7 resultados para XACML
em Chinese Academy of Sciences Institutional Repositories Grid Portal
Resumo:
在XACML(extensible access control markup language)和其管理性策略草案的基础上,针对目前XACML访问控制框架的特点,提出将XACML策略管理权限判定归结为利用委托策略对一个委托判定请求的判定,使用XML(extensible markup language)模式定义了此委托判定请求语法,描述了将策略管理请求规约为一个委托判定请求的过程,以及根据委托策略进行委托判定请求的判定过程,通过这种方法可以利用委托策略,对策略管理请求是否有效进行判断,从而实现基于扩展XACML的策略管理。
Resumo:
根据XACML Admin中访问策略和管理策略混合的特点,提出了一个在PDP中将策略树分割为访问策略树和管理策略树来提高在线判定性能的匹配方案.在此基础上,根据委托的逻辑含义,通过构造委托图,去除管理策略树和访问策略树中的无效节点,从而使在线判定时不考虑引起拒绝服务攻击的无效策略.同时根据目前XACML Admin中模式定义的缺陷,提出了一种改进的模式定义,此模式定义使Delegates能够与XACML核心规范中Subjects,Resources等元素的处理规则保持一致,并能够更加有效地定义管理策略.以上这些方式能够有效地改善在线判定性能和阻止针对请求判定过程的拒绝服务攻击.
Resumo:
基于属性的声明式策略语言XACML表达能力丰富,满足开放式环境下资源访问管理的复杂安全需求,但其自身缺乏对规则冲突检测、规则冗余分析的支持.文中利用规则状态思想描述分析了属性层次操作关联带来的多种冲突类型,在资源语义树策略索引基础上利用状态相关性给出规则冲突检测算法;利用状态覆盖思想分析造成规则冗余的原因,给出在不同规则评估合并算法下的冗余判定定理.仿真实验首先分析了冲突检测算法的运行效率;然后针对多种策略判定系统,验证了基于语义树的策略索引和冗余规则处理可以显著提高判定性能.
Resumo:
安全与授权问题是企业应用的关键问题,而目前J2EE规范中的安全授权服务缺乏足够的安全描述能力.提出支持XACML安全策略的安全授权框架,为J2EE应用服务器的各个组件描述复杂的安全逻辑,并提供灵活的安全授权服务,降低了企业应用开发以及系统维护的成本.该框架在中科院软件所自主研发的J2EE应用服务器OnceAS中得到实现.
Resumo:
随着新兴分布式应用场景的不断涌现和企业组织受业务驱动影响下的安全需求逐步升级,传统访问控制手段和理念在诸如域间策略互操作、大规模策略处理、策略分析检测、访问判定实施效率、安全软件形态及开发模式等领域面临一系列的问题与挑战。本文基于这一现实背景和众多在研相关课题,针对访问授权策略集成涉及的若干关键技术展开理论研究和工程实践工作,主要取得了以下几个方面的成果: 1、对近年来域间互操作策略集成理论和技术的整体进展与演化进行细致梳理与剖析,从多维视角下对目前大量的域间授权互操作实现方案进行分类比较,详细分析典型方案的理论原理、技术优势和局限性,给出互操作策略集成理论发展的总体视图,概括了其基本特点和发展趋势。 2、在有向角色图的基础上提出一种具有动态自调节能力的域间映射规则演化模型,利用属性约束空间构建了节点间的演化语义,通过约束满足性系数和安全评定系数等相关的阈值评估实现映射规则调节机制,并给出完整的演化实施方案。解决了目前互操作场景中权限控制粒度过粗、映射关系不易改变以及缺乏演化语义等问题。 3、 基于规则状态思想提出面向XACML策略专有的规则冲突及规则冗余分析方法。该方案通过形式化推导分析了主体属性层次和资源属性层次操作关联导致的多种冲突类型及其本质原因,给出详细的冲突检测实施算法,实现冲突规则的域定位,利用状态覆盖思想分析造成规则冗余的原因,给出多种规则评估合并算法下的冗余判定定理。 4、针对策略规模缩减、高效策略索引等大规模策略处理的难点瓶颈,设计并实现了一种采用多层次优化技术的策略判定引擎。该引擎通过规则精化技术缩减策略库规模,利用判定结果缓存、属性缓存、策略缓存组成的多级缓存降低引擎和其他功能部件的通信损耗,基于两阶段策略索引技术提升策略检索及判定效率,通过仿真测试验证多层次优化技术带来的整体效率优势。 5、提出一种针对共性安全服务构件的开发组装和集成建模方法。利用面向切面编程、依赖注入、反射机制等技术搭建共性安全构件三层体系平台,通过BPEL语言编排安全服务构件的调用序列并设计安全访问业务流程,将构件开发与业务流程开发无缝结合,实现了快速拆卸、动态调整、实时组装的安全设施搭建平台。
Resumo:
根据可信平台访问控制需求,提出一个可信平台属性分类规则,定义属性评估函数,可以实现可信平台数据安全分发和访问.同时针对XACML现有的策略合成算法不能有效满足可信平台自动方策略复合需求,设计了一个基于平台可信度的策略合成算法,该算法可以使策略的优先级和可信度保持一致,实现自动方策略复合.在此基础上,进一步对XACML实施扩展,形成可信平台策略语言框架TXACML(XACML based on trusted platform).采取TXACML对一个实例给出了策略描述和策略合成过程,验证了TXACML的有效性.