基于多层次优化技术的XACML策略评估引擎

给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺序;判定评估过程中,在引擎内部采用多种缓存机制,分别建立判定结果缓存、属性缓存和策略缓存,有效降低判定引擎和其他功能部件的通信损耗.通过两阶段索引实现的策略缓存,可显著降低匹配运算量并提高策略匹配准确率.仿真实验验证了MLOBEE所采用的多层次优化技术的有效性,其整体评估性能明显优于大多数同类系统.

Web服务中结合XACML的基于属性的访问控制模型

分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。

基于XACML的Web服务信任协商方案

针对Web服务中首次建立双方信任的问题,提出一种基于XACML的Web服务信任协商建立方案。利用XACML访问控制构建信任模型,给出信任协商策略描述,建立起基于XACML的信任协商架构,利用XML加密和签名来保证端到端的安全,提高了相互信任和策略的安全性。

一种基于重排序的XACML策略评估优化方法

可扩展的访问控制标记语言(XACML)逐渐成为访问控制的标准之一,这就要求XACML具有高效的策略评估引擎。然而当规则和策略数达到一定规模时,策略评估性能很容易成为制约系统可用性的瓶颈。为了解决这一问题,该文综合考虑策略/规则最近执行记录及其复杂度,提出一种自适应的策略/规则重排序方法。该方法基于少部分策略/规则处理大部分请求,把高优先级策略/规则放于执行队列头部,从而提高了访问控制的系统策略评估效率。仿真实验结果表明,提出的方法在巴莱多定律前提下与现行的Sun XACML PDP引擎相比,性能有明显提升。

基于XACML的策略冲突检测与消解方法

基于XACML(extensible access control markup language)的访问控制策略在云计算服务中得到广泛使用,其存在的问题也日益凸显,策略集的冲突检测与冲突消解问题就是其中之一。然而,目前学术界在冲突消解方面研究较少,现有的研究也仅能对冲突进行逐对消解,没有针对大量冲突的一次性消解方法,这在大规模云计算环境中是很难适用的。针对这个问题,从算法的角度出发,改进了原有的策略冲突检测方法,并设计了一种新的策略冲突一次性消解算法。该算法将安全规则映射到N维空间中,每一个维度表示一个属性,将定义复杂的安全策略在每一个属性上统一表示为几种基本数据类型的属性值集合,通过对简单集合的交集运算来进行冲突和冗余检测。在冲突消解时,将所有的冲突汇集到一起,运用有向无环图的拓扑排序来计算规则优先级,按优先级的顺序为每个规则构建一棵空间区域选择树,选取其对应的消解后的N维空间区域,完成大量冲突的一次性消解。实验表明,冲突检测和一次性消解算法是正确、高效和可行的。

基于XACML的访问控制与RBAC限制

限制可以视为是基于角色的访问控制(RBAC)的主要动机。该文分析基于XML的访问控制规范语言(XACML)的RBAC框架并指出了该框架的缺点,通过提出的角色激活机构对该框架进行扩充,使得XACML支持RBAC模型中的职责分离和基数限制等限制。

基于XACML的RBAC职责分离策略研究

对开源技术XACML(eXtensible Access-Control Markup Language)和RBAC(Role-Based Access Control)进行了研究,提出了一种使用XACML描述RBAC职责分离策略的新方法。最新的OASIS XACML 2.0标准定义了RBAC核心和层次模型的策略描述,但是缺少对RBAC职责分离关系模型的定义。提出了使用XACML描述RBAC静态职责分离关系和动态职责分离关系的方法,并为Action元素的子元素AttributeValue引入了两个新的值"urn:oasis:names:tc:xacml:2.0:asignRole"和"urn:oasis:names:tc:xacml:2.0:activeRole"。由此可以实现使用XACML描述全部RBAC模型的访问控制策略。

基于XACML的EPCIS访问控制模型

根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型。模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象。访问控制服务组件基于决策上下文对象中包含的用户、资源、环境和动作属性实现对访问请求的动态评估。安全通信组件利用安全性断言标记语言,结合缓存机制实现XACML授权请求/响应的实时传输。访问控制流程表明,该模型能够实现灵活的访问控制策略部署和管理,具有供应链产品信息访问控制的动态性、异构性等特点。

基于描述逻辑的XACML策略研究

针对XACML策略间的语义表示、冲突等问题,提出基于描述逻辑的形式化方法,对XACML策略的目标、规则、规则组合算法和策略冲突消解算法进行形式化处理,并给出基于描述逻辑的规则间冲突检测方案。分析结果表明,该形式化方法便于XACML策略的扩展,并且增强了XACML的语义表达能力和推理能力。

基于XACML和SAML的Shibboleth隐私保护方法的探索分析

联合认证中Web服务提供者可能要求用户提供个人隐私信息,而Shibboleth架构的提出则着重于联合认证中隐私信息的保护。分析Shibboleth和P3P的不同及当前Shibboleth的属性释放策略ARP(Attribute Release Policy)的不足之处,提出基于XAC-ML和SAML的ARP实现及其在Shibboleth中的应用,从而既实现了"单点登录",又保护了用户隐私。

基于XACML实现量化风险自适应的访问控制

量化风险自适应的访问控制是现在系统安全领域的一个研究热点,但XACML(eXtendab le Access Control Markup Lan-guage)的实现未考虑量化风险自适应访问控制机制。在XACML的基础上,充分利用其强大的访问策略表达能力,在不改变访问请求语义的情况下加入了量化风险的控制功能,并扩展XACML框架,添加持续的访问控制风险管理机制,实现了量化风险自适应的访问控制。

基于XACML的可验证云访问控制方案

针对当前传感器节点的计算能力有限以及云访问控制服务的信任问题,在传感器网络双云场景中,借鉴仲裁游戏模型的思想,提出可验证的云访问控制模型。利用可扩展访问控制标示语言中决策值及策略组合算法的特点,设计针对单条策略及策略集的可验证云访问控制方案,使传感器节点能够以较小的计算代价和传输代价实现复杂的访问控制决策。在Amazon EC2云平台上的实验结果证明,与传统的本地访问控制方案相比,该方案能够以较高的效率保证云访问控制结果的可靠性。

基于聚类和重排序的XACML策略评估优化方法

针对目前XACML存在的策略评估效率低下的问题,从规则聚类和规则重排序两方面对XACML策略做出了优化。依据访问控制规则间的相似度,采用基于密度的规则聚类算法,将大规模策略集分解为多个小规模的规则簇。计算中心将访问请求转发到相似度最高的规则簇,规则匹配器搜寻访问请求适配的规则,从而避免访问请求全量遍历策略集。基于规则优先度,采用规则重排序算法将高优先级规则置于簇内前端,并遵循“首次出现优先”的规则合并算法搜索适配规则,减少访问请求与规则的比较次数。实验结果表明,提出的策略优化方法能够有效提高XACML策略评估性能,与SUNXACML、SBA-XACML相比有较大提升。

A web product data management system based on Simple Object Access Protocol

A new web product data management architecture is presented. The three-tier web architecture and Simple Object Access Protocol (SOAP) are combined to build the web-based product data management (PDM) system which includes three tiers: the user services tier, the business services tier, and the data services tier. The client service component uses the server-side technology, and Extensible Markup Language (XML) web service which uses SOAP as the communication protocol is chosen as the business service component. To illustrate how to build a web-based PDM system using the proposed architecture, a case PDM system which included three logical tires was built. To use the security and central management features of the database, a stored procedure was recommended in the data services tier. The business object was implemented as an XML web service so that client could use standard internet protocols to communicate with the business object from any platform. In order to satisfy users using all sorts of browser, the server-side technology and Microsoft ASP.NET was used to create the dynamic user interface.

基于制造执行系统的动态质量控制系统研究

基于当前流行的企业资源计划/制造执行系统/控制三层企业集成框架,提出了基于制造执行系统的动态质量控制系统的体系框架,并分析了其动态质量控制原理。依据该动态质量控制与改进环,给出了基于制造执行系统的动态质量控制系统的软件功能模型,建立了基于OPC技术的控制集成结构和基于可扩展标记语言的信息集成平台,实现了企业资源计划/制造执行系统/控制之间动态异构质量信息的有效集成和共享。最后,以一钢铁企业的质量管理系统的开发为例,设计了钢铁企业生产质量管理的制造执行系统动态质量控制系统,通过质量设计、质量执行、质量评估和质量改进四个层次的质量控制,实现了对钢铁产品生产过程的在线动态调控。

基于属性的授权和访问控制研究

因开放环境的分布性、异构性和动态性,对访问控制提出了独特的安全挑战。基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题,并提供细粒度的控制,已证明了对这种环境的适应性。讨论了ABAC的授权和访问控制机制、实现框架、属性管理等问题,并通过对关键技术的比较分析,提出了将来需要研究的内容,为该领域的进一步研究提供了思路。

Web服务中跨安全域的基于信任的访问控制模型

在XACML和WS-Security规范的基础上,设计了跨安全域的基于信任的访问控制模型(CD-WSTBAC),一种与认证中心相类似的中间件。在解决跨安全域认证的基础上,在获得提供方的访问控制策略和信任计算所需的数据与算法之后,CD-WSTBAC计算对请求方的信任度,并根据访问控制策略代替服务提供方进行信任评估和授权,将评估和授权结果以信任令牌的方式发布给服务请求方。

XML Web服务技术探讨

以XML为基础的Web服务是下一代的WWW。它建立在W3C和IETF开放的标准之上 ,已逐渐成为业界公认的技术准则。介绍了Web服务的概念及其体系结构 ,讨论了构建Web服务的三大核心技术 ,即SOAP ,WSDL和UDDI,并对其进行了详细的分析和探讨。

可视化的安全策略形式化描述与验证系统

通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标记语言,设计并实现一种安全策略的形式化描述与验证系统。该系统将形式化的验证过程自动化,以可视化的形式为普通用户提供一种高效的策略验证工具。

基于SOA企业应用集成框架研究与实现

通过深入分析传统的企业应用集成(EAI)优势与不足,将Web服务技术、SOA引入到EAI领域,提出了采用SOA模型的企业应用集成框架,并讨论了相关的支撑技术,给出了Web服务集成实现模型——网络通信层、消息传输层、服务描述层、服务发现层、服务保证层和服务组合层。为用户提供一个灵活、松耦合、跨平台、分布式、可扩展的基础集成服务平台。