Web服務(wù)環(huán)境下單點登錄與訪問控制研究.pdf

1、面向服務(wù)計算(Service-Oriented Computing，SOC)是一種新型的計算模式，它把服務(wù)作為基本的組件來支持快速、低成本和簡單的分布式甚至異構(gòu)環(huán)境的應(yīng)用組合。Web服務(wù)技術(shù)是基于SOC概念當前最有前景的技術(shù)，它具有松耦合、平臺無關(guān)、異構(gòu)、跨域、動態(tài)變化等特征，可以很好的適用于SOC環(huán)境。但Web服務(wù)還有許多安全挑戰(zhàn)未解決，比如單點登錄和訪問控制這兩個安全領(lǐng)域非常重要的問題。用戶在訪問跨域的服務(wù)時，由于目標服務(wù)對其身份是

2、不可知的，所以無法進行驗證。傳統(tǒng)的一些單點登錄方法也不適用于Web服務(wù)環(huán)境。與單點登錄類似，訪問控制系統(tǒng)由于無法確定用戶的身份，也就無法定義用戶的角色與權(quán)限，同時業(yè)務(wù)需求的快速變化也使得傳統(tǒng)的訪問控制方法在管理的擴展性和控制的粒度上無法適應(yīng)Web服務(wù)環(huán)境。這些問題使得訪問控制系統(tǒng)無法對資源進行合理的保護，防止未授權(quán)的用戶非法訪問資源。目前Web服務(wù)的安全已成為阻礙其發(fā)展的重要因素之一。 本文在分析了Web服務(wù)安全相關(guān)技術(shù)與規(guī)范的

3、基礎(chǔ)上，從三個方面對Web服務(wù)安全做了研究：提出了一種基于SAML的Web服務(wù)單點登錄模型，使得服務(wù)可以基于SAML斷言來對跨域未知用戶進行驗證，給出了模型的兩種實現(xiàn)模式，對組合服務(wù)的單點登錄做了研究，并對模型的安全性進行了分析；提出了一種具有協(xié)商機制的基于屬性的Web服務(wù)訪問控制模型Nego-ABAC，它基于用戶、環(huán)境、資源的屬性來進行訪問控制的評估，彌補了基于身份、角色的訪問控制的缺陷，解決了對跨域未知用戶的訪問控制問題，引入?yún)f(xié)商機

4、制，使得訪問控制具有更強的自治性；提出了一種基于信任級別和協(xié)商機制的Web服務(wù)環(huán)境下用戶敏感屬性保護模型，在基于屬性的訪問控制系統(tǒng)中，由于用戶提供的是屬性，而這些屬性中有的是敏感的，所以必須要加于保護，不能泄漏給任意服務(wù)提供者方，所以文中提出通過信任級別的比較和服務(wù)提供者的身份屬性的驗證協(xié)商過程，來披露敏感屬性。最后基于上述三個方面，設(shè)計了一個可擴展的Web服務(wù)安全系統(tǒng)原型EWSSSystem。 綜上所述，本文的工作針對目前We