基于多层次优化技术的XACML策略评估引擎

给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺序;判定评估过程中,在引擎内部采用多种缓存机制,分别建立判定结果缓存、属性缓存和策略缓存,有效降低判定引擎和其他功能部件的通信损耗.通过两阶段索引实现的策略缓存,可显著降低匹配运算量并提高策略匹配准确率.仿真实验验证了MLOBEE所采用的多层次优化技术的有效性,其整体评估性能明显优于大多数同类系统.

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。

基于XACML的Web服务信任协商方案

针对Web服务中首次建立双方信任的问题,提出一种基于XACML的Web服务信任协商建立方案。利用XACML访问控制构建信任模型,给出信任协商策略描述,建立起基于XACML的信任协商架构,利用XML加密和签名来保证端到端的安全,提高了相互信任和策略的安全性。

基于XACML的访问控制与RBAC限制

限制可以视为是基于角色的访问控制(RBAC)的主要动机。该文分析基于XML的访问控制规范语言(XACML)的RBAC框架并指出了该框架的缺点,通过提出的角色激活机构对该框架进行扩充,使得XACML支持RBAC模型中的职责分离和基数限制等限制。

基于XACML的策略冲突检测与消解方法

基于XACML(extensible access control markup language)的访问控制策略在云计算服务中得到广泛使用,其存在的问题也日益凸显,策略集的冲突检测与冲突消解问题就是其中之一。然而,目前学术界在冲突消解方面研究较少,现有的研究也仅能对冲突进行逐对消解,没有针对大量冲突的一次性消解方法,这在大规模云计算环境中是很难适用的。针对这个问题,从算法的角度出发,改进了原有的策略冲突检测方法,并设计了一种新的策略冲突一次性消解算法。该算法将安全规则映射到N维空间中,每一个维度表示一个属性,将定义复杂的安全策略在每一个属性上统一表示为几种基本数据类型的属性值集合,通过对简单集合的交集运算来进行冲突和冗余检测。在冲突消解时,将所有的冲突汇集到一起,运用有向无环图的拓扑排序来计算规则优先级,按优先级的顺序为每个规则构建一棵空间区域选择树,选取其对应的消解后的N维空间区域,完成大量冲突的一次性消解。实验表明,冲突检测和一次性消解算法是正确、高效和可行的。

基于XACML的RBAC职责分离策略研究

对开源技术XACML(eXtensible Access-Control Markup Language)和RBAC(Role-Based Access Control)进行了研究,提出了一种使用XACML描述RBAC职责分离策略的新方法。最新的OASIS XACML 2.0标准定义了RBAC核心和层次模型的策略描述,但是缺少对RBAC职责分离关系模型的定义。提出了使用XACML描述RBAC静态职责分离关系和动态职责分离关系的方法,并为Action元素的子元素AttributeValue引入了两个新的值"urn:oasis:names:tc:xacml:2.0:asignRole"和"urn:oasis:names:tc:xacml:2.0:activeRole"。由此可以实现使用XACML描述全部RBAC模型的访问控制策略。

基于XACML的EPCIS访问控制模型

根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型。模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象。访问控制服务组件基于决策上下文对象中包含的用户、资源、环境和动作属性实现对访问请求的动态评估。安全通信组件利用安全性断言标记语言,结合缓存机制实现XACML授权请求/响应的实时传输。访问控制流程表明,该模型能够实现灵活的访问控制策略部署和管理,具有供应链产品信息访问控制的动态性、异构性等特点。

基于XACML和SAML的Shibboleth隐私保护方法的探索分析

联合认证中Web服务提供者可能要求用户提供个人隐私信息,而Shibboleth架构的提出则着重于联合认证中隐私信息的保护。分析Shibboleth和P3P的不同及当前Shibboleth的属性释放策略ARP(Attribute Release Policy)的不足之处,提出基于XAC-ML和SAML的ARP实现及其在Shibboleth中的应用,从而既实现了"单点登录",又保护了用户隐私。

基于XACML的可验证云访问控制方案

针对当前传感器节点的计算能力有限以及云访问控制服务的信任问题,在传感器网络双云场景中,借鉴仲裁游戏模型的思想,提出可验证的云访问控制模型。利用可扩展访问控制标示语言中决策值及策略组合算法的特点,设计针对单条策略及策略集的可验证云访问控制方案,使传感器节点能够以较小的计算代价和传输代价实现复杂的访问控制决策。在Amazon EC2云平台上的实验结果证明,与传统的本地访问控制方案相比,该方案能够以较高的效率保证云访问控制结果的可靠性。

基于属性的授权和访问控制研究

因开放环境的分布性、异构性和动态性,对访问控制提出了独特的安全挑战。基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题,并提供细粒度的控制,已证明了对这种环境的适应性。讨论了ABAC的授权和访问控制机制、实现框架、属性管理等问题,并通过对关键技术的比较分析,提出了将来需要研究的内容,为该领域的进一步研究提供了思路。

Web服务中跨安全域的基于信任的访问控制模型

在XACML和WS-Security规范的基础上,设计了跨安全域的基于信任的访问控制模型(CD-WSTBAC),一种与认证中心相类似的中间件。在解决跨安全域认证的基础上,在获得提供方的访问控制策略和信任计算所需的数据与算法之后,CD-WSTBAC计算对请求方的信任度,并根据访问控制策略代替服务提供方进行信任评估和授权,将评估和授权结果以信任令牌的方式发布给服务请求方。

可视化的安全策略形式化描述与验证系统

通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标记语言,设计并实现一种安全策略的形式化描述与验证系统。该系统将形式化的验证过程自动化,以可视化的形式为普通用户提供一种高效的策略验证工具。

面向资源的细粒度可扩展访问控制策略

分析了访问控制新的需求特点,在XACML的语言模型和访问控制模型基础上,探讨了一种统一的、可移植的规则、策略及决策算法,能满足对细粒度网络资源的访问控制要求,并具有可扩展性。

基于语义Web技术的属性访问控制模型

基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型。该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性。

一种基于CPK的传输协议

为提高VxWorks中数据传输的效率,结合组合公钥算法的原理和加密通信方法,设计一种高效、安全的嵌入式安全传输(EST)协议。EST协议能够在VxWorks环境下快速建立端到端的通信,实现保密通信,满足实时操作系统的安全需求。给出该协议的设计与实现及相应结果分析,证明了该协议的可行性、有效性。

PMI中访问控制策略和实现机制的改进

授权管理基础设施PMI是目前网络安全领域中的研究热点,如何提高PMI的系统效率以及如何标准化授权策略是当前遇到的主要问题。该文提出了一种基于条件的访问控制策略,结合XACML和J2EE的相关技术对策略的实现机制进行了改进,实现了一个基于该策略模型的PMI系统。该系统可有效地解决上述问题,给用户提供了更方便的权限管理和更细粒度的访问控制。

面向分层式资源的基于属性的访问控制方法

针对Internet上经常使用的分层式资源管理模型,提出一种基于属性的访问控制模型HR_ABAC,采用XACML国际标准作为该模型的策略描述语言,研究实现基于属性的访问控制决策机制。对该决策机制进行测试与分析,结果表明所实现的基于属性的访问控制方法具有有效性和实用性。

面向Web服务的交互访问控制

针对传统访问控制策略的不足,提出面向Web服务的交互式访问控制策略模式,为适应Web服务间的信息交互访问安全,设计一种基于SAML认证授权框架以实现协同用户与服务商之间交互访问的匹配机制。以Web服务的访问控制过程为例,分析Web服务的交互式访问控制协议的实现过程,结果证明,该协议能为Web服务提供更细粒度的访问控制。

面向业务流程访问控制策略及决策优化方法

在分析业务流程访问控制策略需求的基础上,对经典的XACML策略实施框架进行了扩展,提出一种能够根据业务流程执行状态管理策略的实施框架。通过在策略模式中引入<PolicyIssuer>元素和定义<Condition>元素的语义,使其能够描述访问策略和委托策略,并支持任务级最小特权的实现。给出了两种策略决策优化方法,针对策略集中无效策略数量过多的问题,采用逐步裁减法减少策略元素比对的次数,针对策略集中委托策略数量过多且需要验证可信性的问题,采用信任关联法减少策略匹配的次数,有效地提高了策略决策的效率。

基于SAML的PEP与PDP通信模型设计与实现

针对XACML访问控制模型实体间授权请求与响应的传输问题,提出一种灵活、可扩展的策略执行点PEP与策略决策点PDP通信模型。根据OASIS对SAML规范进行的扩展,该模型中的SAML处理模块将XACML授权请求与响应封装成为SAML授权请求与响应,利用Spring Web Service架构实现模型中的PEP-WS模块和PDP-WS模块,对SAML授权请求与响应进行传输。该模型能够实现XACML授权请求与响应传输的透明性,将实现方式不同的PEP与PDP进行集成,增强了XACML访问控制模型部署的灵活性和可扩展性。