访问控制策略的保护.基于角色访问控制(role-based access control,RBAC)是一种灵活、高效的访问控制方法.在RBAC96模型的基础上,提出一种扩展权限的角色访问控制模型(extended permission role-based access control,EPRBAC),并讨论了XML授权机制.XML的授权可以定义在模式、实例甚至元素和属性级别上,从而实现了对XML文档灵活、细粒度的访问控制.     

细粒度授权的Web页面自动生成器-WPAG

针对现今已有的Web应用框架能够在一定程度上降低业务逻辑处理的难度,但缺乏页面细粒度授权机制的支持,对页面以及页面上操作的访问控制问题仍要编写大量代码处理。设计并实现了一种面向细粒度授权机制的Web页面自动生器（Web pages automatically Generator）WPAG,该生成器采用组件化页面自动生成技术,与基于角色的细粒度访问控制模型相结合,开发者只需对交互模型接口进行简单参数设置,即可实现细粒度访问控制的页面代码自动生成,并提供二次开发能力适应逻辑业务复杂的应用。     

使用控制支持的基于XACML的访问控制

针对网格环境下资源访问控制的特点,提出了一个基于使用控制模型UCON,结合XACML和SAML的访问控制模型.用可扩展访问标记语占XACML描述访问控制的授权策略,结合SAML声明和请求/响应机制,根据用户、资源、环境的属性进行访问控制决策,可动态地评估访问请求,提供细粒度的访问控制和良好的互操作性.     

Web服务中身份认证与访问控制模型的研究

Web服务分布式、异构的本质。使得对服务请求者进行身份认证和授权变得复杂,针对这些问题提出了一个基于SAML,XACML,RBAC等关键技术的身份认证与访问控制模型。该模型采用SAML辅件技术实现Web服务的单点登录;用XACML实现RBAC模型,简化授权管理,同时达到对资源的细粒度访问控制的目标;用扩展的SAML语法支持XACML信息的安全有效传输。     

面向ASP页面的细粒度资源搜集算法

ASP页面资源搜集是对ASP应用进行访问控制的基础.提出了一种面向ASP页面的细粒度资源搜集算法,能够搜集到ASP页面内的HTML标签和脚本、组件等资源,并给出了算法实现的性能测试和结果分析.该算法为ASP页面资源细粒度的访问控制提供支持,具有较高的查全率和正确率.     

一种基于XACML的混合云跨域资源访问控制方案

混合云计算环境下,服务资源组合灵活、迁移频繁,资源之间的访问授权不易建立与维护。采用传统的访问控制机制对跨域资源进行授权,存在性能瓶颈与共谋攻击等问题。在研究混合云架构的基础上,提出一种基于XACML属性协商机制的混合云跨域资源访问控制方案。采用XACML架构作为跨域资源间授权访问模型,为细粒度的资源授权访问提供支持。在该模型基础上,通过属性协商策略推理引擎对协商属性进行扩展,提高协商效率。采用树状结构的XML语言描述协商策略,便于进行属性授权推理。针对协商推理过程中产生的属性暴露树结构,设计协商策略剪枝算法。最后,通过实验验证方案的可行性和高效性。     

社交网络中具有可传递性的细粒度访问控制方案

针对社交网络中隐私保护的需求,基于属性基加密(ABE)算法,提出了一种权限可传递性的细粒度访问控制方案。在方案中通过属性的设置实现了社交网络成员不同粒度的刻画,为细粒度加密和访问提供了基础;同时在方案中引入了代理服务器,对非授权成员与授权成员之间的关系进行分析,从而判定非授权成员的访问权限。若该成员可以获得访问权限,密钥生成中心依据授权成员的属性为其生成解密密钥,进而实现访问权限的传递性。与其他基于访问控制或加密技术的隐私保护方案相比,所提方案将对数据的访问控制和加密保护相统一,在实现数据加密的同时,提供细粒度的访问控制;并结合社交网络的特点实现了访问权限的传递性。     

基于数据流分析与识别的Web资源访问控制

针对动态Web页面资源中的实施细粒度和透明访问控制问题,定义片断的概念,提出基于数据流分析的“片断”级Web页面资源的访问控制方法,分析数据流中的请求信息与响应片断的关系,设计并实现了2种数据流片断识别算法。模拟系统的实验结果证明,该方法能有效识别动态Web页面资源的片断,满足细粒度访问控制的需求。     

基于属性的Web服务访问控制模型

传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型（ABAC）,它结合 SAML（Security Assertion Markup Language,,安全声明标记语言）和XACML （ Extensible Access Control Markup Language,可扩展访问控制标记语言）标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适用于动态的Web服务环境。     

可控安全Web的研究探讨

可控安全Web也就是针对Web的安全访问控制,为了加强身份认证和访问控制,适应Web的分级管理需求,以及对信息敏感性要求很高的机密环境下Web页面的分级访问的实现,本文在对认证技术进行分析的基础上,设计并实现了一个可控的安全访问控制系统。     

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML（eXtensible Access Control Markup Language,可扩展访问控制标记语言）的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制（Attribute-Based Access Control,ABAC）模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。     

基于Web的管理信息系统的安全模型设计

基于Web的管理信息系统的安全问题要从数据的访问控制和Web的访问控制两个方面来考虑。文中在数据访问控制方面采用了基于角色的安全策略，设计了数据访问控制的逻辑模型和基本方法。在Web访问控制方面，利用了．NET的Forms认征方式。最后把二者结合起来形成一个完整的安全模型。     

基于PMI的Web资源安全访问控制系统设计

针对Web资源的安全控制问题,设计了一种基于授权管理基础设施PMI技术的安全访问控制系统。该系统依据身份证书对用户进行身份认证,使用权力证书为用户授予访问权限,通过角色策略控制对Web资源的访问。同时,还提出一种获取并管理Web资源信息的方案。该系统对Web资源的安全访问控制提供了一种有效的解决方法。     

结合协商机制的Web服务属性访问控制模型

针对实现有效Web服务访问控制的问题,提出一种结合协商机制的Web服务属性访问控制模型。该模型基于安全断言标记语言和可扩展访问控制标识语言,利用主体属性和上下文属性的组合限制条件,提供细粒度的访问控制。通过加入协商机制,服务请求者可以与服务提供者相互沟通,在访问请求中动态地调整参数信息以获得访问授权。     

基于PKI和PMI的网格授权机制的研究

目前网格授权问题的研究只实现了粗粒度的资源访问控制,资源的访问控制权在资源本地.针对以上缺点,在设计了一种通用网络组织模型的基础上,结合PKI(Public Key Infrastructure)、PMI(Privilege Management Infrastructure)以及信息服务,构建了适合网络环境的网络权限管理和授权服务基础设施GPMI,把资源的访问控制权交给资源提供者,实现资源访问控制的集中管理,同时实现了细粒度的资源访问控制,为网格中的计费等跟踪工作提供了基础.