基于扩展XACML的策略管理

在XACML(extensible access control markup language)和其管理性策略草案的基础上,针对目前XACML访问控制框架的特点,提出将XACML策略管理权限判定归结为利用委托策略对一个委托判定请求的判定,使用XML(extensible markup language)模式定义了此委托判定请求语法,描述了将策略管理请求规约为一个委托判定请求的过程,以及根据委托策略进行委托判定请求的判定过程,通过这种方法可以利用委托策略,对策略管理请求是否有效进行判断,从而实现基于扩展XACML的策略管理。     

分布式对象访问控制的UML建模

讨论如何扩充UML图素,为系统对象安全访问控制建模,使安全建模融入系统建模的各个阶段,使用视图策略描述语言VPL形式化描述安全模型,探讨了安全策略由VPL描述向通用的扩展的访问控制语言XACML描述的映射.     

属性驱动的多策略网格授权机制研究

网格系统存在大量动态的访问用户和每个自治域有自己的访问控制策略,因此具有动态性和自治性的访问控制需求。基于属性的访问控制和网格系统的授权需求提出了一个属性驱动的多策略访问控制模型（MP_ABAC,Multipolicy_supported Access Control based on Attribute）并基于继承和封装思想和可扩展访问控制标记语言（XACML）设计了MP_ABAC授权框架。框架在网格访问控制中存在很大的优势,为网格授权系统提供了开放的架构,且能够集成第三方基于属性的授权系统。     

双逻辑访问控制改进模型的研究和实现

文章提出了针对“整合分级的RBAC访问控制”系统的改进模型。新模型充分发挥了基于角色和分级两套访问控制逻辑的优点,并通过引入XACML,有效地实现了策略管理和访问判决的标准化、统一化,在角色定义的基础上实现了两种逻辑的无缝整合。     

基于属性的安全增强云存储访问控制方案

为了保证云存储中用户数据和隐私的安全,提出了一种基于属性的安全增强云存储访问控制方案。通过共用属性集,将基于属性的加密体制(ABE)与XACML框架有机结合,在XACML框架上实现细粒度的基于属性的访问控制并由ABE保证数据的机密性。考虑到数据量很大时ABE的效率较低,因此,云存储中海量敏感数据的机密性用对称密码体制实现,ABE仅用于保护数据量较小的对称密钥。实验分析表明,该方案不仅能保证用户数据和隐私的机密性,而且性能优于其他同类系统。     

基于插桩测试的XACML策略分析

基于属性声明的XACML语言,在策略表达上结构清晰,能够满足多种环境下的访问控制需求,但在策略调用过程中会出现差错。因此,在使用之前需要对策略进行分析。基于插桩测试的XACML策略分析方法,主要是针对解决访问控制策略里的一些主体的超越权限访问。文中通过在原策略中插入断言式条件语句得到新策略,后对新策略进行测试,与预期结果比较进而得出结论。实验通过向策略中插桩,对策略进行测试,分析出策略是否达到预期。     

RBAC在门户平台中的设计与实现

门户集成了网络中大量的信息和应用资源,它为用户提供统一的入口访问不同Web应用,并为每个用户提供个性化的服务。访问控制是门户的重要功能,如何建立一个高效的门户访问控制模块成为研究热点。在分析portal,RBAC访问控制模型、SAML和XACML后,提出一个扩展的RBAC访问控制模型并将其应用到门户中。该模型引入资源、动作分类概念,并结合上下文,能够更好地适应动态网络,具有更高的灵活性。     

基于角色的Web Services访问控制系统

首先对Web Services的安全技术和访问控制的研究情况进行简单回顾,介绍XACML(eXtensibleAcces s Control Markup language)中的常用术语,然后介绍了一个Web Services的面向服务的基于角色的访问控制系统和安全结构模型,从服务方面和属性方面加强对服务的访问控制.在该体系结构模型中,使用SOAPProxy加强对Web Services的访问控制.通过设计安全cookies和安全SOAP消息,在Web Services上实现基于角色的访问控制.最后给出此系统有待解决的问题.     

基于XACML的RBAC模型的研究与应用

RBAC (Role Based Access Control基于角色的访问控制)模型作为访问控制系统中的理想选择,近年来得到了广泛的研究.本文针对规模较大的访问系统的特点,提出一种改进的基于XACML的访问控制模型,使得RBAC模型具有了良好的灵活性、扩展性、以及跨平台性,并将该模型在大型互动网络游戏开发平台中进行了验证.     

基于XACML的RBAC模型的研究与应用

RBAC（Role Based Access Control基于角色的访问控制）模型作为访问控制系统中的理想选择。近年来得到了广泛的研究。本文针对规模较大的访问系统的特点。提出一种改进的基于XACML的访问控制模型,使得RBAC模型具有了良好的灵活性、扩展性、以及跨平台性,并将该模型在大型互动网络游戏开发平台中进行了验证。     

一种基于策略的跨自主域访问控制模型研究

针对分布式环境下各自主域访问控制模型的异构性以及跨域访问中域自治与协作问题,提出了一种基于策略的跨自主域访问控制模型.该模型通过自主域间访问主体的不同粒度映射机制,支持域间的安全互操作;通过安全控制器并结合基于XACML的访问控制策略,实现了域间用户权限的逻辑整合.各域的相关权限信息封装在域内,既保持原有的独立性又实现了域间的协作,同时屏蔽了域间主体差异,解决了不同域系统互不认知和异构访问控制模型映射问题.     

一种基于XACML访问控制策略决策服务的安全模型

访问授权是分布式系统中关键的组成部分之一，但一般没有作为独立节点实现，甚至被忽略。本文提出并实现了一种基于XACML构建策略决策点的安全模型，给出了模型三种应用基本模式，使模型适应各种环境需求。实现安全的细粒度访问控制。     

移动网格服务安全机制的研究

定义了移动网格服务的安全性、安全级别及安全协议簇,给出了一种利用XML安全技术确保移动网格服务安全的新架构。同时还讨论了架构中消息的安全交互问题,分析了基于策略的XACML访问控制服务组件,设计了移动网格服务的XKMS密钥管理服务组件架构,并给出了XKMS服务的具体实现过程。     

私有云下的身份与管理解决方案

针对企业迁入云中面临的资源管理的有效性和安全性问题,提出了专门针对私有云下的全面的身份与管理解决方案。方案从身份管理、隐私保护、单点登录以及访问控制角度出发,分别使用数据同步服务、多重手段认证、SAML2.0规范引入以及XACML协议与RBAC模型相结合等技术手段实现云环境下集成化、一站式的身份与访问安全管理。该方案结合多种技术手段,有效解决了企业迁入云中后面临的安全管理风险,提高了企业的资源管理效率。     

CNGI环境中跨域AAA系统的构建

国际上的认证与授权方面的标准主要有安全性断言标记语言(SAML)、可扩展访问控制标记语言(XACML)等,中国下一代互联网示范工程(CNGI)跨机构的统一认证和授权中间件技术项目基于国际规范,提出了结合现有成熟产品DT(DigitalTrust)、身份提供者(IdP)和服务提供者(SP)而建立跨域跨机构统一身份认证、授权和审计(AAA)系统的完整方案。该系统提供一种独立于协议和平台的身份验证和资源访问授权交换机制,对于CNGI环境下跨域跨机构统一认证和授权技术的发展和应用具有很好的示范意义。     

基于统计分析优化的高性能XACML策略评估引擎

为提高分布式环境下XACML策略评估引擎的效率,提出了新的XACML策略评估引擎HPEngine。该引擎利用基于统计分析的策略优化机制动态精化策略,并将精化的策略由文本形式转化为数值形式;同时采用基于统计分析的多级缓存机制存储频繁调用的请求结果对、属性和策略信息。仿真结果表明,HPEngine所采用的基于统计分析的多级优化机制缩减了策略规模,降低了引擎和其他功能部件的通信损耗,减少了匹配运算量,提高了匹配速度,整体评估性能优于其他同类系统。     

网络访问控制的层次模型

划分安全域是保护资产的一项重要措施。面向安全域划分的需要,提出了网络访问控制的层次模型,把网络访问控制划分为网络边界访问控制、安全域边界访问控制、主机网络访问控制3个层次,并探讨了网络组织、非军事区、地址转换、访问控制策略等关键问题。网络访问控制的层次模型有效地做到了纵深保护信息资产的目的。     

数据分发服务访问控制方法研究

针对DDS的访问控制需求,分析了DDS提供的访问控制机制,并在此基础上提出了一种基于证书的数据分发服务参与者动态访问控制方法,该方法在无需修改参与者自身访问控制信息的前提下,提供灵活的、可配置的访问控制。研究DDS访问控制方法对DDS技术的应用具有指导意义。     

基于UCON的访问控制模型在银行中的应用

随着网络技术在银行业务的深入应用,网络的访问控制安全策略对银行数据安全的影响越来越重要,传统访问控制无法有效解决银行网络体系对访问控制的安全性和灵活性需求,对此文中提出了一个种基于UCON(Usage Control Model)使用控制的访问控制模型,该模型提出了比传统访问控制策略更加严格和灵活的访问策略,增强了访问控制环节的安全。     

访问控制模型研究进展及发展趋势

 访问控制的任务是保证信息资源不被非法使用和访问,冲突检测与消解主要解决不同信息系统安全策略不统一的问题.随着计算机和网络通信技术的发展,先后出现了自主访问控制模型、强制访问控制模型、基于角色的访问控制模型、基于任务的访问控制模型、面向分布式和跨域的访问控制模型、与时空相关的访问控制模型以及基于安全属性的访问控制模型等访问控制模型.本文从理论和应用研究两个角度分析和总结了现有访问控制技术、访问控制策略冲突检测与消解方法的研究现状,提出了目前访问控制模型及其冲突检测与消解研究在面向信息物理社会的泛在网络互联环境中存在的问题,并给出了细粒度多级安全的访问控制模型及其策略可伸缩调整方法的发展趋势.