基于角色的Web Services安全策略研究.pdf

1、網(wǎng)絡信息技術的發(fā)展使得面向服務的體系結構 SOA(Service-Oriented Architecture)的概念被提了出來。SOA可看作是一種組件模型，它可以將企業(yè)中應用程序分散的不同功能單元組織成可以共享的基于標準的服務，當業(yè)務需要時，這些服務能夠迅速地被組合和重用，以完成企業(yè)特定的任務。由于SOA具有松散耦合、可重用、標準化服務接口、開發(fā)效率高、響應快等優(yōu)點，其應用范圍越來越廣泛。但是SOA所具有的復雜性和接口多樣性等問題，使其

2、安全管理變得更為復雜。在這種情況下，Web服務即 Web Services為解決 SOA所面臨的各種問題提供了一種有效方案，成為實現(xiàn) SOA的一種新技術。簡單地說，Web服務就是一種開發(fā)模式，它可以為“軟件即是服務(Software As Service)”提供技術支持，同時由于具有跨平臺等特性，Web服務也主要被用于解決網(wǎng)絡之間的應用集成問題。
　　Web服務的蓬勃發(fā)展使其安全問題很快呈現(xiàn)了出來，因此研究Web服務安全策略顯得尤

3、為重要。一般來講，Web服務安全策略至少涵蓋三個方面的內容:認證策略、訪問控制策略和隱私策略，其中訪問控制作為安全技術中的一項重要內容，面臨著巨大的挑戰(zhàn)。傳統(tǒng)的訪問控制模型已不能適應 Web服務環(huán)境下的需求，自主訪問控制模型 DAC由于授予權限的自主性，難以對賦予出去的訪問權限進行控制；強制訪問控制模型 MAC的原則是嚴格按照安全等級進行訪問授權，缺乏靈活性；基于角色的訪問控制模型RBAC雖然相對靈活，容易進行權限管理，但由于角色是靜態(tài)

4、的，不能適應不斷變化的Web服務環(huán)境的要求，而且不具有細的訪問控制粒度；本文研究應用的基于屬性的訪問控制模型 ABAC是根據(jù)參與決策的相關實體的屬性是否滿足要求來進行授權的，具有較細的訪問控制粒度，而且具有高度的動態(tài)性和靈活性。
　　針對傳統(tǒng)訪問控制模型存在的不足，本文結合 RBAC和ABAC模型的優(yōu)點，對基于角色的Web Services訪問控制模型進行了深入研究。論文的研究內容和創(chuàng)新點主要有以下幾方面:
　　1.對Web

5、 Services的概念以及相關技術進行論述，對Web Services架構及其特點，Web Services的核心技術SOAP、WSDL、UDDI等進行了分析，討論了Web Services安全技術規(guī)范，對應用較多的幾種訪問控制模型進行了分析并做了比較。
　　2.提出了一種基于角色和屬性的訪問控制模型R-ABAC模型，該模型的小論文已在期刊《計算機技術與發(fā)展》上發(fā)表見刊。在深入分析研究基于角色的訪問控制和基于屬性的訪問控制的基礎

6、上，提出R-ABAC模型，該模型通過綜合角色訪問控制和屬性訪問控制的優(yōu)勢，將屬性引入角色訪問控制中，把角色與屬性同等地作為授權決策的依據(jù)，在進行授權時首先驗證用戶的角色，只有當用戶的角色達到訪問資源的要求時才考慮屬性的因素是否滿足要求，這樣就形成了雙重訪問控制。該模型具有更高的安全性和靈活性，既能有效節(jié)省系統(tǒng)資源又能更細粒度地對用戶訪問進行控制，因此能夠適應不斷變化的Web Services環(huán)境的要求。
　　3.提出了一種基于用戶

7、等級的角色授權委托模型，該模型的小論文已在期刊《微計算機》上發(fā)表見刊。該模型是在對授權委托模型進行詳細分析研究的基礎上，通過分析各授權委托模型的優(yōu)缺點而提出的。該模型對用戶的角色劃分不僅僅基于用戶的身份，而是綜合用戶的多種屬性因素對用戶進行屬性等級劃分，不同的屬性等級對應不同的委托角色從而對應不同的訪問權限，以達到對用戶進行訪問控制的目的，是一種基于屬性的角色授權委托模型。
　　4.將基于角色和屬性的訪問控制模型R-ABAC模型進