基于角色的Web Services动态访问控制模型

已有模型对Web Services的访问控制多数是静态的、粗粒度的,不能满足动态的面向服务的Web Services环境。为此提出了一个基于角色的Web Services动态访问控制模型(RBDAC),此模型可以根据用户访问时的上下文信息来激活角色分配和权限分配,并动态地做出访问控制决定。     

Web服务基于代理和角色的访问控制模型研究

在Web服务中,由于传统的基于角色的访问控制模型（RBAC）无法灵活地实现基于内容和上下文的访问控制策略,从而无法适应Web服务代理动态、临时性的特点,也不能满足Web服务内容和上下文敏感的要求。因此,本文提出了一种基于代理和角色的访问控制模型（ARBAC）。本模型中,Web服务代理访问控制器根据用户及代理权限生成代理实体来取代用户访问主体的角色。代理实体是用户授权的临时的虚拟实体,它的权限是由用户和代
理两者的访问权限决定的。理论上,它的生命周期是在一次访问请求范围内。     

基于时间约束和上下文的访问控制模型研究

随着网络应用的普及,分布式环境中的访问控制受到越来越多的关注.Web服务作为一种新型的分布式计算模式,其动态、开放、异构的特点决定其需要更加灵活、细粒度的动态授权机制.目前的访问控制模型越来越不能满足面向服务计算环境的安全需求.提出了一个基于时间约束和上下文的动态访问控制模型TCDAC.该模型对基于角色的访问控制进行扩展,引入时间约束和上下文的概念,使访问控制的授权与时间有关,并能根据上下文信息动态地做出访问控制决定,提高了访问控制的安全性,满足了面向服务系统访问控制对动态性的需求.     

一种基于TRBAC的动态多级Web服务访问控制模型

在分析面向Web服务访问控制研究现状的基础上,针对当前Web服务访问控制模型中存在的不足,提出了一种基于TRBAC的动态多级Web服务访问控制模型(DMWS-TRBAC)。给出了其概念定义、形式化表示及约束规则。新模型引入了服务及其属性,设计了三级访问控制机制,达到了更加安全的细粒度授权。提出了角色扮演者和任务管理者的概念,扩充并严格定义了角色约束和任务约束的内涵,综合考虑时限约束、任务上下文、任务状态及职责分离原则,实现了更加灵活的动态授权。本模型提高了Web服务的安全性,完善了Web服务的访问控制机制,在某军工企业条件保障系统中的初步应用效果良好。     

结合属性和角色的Web服务访问控制

在分析Web服务访问控制需求的基础上,指出了现有访问控制模型在Web服务访问控制方面的局限性,提出了一种结合属性和角色的Web服务访问控制模型ARBAC,给出了软件实现结构.ARBAC模型给出了Web服务访问控制领域中的概念定义,提出了相关判定定理.ARBAC模型根据Web服务资源对用户的属性限制条件自动生成角色集,完成用户到角色、权限到角色的映射,能够表达职责分离约束、环境参数限制和最小权限策略,统一了Web服务和服务所涉及的数据资源的访问控制.     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型，比较了PBAC与基于角色的访问控制（RBAC），分析了PBAC对策略语言和策略管理架构的需求；基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型，提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后，对语义策略语言进行了展望。     

基于角色和规则的访问控制

分析了传统RBAC模型在应用中存在的不足,引入了上下文和规则的概念,并将权限分为使能型、激活型和限制型,提出了基于角色和规则的访问控制模型。通过在设计时定义安全策略,并在运行时捕获上下文信息来应用安全策略,从而能够为系统提供更细粒度的访问控制,同时也可以降低传统RBAC模型中角色权限分配的工作量。     

基于量化角色的Web服务访问控制研究

引入权限量值和量化角色的概念,建立一个细粒度的Web服务访问控制模型。通过定义Web服务和服务属性资源以及访问模式集,扩展权限集的定义;研究Web服务权限量值的定义和分配,以及量化角色的验证和表示形式;提出Web服务主体的行为量值的概念,建立与主体的角色量值的关联,实现根据Web服务主体的行为和上下文环境动态计算行为量值并调整主体权限的方法。     

面向特征的Web服务角色访问控制

本文在基于角色的Web服务访问控制模型基础上,提出了一个面向特征的Web服务角色访问控制模型.该模型引入特征作为基本的访问控制单元,它可以同时从任务角度和从系统角度来保护资源,解决了以前无法同时兼顾信息的机密性和数据的完整性的问题,从而加强访问控制的控制力度和安全性.     

四级访问控制工作流模型的研究与实现

针对用户-角色-权限的三级访问控制策略(RBAC96)的缺陷以及工作流管理系统的特性,在传统的RBAC96模型中引入活动、上下文等概念,提出了一种工作流管理系统中基于用户-角色-活动-权限的四级访问控制策略以及具体的实现方法,提高了工作流管理系统的动态适应性、安全性和实用性.     

组合Web服务访问控制策略合成研究

针对Web服务多域环境下组合服务的访问控制策略合成问题,首先提出基于属性的Web服务访问控制策略描述框架,并结合原子属性值限制的属性描述方法,对服务访问控制策略进行了形式化表达。然后,通过分析服务组合描述文档中的控制结构,并研究访问控制策略合成算子和访问控制策略规则的合成运算,提出组合Web服务访问控制策略合成方法,实现了组合服务访问控制策略的合成。最后,结合实例给出组合Web服务的访问控制策略合成流程,验证了合成方法的实用性。     

A Trust-Based Context-Aware Access Control Model for Web-Services

A key challenge in Web services security is the design of effective access control schemes that can adequately meet the unique security challenges posed by the Web services paradigm. Despite the recent advances in Web based access control approaches applicable to Web services, there remain issues that impede the development of effective access control models for Web services environment. Amongst them are the lack of context-aware models for access control, and reliance on identity or capability-based access control schemes. Additionally, the unique service access control features required in Web services technology are not captured in existing schemes. In this paper, we motivate the design of an access control scheme that addresses these issues, and propose an extended, trust-enhanced version of our XML-based Role Based Access Control (X-RBAC) framework that incorporates trust and context into access control. We outline the configuration mechanism needed to apply our model to the Web services environment, and provide a service access control specification. The paper presents an example service access policy composed using our framework, and also describes the implementation architecture for the system.This is an extended version of the paper that has been presented at the 3rd International Conference on Web Services (ICWS), San Diego, 6–9 July 2004.Recommended by: Athman Bouguettaya and Boualem Benatallah     

基于区间值加权模糊推理的访问控制模型

普适计算已被国内外学术界和工业界公认为未来计算的主流模式,其安全问题是信息安全的一个基础问题。传统的访问控制模型从系统的角度出发保护资源,在进行权限的控制时没有考虑上下文信息等因素。为了满足普适计算环境下访问控制策略的动态自适应性以及上下文信息的模糊不确定性,应用模糊集合理论与模糊推理方法,提出一种基于区间值加权模糊推理的访问控制模型;给出加权模糊匹配函数公式与区间值加权模糊推理方法,实现访问控制策略与实际安全需求的一致性。     

面向WS-BPEL的访问控制策略合成研究

在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。提出一种基于条件的访问控制策略模型以及基于该模型的策略合成代数,将WS-BPEL语言中常见控制结构映射成策略合成表达式,通过合成外部子服务的访问控制策略,生成组合服务的访问控制策略。最后,设计了原型系统描述策略合成的流程。     

A synergy between context-aware policies and AOP to achieve highly adaptable Web services

Modern service-based systems are frequently required to be highly adaptable in order to cope with rapid changes and evolution of business goals, requirements, as well as physical context in a dynamic business environment. Unfortunately, adaptive systems are still difficult to build due to their high complexity. In this paper, we propose a new approach for developing highly adaptable Web services based on a synergy between context-aware Web service policies and Aspect-Oriented Programming. This synergy is achieved through the elaboration of an innovative extension of the Web Service Policy Language (WSPL), which allows for context specification at both policy and rule levels. In addition, we provide a tool for the development of aspect-oriented policies, including an option to translate WSPL policies into aspect-oriented policies. These policies can be automatically woven into composite Web services (e.g., a BPEL process). The elaborated synergy between context, policies, and aspects allows service providers to increase the level of adaptability of Web services at different layers of applications.     

Web服务设计中的访问控制验证*

提出了一种新颖的方法,用于在设计阶段确定Web服务设计是否能根据其访问控制策略及凭证发布策略进行实施。将Web服务和Web服务设计均模拟为演进系统,并用有向图表示Web服务的凭证发布策略。证明了Web服务设计中所有可能的会话,其实都可以通过将请求者Web服务的凭证发布策略与被请求者Web服务的访问控制策略相匹配而实现。利用了一个资源发布图来完成这种证明。     

A meta-control architecture for orchestrating policy enforcement across heterogeneous information sources

There is increasing demand from both organizations and individuals for technology capable of enforcing sophisticated, context-sensitive policies, whether security and privacy policies, corporate policies or policies reflecting various regulatory requirements. In open environments, enforcing such policies requires the ability to reason about the policies themselves as well as the ability to dynamically identify and access heterogeneous sources of information. This article introduces a semantic web framework and a meta-control model to orchestrate policy reasoning with the identification and access of relevant sources of information. Specifically, sources of information are modeled as web services with rich semantic profiles. Policy Enforcing Agents rely on meta-control strategies to dynamically interleave semantic web reasoning and service discovery and access. Meta-control rules can be customized to best capture the requirements associated with different domains and different sets of policies. This architecture has been validated in the context of different environments, including a collaborative enterprise domain as well as several mobile and pervasive computing applications deployed on Carnegie Mellon's campus. We show that, in the particular instance of access control policies, the proposed framework can be viewed as an extension of the XACML architecture, in which Policy Enforcing Agents offer a particularly powerful way of implementing XACML's Policy Information Point (PIP) and Context Handler functionality. At the same time, our proposed architecture extends to a much wider range of policies and regulations. Empirical results suggest that the semantic framework introduced in this article scales favorably on problems with up to hundreds of services and tens of service directories.     

Toward Behavioral Web Services Using Policies

Making Web services context-aware is a challenge. This is like making Web service expose appropriate behaviors in response to changes detected in the environment. Context awareness requires a review and extension of the current execution model of Web services. This paper discusses the seamless combination of context and policy to manage behaviors that Web services expose during composition and in response to changes in the environment. For this purpose, a four-layer approach is devised. These layers are denoted by policy, user, Web service, and resource. In this approach, behavior management and binding are subject to executing policies of types permission, obligation, restriction, and dispensation. A prototype that illustrates how context and policy are woven into Web services composition scenarios is presented as well.      

基于语义Web技术的上下文感知的智能移动服务

语义Web技术应用于上下文感知的智能移动服务，通过构建上下文信息本体，使得移动服务的实体之间可以进行上下文信息共享和语义互操作，并进行上下文信息推理，实现智能服务。本文首先介绍了语义Web及本体技术，其次阐述了语义Web技术应用于上下文感知的移动服务，然后详细分析了智能移动服务中的上下文信息本体构建，包括通用的上下文信息本体、用户概况本体、情境本体以及服务本体等，接着介绍了相关的研究项目，最后进行展望和总结。