工作流访问控制策略

访问控制是工作流系统安全策略核心内容,本文在分析基于角色访问控制与基于任务访问控制分别应用于工作流的基础上,介绍了将这两种访问控制整合在一起的基于任务与角色的访问控制。     

分布式工作流环境下角色匹配的访问控制模型

在分布式工作流环境中,为了使用户获得最合适的权限来执行工作流任务,往往需要给用户指派相应的角色。针对一组给定授权下的用户最佳角色匹配问题,提出一种分布式工作流环境下角色匹配的访问控制模型。该模型可以根据工作流的不同任务,从系统的角色中寻找拥有相关任务执行权限的一组或多组角色集合,然后参考环境、时间约束和角色间的继承关系来进行匹配优化,最终为用户选取最优的角色集合。实验表明,该模型能够剔除冗余角色,为用户精确分配一组最小的角色集合,从而达到角色匹配优化的目的。     

多域环境下基于属性的访问控制模型设计

针对电力信息系统的复杂多域环境,提出了一个访问控制模型(BP-SABAC).该模型将属性访问控制(ABAC)与语义Web技术结合,引入边界策略,扩展了XACML标准框架结构,确保了跨域信息共享的安全,加强了边界防护.     

基于XACML的访问控制策略

如何解决对Web服务的访问控制已成为当前Web服务应用研究中的一个重要课题。首先介绍了XACML标准的产生动机,然后结合Xpath来说明如何定义标准的访问控制策略。应用XACML策略来定义通用的访问控制需求,并且提出了一种机制来发现和解决策略间的冲突,达到对Web服务进行细粒度的访问控制。最后以一个应用实例来具体描述怎样创建一个XACML访问控制策略以及如何对实体的访问进行控制。     

基于角色访问控制在工作流管理系统中的应用研究

针对实际应用的需求和工作流管理系统的特点，提出了一个适合工作流管理系统的基于角色的授权控制模型，并将该模型应用到基于过程分解的工作流模型中，从而得到一个具有基于角色的访问控制与授权机制的工作流管理系统．对其中的静态以及动态约束问题进行了分析．同时对增加了基于角色授权管理的工作流系统的体系结构以及实现原理作了较详细的分析介绍．     

网格环境中的工作流访问控制模型研究

访问控制是网格安全中的一个重要问题,其目的是要实现在异构、动态的网格环境下对资源的授权访问。本文对网格工作流访问控制做一些非形式化研究,对传统的基于角色的访问控制（RBAC）方法进行了扩展,提出了基于服务的网格工作流动态访问控制模型,将工作流中任务和服务相联系,实现了工作流中访问控制的最小特权原则。     

基于模型检测的工作流访问控制策略验证*

访问控制策略的有效性对工作流管理系统的安全稳定运行具有重要影响,针对这一问题,提出了一种基于模型检测的工作流管理系统访问控制策略验证方法。建立了工作流管理系统的访问控制策略模型与工作流执行主体任务权限状态模型,并在此基础上对访问控制策略的有效性进行验证。实验表明该算法具有有效性和合理性,为访问控制策略的验证提供了一条新的解决途径。     

基于工作流的服务组合研究

Web服务技术通过基于XML的开放性标准和协议,实现了信息交互和远程调用。Web服务组合技术通过将单一功能的Web服务松耦合集成,以实现具体的业务流程。本文提出一种基于动态工作流的Web服务组合方法．可以对服务进行简单可靠的组合执行。     

网格工作流访问控制研究

工作流管理系统中采用适当的访问控制机制能够确保各项任务被合法的用户或代表一定用户利益的合法程序执行。本文对网格工作流访问控制做一些非形式化研究,提出了基于服务的网格工作流动态访问控制模型,将工作流中任务和服务相联系,实现了工作流中访问控制的最小特权原则。     

工作流中时序约束正确性验证

分析了工作流管理系统中主要应该考虑的时间问题,然后建立了一个工作流时序条件有向图模型,在该模型基础上进行了一些关于时序逻辑推理问题的研究,提出了4个推理规则,同时提出了验证工作流活动时间约束正确性的一些必要条件。研究结果表明,所作的工作对于工作流管理系统的时间建模,监控和性能评价有一定的参考价值。     

基于时态逻辑的工作流分析

工作流的属性规约语言需要具有高表达力以及基于状态和事件的推理能力。本文提出了一种时态逻辑规约语言E-CTL^＊,该语言集成了状态和事件,能够精确和直觉地表示验证的属性。工作流的畅通性验证无论在时间上还是空间上代价都是非常高的,状态空间爆炸是验证的主要困难所在。利用E-CTL^＊描述畅通性,可以使用存在的符号化模型检测工具验证畅通性,在一定程度上克服了状态爆炸问题。同时模型检测技术给出失效路径的优点可以引导我们纠正工作流的错误。工作流的变动需要具有正确性。从时态逻辑的角度讨论了变动正确性问题,得出了保持变动正确性的一般特征。     

基于可信平台的一种访问控制策略框架——TXACML

根据可信平台访问控制需求,提出一个可信平台属性分类规则,定义属性评估函数,可以实现可信平台数据安全分发和访问.同时针对XACML现有的策略合成算法不能有效满足可信平台自动方策略复合需求,设计了一个基于平台可信度的策略合成算法,该算法可以使策略的优先级和可信度保持一致,实现自动方策略复合.在此基础上,进一步对XACML实施扩展,形成可信平台策略语言框架TXACML(XACML based on trusted platform).采取TXACML对一个实例给出了策略描述和策略合成过程,验证了TXACML的有效性.     

工作流管理系统时间模型wTM研究

主要研究面向工作流管理系统的时间定义方法和模型。在分析工作流管理系统对时间维的要求的基础上,提出基于XML的时间模型wTM,最后给出了一个实现实例,并指出了其创新及不足之处。     

SOA中基于属性的访问控制安全策略

SOA环境具有分布性.异构性和动态性的特点,传统的访问控制模型已经不能满足其需求.为解决SOA环境下的访问控制问题,提出了一种基于属性的访问控制模型(Attribute-based Access Control,ABAC).模型以实体的属性作为评价的基本单位.通过对主体属性、资源属性以及环境属性的动态评估,结合访问控制策略来对用户的访问进行控制.并采用XACML和SAML两个规范对模型进行了实现.分析了框架中属性和访问控制策略的查询响应方法,以及访问授权的流程.分析结果表明,结合XACML和SAML标准实现的ABAC模型具有较好的安全性和移植性,适用于异构的SOA环境.     

面向资源的细粒度可扩展访问控制策略

分析了访问控制新的需求特点,在XACML的语言模型和访问控制模型基础上,探讨了一种统一的、可移植的规则、策略及决策算法,能满足对细粒度网络资源的访问控制要求,并具有可扩展性。     

作业流访问控制策略

作业流是一系列任务,它由一个任务集和一个任务关系集组成,其中,任务关系集说明各任务的执行顺序。该文在给出作业流定义的基础上,提出了一种基于作业流Petri网描述的访问控制机制,并介绍了该机制的实现。     

基于属性访问控制方法中的策略定义研究

基于属性的访问控制(ABAC)是面向Web Selrvice应用的一种新的访问控制方法.可扩展访问控制标记语言XACML是一种支持该方法的重要规范,它给出了ABAC策略执行框架以及ABAC策略的定义语言.但XACML中策略定义非常繁琐复杂,对用户提出了很高要求.本文在对ABAC模型进行分析研究的基础上,分析了XACML的策略定义语言,提出了基于XACML的ABAC策略模版,并给出了基于策略模版编写ABAC策略的方法,从而在保证策略正确定义的基础上,有效简化了策略定义过程.     

PMI中访问控制策略和实现机制的改进

授权管理基础设施PMI是目前网络安全领域中的研究热点，如何提高PMI的系统效率以及如何标准化授权策略是当前遇到的主要问题。该文提出了一种基于条件的访问控制策略，结合XACML和J2EE的相关技术对策略的实现机制进行了改进，实现了一个基于该策略模型的PMI系统。该系统可有效地解决上述问题，给用户提供了更方便的权限管理和更细粒度的访问控制。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型,比较了PBAC与基于角色的访问控制（RBAC）,分析了PBAC对策略语言和策略管理架构的需求;基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型,提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后,对语义策略语言进行了展望。