基于全局角色的Web Service访问控制

针对目前存在的基于Web Services缺乏全局服务支持的问题,提出了两种访问控制模型:SWS-RBAC(基于单服务)和CWS-RBAC(基于多服务).模型中引入了全局角色的概念,利用一种有效的角色映射机制--全局角色通过对其他服务提供者的局部角色的映射关系,使用户获得的服务可以来自不同的服务提供者,提高了Web Services的安全性和可靠性.     

面向特征的Web服务角色访问控制

本文在基于角色的Web服务访问控制模型基础上,提出了一个面向特征的Web服务角色访问控制模型.该模型引入特征作为基本的访问控制单元,它可以同时从任务角度和从系统角度来保护资源,解决了以前无法同时兼顾信息的机密性和数据的完整性的问题,从而加强访问控制的控制力度和安全性.     

结合协商机制的Web服务属性访问控制模型

针对实现有效Web服务访问控制的问题,提出一种结合协商机制的Web服务属性访问控制模型。该模型基于安全断言标记语言和可扩展访问控制标识语言,利用主体属性和上下文属性的组合限制条件,提供细粒度的访问控制。通过加入协商机制,服务请求者可以与服务提供者相互沟通,在访问请求中动态地调整参数信息以获得访问授权。     

基于角色的Web服务访问控制模型

在传统的RBAC模型基础上,提出了基于角色的Web服务访问控制模型(WSKBAC).该模型有效地克服了传统的访问控制技术中的不足,可以减少授权管理的复杂性,降低管理开销,而且能为管理员提供一个比较好的实现安全策略的环境.     

基于角色的访问控制在Web中的实现技术

基于角色的访问控制（RBAC）具有减少授权管理复杂性，降低管理开销，并能提供与企业组织结构相一致的安全策略的优势，RBAC/Web模型是大型企业网实现授权访问的最佳方案，在介绍了基于RBAC的Web资源访问控制策略后，给出了一种在代理服务器中实现的原型系统。     

基于量化角色的Web服务访问控制研究

引入权限量值和量化角色的概念,建立一个细粒度的Web服务访问控制模型。通过定义Web服务和服务属性资源以及访问模式集,扩展权限集的定义;研究Web服务权限量值的定义和分配,以及量化角色的验证和表示形式;提出Web服务主体的行为量值的概念,建立与主体的角色量值的关联,实现根据Web服务主体的行为和上下文环境动态计算行为量值并调整主体权限的方法。     

为Web服务访问控制构建沙盒模型

本文提出了一种Web服务访问控制沙盒模型。该模型不仅可以利用传统的身份验证还可以通过扩展SOAP消息,加入角色信息,利用角色验证来保证Web服务的访问安全。此外,该模型还提出了一种安全管理器的机制,该机制使得Web服务创建者和维护者可以更底层更灵活地保障Web服务访问安全。     

基于属性的Web服务访问控制模型

传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型（ABAC）,它结合 SAML（Security Assertion Markup Language,,安全声明标记语言）和XACML （ Extensible Access Control Markup Language,可扩展访问控制标记语言）标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适用于动态的Web服务环境。     

基于属性的Web服务安全访问控制方案

本文基于Web服务的典型应用的安全需求,将Web服务安全规范协同使用设计了基于属性的Web服务安全访问控制方案.将安全应用于SOAP消息,为Web服务安全提供整体的解决方案,既满足端到端的消息安全要求,又提供访问控制.方案充分考虑Web服务跨组织、动态交互的特点,使用SAML断言传递安全信息以实现信任传递,针对PKI部署复杂以及不同PKI解决方案之间难于互操作的缺点,使用XKMS服务提供PKI功能.     

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML（eXtensible Access Control Markup Language,可扩展访问控制标记语言）的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制（Attribute-Based Access Control,ABAC）模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。     

基于XACML的Web服务安全访问控制模型

Web服务已成为新一代电子商务的框架,其安全问题是不可忽视的问题,需要一种灵活高效的访问控制来保护.通过分析可扩展访问控制标记语言(XACML)和授权管理基础设施(PMI),给出了一种适合于Web服务安全的访问控制系统模型.该系统模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,适用于Web服务的动态性、异构性等特点.     

基于SAML和XACML的Web服务访问控制模型

Web服务采用了通用的协议和技术,便于用户访问,已成为了分布式计算的研究热点,但这种方便也带来了安全性的隐患。提出了一个基于SAML和XACML的Web服务访问控制模型,利用SAML协议实现单点登录,采用XACML策略描述语言对用户进行访问控制。模型在扩展SAML协议的基础上,把XACML引入Web服务能够更好地对服务端受保护资源进行控制,从而实现Web服务的安全访问控制。     

基于两级角色管理的访问控制

访问控制一直是企业信息系统中安全性的重点内容,目前存在很多种访问控制,基于角色的访问控制近来备受关注,分析了目前在信息系统中基于角色访问控制技术所存在的一些问题,提出了基于两级角色管理的访问控制思想,并给出相应的模型,同时给出了用两级角色管理在企业信息管理平台中的应用模型,讨论了两级角色管理方法的优点,两级角色管理即行政角色和操作角色管理,将行政意义上的权限和计算机操作上的权限分离,从而在角色的管理模式上进行了改进.     

面向Web应用集成的统一授权平台的设计与实现

每个应用系统都会有一个访问控制模块,分散的访问控制管理会导致访问控制策略不统一和数据冗余等问题。提出了一种基于Web服务的面向Web应用集成的统一授权平台,该平台用于实现用户信息的集中存储和分布管理,以及统一的访问控制管理。该方案不仅可以提高应用系统的安全性而且可以减轻系统维护和系统开发的工作量,是开发“一站式”信息共享平台的基础设施。     

基于证书的语义Web服务访问控制方法

为了实现语义Web服务环境中的访问控制机制,研究了基于证书授权的访问控制方法.在对语义Web服务的访问控制需求进行分析的基础上,提出了将简单公钥基础设施/简单分布式安全基础设施(SPKI/SDSI)证书与OWL-S本体描述集成的访问控制方法,该方法将访问控制描述与服务功能描述集成在一个统一的框架中,既便于管理又提高了用户访问Web服务的效率.     

Access control and trust in the use of widely distributed services

OASIS is a role‐based access control (RBAC) architecture for achieving secure interoperation of independently managed services in an open, distributed environment. OASIS differs from other RBAC schemes in a number of ways: role management is decentralized, roles are parametrized, roles are activated within sessions and privileges are not delegated. OASIS depends on an active middleware platform to notify services of any relevant changes in their environment. Services define roles and establish formally specified policy for role activation and service use (authorization); users must present the required credentials and satisfy specified constraints in order to activate a role or invoke a service. The membership rule of a role indicates which of the role activation conditions must remain true while the role is active. A role is deactivated immediately if any of the conditions of the membership rule associated with its activation become false. OASIS introduces the notion of appointment, whereby being active in certain roles carries the privilege of issuing appointment certificates to other users. Appointment certificates capture the notion of long‐lived credentials such as academic and professional qualification or membership of an organization. The role activation conditions of a service may include appointment certificates, prerequisite roles and environmental constraints. The role activation and authorization policies of services within an administrative domain need not embody role hierarchies nor enforce privilege delegation. But OASIS is sufficiently flexible to capture such notions, through prerequisite roles and appointments, if they are required within an application domain. We define the model and architecture and discuss engineering details, including security issues. We illustrate how an OASIS session can span multiple domains and we propose a minimal infrastructure to enable widely distributed, independently developed services to enter into agreements to respect each other's credentials. In a multi‐domain system access control policy may come from multiple sources and must be expressed, enforced and managed. In order to respond to changing relationships between organizations it should be easy to allow role holders in one domain to obtain privileges in another. Our approach to policy and meta‐policy management is described. We speculate on a further extension to mutually unknown, and therefore untrusted, parties. Each party will accumulate audit certificates which embody its interaction history and which may form the basis of a web of trust. Copyright © 2003 John Wiley & Sons, Ltd.     

Web服务中基于SAML和XACML的RBAC模型

针对Web服务中安全性方面所存在的问题,引入角色来设定用户的访问策略,在用户访问具体资源时根据资源拥有者设置的权限来确定该用户的访问权限,使用角色作为行使权限的中介,通过SAML协议对该类角色实现单点登陆,并使用XACML对服务端的受保护资源进行访问控制.在此基础上给出了基于SAML和XACML的RBAC模型,该模型具有良好的灵活性、可扩展性及跨平台性.     

基于角色的扩展可管理访问控制模型研究与实现

基于角色的访问控制(RBAC)具有简单灵活、细粒度控制、可用性强等特点,受到广泛的关注,近10年来,RBAC得到了广泛的研究与扩展.针对RBAC模型中存在的不足,提出了一种基于 角色的可管理访问控制模型EARBAC. EARBAC通过对客体资源、访问类型的进一步抽象,对NI ST RBAC参考模型进行了有效的扩展,更具通用性与更强的现实世界表达能力,同时与ARBAC 96的结合,使其具有良好的可管理能力.基于该扩展模型,实现了一个安全的网络文件原型 系统.     

面向对象技术在基于角色的访问控制中的应用

在深入分析角色概念和角色之间相互关系的基础上，提出一种通过角色的继承生成新的角色，通过调用方法实现动态授权的，增强基于角色的访问控制功能的新途径。     

企业统一资源访问控制系统

整个企业范围的统一认证是企业信息化应用发展到今天的迫切要求,套用传统的访问控制方法不能满足此需求。该文提出企业统一访问控制系统的设计应该从研究企业行为入手;并在企业行为研究的基础上设计了一种基于企业行为树、角色化的访问控制方法,使得企业访问控制主体的计算复杂性由常规方法的O（n）降为O（1）。此外该系统很好地支持企业管理柔性化,保障用户权限规则的实施。