基于角色访问控制授权约束条件的生成方法

将角色和权限的属性表达式作为授权约束条件的重要组成部分,给出约束条件的定义,引入角色工程的思想和方法,在此基础上提出产生授权约束条件涉及的属性、属性表达式、权限属性表达式、角色属性表达式和用户属性表达式的识别、产生和优化的方法及相关算法,通过一个应用实例说明方法的可行性。     

关于网格计算授权机制的研究

分析了目前网格计算中最流行的安全机制GSI（Grid Security Infrastructure,网格安全基础设施）和基于GSI的CAS（Community Authorization Service,组织授权服务）,提出了一种基于本地角色授权的、能够解决大规模VO（Virtual Organization,虚拟组织）的授权问题的方案。同GSI和CAS不同的是,本方案中的用户只需要进行本地认证就能够根据其在本地组织的角色来访问VO。     

基于角色访问控制在授权管理器中的实现

在以用户为中心的授权模型的基础上，提出了授权管理器的授权层次模型。在充分分析授权层次模型思想及利用授权管理器建立授权策略的基础上，给出了在程序中利用授权管理器的基本的，重要的方法。最后给出了在应用程序中使用授权管理器实现用户的权限。实践表明利用授权管理器可以方便的实现用户在应用程序中的授权。     

基于CAS的网格安全授权机制的研究与应用

本文在对虚拟组织资源授权服务与授权模型研究的基础上,分析了CAS进行更细粒度的身份验证操作过程.并通过在网格服务申请实例中引入第三方团体授权服务,说明了应用该机制不仅增加了整个系统的灵活性和可扩展性,而且使得资源服务器与用户之间的授权关系变得简单且易于管理.     

网格计算访问控制的实现

随着网格应用的不断建立,解决网格访问控制问题愈发急迫。该文形式化描述了网格访问控制元素,定义了网格用户角色和角色委托概念,分析了网格计算访问控制特性、授权要素、授权模式、授权策略,结合使用代理证书和属性证书提出了一个基于角色的网格计算访问控制实现方案。     

扩展的基于角色的网格授权研究

网格安全主要解决网格环境中实体间的认证和授权问题。现有的网格授权模型大多基于传统的访问控制方式,没有考虑到具体的任务和执行环境。该文在研究现有的访问控制方式的基础上,对基于角色授权的网格模型进行扩展,引入任务和条件的概念,实现了基于任务的动态授权。     

一种基于角色代理的服务网格虚拟组织访问控制模型

给出一种基于角色代理技术的虚拟组织访问控制模型，与同类研究成果相比，在不降低自治域的安全管理效率的情况下，能够实现虚拟组织的细粒度授权和确保自治域的安全策略不被破坏．该模型的一个原型系统已经实现，并通过一个基于网格的低成本电子政务平台中的实例进行了验证．     

网格访问控制与授权模型的设计与实现

访问控制和资源授权是网格系统中资源与用户的关系策略的集合,分析了访问控制与资源授权的设计原则,提出了一种基于禁止表和允许表的网格用户访问控制层次式AB4L访问控制模型.给出了该模型的形式化定义,叙述了基于Postgres数据库的资源访问控制模型和授权的实现方法,并从完备性、可扩展性、自主控制和安全性方面对该模型进行了性...     

基于社区的服务网格多粒度授权与访问控制研究

基于社区原理构建的织女星网格操作系统（VEGA GOS）是网格应用开发、运行和维护所依赖的环境和平台。在织女星网格操作系统中,结合社区具有的局部集中性的特点,在主体、资源、操作空间中建立跨管理域的授权模型,用于解决网格中授权及访问控制在好用性、自主控制、通用性方面的问题。介绍了基于社区的多粒度授权与访问控制机制的设计和实现,并对由于使用安全机制引起的系统稳定性变化进行了测试和分析评价。     

应用角色访问控制的工作流动态授权模型

形式化地描述了角色、用户、权限、任务单元、授权策略、授权约束等实体及其相互间的关系,提出将授权约束分为需求角色约束、需求用户约束、拒绝角色约束及拒绝用户约束,并在此基础上建立了授权约束的冲突检测规则．实现了授权流与工作流的同步,并通过授权约束的冲突检测确保了工作流的有效执行．文中模型具有全面性与实用性较强的特点．     

一种基于策略的可扩展网格资源管理机制

提出了一种基于策略的网格资源管理机制和采用的关键技术.通过将网格应用的用户和资源节点分别进行分类,较好地处理了网格系统中集中与分布的矛盾.引入资源预留的思想来解决散户的突发批量作业提交.采用集中和分布并重、直接认证和代理认证结合的多策略认证结构,以提高网格安全认证的效率.     

授权与访问控制中的资源管理技术研究综述

授权与访问控制中的资源管理是负责描述和管理访问策略中的客体及其相关属性和关系的技术,它是实现统一授权管理的基础.然而,在访问控制技术多年的发展历程中,资源管理没有得到广泛深入的研究.通过比较分析现有访问控制模型中的资源管理模式,研究资源的组织方式、属性管理、操作管理等方面对授权和访问控制实施的影响,针对分布式环境下授权与访问控制的新需求,指出了资源管理技术面临的问题,展望了将来的研究方向.     

一种面向服务网格的通用框架及服务访问模型

网格资源的表示、组织、部署、发现、创建、使用和撤销是网格计算的重要研究问题,随着Webservices技术和服务网格理念的逐步成熟,以“服务”的方式来包装网格资源已经成为了一种趋势,并得到了网格界的一致认同。由于网格资源的“充足性”及“共享性”,采用池的方式来组织网格资源,以及把网格资源包装成服务,是一种很合理的方式。用户对网格的一次访问过程包括访问场景的创建,访问的实施,以及实施完成后的撤销,具有生命期的特征,而这正是虚拟组织所具有的功能,基于虚拟组织来设计服务访问模型是很合理的。基于物理资源池、服务池以及虚拟组织的思想,文章提出了面向服务网格的通用框架模型及服务访问模型VSP,VSP模型被用于指导HowU信息处理平台的设计。     

基于Gossip协议的网格资源发现机制

由于网格环境中存在着大量分布、异构、动态的资源和服务,快速、准确地进行资源发现,是关系到网格计算性能的关键因素之一。该文按照虚拟组织(V irtual Organization)——机构(Institution)——资源(Resource)的层次,建立分层网格模型,提出了该模型上的资源发现机制,包括信息共享、消息扩散及资源查询机制。通过模拟实验,表明了该资源发现机制的查询应答率较高,同时消息扩散的开销较小。     

Role-Based Access Control in a Data Grid Using the Storage Resource Broker and Shibboleth

In this paper, we propose a role-based access control (RBAC) system for data resources in the Storage Resource Broker (SRB). The SRB is a Data Grid management system, which can integrate heterogeneous data resources of virtual organizations (VOs). The SRB stores the access control information of individual users in the Metadata Catalog (MCAT) database. However, because of the specific MCAT schema structure, this information can only be used by the SRB applications. If VOs also have many non-SRB applications, each with its own storage format for user access control information, it creates a scalability problem with regard to administration. To solve this problem, we developed a RBAC system with Shibboleth, which is an attribute authorization service currently being used in many Grid environments. Thus, the administration overhead is reduced because the role privileges of individual users are now managed by Shibboleth, not by MCAT or applications. In addition, access control policies need to be specified and managed across multiple VOs. For the specification of access control policies, we used the Core and Hierarchical RBAC profile of the eXtensible Access Control Markup Language (XACML); and for distributed administration of those policies, we used the Object, Metadata and Artifacts Registry (OMAR). OMAR is based on the e-business eXtensible Markup Language (ebXML) registry specifications developed to achieve interoperable registries and repositories. Our RBAC system provides scalable and fine-grain access control and allows privacy protection. Performance analysis shows that our system adds only a small overhead to the existing security infrastructure of the SRB.     

基于协商的跨社区访问的动态角色转换机制

在基于角色的访问控制模型下,将一个虚拟社区中的角色动态地转换成另一个虚拟社区的角色,从而获得跨虚拟社区的数据访问权限引入协商机制,建立起两个社区之间的角色转换关系,将跨虚拟社区的数据访问建立在双方社区的信任关系之上,并通过一系列的本地控制策略,根据用户拥有的角色动态地进行角色转换.     

XML的授权与访问控制方法

提出了一种XML文档的授权与访问控制模型．本模型由主体、客体、安全规则及访问控制算法组成，主体是指用户或用户组，客体为被保护的对象，安全规则用于指定用户对XML文档具有的权限，访问控制算法根据安全规则对XML文档实施保护．本模型的保护对象可以是XML纲要(sclaema)或这一纲要的实例，安全规则所确定的保护粒度可以做到基于文档树结构的保护，也可做到基于内容的保护．还阐述了授权冲突等概念，提出了基于最高优先度的授权冲突解决策略，这种策略具有高效、授权规则语义无岐义等优点．访问控制算法已用Java编程实现，采用SOAP作为通信机制，易于与其他系统集成．