理论计算机科学电子笔记168(2007)143-157www.elsevier.com/locate/entcs安全策略的整体方法Jan Petersa Roland Riekeb Tau fiqRochaelicBjornSteinemannb Ru benWolf ba德国弗劳恩霍夫计算机图形研究所IGDb德国弗劳恩霍夫安全信息技术研究所c德国达姆施塔特工业大学计算机科学系IT安全组摘要只有在基础设施和应用程序充分考虑到信息技术安全的所有方面时,才能利用现代信息技术的潜力。本文介绍了SicAri项目的平台体系结构,该项目旨在建立一个安全平台,无处不在的互联网使用,并给出了一个概述的隐式和显式使用的安全机制,使访问控制面向服务的应用程序在分布式环境中。本文将介绍安全策略集成的概念,并特别关注安全策略在服务基础架构中的分布,以实现透明的策略执行。我们详细描述了我们的扩展的COPS协议传输XACML有效载荷的安全策略分发和策略决策请求/响应。关键词:服务平台,安全策略,策略分发,策略决策,策略执行,Web服务,XACML,COPS1引言当今通信和协作基础设施的专业使用需要考虑适当的安全措施。在本文中,我们介绍了SicAri [4]项目-一种跨学科的信息安全方法。该项目涵盖技术、密码和可用性问题,以及信息安全方面的立法和管辖权方面的各种法律问题。总体目标是一个基于Java的安全平台及其工具无处不在的互联网使用的概念和实现。该平台提供了一系列应用程序,并以透明、无缝和集成的方式向用户提供各种安全服务。它是一个模块化和集成的平台,允许连接各种最终用户设备,如PC,PDA和环境智能设备,并支持各种网络类型(例如,例如,在一个实施例中,有线和无线网络)和通信范例1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2006.08.025144J. Peters等人理论计算机科学电子笔记168(2007)143(e.例如,在一个实施例中,客户机-服务器、对等或自组织网络)。平台在安全相关动作方面的行为它们为管理安全问题提供了一种易于理解的适当手段。这些策略允许分离访问控制的管理、决策发现和实施。但是,在分布式环境中使用策略会带来额外的问题,在分布式环境中,应用程序、服务和节点动态地加入和离开系统。必须特别考虑策略的分布,特别是在引导时,以及它们的更新和同步过程。虽然围绕安全策略的单个孤立任务的开放标准和开源解决方案存在,但我们还没有意识到任何开放的整体方法。本文首先从概念、架构和部分实现的角度介绍了SicAri平台,但主要关注的是我们基于通用开放策略服务(COPS)协议的底层平台安全策略的分发模型。我们使用客户端类型规范扩展了COPS协议,以传输可扩展访问控制标记语言(XACML)策略。随后的文件结构如下。第2节概述了平台的各个层和组件。第3节描述了整体安全策略方法,第4节介绍了策略处理,包括策略执行、策略决策和策略分发。第5节考虑了一些相关的工作。最后,本文在第6节中进行了展望。2Sicari平台SicAri平台的主要功能是为用户的应用程序提供接口与中间件一起,该平台还提供了分布式组件之间的通信基础设施。这是通过包括服务发现、服务描述和服务调用的一致服务管理来实现的。如果需要,本地服务在运行时自动作为Web服务提供给远程平台,这使我们的服务平台与其他面向服务的体系结构具有互操作性在新用户需要新应用服务的情况下,平台架构支持模块化和可扩展的构建块,增加了引入新服务的可能性。因此,现有构建块的可重用性应对开发者来说,尽可能简单。平台实例的所有安全相关方面都由安全策略管理。在多个平台相互交互的情况下,在同一SicAri基础设施中运行的所有平台共享相同的安全策略。每个平台都有自己的策略实施组件。根据安全策略检查对本地或远程服务和资源的访问尝试,考虑请求者的当前会话ID(关于单点登录机制)、激活的除了策略决策和执行之外,该平台还涵盖策略生成方面,J. Peters等人理论计算机科学电子笔记168(2007)143145服务服务服务服务管理和验证(参见 第3节)。因此,该平台的体系结构具有基于当前标准的安全策略的整体方法,并支持异构和分布式服务基础设施中的隐式和显式安全机制。移动设备可以很容易地直接连接到这个基础设施,当运行SicAri中间件时,通过安全感知网关组件和特定协议,以防由于资源限制,整个平台不能在移动终端上执行。尽管具有上述平台特征,但该平台并不打算完全取代现有的信息基础设施及其现有的安全机制,如防火墙等。该平台提供了在其服务基础设施之上构建分布式和以安全为中心的应用程序的机会,这些应用程序可以轻松扩展或插入现有基础设施。2.1平台架构图1(左侧)给出了通用服务体系结构的高级概述。在中间件之上,有一个服务和应用层。经过本地身份验证的用户可以直接与该层上定义的应用程序交互。 应用程序本身利用平台服务层的基本和特定于应用程序的服务一方面,这些服务集成了外部数据库、遗留系统和应用程序;另一方面,它们提供了基本的安全机制,如身份验证或访问控制。中间件层负责本地和远程应用程序和服务的安全和无缝集成与通信。SciAri用户用户层库的遗留系统外部外用药应用层售后服务售后服务1 2 n层应用层中间件层附录附录附录附录SicAri平台...SicAri中间件Z...B C一操作系统Fig. 1. SicAri平台该平台基于SicAri内核(见图1右侧),该内核运行在Java虚拟机之上,因此吸引了广泛的潜在用户和潜在设备,从移动设备和个人计算机到可扩展的分布式环境。在平台上运行的用户应用访问由平台提供的必需的基本服务和可选的应用服务。因此,安装的服务的整体构成了本地平台实例的特征和特定用例。因此,这个平台是一个服务的集合,这些服务在Java虚拟机上的公共环境中灵活加载和配置,而不是一个单一的SicAri内核壳环境安全管理器SicAri平台实例Java虚拟机SicAri服务应用服务基本服务146J. Peters等人理论计算机科学电子笔记168(2007)143系统设计为一个静态软件。由于这种体系结构,该平台具有以下优点:最低限度的设计,模块化和可重用的服务,可扩展性,可维护性和内核的内在安全特性。2.2平台组件本节简要介绍了该体系结构的基本组件。环境环境是服务对象实例的分层名称空间。可以注册、查找、搜索和删除对象实例这种本地服务管理和服务发现机制通过透明地使用Web服务进行分布式平台间的平台通信而得到扩展。在此环境中注册的服务由一个安全代理隐式封装,该安全代理在搜索时强制执行当前的安全策略。访问请求服务对象。壳shell是环境的用户界面。它允许管理和访问环境。因此,它至少支持前面提到的对象实例的注册、查找、搜索和删除操作此外,它允许在名称空间中导航和调用Java方法。SicAri shell与UNIX Shell相比,环境代表文件系统,服务可以与文件进行比较保安经理。安全管理器负责策略执行。Java编程语言提供了一个标准的安全管理器[8],可以通过API访问。SicAri用自己的实现替换了这个安全管理器。的服务. 服务是一个软件,它完成了一个非常具体的任务。它提供了一个小的,定义良好的编程接口。通常,用户和服务之间没有每个服务都作为环境中的对象实例发布,允许其他服务和应用程序访问。通过环境的搜索和查找功能检索服务。服务可以在本地访问存根和提供功能的一个或多个远程组件中分离。此外,服务可以通过包装器或代理将遗留应用程序和外部数据源集成到SicAri架构中SicAri内核。SicAri内核(或仅内核)由环境、shell和SicAri安全管理器的Java实现组成,如上所述。它们一起提供服务引导和配置、本地服务管理(注册/搜索)以及通过隐式访问控制提供一致的安全上下文。SicAri平台。该平台由在Java虚拟机上启动的内核、一些强制性的基本服务和可选的应用程序服务组成。任何应用程序都可以依赖于基本服务的可用性,因为其中有身份验证管理器,身份管理器,加密密钥主机和策略服务。J. Peters等人理论计算机科学电子笔记168(2007)143147SicAri基础设施。基础设施是由同一安全策略管理的多个平台的组合。这些平台可以分布在基础设施内。SicAri应用程序。应用程序是一个完成复杂任务的软件。由于它通常与用户交互,因此它提供了用户交互接口和编程接口。应用程序使用服务来完成它们的任务。3安全政策的整体方法网络和计算机系统的基于策略的控制的好处在于,系统的控制单元保持与管理组件和管理决策的规则库解耦。这使管理员能够轻松运行、管理和更改系统的行为,而无需修改软件或受控节点。该系统由策略控制,这些策略指定由决策组件解释并由执行组件断言的行为规则。因此,如果条件改变或者新的服务或应用被添加到系统,则仅调整策略规则。使用中央管理组件,平台管理员不必处理系统中的众多不同节点这适用于网络管理问题,e。G. 服务质量(QoS)或资源分配,以及网络和服务安全。平台的所有安全相关任务都由安全策略控制。该平台涵盖安全策略的各个方面,例如策略规范、策略模式和策略编译器(见下文)、策略决策和执行、策略协商和配置、策略管理和冲突解决。因此,安全策略集成概念基于关于策略的多方面要求,例如:• 控制所有与安全相关的流程和任务。无法绕过策略实施组件。• 政策框架与平台插件方法的兼容性。不需要改变现有的或即将推出的服务,以加强平台的安全政策。政策控制的透明度。• 考虑策略描述语言的表达性和复杂性之间的权衡• 在策略管理期间为平台管理员提供支持。该平台的另一个目标是弥合安全政策的非正式规范(即,例如,安全管理员想要强制执行的内容)及其相应的机器可读策略规范(即,例如,系统实际执行的内容)。148J. Peters等人理论计算机科学电子笔记168(2007)143安全政策政策一代策略管理决策策略供应策略验证策略实施SicAri服务平台认证SicAri应用3.1政策架构策略架构包括策略框架的组件及其相互作用,以确保平台中的所有安全相关流程访问控制策略基于基于角色的访问控制(RBAC)标准。RBAC的一般概念在文献中得到了很好的理解和广泛的描述,请参考[6,12,18]。假设RBAC是策略中立的。这意味着RBAC提供了一种灵活的手段来处理任意的安全策略。SicAri平台的政策我们的RBAC实现使用XACML [11]作为其规范语言。因此,XACML充当然后,将验证的策略分发给resp。在所有PDP更新,随后用于政策决策。图2描述了SicAri策略架构的组件框架本节的其余部分将更详细地概述所有涉及的组件及其与其他组件的交互。图二. SicAri平台策略生成。我们目前专注于生成的政策,访问控制资源代表所需的安全属性。这样的策略是使用OWL [21]中形式化的策略模式生成的,OWL[ 21 ]允许为重复出现的安全需求指定策略通常源自业务或组织目标的安全需求例如,“信贷申请”和“信贷批准”任务的执行J. Peters等人理论计算机科学电子笔记168(2007)143149银行场景需要两个不同的人给出他们的确认来完成任务。这种安全要求可以通过在模型中引入分配约束来满足,例如,职责分离策略生成导致策略规范符合XACML 2.0标准的RBAC配置文件[13]。策略验证策略验证组件的任务是评估策略是否正确地实现了给定的安全目标。我们扩展了SH验证工具[14,15],以接受XACML的一个子集作为输入,并将其转换为转换模式指定了异步乘积自动机(APA)的行为。APA是一类通用的通信自动机,提供了一种对任意分布式系统建模的方法,而转换模式定义了建模系统的可能状态转换。每个策略规则都被转换为这样的转换模式,然后转换模式对由该规则控制的操作进行编码。这反过来又产生了可以在SH验证工具中执行的策略系统的操作模型。它允许分析策略系统的行为,模拟其潜在的信息流,并验证所需的安全目标。为此,计算系统我们选择支持XACML的一个子集,它包含了语言中最重要的元素和属性。 第一个目标是达到允许处理一个著名的XACML示例的表达能力,该示例已经在文献[2,7]中得到验证。XACML的一些概念,如义务和规则组合算法还不受支持。政策管理。即使平台提供了自动安全策略生成的能力,也可能需要精细的策略管理,例如:G. 需要添加新用户,或者需要更改用户或角色的权限因此,我们提供了一个基于RBAC标准的管理API和相应的图形用户界面(参见见图3)。图三.策略管理150J. Peters等人理论计算机科学电子笔记168(2007)143策略配置。用于策略生成、验证和管理的组件相互共享对包含当前基于XACML的策略规范的全局安全策略数据库的访问。整个政策规范。策略子集的改变随后由策略供应组件分发。该组件涵盖策略的分发、策略更新以及策略决策请求和响应的传输。下一节将更详细地介绍策略配置政策决定。策略决策组件使用SUN的XACML计算器参考实现的扩展版本它由可用于构建策略执行点(PEP)或策略决策点(PDP)的库类组成。由于我们使用XACML 2.0标准的RBAC配置文件来指定我们的策略,因此需要进行一些修改以评估这些XACML策略。如上所述,RBAC模型形式的策略被存储为三个不同的类别,即:角色策略集(RPS)、权限策略集(PPS)和角色授权(RA)。RPS和PPS分别包含角色定义及其相应的权限。因此,每个RPS具有对相应PPS的引用。但是,SunXACML1.2版的实现因此,我们相应地扩展了此实现,以实际支持策略引用。政策执行。策略执行组件确保所有安全相关任务只有在符合基础安全策略的情况下才能完成。策略实施组件检测安全相关任务,咨询策略决定组件以便决定任务,并且实施策略决定,即,e.是否允许平台实体访问平台资源。SicAri服务。应用程序和服务之间的交互、服务之间的交互以及服务内本地资源的访问都由策略执行组件隐式控制。除了服务想要显式地请求策略决策组件的情况之外,策略处理在服务执行期间透明地完成。也就是说,SicAri服务不必知道安全策略的存在。因此,不需要修改或调整现有或即将到来的服务以与策略集成概念兼容。安全管理员需要做的唯一一件事就是配置resp。在集成到服务基础设施中的新服务的上下文中,根据安全需求重新生成安全策略平台认证。最后,也是政策实施的另一个前提。G. 通过访问授权,服务基础结构中的每个代理实体因此,在平台实例上本地提供若干认证模块,以允许根据本地平台实例的特定用例和特性的不同用户登录过程。J. Peters等人理论计算机科学电子笔记168(2007)143151配置Sicari服务PEPPDPinitOPNCATDEC-RPTDEC-RPTCATDEC做KAKA4使用COPS和XACML进行本节从介绍开始讨论策略分发问题。IETF资源分配协议(RAP)工作组定义的基于策略的网络管理(PBN)协议框架为这些问题提供了一个很好的解决方案。4.1使用COPS分发RAP框架的核心是COPS [5]协议。 它提供了一种方法在分布式系统中传达策略和策略决策。主要特点是(i) 策略执行和策略决策组件的逻辑和体系结构分离,(ii)PEP和PDP的客户机/服务器模型,(iii)PEP和PDP之间通过TCP的可靠消息传输,(iv)通过允许定义任意协议有效载荷的自标识对象的灵活和可扩展的框架,以及(v)PEP和PDP之间的有状态通信,其共享请求/决策状态,允许PDP异步更新PEP处的决策和配置信息。COPS设计用于两种基本场景-在配置场景中,本地策略决策点(LPDP)可用,而在外包场景中则没有。在第一种情况下,PEP向LPDP请求本地策略决策,在后一种情况下,PEP将所有策略决策委托给远程PDP。由于配置方案已经在SicAri中实现,其概念将在下一段中更详细地描述。第4.2节解释了这两个场景如何集成到平台架构中。配置模式在配置模式下,PEP为组件提供整体配置。因为COPS是独立于策略的,所以机密组件可以是路由器硬件或Web服务等不同的东西。见图4。 配置请求152J. Peters等人理论计算机科学电子笔记168(2007)143图4以消息序列图(MSC)的形式显示了COPS配置过程的示意性序列。当服务第一次启动时,它会联系PEP。PEP向相应的PDP发送客户端打开消息(OPN)。此消息包含一个唯一ID,用于向PDP标识PEP,还包含一个客户端特定信息(ClientSI)对象。这对象是使PDP能够将OPN消息中继到PDP模块所必需的可以处理传入类型策略的请求。当PDP能够为客户端类型提供服务时,它会使用客户端接受(CAT)消息进行应答,并期待传入的请求。在配置场景中,PEP发送一个或多个包含上下文对象的请求消息(RequestMessage,REQ),这些上下文对象将消息标识为配置请求。请求消息还包括ClientSI对象,这些对象携带关于所请求的配置数据的客户端特定信息。每个配置请求可以用单个决策消息(DEC)或其流来应答。在接收并成功安装配置数据后,PEP通过每个DEC消息的报告状态消息(RPT)向PDP确认这一点。当PEP最终从PDP接收到所有配置数据时,它将安装信号发送回SicAri服务,SicAri服务现在可以依赖LPDP来决定访问请求。从现在开始,PDP主动保持PEP端的策略最新。每当在PDP端对主策略进行更改时,它都会将更改传递下去所有使用此政策的PEP。为此,双方定期交换保持活动(KA)消息,以确保PEP始终使用最新的策略。4.2平台整合本节介绍如何将这两种策略分发方法集成到平台体系结构中。与COPS规范相比,SicAri中PEP和LPDP的定义略有不同:虽然COPS中的PEP被定义为与全局PDP通信的本地客户端组件,但在COPS策略配置场景中,该组件最适合SicAri中定义的LPDP(参见图4与图5(a))。COPS策略配置这种情况的主要特征是本地PEP和LPDP(参见图5(a))。PEP与本地策略服务交互,本地策略服务主要由以下组件组成:LPDP、缓存策略和COPS适配器。LPDP负责根据来自SicAri安全管理器(PEP)的输入和主安全策略的本地缓存版本做出策略决策。LPDP是由Sun的XACML参考实现的扩展版本实现的(见下文)。PEP使用Sun的XACML引擎的Java-API(可能是远程的)策略供应组件使用COPS协议向LPDP提供最新主策略的副本J. Peters等人理论计算机科学电子笔记168(2007)143153PEP与LPDPSicAri服务SicAri安全经理(PEP)SicAri安全环境策略服务Sun XACML引擎(LPDP)缓存的策略COPS适配器XACML over COPSPDPCOPS适配器统括保单PEPSicAri服务SicAri安全经理SicAri安全环境策略服务COPS适配器XACML over COPSPDPCOPS适配器Sun XACML引擎统括保单(a) 配置场景(b) 外包方案图5.策略供应COPS政策外包第二种场景的主要特征是本地PEP将所有策略决策委托给远程PDP。这一设想尚未实施。策略服务主要由一个COPS适配器组成,它将PEP的策略决策请求转换为XACML策略请求。COPS适配器将此请求发送到远程PDP,后者负责根据主安全策略提供XACML策略决定响应从远程PDP通过COPS发送回本地PEP,后者执行策略决定。4.3XACML over COPS我们用XACML客户端类型扩展了COPS框架。所有COPS消息都以确定消息类型和有效负载类型的公共报头图6显示了这个header的模式,其相关字段如下所述见图6。 通用COPS标头Op Code指示消息的类型,e. G. 卡先生。述客户端型154J. Peters等人理论计算机科学电子笔记168(2007)143字段提供了一个代码,用于唯一标识消息中携带的有效载荷例如,客户端类型编号1是分配给RSVP策略数据的已发布Internet用户号码管理局(IANA)编号[9]。每个COPS消息可以由不同的COPS对象组成。消息内容是在16个不同的预定义COPS对象的帮助下包装的。其中一些对象提供字段来携带客户端类型特定的数据。最重要的对象是前面提到的ClientSI对象,它具有可变长度并传输客户端类型的数据。图7描述了通用COPS对象结构。取决于发送的COPS消息的类型在COPS报头之后可以有零个、一个或多个COPS对象0 1 2 3长度(八位字节)C− NC−型对象内容见图7。 通用COPS对象C-Type和C-Type字段确定对象的类别和特征。对于ClientSI对象,C-Length字段为9,对象内容的可变长度字段携带策略数据。这些数据必须由专门的COPS模块,可以解释相应的客户端类型特定信息。我们的实现基于滑铁卢大学的COPS协议的开源实现[1,3]。我们用几个类扩展了他们的PBN代码,以将PDP处的传入COPS消息多路复用到处理客户端特定内容(如XACML)的模块。4.4COPS协议的XACML客户端类型作为下一步,已经开发了扩展COPS协议以将XACML策略作为有效载荷来传输的概念。对于COPS协议的任何扩展,都必须考虑目标策略语言的特殊性。客户端类型特定对象和协议扩展的结构应在补充文档中指定,该文档定义PEP和PDP如何解释和处理策略特定有效负载。任何XACML策略文档都是根据各自有效的XACML模式来构造的。XACML数据流模型定义了一个策略管理点(PAP)为PDP提供包含策略集和策略集元素的XACML文档。 在XACML模式中,policy和policyset元素可以嵌套在policyset内。 分布-在配置模式下XACML客户端类型数据的配置将基于XACML文档的这种树结构。此类文档的任何叶子和任何节点都将封装在单个COPS对象中,并单独发送或在决策中分组发送从PDP到PEP的消息。我们的概念考虑策略和策略集元素作为这样的叶和节点对象,因为它们定义了策略的逻辑构建块。PEP确认具有XACML内容的任何此类COPS消息, 警察报告信息在COPSJ. Peters等人理论计算机科学电子笔记168(2007)143155构建块被组装回XACML主策略的副本,该副本被传递到SicAri中定义的LPDPXML结构提供了关于COPS PDP的主动更新和删除机制的另一个优点PDP可以使用XPATH处理XACML文档中的任何策略元素。任何修改主策略的管理任务都会触发一个COPS消息,用于对应的策略和已更改的策略集元素此COPS消息将传输一个或多个包含替换数据的COPS决策对象,这些替换数据使用XPATH对象唯一标识已处理的策略元素这样PDP可以在XML元素级别生成细粒度更新。COPS协议确保PEP和PDP始终在同一个XACML文档上工作。 任何策略文档都由PEP和PDP之间的TCP连接以及PEP唯一分配给它发出的每个请求的客户端句柄来确定。5相关工作在[17]中,Ponnappan等人描述了用于IntServ/Di Serve Serv网络的基于策略的QoS管理系统。该设计使用COPS作为与网络设备的接口,CORBA作为组件交互的中间件。Toktar等人在[20]中提出的一种方法提出了一种基于XACML的框架,用于将访问控制策略分发和实施到RSVP感知应用服务器。访问控制策略以XACML的扩展(基于Sun XACML)表示,这是基于IETF策略核心信息模型(PCIM)[10]的方法的替代方案。作者在外包模式下使用COPS在策略服务器和负责执行QoS措施的RSVP服务器之间分发策略请求和决策。在他的论文[16]中,K。提出了一种基于策略的adhoc网络管理框架。他建立在一个分布式的,混合架构,结合外包和供应模型的COPS和COPS-PR提供一个高效和灵活的解决方案,在无线ad hoc网络的策略分发。要将策略规范转换为设备规范配置,管理框架必须了解系统中可用的各种资源策略配置发生在策略分发之后,包括使用特定于设备的机制安装和实施策略。由于COPS似乎是唯一一个用于显著传播策略分发的开放服务,我们发现很难将我们的方法与其他方法进行比较。虽然很难对通过COPS传输XACML策略的效率做出定量说明,但更容易给出定性预测。COPS实现了提高分布式策略的有效分发和维护的一些设计方面。在配置模式下将初始策略提供给LPDP之后,每当策略的某些部分发生更改时,中央PDP都会通过主动提供的决策消息使其保持最新状态由于COPS允许传输任意大小的策略部分,因此由有效负载扩展的开发人员来优化通信156J. Peters等人理论计算机科学电子笔记168(2007)143头顶COPS只要求传输的数据块是唯一可寻址的.这完全适合XACML,因为XPATH和唯一元素标识符允许只处理和传输那些真正改变的主策略。此外,配置模式下的COPS承诺经济地使用网络资源,因为访问控制策略不太可能频繁更改。这使管理员能够为KA超时选择更高的值,从而减少没有更新时的通信开销唯一的缺点在于,XACML是一种基于XML的语言,它本身就很冗长。6观计划实现将XACML有效负载封装在COPS消息中的机制,如第4.4节所述。 开源JDOM(http://www.jdom. org/)包用于解析XACML文档并将其表示为对象,这似乎是构建解决方案的可行基础。我们将进一步开发一个概念,使用平台中实现的策略管理、策略验证和策略提供机制来管理其他策略域,如网络安全策略(例如,G.配置外部PEP,如防火墙)。在分布式环境中,关于整体策略方法的另一个研究方面将是来自两个不同安全域的服务在两个不同安全策略上执行安全性时必须相互交互的情况下的策略协商。确认这篇论文是作者在SicAri工作时写的,SicAri是一个由德国教育和研究引用[1] 布 塔 巴 河 A. Polyrakis 和 A. Casani , Active Networks as a Developing and Testing Environment forNetworks Protocols,Annals of Telecommunications59,2004,pp. 495-514[2] Bryans,J.,Reasoning about XACML policies using CSP,in:SWS28比35[3] Casani,A.,使用元政策(2001)。[4] Consortium,S.,SicArihttp://www.sicari.de/网站。[5] 达勒姆,D.,J. Boyle,R. Cohen,S.赫尔佐格河Rajan和A. Sastry,COPS(公共开放策略服务)协议,RFC 2748(建议标准)(2000),由RFC 4261更新[6] Ferraiolo,D. F.、D. R. Kuhn和R. Chandramouli,[7] Fisler,K.,S.克里希纳穆尔蒂湖A. Meyerovich和M. C. Tschantz,访问控制策略的验证和更改影响分析,ICSE196-205.J. Peters等人理论计算机科学电子笔记168(2007)143157[8] 贡湖,“Java 2002年。[9] 赫尔佐格,S.,J. Boyle,R. Cohen ,D.达勒姆河Rajan和A. Sastry,COPS usage for RSVP,RFC2749(Proposed Standard)(2000).[10] Moore,B., E. Ellesson,J. Strassner和A. 策略核心信息模型,第1(2001年)的第10页。[11]Moses,T.,可扩展访问控制标记语言(XACML),版本2.0,技术报告,OASIS标准(2005)。[12] 国家研 究 所标准和技术(NIST),基于角色接入控制,http://csrc.nist.gov/rbac/网站。[13] 绿洲XACML v2.0(2005)的开放、http://docs.oasis-open.org/xacml/2.0/accesscontrol-xacml-2.0-rbac-profile1-spec-os.pdf。[14] Ochsenschlüager,P., J. 把它放下来。 Rieke,THESH-Ve ri cati onTool,in:Proc. [13]FloRidaArti ficialIntelligence Research Society Conference(FLAIRS'00)(2000),pp. 18比22[15] Ochsenschlüager,P., J. 雷普河 我和你。 Nitsche,TheSH-Vericat i onTool-Abst r a cti on- B a s edVerification of Co-operating Systems,Formal Aspects of Computing,The International Journalof Formal Methods 11(1999),pp. 1-24号。[16] 埃克塞特,K。美国,陈建民,“无线自组网中基于策略的服务质量管理”,博士论文,北京大学出版社,2003年。[17]Ponnappan,A.,L.扬河,巴西-地Pillai和P. Braun,A Policy Based QoS Management System for theIntServ/Di Serv-Based Internet , in : Proc. of the 3rd IEEE International Workshop on Policies forDistributed Systems and Networks(POLICY159磅[18] Sandhu 河 , Role activation hierarchies , in : Proceedings of the 3rd ACM workshop on Role-basedaccess control(1998).[19] Sun Microsystems,Inc.SunURLhttp://sunxacml.sourceforge.net/[20] Toktar,E.,E. Jamhour和C. Maziero,RSVP Policy Control using XACML,in:Proc. of the 5th IEEEInternational Workshop on Policies for Distributed Systems and Networks(POLICY[21] 万维网联盟Web本体语言http://www.w3.org/TR/owl-features/网站。
我的内容管理
展开
