基于多层次优化技术的XACML策略评估引擎 被引量：18

1

作者 王雅哲 冯登国 +1 位作者 张立武 张敏 《软件学报》 EI CSCD 北大核心 2011年第2期323-338,共16页

给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺... 给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺序;判定评估过程中,在引擎内部采用多种缓存机制,分别建立判定结果缓存、属性缓存和策略缓存,有效降低判定引擎和其他功能部件的通信损耗.通过两阶段索引实现的策略缓存,可显著降低匹配运算量并提高策略匹配准确率.仿真实验验证了MLOBEE所采用的多层次优化技术的有效性,其整体评估性能明显优于大多数同类系统. 展开更多

关键词 xacml 访问控制 策略评估 规则精化 缓存机制 策略索引

在线阅读 下载PDF 职称材料

Web服务中结合XACML的基于属性的访问控制模型 被引量：8

2

作者 沈海波 洪帆 《计算机应用》 CSCD 北大核心 2005年第12期2765-2767,2776,共4页

分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基... 分析了XACML(eXtensibleAccessControlMarkupLanguage,可扩展访问控制标记语言)的特点,提出了一种面向Web服务的结合XACML的基于属性的访问控制(Attribute-BasedAccessControl,ABAC)模型。模型采用基于用户、资源和环境属性、而不是基于用户身份的授权机制,可动态地评估访问请求,提供细粒度的访问控制;采用XACML标准,既可增加互操作性,又能适用于分布式环境,特别适合于Web服务的动态性、异构性等特点。 展开更多

关键词 WEB服务 基于属性的访问控制 可扩展访问控制标记语言

在线阅读 下载PDF 职称材料

基于XACML的Web服务信任协商方案 被引量：2

3

作者 王尚平 马宏亮 +1 位作者 张亚玲 王晓峰 《计算机工程》 CAS CSCD 北大核心 2008年第11期137-139,142,共4页

针对Web服务中首次建立双方信任的问题,提出一种基于XACML的Web服务信任协商建立方案。利用XACML访问控制构建信任模型,给出信任协商策略描述,建立起基于XACML的信任协商架构,利用XML加密和签名来保证端到端的安全,提高了相互信任和策... 针对Web服务中首次建立双方信任的问题,提出一种基于XACML的Web服务信任协商建立方案。利用XACML访问控制构建信任模型,给出信任协商策略描述,建立起基于XACML的信任协商架构,利用XML加密和签名来保证端到端的安全,提高了相互信任和策略的安全性。 展开更多

关键词 WEB服务 可扩展访问控制标记语言 信任协商 协商策略

在线阅读 下载PDF 职称材料

基于XACML的访问控制与RBAC限制 被引量：3

4

作者 努尔买买提.黑力力 罗振兴 林作铨 《计算机工程》 CAS CSCD 北大核心 2008年第8期19-21,共3页

限制可以视为是基于角色的访问控制(RBAC)的主要动机。该文分析基于XML的访问控制规范语言(XACML)的RBAC框架并指出了该框架的缺点,通过提出的角色激活机构对该框架进行扩充,使得XACML支持RBAC模型中的职责分离和基数限制等限制。

关键词 WEB服务 XML的访问控制规范语言 基于角色的访问控制

在线阅读 下载PDF 职称材料

基于XACML的策略冲突检测与消解方法 被引量：3

5

作者 王聪 李瑞轩 +1 位作者 辜希武 汤俊伟 《计算机科学与探索》 CSCD 北大核心 2018年第1期1-16,共16页

基于XACML(extensible access control markup language)的访问控制策略在云计算服务中得到广泛使用,其存在的问题也日益凸显,策略集的冲突检测与冲突消解问题就是其中之一。然而,目前学术界在冲突消解方面研究较少,现有的研究也仅能对... 基于XACML(extensible access control markup language)的访问控制策略在云计算服务中得到广泛使用,其存在的问题也日益凸显,策略集的冲突检测与冲突消解问题就是其中之一。然而,目前学术界在冲突消解方面研究较少,现有的研究也仅能对冲突进行逐对消解,没有针对大量冲突的一次性消解方法,这在大规模云计算环境中是很难适用的。针对这个问题,从算法的角度出发,改进了原有的策略冲突检测方法,并设计了一种新的策略冲突一次性消解算法。该算法将安全规则映射到N维空间中,每一个维度表示一个属性,将定义复杂的安全策略在每一个属性上统一表示为几种基本数据类型的属性值集合,通过对简单集合的交集运算来进行冲突和冗余检测。在冲突消解时,将所有的冲突汇集到一起,运用有向无环图的拓扑排序来计算规则优先级,按优先级的顺序为每个规则构建一棵空间区域选择树,选取其对应的消解后的N维空间区域,完成大量冲突的一次性消解。实验表明,冲突检测和一次性消解算法是正确、高效和可行的。 展开更多

关键词 可扩展的访问控制标记语言(xacml) 策略管理 策略冲突 冲突检测 冲突消解

在线阅读 下载PDF 职称材料

一种基于重排序的XACML策略评估优化方法 被引量：4

6

作者 戚湧 陈俊 李千目 《南京理工大学学报》 EI CAS CSCD 北大核心 2015年第2期187-193,共7页

可扩展的访问控制标记语言(XACML)逐渐成为访问控制的标准之一,这就要求XACML具有高效的策略评估引擎。然而当规则和策略数达到一定规模时,策略评估性能很容易成为制约系统可用性的瓶颈。为了解决这一问题,该文综合考虑策略/规则最近执... 可扩展的访问控制标记语言(XACML)逐渐成为访问控制的标准之一,这就要求XACML具有高效的策略评估引擎。然而当规则和策略数达到一定规模时,策略评估性能很容易成为制约系统可用性的瓶颈。为了解决这一问题,该文综合考虑策略/规则最近执行记录及其复杂度,提出一种自适应的策略/规则重排序方法。该方法基于少部分策略/规则处理大部分请求,把高优先级策略/规则放于执行队列头部,从而提高了访问控制的系统策略评估效率。仿真实验结果表明,提出的方法在巴莱多定律前提下与现行的Sun XACML PDP引擎相比,性能有明显提升。 展开更多

关键词 可扩展的访问控制标记语言 巴莱多定律 优先级 重排序 性能优化

在线阅读 下载PDF 职称材料

基于XACML的RBAC职责分离策略研究 被引量：1

7

作者 闫季鸿 蒋文蓉 +1 位作者 王帅 李硕 《计算机应用与软件》 CSCD 2010年第3期80-83,共4页

对开源技术XACML(eXtensible Access-Control Markup Language)和RBAC(Role-Based Access Control)进行了研究,提出了一种使用XACML描述RBAC职责分离策略的新方法。最新的OASIS XACML 2.0标准定义了RBAC核心和层次模型的策略描述,但是... 对开源技术XACML(eXtensible Access-Control Markup Language)和RBAC(Role-Based Access Control)进行了研究,提出了一种使用XACML描述RBAC职责分离策略的新方法。最新的OASIS XACML 2.0标准定义了RBAC核心和层次模型的策略描述,但是缺少对RBAC职责分离关系模型的定义。提出了使用XACML描述RBAC静态职责分离关系和动态职责分离关系的方法,并为Action元素的子元素AttributeValue引入了两个新的值"urn:oasis:names:tc:xacml:2.0:asignRole"和"urn:oasis:names:tc:xacml:2.0:activeRole"。由此可以实现使用XACML描述全部RBAC模型的访问控制策略。 展开更多

关键词 基于角色的访问控制 可扩展访问控制标记语言 静态职责分离 动态职责分离

在线阅读 下载PDF 职称材料

基于XACML的EPCIS访问控制模型 被引量：1

8

作者 李景峰 李云鹏 《计算机工程》 CAS CSCD 2013年第4期180-183,189,共5页

根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型。模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象。访问控制服务组件基... 根据供应链系统对EPC信息服务(EPCIS)提出的访问控制需求,设计一种基于可扩展访问控制标记语言(XACML)的EPCIS访问控制模型。模型中的访问控制执行接口利用方法拦截技术实现对访问请求的拦截,并生成决策上下文对象。访问控制服务组件基于决策上下文对象中包含的用户、资源、环境和动作属性实现对访问请求的动态评估。安全通信组件利用安全性断言标记语言,结合缓存机制实现XACML授权请求/响应的实时传输。访问控制流程表明,该模型能够实现灵活的访问控制策略部署和管理,具有供应链产品信息访问控制的动态性、异构性等特点。 展开更多

关键词 电子产品码网络 EPC信息服务 访问控制 可扩展访问控制标记语言 安全性断言标记语言 供应链

在线阅读 下载PDF 职称材料

基于描述逻辑的XACML策略研究 被引量：1

9

作者 陈旭日 徐炜民 《计算机工程》 CAS CSCD 2013年第4期71-74,共4页

针对XACML策略间的语义表示、冲突等问题,提出基于描述逻辑的形式化方法,对XACML策略的目标、规则、规则组合算法和策略冲突消解算法进行形式化处理,并给出基于描述逻辑的规则间冲突检测方案。分析结果表明,该形式化方法便于XACML策略... 针对XACML策略间的语义表示、冲突等问题,提出基于描述逻辑的形式化方法,对XACML策略的目标、规则、规则组合算法和策略冲突消解算法进行形式化处理,并给出基于描述逻辑的规则间冲突检测方案。分析结果表明,该形式化方法便于XACML策略的扩展,并且增强了XACML的语义表达能力和推理能力。 展开更多

关键词 XML访问控制标记语言 描述逻辑 冲突检测 规则冗余 推理 语义

在线阅读 下载PDF 职称材料

基于XACML和SAML的Shibboleth隐私保护方法的探索分析 被引量：3

10

作者 邓凯 裴浩 《计算机应用与软件》 CSCD 2009年第1期267-269,284,共4页

联合认证中Web服务提供者可能要求用户提供个人隐私信息,而Shibboleth架构的提出则着重于联合认证中隐私信息的保护。分析Shibboleth和P3P的不同及当前Shibboleth的属性释放策略ARP(Attribute Release Policy)的不足之处,提出基于XAC-ML... 联合认证中Web服务提供者可能要求用户提供个人隐私信息,而Shibboleth架构的提出则着重于联合认证中隐私信息的保护。分析Shibboleth和P3P的不同及当前Shibboleth的属性释放策略ARP(Attribute Release Policy)的不足之处,提出基于XAC-ML和SAML的ARP实现及其在Shibboleth中的应用,从而既实现了"单点登录",又保护了用户隐私。 展开更多

关键词 联合认证 SHIBBOLETH 安全断言标记语言 可扩展访问控制标记语言 属性释放策略

在线阅读 下载PDF 职称材料

基于XACML实现量化风险自适应的访问控制 被引量：1

11

作者 郑琪 《计算机应用与软件》 CSCD 北大核心 2012年第2期285-288,293,共5页

量化风险自适应的访问控制是现在系统安全领域的一个研究热点,但XACML(eXtendab le Access Control Markup Lan-guage)的实现未考虑量化风险自适应访问控制机制。在XACML的基础上,充分利用其强大的访问策略表达能力,在不改变访问请求语... 量化风险自适应的访问控制是现在系统安全领域的一个研究热点,但XACML(eXtendab le Access Control Markup Lan-guage)的实现未考虑量化风险自适应访问控制机制。在XACML的基础上,充分利用其强大的访问策略表达能力,在不改变访问请求语义的情况下加入了量化风险的控制功能,并扩展XACML框架,添加持续的访问控制风险管理机制,实现了量化风险自适应的访问控制。 展开更多

关键词 可扩展的访问控制标记语言 量化风险 风险管理

在线阅读 下载PDF 职称材料

基于XACML的可验证云访问控制方案

12

作者 司晓琳 王鹏翩 张立武 《计算机工程》 CAS CSCD 2013年第10期42-48,56,共8页

针对当前传感器节点的计算能力有限以及云访问控制服务的信任问题,在传感器网络双云场景中,借鉴仲裁游戏模型的思想,提出可验证的云访问控制模型。利用可扩展访问控制标示语言中决策值及策略组合算法的特点,设计针对单条策略及策略集的... 针对当前传感器节点的计算能力有限以及云访问控制服务的信任问题,在传感器网络双云场景中,借鉴仲裁游戏模型的思想,提出可验证的云访问控制模型。利用可扩展访问控制标示语言中决策值及策略组合算法的特点,设计针对单条策略及策略集的可验证云访问控制方案,使传感器节点能够以较小的计算代价和传输代价实现复杂的访问控制决策。在Amazon EC2云平台上的实验结果证明,与传统的本地访问控制方案相比,该方案能够以较高的效率保证云访问控制结果的可靠性。 展开更多

关键词 访问控制 云访问控制 可验证计算 仲裁游戏模型 可扩展访问控制标示语言

在线阅读 下载PDF 职称材料

基于属性的授权和访问控制研究 被引量：16

13

作者 沈海波 洪帆 《计算机应用》 CSCD 北大核心 2007年第1期114-117,共4页

因开放环境的分布性、异构性和动态性,对访问控制提出了独特的安全挑战。基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题,并提供细粒度的控制,已证明了对这种环境的适应性。讨论了ABAC的授权... 因开放环境的分布性、异构性和动态性,对访问控制提出了独特的安全挑战。基于属性的访问控制(ABAC)机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题,并提供细粒度的控制,已证明了对这种环境的适应性。讨论了ABAC的授权和访问控制机制、实现框架、属性管理等问题,并通过对关键技术的比较分析,提出了将来需要研究的内容,为该领域的进一步研究提供了思路。 展开更多

关键词 授权 访问控制 属性 安全声明标记语言 扩展访问控制标记语言

在线阅读 下载PDF 职称材料

Web服务中跨安全域的基于信任的访问控制模型 被引量：5

14

作者 马晓宁 冯志勇 徐超 《计算机应用研究》 CSCD 北大核心 2009年第12期4751-4753,4767,共4页

在XACML和WS-Security规范的基础上,设计了跨安全域的基于信任的访问控制模型(CD-WSTBAC),一种与认证中心相类似的中间件。在解决跨安全域认证的基础上,在获得提供方的访问控制策略和信任计算所需的数据与算法之后,CD-WSTBAC计算对请求... 在XACML和WS-Security规范的基础上,设计了跨安全域的基于信任的访问控制模型(CD-WSTBAC),一种与认证中心相类似的中间件。在解决跨安全域认证的基础上,在获得提供方的访问控制策略和信任计算所需的数据与算法之后,CD-WSTBAC计算对请求方的信任度,并根据访问控制策略代替服务提供方进行信任评估和授权,将评估和授权结果以信任令牌的方式发布给服务请求方。 展开更多

关键词 WEB服务 信任 访问控制 可扩展访问控制标记语言

在线阅读 下载PDF 职称材料

可视化的安全策略形式化描述与验证系统 被引量：2

15

作者 雷新锋 刘军 +2 位作者 肖军模 周海刚 张一丹 《计算机工程》 CAS CSCD 北大核心 2008年第24期162-164,共3页

通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标记语言,设计并实现一种安全策略的形式化描述与验证系统。该系统... 通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标记语言,设计并实现一种安全策略的形式化描述与验证系统。该系统将形式化的验证过程自动化,以可视化的形式为普通用户提供一种高效的策略验证工具。 展开更多

关键词 安全策略 一致性 完备性 扩展访问控制标记语言

在线阅读 下载PDF 职称材料

面向资源的细粒度可扩展访问控制策略 被引量：2

16

作者 唐成华 胡昌振 《计算机应用研究》 CSCD 北大核心 2006年第10期82-85,92,共5页

分析了访问控制新的需求特点,在XACML的语言模型和访问控制模型基础上,探讨了一种统一的、可移植的规则、策略及决策算法,能满足对细粒度网络资源的访问控制要求,并具有可扩展性。

关键词 访问控制 XML xacml 规则 策略

在线阅读 下载PDF 职称材料

基于BLP模型的XML访问控制研究 被引量：4

17

作者 叶春晓 尉法文 《计算机工程》 CAS CSCD 北大核心 2011年第14期123-124,127,共3页

在高安全领域,XML文档中可能包含不同程度的敏感信息,需要受到强制访问控制策略的保护。为确保高敏感数据的完整性,在BLP模型的基础上对主体和客体的安全标签进行改进,提出EBLP模型,讨论在该模型下的安全标签分配问题,研究该模型的体系... 在高安全领域,XML文档中可能包含不同程度的敏感信息,需要受到强制访问控制策略的保护。为确保高敏感数据的完整性,在BLP模型的基础上对主体和客体的安全标签进行改进,提出EBLP模型,讨论在该模型下的安全标签分配问题,研究该模型的体系结构并给出XML文档的访问控制算法。 展开更多

关键词 可扩展标记语言 安全标签 强制访问控制 EBLP模型 访问控制

在线阅读 下载PDF 职称材料

基于RBAC的SSO统一权限管理方法 被引量：5

18

作者 张世龙 沈玉利 《计算机工程与设计》 CSCD 北大核心 2009年第9期2139-2141,2144,共4页

针对RBAC(role_based access control)模型不能直接应用到SSO(single sign_on)系统中的问题,分析了RBAC模型的权限获取方式,指出不能直接应用的原因。引入XML文档存储用户在系统中的权限,改进用户权限获取方式及流程,定义权限验证方法... 针对RBAC(role_based access control)模型不能直接应用到SSO(single sign_on)系统中的问题,分析了RBAC模型的权限获取方式,指出不能直接应用的原因。引入XML文档存储用户在系统中的权限,改进用户权限获取方式及流程,定义权限验证方法统一接口,降低RBAC模型同应用系统的耦合性,提出了改进的RBAC统一权限管理模型和实施方法,并在实际应用中得以实现和验证。 展开更多

关键词 基于角色的访问控制 扩展标识语言 通用性 低耦合 单点登陆

在线阅读 下载PDF 职称材料

基于语义Web技术的属性访问控制模型 被引量：2

19

作者 沈海波 洪帆 《计算机应用研究》 CSCD 北大核心 2007年第10期148-151,共4页

基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型。该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性。

关键词 基于属性的访问控制 语义WEB技术 扩展访问控制标记语言

在线阅读 下载PDF 职称材料

隐私安全策略中的变更影响分析

20

作者 王强 刘峤 秦志光 《计算机应用》 CSCD 北大核心 2011年第1期115-117,共3页

为了解决Web分布式系统中的隐私安全策略在制定和变更中的错误很难被发现的问题,提出了策略变更中各种情况的相应变更影响分析算法。对以可扩展访问控制标记语言(XACML)为代表的隐私安全策略语言中的变更理论进行了研究,定义了变更分析... 为了解决Web分布式系统中的隐私安全策略在制定和变更中的错误很难被发现的问题,提出了策略变更中各种情况的相应变更影响分析算法。对以可扩展访问控制标记语言(XACML)为代表的隐私安全策略语言中的变更理论进行了研究,定义了变更分析中的相关概念,通过把策略中的字符串元素转化成对应整数值建立一个优化的树形数据结构,利用树的特征分析变更后果。这使得一个管理员可以在正式应用策略变更前检验即将实施的变更是否符合自己的真正意图,从而大大增强系统安全性。最后实现了一个原型系统,并可以应用到其他标准策略语言。 展开更多

关键词 可扩展访问控制标记语言 隐私安全策略 变更影响分析 树形结构

在线阅读 下载PDF 职称材料