面向服务的角色访问控制模型研究

面向服务的体系结构由于其结构的松散性和计算的动态性等特点,使得其安全管理更加复杂。提出了一个面向服务的角色访问控制模型,该模型通过引入环境角色等概念来描述动态的上下文约束条件,并在授权时使用增强权限约束机制,提供了一种更为灵活的授权方法。此外模型通过增强的权限集,将分派给角色的任务与需求权限之间关联,有效地加强系统的安全性和访问控制的灵活性,也更适用于具有复杂安全特性的面向服务的软件环境。     

基于角色的Web Services动态访问控制模型

已有模型对Web Services的访问控制多数是静态的、粗粒度的,不能满足动态的面向服务的Web Services环境。为此提出了一个基于角色的Web Services动态访问控制模型(RBDAC),此模型可以根据用户访问时的上下文信息来激活角色分配和权限分配,并动态地做出访问控制决定。     

一种基于TRBAC的动态多级Web服务访问控制模型

在分析面向Web服务访问控制研究现状的基础上,针对当前Web服务访问控制模型中存在的不足,提出了一种基于TRBAC的动态多级Web服务访问控制模型(DMWS-TRBAC)。给出了其概念定义、形式化表示及约束规则。新模型引入了服务及其属性,设计了三级访问控制机制,达到了更加安全的细粒度授权。提出了角色扮演者和任务管理者的概念,扩充并严格定义了角色约束和任务约束的内涵,综合考虑时限约束、任务上下文、任务状态及职责分离原则,实现了更加灵活的动态授权。本模型提高了Web服务的安全性,完善了Web服务的访问控制机制,在某军工企业条件保障系统中的初步应用效果良好。     

基于使用控制和上下文的动态网格访问控制模型研究

网格环境动态、多域和异构性的特点决定其需要灵活、易于扩展和精细的授权机制.近来在网格环境下的访问控制方面做了大量研究,现有的模型大多在相对静止的前提下,基于主体的标识、组和角色信息进行授权,缺乏具体的上下文信息和灵活的安全策略.本文提出了网络环境下基于使用控制和上下文的动态访问控制模型.在该模型中,授权组件使用主体和客体属性定义传统的静态授权;条件组件使用有关的动态上下文信息体现了对主体在具体环境中的动态权限控制.在该模型的基础上,本文实现了一个原型系统,以验证模型的效率和易于实现性.     

面向服务的角色访问控制技术的研究

面向服务的体系结构由于其结构的松散性和计算的动态性等特点,使得其安全管理更加复杂。文中通过对工作流的访问控制机制的具体分析,给出了一个面向服务的基于角色和工作流状态的访问控制模型,在授权时使用增强权限约束机制,以提供一种更为灵活的授权方法。该模型可以保证授权有效时间与任务执行时间的同步,有效地加强系统的安全性和访问控制的灵活性,实现了最小特权原则和动态职责分离。     

面向活动的BPEL4WS动态访问授权模型及实现研究

业务流程访问控制机制是Web服务组合应用中的难点。针对现有BPEL4WS安全访问控制研究的不足,提出面向活动的BPEL4WS动态访问授权模型(ADABM)。通过解除组织模型和业务流程模型间的耦合关系,ADABM将BPEL4WS访问权限约束细化到活动一级,用户只在流程执行会话期的活动符合安全需求的情况下才拥有Web服务的访问授权,授权随着业务流程上下文动态授予和收回,授权流与业务流同步执行。文中最后还给出ADABM模型在Web服务安全组合应用中的实施框架。     

一种基于信任的Web Services动态访问控制模型

服务请求者身份的不可知性及其行为的动态不确定性,给Web Services的安全带来了严峻的挑战.在研究和分析现有信任模型不足的基础上,提出一种基于信任的Web Services动态访问控制模型（DWTBAC）.新模型引入时间权重、上下文和推荐强度等客观因素,改进信任值的计算方法,根据信任值-信任等级-权限强度的三元映射关系进行授权管理,实现部分授权.为了抵制恶意行为,提出一种基于服务质量惩罚机制的直接交互经验值更新算法.仿真结果表明,新的访问控制方式,很好地实现了实体信任值随其行为而改变的动态特性,能有效地遏制恶意用户的不良行为,满足Web Services访问控制的安全性和动态性需求.     

基于多维度量和上下文的访问控制模型

在分布式系统中,用户身份难以确定、接入平台复杂,且网络环境动态多变,传统的基于角色或身份的访问控制模型已无法满足用户需求。为此,结合基于角色访问控制(RBAC)和信任管理(TM)的特点,在RBAC的基础上,引入信任与上下文的概念,对用户身份、接入平台及用户行为进行多维度量,根据网络环境和用户状态的动态多变性,提出一种基于多维度量和上下文的访问控制模型(MCBAC),该模型主要依据用户的身份信息和可信度分配角色,通过上下文约束,实现动态角色授权控制,具有较高的安全性及较好的灵活性。     

基于XACML的EPCIS访问控制模型

根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型.模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象.访问控制服务组件基于决策上下文对象中包含的用户、资源、环境和动作属性实现对访问请求的动态评估.安全通信组件利用安全性断言标记语言,结合缓存机制实现XACML授权请求/响应的实时传输.访问控制流程表明,该模型能够实现灵活的访问控制策略部署和管理,具有供应链产品信息访问控制的动态性、异构性等特点.     

.应用角色和任务访问控制的工作流动态授权模型

为实现职责分离和最小权限约束,在传统基于角色和任务访问控制模型的基础上,提出一种应用角色和任务访问控制的工作流动态授权模型。该模型主要包含：①引入了工作流上下文信息来加强职责分离约束;②把权限最小化到任务状态层次;③根据工作流的变化和执行任务所处的状态进行动态地授权。最后以驾驶员培训系统为例,说明了该模型怎样动态实现最小权限约束、职责分离和动态授权,以此说明该模型能够满足工作流动态变化频繁的复杂系统访问控制的需要。