基于使用控制和上下文的动态网格访问控制模型研究

网格环境动态、多域和异构性的特点决定其需要灵活、易于扩展和精细的授权机制.近来在网格环境下的访问控制方面做了大量研究,现有的模型大多在相对静止的前提下,基于主体的标识、组和角色信息进行授权,缺乏具体的上下文信息和灵活的安全策略.本文提出了网络环境下基于使用控制和上下文的动态访问控制模型.在该模型中,授权组件使用主体和客体属性定义传统的静态授权;条件组件使用有关的动态上下文信息体现了对主体在具体环境中的动态权限控制.在该模型的基础上,本文实现了一个原型系统,以验证模型的效率和易于实现性.     

网格环境下多约束访问控制模型

研究互联网优化控制问题,网格技术的应用和发展,要求有更加合理、安全的网格授权方式作保障,以确保网格任务的有效执行.针对基于角色的访问控制所引起的动态授权和多管理域等难点问题,结合现有的传统访问控制方式,根据角色的访问控制为基础,保障安全可靠,引入上下文、任务和条件的概念,加入监控功能,提出多约束访问控制模型,保证了最小特权的原则,实现了网格环境中的动态授权及跨域资源有条件共享和安全互操作.实验表明,方法能很好地避免了用户静态持有权限引起的不安全的问题,与传统安全模型相比具有较高的安全性.     

一种基于任务的计算网格访问控制模型*

网格安全基础设施(GSI)解决了身份鉴别、保密性和完整性问题,却难以有效地解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求.为此,提出了一种基于任务的计算网格访问控制模型.该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现.     

扩展的基于角色的网格授权研究

网格安全主要解决网格环境中实体间的认证和授权问题。现有的网格授权模型大多基于传统的访问控制方式,没有考虑到具体的任务和执行环境。该文在研究现有的访问控制方式的基础上,对基于角色授权的网格模型进行扩展,引入任务和条件的概念,实现了基于任务的动态授权。     

一种基于任务和角色的计算网格访问控制模型

网格安全基础设施解决了身份鉴别、保密性和完整性问题,但难以有效解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。该文提出一种基于任务和角色的计算网格访问控制模型。该模型通过定义授权步及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。     

基于任务的计算网格访问控制模型研究

网格的安全性因其广泛的资源共享和动态、多域的异构环境而显得极为复杂.网格安全基础设施(GSI)可以解决身份鉴别、保密性和完整性问题,却难以有效解决访问控制问题,传统的访问控制模型也不能很好的满足网格的安全需求.本文在华中科技大学计算网格平台基础上,研究并提出了一种基于任务的计算网格访问控制模型,该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现.     

网格环境中的工作流访问控制模型研究

访问控制是网格安全中的一个重要问题,其目的是要实现在异构、动态的网格环境下对资源的授权访问。本文对网格工作流访问控制做一些非形式化研究,对传统的基于角色的访问控制（RBAC）方法进行了扩展,提出了基于服务的网格工作流动态访问控制模型,将工作流中任务和服务相联系,实现了工作流中访问控制的最小特权原则。     

基于策略的Web服务访问控制的研究

访问控制是开放、异构Web服务环境必须满足的重要安全需求之一,传统的访问控制模型都是静态的、粗粒度的,不能很好的满足Web服务应用的需要。通过对策略模型的研究,结合Ws-Policy规范和Ws-PolicyAttachment规范,提出了一种基于策略的Web服务访问控制模型,使访问控制能够基于策略主体、用户属性和环境属性动态的、细粒度的授权;研究并分析了访问控制模型中的生效策略。     

基于属性的Web服务访问控制模型

传统访问控制模型都是静态的、粗粒度的,不能很好地在面向服务的环境中应用。本文提出了一种基于属性的访问控制模型（ABAC）,它结合 SAML（Security Assertion Markup Language,,安全声明标记语言）和XACML （ Extensible Access Control Markup Language,可扩展访问控制标记语言）标准,能够基于主体、客体和环境的属性来动态地、细粒度地进行授权。新的模型更加灵活,特别适用于动态的Web服务环境。     

基于任务的访问控制(TBAC)模型

基于任务的访问控制模型是一种以任务为中心，并采用动态授权的主动安全模型，TBAC判断是否授予主体访问权限时，要考虑当前执行的任务，根据TBAC模型，我们给出该模型的一种系统设计方案。     

基于RBAC策略的可信网格访问控制模型*

针对网格环境的特点,分析了网格中实体间的信任关系,给出了信任度的计算方法。对RBAC技术进行了相应的改进,提出了基于RBAC的可信网格访问控制模型,给出了RTGM模型中的结构和模块以及访问控制部分的过程。可信网格访问控制提高了网格环境下的访问安全性。     

网格环境下基于信任度的资源访问控制研究*

首先给出了网格计算中访问控制的特点和需求。现有的访问控制技术以及分布式授权模型,均不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上,提出了基于信任度的访问控制机制。为了提高资源的利用率,提出了Ticket机制。最后给出模拟实验结果,验证有效性。     

计算网格中访问控制策略研究与应用

网格是未来分布式计算的主要发展方向,而网格安全不仅是网格推广应用的前提,也是计算网格中的一个核心问题。通过对网格安全需求进行分析,从不同角度观察网格安全,抽象出网格安全模型的物理视图和逻辑视图。重点研究了网格环境中访问控制策略与授权策略。结合网格安全项目的研究,设计并实现了利用网格安全认证、访问控制策略进行P2P分布式计算的应用实例。     

上下文感知的动态访问控制模型

现有的访问控制技术主要依靠主体的标识来实现对系统资源的保护,在权限的控制时没有考虑执行的上下文环境。随着网络和分布式计算的发展,应用环境具有分布、异构、 动态的特点,需要考虑主体所处上下文进行动态的权限控制。本文提出了一个上下文感知的访问控制模型（DCAAC）,DCAAC扩展了RBAC模型,增加了上下文约束。DCAAC从应 用环境中获取与安全相关的上下文信息来动态地改变用户的权限,同时保留了传统RBAC模型的优点。这一访问控制模型已在网格计算实验平台中实施。     

基于安全评估的网格动态访问控制研究

网格具有异构、动态、多域的特点,这给网格的安全研究带来了新的挑战。网格安全基础设施(GSI)解决了网格环境下的安全认证和安全通信,但没有对访问控制问题足够重视。传统的访问控制方法仅仅从访问资源的角度来解决安全问题。主体操作方式的多样性和用户计算环境的异构性导致了网格环境的动态性和不确定性。当这种动态性对访问主体造成影响时就需要改进访问控制方法,要求访问控制系统能够动态适应网格环境的安全状态变化。针对该问题本文提出了在访问控制前加入安全评估模型(SEMFG),由该模型对访问环境和访问主体进行综合评估,监控网格环境和访问主体的行为,并用评估结果动态指导访问控制。     

科学数据网格中资源节点信任评价系统的设计与实现*

给出了信任的定义,并分析了信任属性.然后根据科学数据网格的特点,设计了域间直接、推荐信任度的计算和域间推荐信任关系的通信协议,并介绍了资源节点信任评价系统在域间访问控制系统中的应用.