共查询到17条相似文献,搜索用时 234 毫秒
1.
基于属性的访问控制(ABAC)是面向Web Selrvice应用的一种新的访问控制方法.可扩展访问控制标记语言XACML是一种支持该方法的重要规范,它给出了ABAC策略执行框架以及ABAC策略的定义语言.但XACML中策略定义非常繁琐复杂,对用户提出了很高要求.本文在对ABAC模型进行分析研究的基础上,分析了XACML的策略定义语言,提出了基于XACML的ABAC策略模版,并给出了基于策略模版编写ABAC策略的方法,从而在保证策略正确定义的基础上,有效简化了策略定义过程. 相似文献
2.
XACML访问控制模型在SOA体系中,属于最新最先进的访问控制模型,但它却没有涉及对敏感属性及敏感策略的保护,这限制了该标准的推广价值.针对这一问题,提出了利用隐藏证书技术来扩展XACML访问控制模型,以提供对交互双方敏感属性及策略的保护,从而实现了基于XACML访问控制模型的自动信任协商.描述了如何使用XACML标准进行敏感策略的组织方式及方法,分析了扩展模型的安全性,证明了扩展模型可以抵御各类常规的分布式攻击. 相似文献
3.
Web服务采用了通用的协议和技术,便于用户访问,已成为了分布式计算的研究热点,但这种方便也带来了安全性的隐患。提出了一个基于SAML和XACML的Web服务访问控制模型,利用SAML协议实现单点登录,采用XACML策略描述语言对用户进行访问控制。模型在扩展SAML协议的基础上,把XACML引入Web服务能够更好地对服务端受保护资源进行控制,从而实现Web服务的安全访问控制。 相似文献
4.
基于XACML的访问控制策略 总被引:1,自引:0,他引:1
如何解决对Web服务的访问控制已成为当前Web服务应用研究中的一个重要课题。首先介绍了XACML标准的产生动机,然后结合Xpath来说明如何定义标准的访问控制策略。应用XACML策略来定义通用的访问控制需求,并且提出了一种机制来发现和解决策略间的冲突,达到对Web服务进行细粒度的访问控制。最后以一个应用实例来具体描述怎样创建一个XACML访问控制策略以及如何对实体的访问进行控制。 相似文献
5.
基于XACML和RBAC的访问控制系统 总被引:4,自引:0,他引:4
Web环境下的企业信息系统容易受到来自企业内外的安全威胁,需要一种灵活高效的访问控制来保护企业的资源。在给出RBAC基本概念和XACML策略机制的基础上,提出了基于XACML和RBAC的访问控制模型。 相似文献
6.
基于XML的多粒度访问控制系统 总被引:8,自引:0,他引:8
如何为大量以Web服务形式存在的Web关键资源和应用中涉及到的XML文档资源提供安全访问控制并把二者很好地结合起来是当前电子商务安全服务研究中的一个重要课题。为此,该文提出一种基于XML的粗细粒度结合的多粒度访问控制系统。该系统采用基于角色的访问控制模型(RBAC),在扩展XACML规范的基础上,提出一种相对统一的策略描述语言;引入临时授权的概念,用于表示和实现更为丰富的访问控制策略;并提供灵活的安全映射接口,使其易于和其他安全系统相结合,为企业及企业间的应用提供访问控制服务。 相似文献
7.
8.
一个通用的分布式访问控制决策中间件 总被引:2,自引:0,他引:2
将各种安全功能从上层应用中抽象出来形成一种通用和标准的安全服务,可以简化应用开发的复杂性和增强安全功能的可重用性。论文设计并实现了一个基于XACML的通用分布式访问控制决策中间件UDACD(Universal Distributed Access Control Decision),对分布式环境下的访问控制决策过程进行了封装,对外面向各种应用提供通用的决策服务。UDACD支持多种访问控制策略类型和跨管理域的匿名资源访问控制;实现了对策略的缓存和对用户安全属性的两级缓存,显著加快了决策速度。UDACD可以帮助简化策略管理,并提供跨应用的一致策略实施。 相似文献
9.
XACML是描述访问控制的策略语言,论文首先分析了XACML的优点,并对XACML的基本概念做了介绍,然后在扩展XACML的策略基础上,提出了大型网中基于XACML的区分服务策略网络管理方案,以实现不同网络用户对网络资源访问的QoS的动态管理控制。 相似文献
10.
基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型.该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性. 相似文献
11.
XACML Admin中的策略预处理研究 总被引:1,自引:0,他引:1
根据XACML Admin中访问策略和管理策略混合的特点,提出了一个在PDP中将策略树分割为访问策略树和管理策略树来提高在线判定性能的匹配方案.在此基础上,根据委托的逻辑含义,通过构造委托图,去除管理策略树和访问策略树中的无效节点,从而使在线判定时不考虑引起拒绝服务攻击的无效策略.同时根据目前XACML Admin中模式定义的缺陷,提出了一种改进的模式定义,此模式定义使Delegates能够与XACML核心规范中Subjects,Resources等元素的处理规则保持一致,并能够更加有效地定义管理策略.以上这些方式能够有效地改善在线判定性能和阻止针对请求判定过程的拒绝服务攻击. 相似文献
12.
In this paper, we propose a role-based access control (RBAC) system for data resources in the Storage Resource Broker (SRB).
The SRB is a Data Grid management system, which can integrate heterogeneous data resources of virtual organizations (VOs).
The SRB stores the access control information of individual users in the Metadata Catalog (MCAT) database. However, because
of the specific MCAT schema structure, this information can only be used by the SRB applications. If VOs also have many non-SRB
applications, each with its own storage format for user access control information, it creates a scalability problem with
regard to administration. To solve this problem, we developed a RBAC system with Shibboleth, which is an attribute authorization
service currently being used in many Grid environments. Thus, the administration overhead is reduced because the role privileges
of individual users are now managed by Shibboleth, not by MCAT or applications. In addition, access control policies need
to be specified and managed across multiple VOs. For the specification of access control policies, we used the Core and Hierarchical
RBAC profile of the eXtensible Access Control Markup Language (XACML); and for distributed administration of those policies,
we used the Object, Metadata and Artifacts Registry (OMAR). OMAR is based on the e-business eXtensible Markup Language (ebXML)
registry specifications developed to achieve interoperable registries and repositories. Our RBAC system provides scalable
and fine-grain access control and allows privacy protection. Performance analysis shows that our system adds only a small
overhead to the existing security infrastructure of the SRB. 相似文献
13.
在目前BYOD解决方案实现方式中,程序、数据全部存储在移动设备中,安全保障主要依赖移动设备上复杂的访问控制;同时现有方案不能充分利用移动设备的位置信息进行权限管理。针对上述问题,结合应用流式的思想,设计并实现了一个流式移动应用分发系统——AS-Droid。其拥有基于位置信息进行灵活的应用授权、管理的能力,并且使用轻量级客户端。实验结果表明,系统在BYOD下具备可用性,健壮性及安全性。进一步实验数据表明,在应用下载、安装及启动过程中,AS-Droid系统比Android系统能够减少超过35%的时延及大约25%的流量消耗,同时两种系统能耗基本持平。 相似文献
14.
15.
近年来,云计算业务平台的广泛应用强化了研究人员对于移动设备的依赖性。员工携带自己的设备(Bring Your Own Devices, BYOD)已经成为当前移动办公的主要趋势。针对BYOD环境中的数据泄露和恶意代码等问题,提出了一种跨平台的安全解决方案。该方案应用无客户端网络准入控制方式获取终端属性,并在向量表示法的基础上,为CPU空闲率等特殊属性设计了一种动态数值型评估方式。因此,该方案能够对进入网络的移动智能终端进行准确地可信评估,将终端分别判入可信域、非可信域和隔离域,确保最终进入网络的BYOD设备处于可信状态,以实现网络入口边界安全。实验结果表明本文方案比现有方案在移动智能终端安全状态的评估和防止对数据的非法访问等方面具有更好的效果。 相似文献
16.
17.
Collaborative and distributed applications, such as dynamic coalitions and virtualized grid computing, often require integrating access control policies of collaborating parties. Such an integration must be able to support complex authorization specifications and the fine-grained integration requirements that the various parties may have. In this paper, we introduce an algebra for fine-grained integration of sophisticated policies. The algebra, which consists of three binary and two unary operations, is able to support the specification of a large variety of integration constraints. For ease of use, we also introduce a set of derived operators and provide guidelines for users to edit a policy with desired properties. To assess the expressive power of our algebra, we define notion of completeness and prove that our algebra is complete and minimal with respect to the notion. We then propose a framework that uses the algebra for the fine-grained integration of policies expressed in XACML. We also present a methodology for generating the actual integrated XACML policy, based on the notion of Multi-Terminal Binary Decision Diagrams. Experimental results have demonstrated both effectiveness and efficiency of our approach. In addition, we also discuss issues regarding obligations. 相似文献