基于XML和XACML的角色访问控制的实施

XML具有良好的扩展性、平台无关性、结构化数据描述能力,而XACML具有很强的访问控制策略描述能力.针对XML和XACML的特点,本文提出了使用XML和XACML实现基于角色的访问控制方案,使得RBAC系统具有了良好的灵活性、扩展性以及跨平台性.     

基于本体的面向服务的属性访问控制模型

为了简化面向服务的架构下的访问控制策略管理,本文采用基于属性的访问控制(ABAC)与本体技术相结合的方法,对XACML标准架构进行了扩展,提出了一种新的访问控制模型——基于本体的面向服务的属性访问控制模型(OB_ABAC)。该模型基于本体的属性管理,简化了对于面向服务的架构下的异构属性的授权策略。     

一种基于重排序的XACML策略评估优化方法

可扩展的访问控制标记语言(XACML)逐渐成为访问控制的标准之一,这就要求XACML具有高效的策略评估引擎。然而当规则和策略数达到一定规模时,策略评估性能很容易成为制约系统可用性的瓶颈。为了解决这一问题,该文综合考虑策略/规则最近执行记录及其复杂度,提出一种自适应的策略/规则重排序方法。该方法基于少部分策略/规则处理大部分请求,把高优先级策略/规则放于执行队列头部,从而提高了访问控制的系统策略评估效率。仿真实验结果表明,提出的方法在巴莱多定律前提下与现行的Sun XACML PDP引擎相比,性能有明显提升。     

一种改进的Web服务访问控制模型

访问控制技术可以防止非法用户的入侵或者合法用户的不慎操作对资源造成的破坏。研究和分析了当前基于Web服务的访问控制模型存在的问题。并给出了一种改进的基于属性的Web服务访问控制模型,新模型通过在XACML访问控制框架中引入了XML加密和XML签名技术,从而保证了敏感属性信息的机密性和访问控制策略的完整性。     

空间知识网格安全体系结构模型研究

阐述空间知识网格环境中的安全需求以及现有安全技术的不足,研究空间知识网格安全策略,建立空间知识网格安全体系结构模型.该模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,充分利用Web服务技术,集成权限管理基础设施和XACML,使自身适合空间知识网格的需求,可支持基于角色的访问控制,具有灵活性、适应性、可伸性和可扩展性等特点.     

基于UCB和PMI的DRM系统研究

作为一种新型的访问控制技术,使用控制UCON模型具有支持动态授权等优势,系统全面地定义了现代访问控制模型的框架。本文基于UCB和PMI提出了一种DRM授权管理体系结构,并用可扩展访问标记性语言XACML描述其授权策略,分析了其访问控制流程。     

数字化校园管理中的访问控制模型分析

数字化校园建设中的分布式信息平台安全是整个校园信息化建设的关键部分。根据数字化建设实际情况,讨论并提出了一种基于XACML的访问控制模型,通过访问控制策略,实现用户的统一身份认证,为数字化校园信息访问身份认证提供了一种灵活而简便的解决方案。     

电子商务环境下RBAC模型的扩展

随着电子商务系统规模的膨胀,基于角色的访问控制模型面临着角色庞大、管理复杂等问题.在提出用户组角色的概念和规则的基础上,扩展了RBAC访问控制模型,给出其在XACML框架下的描述与设计,最后用Java语言实现了扩展的RBAC模型.     

基于Web服务的分布式仿真系统的双重访问控制

随着分布式仿真系统与Web服务技术的结合日益紧密,以及功能与资源分离的愈加明显,导致大量仿真资源暴露于网络中,传统、单一的访问控制模型已无法应对。为此提出了一种基于属性的针对功能和资源的双重访问控制模型,采用证书代理机制实现功能端单点登录,采用XACML实现资源端多属性的访问控制。详细描述了该模型的访问控制流程,目前已应用到虚拟采办系统中。通过对性能的分析和测试,证明了该双重访问控制模型的可用性和有效性。     

在协同环境下基于XACML的访问控制技术实现

针对协同环境下的多用户、交互、协同、动态等特性,传统的访问控制技术无法满足协同环境的动态性和灵活性的需求.本文以角色访问控制(RBAC)模型为基础,提出了一种面向协同环境的基于XACML的多策略访问控制模型,该模型有效地解决了协同系统分布性和动态性带来的安全隐患问题.     

Web服务下基于属性的动态访问控制模型研究

针对面向服务的访问控制系统环境所具有的分布性、异构性和动态性特点,在分析了Web Service下访问控制主客体授权和上下文环境关联的基础上,提出了一种Web服务环境下基于属性的访问控制模型。采用Apache Axis2作为SOAP引擎,结合Sun XACML等相关开源工具完成了Web服务环境下ABAC模型的一个实现。本文所提模型,可以有效实现基于主体、客体和当前环境的属性来动态地、细粒度地进行WEB服务环境下的动态访问控制。     

A cross-domain access control model based on trust measurement

Based on trust measurement, a new cross-domain access control model is proposed to improve the security performance of the cross-domain access control processes. This model integrates the trust management and trusted platform measurement, defines several concepts (user trust degree, platform configuration integrity and intra/inter-domain trust degree) and calculates them with users’ uniform identity authentication and historical access behavior analysis. Then this model expands the extensible access control markup language (XACML) model by adding inside trust manager point (ITMP) and outside trust manager point (OTMP), and describes the architectures and workflows of ITMP and OTMP in details. The experimental results show that this model can achieve more fine-grained access control, implement dynamic authorization in a simple way, and improve the security degrees of the cross-domain access control.     

一种适用于Hadoop平台的基于属性访问控制模型

针对Hadoop平台缺乏有效访问控制机制的问题,提出一种适用于Hadoop平台的基于属性访问控制模型H-ABAC.该模型将传统ABAC模型扩充为五元组,加入安全等级属性增加了灵活性,选择XACML为策略描述语言并提供标准化、可大规模扩展的访问控制策略.对该模型进行形式化定义,构建模型框架并详述各个模块的功能与实现,对模型的适用性和优势进行了分析.分析得出:该模型可以满足自主、细粒度以及动态授权的需求.仿真实验显示:H-ABAC可以有效控制策略数量并且减少系统的开销,所增加时间开销也在可控范围之内.     

使用XKMS的开放式网格服务的安全证书验证方案

通常使用基于SSO的PKI作为网格的安全体系架构、但在面向网格的结构中,因为需要支持终端用户SSO和动态瞬间服务,所以安全系结构的信任关系很难建立. 文章讨论了一种应用XML人WEB Service安全技术实现的开放网格安全架构,及开放式网格服务中使用XML的安全技术（XKMS,SAML,XACML）来实现证书验证的过程.