面向服務(wù)計算的動態(tài)訪問控制模型研究.pdf

1、隨著 Internet的廣泛應(yīng)用和Web服務(wù)技術(shù)的快速發(fā)展，一種新型的分布式計算模式——面向服務(wù)計算引起了計算機(jī)學(xué)術(shù)界和工業(yè)界越來越多的關(guān)注。面向服務(wù)計算以Web服務(wù)為依托，將服務(wù)及其組合在不同的分布節(jié)點(diǎn)上通過網(wǎng)絡(luò)聯(lián)接、協(xié)作，實(shí)現(xiàn)了動態(tài)、異構(gòu)應(yīng)用的交互和集成，提高了應(yīng)用系統(tǒng)的敏捷性和互操作性。然而，面向服務(wù)計算在得到廣泛應(yīng)用的同時，對網(wǎng)絡(luò)信息安全問題也提出了挑戰(zhàn)。在面向服務(wù)計算中，Web服務(wù)以及組合Web服務(wù)的安全問題已經(jīng)成為制約其進(jìn)一

2、步發(fā)展的瓶頸。其安全問題主要涉及一致性、完整性、機(jī)密性、身份認(rèn)證和訪問控制五個方面。其中，身份認(rèn)證和訪問控制是兩個最為重要的安全要素。身份認(rèn)證是訪問控制的前提，確保服務(wù)請求者的身份以防止假冒攻擊和重放攻擊，為訪問 Web服務(wù)資源提供安全屏障。訪問控制防止非法用戶入侵和合法用戶非法訪問受保護(hù)的服務(wù)資源，從而保證面向服務(wù)計算環(huán)境下的數(shù)據(jù)安全。然而，傳統(tǒng)的身份認(rèn)證機(jī)制和訪問控制模型由于靈活性差、不易擴(kuò)展等缺點(diǎn)，已經(jīng)不能很好地適應(yīng)動態(tài)、異構(gòu)的分

3、布式環(huán)境。
　　本文首先對面向服務(wù)計算的特點(diǎn)及其所面臨的安全問題進(jìn)行了深入的研究。分析了面向服務(wù)計算的安全需求，在詳細(xì)分析 Web服務(wù)安全規(guī)范(WS-Security、SAML、XACML等)和技術(shù)的基礎(chǔ)上，對認(rèn)證機(jī)制和訪問控制模型進(jìn)行了研究，并對現(xiàn)有的認(rèn)證機(jī)制和訪問控制模型進(jìn)行了分析比較，指出了它們在面向服務(wù)計算中的不足，并由此指出需要提出一種新的安全解決方案以適應(yīng)動態(tài)、異構(gòu)的面向服務(wù)計算環(huán)境。
　　接著，針對面向服務(wù)計算

4、環(huán)境中Web服務(wù)跨域訪問的特點(diǎn)，提出了一種基于SAML的動態(tài)跨域的認(rèn)證機(jī)制。該機(jī)制采用SAML以斷言的形式描述身份驗(yàn)證信息和屬性信息，以提供可移植的信任關(guān)系，可以對異域的服務(wù)進(jìn)行安全認(rèn)證，并可以實(shí)現(xiàn)單點(diǎn)登錄，適應(yīng)了動態(tài)、異構(gòu)的分布式環(huán)境，為訪問控制提供了綠色的安全通道。
　　然后，針對面向服務(wù)計算中原子服務(wù)和組合服務(wù)的訪問控制問題，綜合考慮基于角色的訪問控制和基于屬性的訪問控制模型，提出了一種組合 Web服務(wù)的動態(tài)訪問控制模型CW