Web服務訪問控制研究.pdf

1、Web services(Web服務)作為一種新興的Web應用模式，是一種嶄新的用于分布式環(huán)境中的計算模型。Web服務是在Internet網絡上基于一系列開放的標準協(xié)議技術(如SOAP、UDDI和WSDL等)進行信息交互的，具有松散耦合、平臺無關性、可復用性好、開放性等特點，這些使得Web服務在體系結構、設計、實現(xiàn)與部署等方面更加合理。面向Web服務體系的應用和發(fā)展，使得Internet上信息資源共享更為有效、廣泛、便利。然而，隨著網絡

2、發(fā)展和網絡信息越來越豐富，資源共享越來越頻繁，帶來的網絡信息安全問題也隨之日益突出，其中，資源受到非法用戶的訪問和獲取，成為Web服務安全的重要弱點之一。訪問控制、授權管理是保護面向Web服務資源安全的重要技術和內容，也是當前面向服務的信息安全領域中的研究熱點。 本文圍繞著面向Web服務通信應用系統(tǒng)中的安全問題，對訪問控制和授權管理進行了比較深入的研究。研究內容主要圍繞以下三個方面： 首先，研究了Web服務的主體和客體的

3、動態(tài)特性，分析了Web服務的應用特點，提出了面向Web服務的動態(tài)分級訪問控制模型。在面向服務的應用系統(tǒng)中，提出請求的主體和提供服務資源信息的客體都具有較高的動態(tài)特性，要求訪問控制策略能滿足適應主客體的動態(tài)變化，同時，Web服務應用系統(tǒng)具有服務和服務屬性兩種需要保護的信息。在提出的模型中，角色扮演者可以滿足主客體動態(tài)變化特性的安全需求，分級訪問控制策略思想可以同時保護服務和服務屬性的信息。給出了模型的詳細定義和描述，并給出了模型的授權機制

4、和實現(xiàn)機制。 其次，針對大量用戶增長的安全需求和資源信息細粒度化的應用特點，提出了面向Web服務的通用基于屬性的訪問控制模型。隨著提供服務的企業(yè)發(fā)展，資源信息更為豐富。為了保護更細粒度的資源信息安全，系統(tǒng)基于資源的多種不同屬性制定大量豐富的訪問策略。同時，在許多服務應用環(huán)境里用戶數目正在不斷增長。這些使得用戶——角色分配和角色權限管理的工作變得復雜、繁重，需要一個比較靈活的授權模型，能適應這些新的安全需求。本文提出的模型分析了訪

5、問策略中資源屬性和用戶屬性的關系，提出了單一屬性表達式和復合屬性表達式、復合權限的概念，通過定義多組用戶角色，靈活分配用戶角色，降低了系統(tǒng)角色管理和權限管理復雜度，能適用于廣泛普遍的服務應用環(huán)境。 最后，針對轉授權委托中的時間限制，提出了基于周期時間限制的基于權限的轉授權模型。本文描述了轉授權模型的形式化定義，定義了模型的轉授權判定條件，給出了轉授權用戶和被授權用戶的資格判定條件，分析了模型的授權，給出了模型的授權樹分析，最后給