网格环境中基于信任度的动态访问控制模型

针对网格自身异构、动态的特点以及现有访问控制技术无法满足网格系统动态性的安全需求,提出了一种基于信任度的动态访问控制模型.该模型在基于角色的访问控制基础上,给出域间和域内成员信任关系的计算,构建了一种基于信任度的动态访问控制模型.     

一种健壮的可扩展网格信誉系统

针对网格环境下,信誉系统刻画跨组织陌生实体间信任关系的合理性、健壮性及可扩展性问题,提出一种健壮的可扩展网格信誉系统.该信誉系统依据网格实体间的信任关系,在网格组织结构之上建立虚拟信任网,充分利用虚拟信任网的全局特性,将组织间的信任关系作为重要参考,实现了实体信任关系的合理评价,对网格环境的资源管理以及网格虚拟组织的构建都有着良好的指导作用.仿真实验表明,该信誉系统能够真实刻画跨组织网格实体间的信任关系,有效遏制虚假交易以及诽谤等攻击,并具有良好的可扩展性.     

基于RBAC策略的网格安全访问控制模型

针对网格环境下访问控制的特性,分析了现有网格安全访问控制方案的缺陷,提出了GRBAC-DM模型,该模型以虚拟组织为基础,采用RBAC策略,实现了分布式管理和跨信任域授权;通过将访问控制模块和策略资源管理模块分离,满足了资源动态性和策略自主性的要求,适应了网格环境的固有特点。给出了该模型的形式化描述、角色分类和资源分组规则以及访问控制和资源管理模块的具体结构。     

网格计算中基于信任度的动态角色访问控制的研究

在网格计算中,资源或服务使用者和提供者之间的信任关系是安全通信的前提。由于网格计算环境的分布特性和动态特性,像传统计算那样预先建立信任关系是不现实的。为了解决这个问题,在研究中发现,可以将信任机制融入网格社区授权服务中的基于角色的访问控制中,对基于角色的访问控制策略做一定的改进,根据信任度评估算法算出网格实体的信任度,CAS服务器能依据实体的信任度动态改变实体的角色。通过基于信任度的动态角色访问控制可以在一定程度上实现网格访问控制的动态性,同时避免实体的欺骗行为,可以有效地达到在网格社区中对客户端进行访问控制的目的。     

基于可信度的访问控制模型的设计与分析

针对CAS授权模型的局限性,提出了一种基于认证可信度的访问控制模型。在CAS授权模型中,虚拟组织中的成员通过向服务器添加访问策略达到访问控制的目的。在开放式环境下,由于节点频繁加入或退出,导致服务器开销增大。在基于可信度的访问控制模型中,资源提供方通过向服务器注册信任阎值和信任权重代替访问控制策略,达到控制用户访问的目的。模型既运用了认证机制,同时还考虑到用户的信任度,因而模型具有灵活性和可靠性两个特点。     

信任传播与信任关系发现方法

信任管理是一种具有动态可扩展性的新型访问控制方法.在现有信任管理研究成果的基础上,参照人类社会基于信任的交互机制,提出了一种基于信任度的访问控制模型,并对其中的信任传播与信任关系发现进行了重点研究.参照人类社会的信任传播模式,并基于自组织理论,提出了一种信任自主传播模型,实现信任动态、广泛的传播.通过引入计算机网络中分...     

网格环境中的一种工作流访问控制模型

鉴于现有网格虚拟组织访问控制模型没有对网格工作流授权提供有力的支持,该文提出一种网格工作流访问控制模型GWACM,定义了委托步和委托结构体以及它们之间的依赖关系,形式化地描述了流程任务间的内在约束关系,阐述了委托步的生命周期模型。给出了构建委托步和委托结构体激活上下文的相关算法,有力地支持了委托权限的动态管理。     

网格计算中基于信任度的访问控制研究*

首先给出了网格计算中访问控制的特点和需求,现有的访问控制技术以及分布式授权模型都不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系,在CAS基础上提出了基于信任度的访问控制机制。为了提高资源的利用率提出了Ticket机制。     

网格计算中基于信任度的访问控制研究

首先给出了网格计算中访问控制的特点和需求，现有的访问控制技术以及分布式授权模型都不能满足网格计算中对访问控制的需求。通过建立实体间的信任关系，在CAS基础上提出了基于信任度的访问控制机制。为了提高资源的利用率提出了Ticket机制。     

基于网格环境下的信任评估的研究

网格环境中的信任评估问题是当前网格研究的一个热点问题,为了解决网格环境中复杂动态的安全问题,模型提出了一个能广泛适用于具有高效率的网格等开放网络环境的方法.从使用推荐信任的历史窗口的角度来设计研究网格计算环境中的信任模型,根据信任模型算法算出实体的信任度,解决如何筛选出符合网格用户要求的资源节点,来完成用户提交的作业任务问题.引入树的深度遍历和广度遍历概念来解决网格用户与本虚拟组织内的网格实体以及其他虚拟组织的实体间的协同合作、共享资源的安全性和动态性问题,利用信任模型和信任评估控制机制对网格社区中的资源提供者和资源消费者实施安全保护以及对其提交任务的质量保证.     

Daonity – Grid security from two levels of virtualization

The service oriented architecture of grid computing has been thoughtfully engineered to achieve a service level virtualization: not only should a grid be a virtual machine (also known as a virtual organization, VO) of unbounded computational power and storage capacity, but also should the virtual machine be serviceable in all circumstances independent from serviceability of any of its component. At present, a grid VO as a result of service level virtualization only is more or less confined to participants from scientific computing communities, i.e., can have a limited scale. It is widely agreed that for a grid to pool resources of truly unbounded scale, commercial enterprises and in particular server-abundant financial institutions, should also “go for the grid,” i.e., open up their servers for being used by grid VO constructions. We believed that it is today's inadequate strength of the grid security practice that is the major hurdle to prevent commercial organizations from serving and participating the grid.This article presents the work of Daonity which is our attempt to strengthening grid security. We identify that a security service which we name behavior conformity be desirable for grid computing. Behavior conformity for grid computing is an assurance that ad hoc related principals (users, platforms or instruments) forming a grid VO must each act in conformity with the rules for the VO constitution. We apply trusted computing technologies to achieve two levels of virtualization: resource virtualization and platform virtualization. The former is about behavior conformity in a grid VO and the latter, that in an operating system. With these two levels of virtualization working together it is possible to build a grid of truly unbounded scale by VO including servers from commercial organizations.     

Role-based access control for grid database services using the community authorization service

In this paper, we propose a role-based access control (RBAC) method for grid database services in open grid services architecture-data access and integration (OGSA-DAI). OGSA-DAI is an efficient grid-enabled middleware implementation of interfaces and services to access and control data sources and sinks. However, in OGSA-DAI, access control causes substantial administration overhead for resource providers in virtual organizations (VOs) because each of them has to manage a role-map file containing authorization information for individual grid users. To solve this problem, we used the community authorization service (CAS) provided by the globus toolkit to support the RBAC within the OGSA-DAI framework. The CAS grants the membership on VO roles to users. The resource providers then need to maintain only the mapping information from VO roles to local database roles in the role-map files, so that the number of entries in the role-map file is reduced dramatically. Furthermore, the resource providers control the granting of access privileges to the local roles. Thus, our access control method provides increased manageability for a large number of users and reduces day-to-day administration tasks of the resource providers, while they maintain the ultimate authority over their resources. Performance analysis shows that our method adds very little overhead to the existing security infrastructure of OGSA-DAI.     

网格环境下的一种动态跨域访问控制策略

针对网格环境下传统的基于角色的访问控制方式中资源共享的可扩放性和欺骗问题，提出了一种动态的访问控制方式．这种新型的访问控制方式可以根据用户的行为动态调整他的角色，在用户的权限与他的行为之间建立了联系．将该访问控制方式与信任模型结合，引入转换因子和动态角色的概念，应用到虚拟组织中，形成了基于动态角色的跨域访问控制系统．仿真结果显示，该系统能有效地实现访问控制，遏制欺骗，并具有良好的可扩放性．     

网格环境下的G-R_TRBAC访问控制模型

针对网格复杂的访问控制需求,对现有的任务-角色访问控制模型进行改进,建立了角色-任务&角色的网格访问控制（G-R_TRBAC）模型。该模型在网格环境虚拟组织域间使用基于角色的访问控制策略(RBAC)结合证书管理系统,网格环境虚拟组织域内则是经过改进的任务-角色访问控制模型,满足了网格访问控制的多域性和动态性。     

一种基于角色代理的服务网格虚拟组织访问控制模型

给出一种基于角色代理技术的虚拟组织访问控制模型，与同类研究成果相比，在不降低自治域的安全管理效率的情况下，能够实现虚拟组织的细粒度授权和确保自治域的安全策略不被破坏．该模型的一个原型系统已经实现，并通过一个基于网格的低成本电子政务平台中的实例进行了验证．     

基于OGSA城市空间信息共享的虚拟组织

为了消除城市地理信息系统中的信息孤岛,研究了可以动态服务装配和松散耦合集成的城市地理信息服务集成框架.采用最新的网格架构体系--OGSA,建立一个虚拟组织,在虚拟组织中,可共享的城市空间信息以网格服务的形式提供给用户或应用.应用和用户能够创建临时服务,还可以发现这些服务并得到其特性.基于OGSA的城市空间信息共享的虚拟组织的建立,实现了可跨越异构,地理分布环境中的城市空间信息的访问与集成,为空间信息全面共享提供了实用可行的解决思路和实施方案.     

网格环境下基于VO的统一认证授权研究

网格计算系统中的资源共享和协同工作建立在虚拟组织基础之上,各种资源的共享是受认证和授权控制的。可以说,认证授权是网格安全的本质,是网格计算系统成败的关键。因此,研究虚拟组织的认证授权模型具有重要意义。根据GSl模型提出了一种基于VO的统一认证与授权模型。     

基于RBAC扩展的网格访问控制的研究

访问控制是众多计算机安全解决方案中的一种,是最直观最自然的一种方案。而基于角色的访问控制(RBAC)是最具影响的高级访问控制模型。然而,由于网格的跨组织、动态、异构的特点,建立访问控制还需要对RBAC扩展。文中对RBAC做了简单介绍,分析了其在网格环境下的不足,重点给出了扩展RBAC定义,并以此建立了基于RBAC扩展的网格动态访问控制模型,给出了访问控制流程。