Web服務(wù)環(huán)境下單點(diǎn)登錄與訪問(wèn)控制研究.pdf

1、面向服務(wù)計(jì)算(Service-Oriented Computing，SOC)是一種新型的計(jì)算模式，它把服務(wù)作為基本的組件來(lái)支持快速、低成本和簡(jiǎn)單的分布式甚至異構(gòu)環(huán)境的應(yīng)用組合。Web服務(wù)技術(shù)是基于SOC概念當(dāng)前最有前景的技術(shù)，它具有松耦合、平臺(tái)無(wú)關(guān)、異構(gòu)、跨域、動(dòng)態(tài)變化等特征，可以很好的適用于SOC環(huán)境。但Web服務(wù)還有許多安全挑戰(zhàn)未解決，比如單點(diǎn)登錄和訪問(wèn)控制這兩個(gè)安全領(lǐng)域非常重要的問(wèn)題。用戶在訪問(wèn)跨域的服務(wù)時(shí)，由于目標(biāo)服務(wù)對(duì)其身份是

2、不可知的，所以無(wú)法進(jìn)行驗(yàn)證。傳統(tǒng)的一些單點(diǎn)登錄方法也不適用于Web服務(wù)環(huán)境。與單點(diǎn)登錄類似，訪問(wèn)控制系統(tǒng)由于無(wú)法確定用戶的身份，也就無(wú)法定義用戶的角色與權(quán)限，同時(shí)業(yè)務(wù)需求的快速變化也使得傳統(tǒng)的訪問(wèn)控制方法在管理的擴(kuò)展性和控制的粒度上無(wú)法適應(yīng)Web服務(wù)環(huán)境。這些問(wèn)題使得訪問(wèn)控制系統(tǒng)無(wú)法對(duì)資源進(jìn)行合理的保護(hù)，防止未授權(quán)的用戶非法訪問(wèn)資源。目前Web服務(wù)的安全已成為阻礙其發(fā)展的重要因素之一。 本文在分析了Web服務(wù)安全相關(guān)技術(shù)與規(guī)范的

3、基礎(chǔ)上，從三個(gè)方面對(duì)Web服務(wù)安全做了研究：提出了一種基于SAML的Web服務(wù)單點(diǎn)登錄模型，使得服務(wù)可以基于SAML斷言來(lái)對(duì)跨域未知用戶進(jìn)行驗(yàn)證，給出了模型的兩種實(shí)現(xiàn)模式，對(duì)組合服務(wù)的單點(diǎn)登錄做了研究，并對(duì)模型的安全性進(jìn)行了分析；提出了一種具有協(xié)商機(jī)制的基于屬性的Web服務(wù)訪問(wèn)控制模型Nego-ABAC，它基于用戶、環(huán)境、資源的屬性來(lái)進(jìn)行訪問(wèn)控制的評(píng)估，彌補(bǔ)了基于身份、角色的訪問(wèn)控制的缺陷，解決了對(duì)跨域未知用戶的訪問(wèn)控制問(wèn)題，引入?yún)f(xié)商機(jī)

4、制，使得訪問(wèn)控制具有更強(qiáng)的自治性；提出了一種基于信任級(jí)別和協(xié)商機(jī)制的Web服務(wù)環(huán)境下用戶敏感屬性保護(hù)模型，在基于屬性的訪問(wèn)控制系統(tǒng)中，由于用戶提供的是屬性，而這些屬性中有的是敏感的，所以必須要加于保護(hù)，不能泄漏給任意服務(wù)提供者方，所以文中提出通過(guò)信任級(jí)別的比較和服務(wù)提供者的身份屬性的驗(yàn)證協(xié)商過(guò)程，來(lái)披露敏感屬性。最后基于上述三個(gè)方面，設(shè)計(jì)了一個(gè)可擴(kuò)展的Web服務(wù)安全系統(tǒng)原型EWSSSystem。 綜上所述，本文的工作針對(duì)目前We