信息网格跨域访问权限控制的研究

信息网格中资源的共享通过访问控制对合法用户和信息服务请求进行授权来实现,访问控制机制的采用受到信息网格的复合管理域特点的影响。本文阐述了信息网格访问控制的关键问题,分析了信息网格的多管理域特点,进一步提出了一个可以动态更新信息的复合式授权和查验机制,从而解决跨域访问带来的困难、简化管理操作。     

网格环境下的分布式RBAC模型框架

分析了网格访问控制的特性,提出了基于PKI的分布式RBAC模型（G—RBAC）,它实现了网格访问控制中的跨信任域授权,并且利用可变属性值的授权证书使得系统能够动态地根据用户的登录环境授予不同的权限。该文给出了G—RBAC的形式化描述、角色分类以及访问验证算法。最后通过一个实例说明了具体的访问控制过程。     

基于社区的服务网格多粒度授权与访问控制研究

基于社区原理构建的织女星网格操作系统（VEGA GOS）是网格应用开发、运行和维护所依赖的环境和平台。在织女星网格操作系统中,结合社区具有的局部集中性的特点,在主体、资源、操作空间中建立跨管理域的授权模型,用于解决网格中授权及访问控制在好用性、自主控制、通用性方面的问题。介绍了基于社区的多粒度授权与访问控制机制的设计和实现,并对由于使用安全机制引起的系统稳定性变化进行了测试和分析评价。     

网格环境下多约束访问控制模型

研究互联网优化控制问题,网格技术的应用和发展,要求有更加合理、安全的网格授权方式作保障,以确保网格任务的有效执行.针对基于角色的访问控制所引起的动态授权和多管理域等难点问题,结合现有的传统访问控制方式,根据角色的访问控制为基础,保障安全可靠,引入上下文、任务和条件的概念,加入监控功能,提出多约束访问控制模型,保证了最小特权的原则,实现了网格环境中的动态授权及跨域资源有条件共享和安全互操作.实验表明,方法能很好地避免了用户静态持有权限引起的不安全的问题,与传统安全模型相比具有较高的安全性.     

跨信任域授权模型

分析ISO10181访问控制框架与权限管理基础设施PMI,提出了跨信任域的授权模型CTRA.并用可信的边界安全网关实现该模型,解决了跨不同信任域的信任与授权问题,建立了跨不同安全域的信息交换与共享的可信计算平台.     

跨信任域授权模型

该文分析了ISO10181访问控制框架与权限管理基础设施PMI,提出了跨信任域的授权模型CTRA。并用可信的边界安全网关实现了该模型,解决了跨不同信任域的信任与授权问题,建立了跨不同安全域的信息交换与共享的可信计算平台。     

云存储中基于多授权机构可撤销的ABE访问控制方法

针对跨域云数据访问控制中的安全性和有效性问题,提出了一种云存储下基于多授权机构ABE的可撤销访问控制方案。通过建立分散授权结构,由各属性授权机构(AA, Attribute Authority)和数据属主(DO, Data Owner)分别产生各部分密钥组件,从而避免由于中央授权机构（CA,Central Authority）而引入的安全风险,以及用户和授权机构之间的联合攻击。此外,本方案将权限撤销分为用户权限撤销和属性权限撤销,以较少的计算代价实现了访问控制权限的细粒度撤销。最后,利用双线性判定Diffie-Hellman(DBDH)假设理论分析了方案的安全性。并且通过实验验证了此方案在多授权主体共存的云存储环境下能够安全、高效的实现访问控制和权限撤销。     

PMI授权管理系统设计与实现

企业的安全应用面临着资源信息需共享,跨组织边界的用户和服务资源会随时调整,安全策略中的安全属性种类繁多,权限决策辅助因素的多变等问题。文中介绍的PMI授权管理系统为上述问题提供了一个可行的解决方案。该系统将GB／T16264．8-2005和ISO／IEC9594-8（2005）相结合,遵循属性证书的X．509协议,利用改进的RBAC模型建立授权机制,将各类权限信息存储在LDAP数据库及属性证书中。应用结果表明,系统将访问控制机制从具体应用的开发和管理中分离出来,不仅屏蔽了安全技术的复杂性,也拥有很强的灵活性、适应性和可扩展性。文中给出了系统总体设计、授权体系与访问控制模型及LDAP数据库设计方案。     

网格环境下基于联合代理证书的社区授权服务的UML建模研究

随着网格研究的不断深入,网格安全问题不容忽视。访问控制是安全防范和保护的主要策略,而GSI中的授权机制难以扩展到拥有大量资源和大量用户的大规模网格环境中。社区授权服务(CAS)正是针对这种大规模网格环境中存在的授权机制问题而提出的。通过统一建模语言UML,详细阐述了社区授权服务机制的关键技术,并将联合代理证书机制融合到社区授权服务中,对进一步完善社区授权服务体制具有较大的实用价值。     

基于使用控制和上下文的动态网格访问控制模型研究

网格环境动态、多域和异构性的特点决定其需要灵活、易于扩展和精细的授权机制.近来在网格环境下的访问控制方面做了大量研究,现有的模型大多在相对静止的前提下,基于主体的标识、组和角色信息进行授权,缺乏具体的上下文信息和灵活的安全策略.本文提出了网络环境下基于使用控制和上下文的动态访问控制模型.在该模型中,授权组件使用主体和客体属性定义传统的静态授权;条件组件使用有关的动态上下文信息体现了对主体在具体环境中的动态权限控制.在该模型的基础上,本文实现了一个原型系统,以验证模型的效率和易于实现性.     

网格环境下基于信任度的资源访问控制研究

首先给出了网格计算中访问控制的特点和需求。现有的访问控制技术以及分布式授权模型,均不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上,提出了基于信任度的访问控制机制。为了提高资源的利用率,提出了Ticket机制。最后给出模拟实验结果,验证有效性。     

网格计算中基于信任度的访问控制研究*

首先给出了网格计算中访问控制的特点和需求,现有的访问控制技术以及分布式授权模型都不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上提出了基于信任度的访问控制机制。为了提高资源的利用率提出了Ticket机制。     

网格计算中基于信任度的访问控制研究

首先给出了网格计算中访问控制的特点和需求,现有的访问控制技术以及分布式授权模型都不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上提出了基于信任度的访问控制机制。为了提高资源的利用率提出了Ticket机制。     

基于PKI和PMI的网格授权机制的研究

目前网格授权问题的研究只实现了粗粒度的资源访问控制,资源的访问控制权在资源本地.针对以上缺点,在设计了一种通用网络组织模型的基础上,结合PKI(Public Key Infrastructure)、PMI(Privilege Management Infrastructure)以及信息服务,构建了适合网络环境的网络权限管理和授权服务基础设施GPMI,把资源的访问控制权交给资源提供者,实现资源访问控制的集中管理,同时实现了细粒度的资源访问控制,为网格中的计费等跟踪工作提供了基础.     

基于OAuth2.0的资源共享机制RSBO

共享资源重要的问题就是安全,本文针对目前主流的资源共享机制存的安全问题,如身份认证授权安全问题、用户信息泄露等问题,同时当资源在不同用户不同平台间进行共享时,用户需对资源进行分散重复存储等,造成冗余存储及空间浪费.本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及冗余存储等问题,一次授权,实现多用户跨平台的资源共享.     

所有者为中心的网格文件共享研究

为满足网格环境下的文件访问和共享需求，提出一种所有者为中心的网格文件共享机制，这种机制的核心思想是资源所有权的分割，通过把资源所有权分割为物理所有权和逻辑所有权，资源管理任务被安全地分担到多个资源所有者；全局用户标识、紧密绑定和一致性授权使所有者可以对逻辑资源的访问和授权传递实现完全自主的控制，基于这种机制，实现了网格文件系统原型VegaFS，VegaFS的用户可以不受管理域信息特性的限制，一致性地访问分布在不同管理域的文件资源。     

Role-based access control for grid database services using the community authorization service

In this paper, we propose a role-based access control (RBAC) method for grid database services in open grid services architecture-data access and integration (OGSA-DAI). OGSA-DAI is an efficient grid-enabled middleware implementation of interfaces and services to access and control data sources and sinks. However, in OGSA-DAI, access control causes substantial administration overhead for resource providers in virtual organizations (VOs) because each of them has to manage a role-map file containing authorization information for individual grid users. To solve this problem, we used the community authorization service (CAS) provided by the globus toolkit to support the RBAC within the OGSA-DAI framework. The CAS grants the membership on VO roles to users. The resource providers then need to maintain only the mapping information from VO roles to local database roles in the role-map files, so that the number of entries in the role-map file is reduced dramatically. Furthermore, the resource providers control the granting of access privileges to the local roles. Thus, our access control method provides increased manageability for a large number of users and reduces day-to-day administration tasks of the resource providers, while they maintain the ultimate authority over their resources. Performance analysis shows that our method adds very little overhead to the existing security infrastructure of OGSA-DAI.     

A trust degree based access control in grid environments

The purpose of grid computing is to enable coordinated resource sharing and support cooperative work between different domains in dynamic grid environments. In order to protect each participant’s privilege and security, a secure and efficient access control is essential. This paper presents a new approach of access mechanism based on trust relationships across domains. A new calculation method of trust in grid is proposed and the difference between intro-domain trust and inter-domain trust is analyzed. In addition, a novel access control framework combined with trust degree is given from this proposal. It is shown to be adaptive for both intro-domain and inter-domain conditions. Hence, a prototype system based on the proposed model is introduced; furthermore, it has been shown as a dynamic and fine-granularity access control method through performance analyses and has also been demonstrated as a suitable system for grid environments.