UCON支持的组合Web服务业务流程访问控制模型

业务流程访问控制机制是组合Web服务应用中的难点,现有的访问控制模型忽视了流程活动之间动态交互性和协同性的特点,不能适应业务流程权限的动态管理.本文提出一种使用控制支持的组合Web服务业务流程动态访问控制模型WS-BPUCON,模型通过角色和权限的分离解除了组织模型和业务流程模型的耦合关系,能够根据分布式开放网络环境中的属性信息,基于授权、职责和条件三种约束决定策略来检查访问控制决策,具有上下文感知、细粒度访问管理等特性,给出了WS-BPUCON的实施框架.     

面向IaaS云的TRSAC访问控制策略研究与实现

针对当前云计算基础设施服务资源访问越权问题,本文提出了一种基于任务和角色面向服务的访问控制(TRSAC)策略.该策略基于服务实例对工作流进行分解,细化授权对象的范围并结合角色信任规则计算交互实体的信任程度,动态授予角色权限,然后综合任务节点服务需求和访问角色安全等级,求解服务实体的最小授权单元,实现面向云计算基础设施服务(IaaS)层的访问控制策略.理论分析与实验结果表明,该方法虽少量增加了实时评估主客体安全属性的次数,但能较好地保证访问控制中的动态授权原则和最小授权原则,有效地增强了云计算基础设施服务整体的安全性.     

一种基于Kerberos扩展的Web服务安全框架

Web服务安全问题集中表现在信任建立、端到端消息安全保障以及资源访问控制等方面.传统的Web安全框架如Atlassian Seraph和Apache Shiro无法同时解决消息安全保护和跨域访问控制的问题.本文提出并实现一种基于Kerberos的Web服务安全框架——KBW2SF,它包括用户认证、消息安全通信、服务访问控制三个核心功能.用户认证使用Kerberos作为底层协议在服务请求发和提供方之间建立信任关系;安全通信使用WSSecurity规范及Kerberos票据中的密钥保证消息端到端的完整性和机密性;服务访问控制基于Kerberos票据中的用户角色信息,由服务提供方对来访用户进行角色映射(跨域访问)和权限鉴定,以此保护服务资源不被非法或者低权限用户访问.同时,KBW2SF引入缓存管理机制提高应用效率,降低安全机制对Web服务应用的影响程度.通过应用场景的实验分析,该框架不但能够有效解决Web服务消息的安全性以及跨域访问控制问题,而且具有较高的效率,具备一定的实际应用价值.     

基于角色的授权管理模型的研究

在分析基于角色的访问控制(RBAC)技术及授权管理基础设施(PMI)的基础上,详细探讨了WEB页和文件系统访问控制中角色和资源的层次关系,角色的权限分配及继承等问题,并给出一种基于角色的授权管理模型,为实现细粒度的访问控制奠定了基础.     

一种具有时间约束的基于角色的授权管理模型

针对大型系统中角色权限管理的复杂性，提出了一种具有时间约束的基于角色的授权管理模型．考虑到用户权限通常包括私有权限、部门权限及公有权限，并存在权限频繁变动等问题，该模型扩展了权限定义，在权限定义中增加了权限的传播深度参数，即增加了可被继承的次数，使该参数与现实世界中的各级岗位数及权限类型相对应．另外，该模型在权限的继承中也加入了时间约束，使得只有满足时间条件要求的角色的权限才可以被继承．结果表明，该模型不仅有利于权限的频繁更新，也对应了现实世界中的岗位数，易于理解与操作．     

Arts：一个基于角色的信任管理系统

开放协同软件环境下软件系统的安全问题极大的影响了软件系统的开发与应用．信任管理是解决开放协同环境下软件系统安全问题的新新方法．信任管理系统为开放协同环境下的软件系统提供安全服务．本文将传统的基于角色的访问控制模型与信任管理思想相结合，设计了一个适用于开放环境的基于角色的信任管理系统Arts．文章给出了系统的设计思路和系统结构，阐述了设计开放环境下访问控制系统一种新方法．     

T-RBAC访问控制模型及其约束描述语言

一种结合了基于任务的访问控制模型TBAC和基于角色的访问控制模型RBAC特点的新型访问控制模型-T-RBAC.该模型采用了以任务为中心的"用户-角色-任务-权限"的四级访问控制结构,较好地解决了当前工作流系统中存在的安全性问题.此外,在新模型的基础上设计了一套描述约束机制的语言ETCL,该语言在RCL2000的基础上扩充了时间特性和任务的概念,使新模型具备了较完整的约束描述能力.     

一种基于T-RBAC的上下文相关访问控制模型

针对基于任务一角色的访问控制模型(task-role-based access control,T-RBAC)无法满足主体客体上下文环境变化对访问授权的要求,并且只考虑了部分工作流上下文信息如任务执行序列与互斥任务等问题,本文对其进行了扩展,提出了一种动态的上下文相天访问控制模型,它保留了原T-RBA(:支持角色层次关系及任务驱动的特性,引入上下文环境,将其与模型中的主体及任务关联.扩展后的模型充分考虑任务执行时主体与客体的物理环境,可以动态地激活主体相关角色及权限;在商业过程所建立起的工作流上下文环境下,支持权限级职权分离与任务实例级动态职权分离;根据任务的主动和被动特性,分别使用主动会话和被动会话的方法来实现动态授权.     

SDBatis:基于MyBatis和CBAC的数据库应用访问控制

大部分应用都以数据库作为数据保存的工具,由于应用的日益复杂,现有的访问控制机制存在安全性不高、开发繁琐,难以维护等问题.为此,本文提出一种新访问控制系统SDBatis.SDBatis以CBAC(Context-Based Access Control,基于上下文的访问控制)作为访问控制模型,使用MyBatis插件开发,...     

基于语义的服务资源描述模型RDF4S

在已有的语义Web服务描述框架基础上,定义了一种语义Web服务资源描述模型RDF4S,该模型从功能、接口、执行和QoS 4个层面描述服务资源的语义信息,并基于该模型提出了一个语义Web服务资源发现框架.结合旅游预订系统的一个实例,展示了RDF4S 4层语义信息的描述能力和支持发现的能力,并给出RDF4S描述模型和其他语义Web服务描述模型的比较.该工作对基于语义信息进行服务的自动发现、组合和调用具有一定的参考作用.     

基于图书馆2.0的数字图书馆服务模式探讨

用语义Web技术对图书馆异构数字资源进行整合,形成逻辑资源体,并用Web服务技术来构造数字资源访问接口和主动服务系统,同时结合Web2.0技术和服务理念,提出了一种新型的图书馆2.0服务模式.该服务模式是以用户为中心的主动服务模式,能为用户主动提供全方位、立体式和不间断的专题服务和个性化服务.     

地籍信息系统联邦式管理方法研究

为了在当前地籍管理信息化建设取得的成果基础上,实现对地籍信息的充分利用和全面共享,满足地籍管理部门对地籍信息局部自治、全局共享的管理新需求,借鉴联邦数据库理论,提出了集成局部小区数据库组建全区域地籍联邦数据库的方案,通过建立动态要素访问模型和制定分级权限管理策略,分别解决了地籍空间数据和业务流程受理的访问控制问题;最后在上述研究的基础上,对现有地籍信息系统进行了重构与升级.新系统已投入运行,性能良好,满足了地籍管理的新需要.这不仅说明了该方案的可行性和有效性,也为实现地籍信息的集成和共享进而达到地籍信息服务社会化的目标提供了新的思路.     

新疆电网实施自动电压控制的初步探讨

基于电力系统电压与无功的理论,结合新疆电网的现状,提出了新疆电网自动电压控制的策略,论述了AVC系统三层控制结构,动态九区图控制理论,AVC优化控制策略等.     

可信网络连接中一种基于可信度的细粒度授权模型

针对可信网络连接架构中所定义的访问控制粒度粗、对于如何评估访问请求者的可信级别,如何实施授权访问没有定义等问题,提出了根据请求者的行为及其平台计算环境特征评估其信任级别的方法,研究了具有反馈功能的动态访问授权模型,并在构建可信网络连接原型系统的基础上,实现了从连接到授权的接入控制和动态调整.     

借助Web应用服务器构建Intranet网络管理系统

提出了一种基于Zope应用服务器的Intranet网络管理系统设计方案，对系统的功能、构成框架及主要技术给予了详细说明。该系统采用基于Web的网络管理体系结构，能为企业内部网络的远程管理提供统一、通用的界面，屏蔽现有各种异构网络管理系统之间的差异。Zope内建有灵活、强大的安全机制，并能充分利用现有的各项Web安全技术，这些都在一定程度上弥补了SNMP协议在安全方面的不足之处。     

实用智能卡操作系统的设计与实现

设计了一种实用的智能卡操作系统MAxcoS．它由传输管理、安全管理、命令管理和文件管理4个部分组成．文章讨沦了它的设计和实现原理,并着重讨论了它的安全体系,包括卡与读写设备之间的认证、对持卡人的身份认证、文件访问的安全机制、安全报文传输以及数据的加密和解密．     

代码组件的动态组合重用方法

阐述了代码组件及其动态组合重用方法的基本概念,详细地介绍了一种动态组合重用代码组件的方法——ＤＣＲＣＣ（Ｄｙｎａｍ ｉｃＣｏｍ ｐｏｓｉｔｉｏｎ Ｒｅｕｓｅ ｏｆＣｏｄｅＣｏｍ ｐｏｎｅｎｔ）方法． 实践表明,基于代码组件的封装技术、组合技术和库管理技术,ＤＣＲＣＣ方法能够通过动态组合重用代码组件的方式有效地进行软件开发．     

基于RDF的数字图书馆内容管理

随着互联网和数字图书馆的进一步发展，对网络信息资源的描述与组织变得越来越重要，资源描述模式架（RDF）主要是为元数据（Metadata）在因特网上的各种应用提供一个基础架构，使应用程序之间能够在因特网上交换元数据，以促进网络资源的自动化处理。在介绍FDF的数据模型及语法的基础上，讨论了基于RDF的数字图书馆内容管理的关键技术、管理方式和实现机制等，并对其特点作了说明。