面向服務(wù)的訪問控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、面向服務(wù)的體系結(jié)構(gòu)(SOA)作為一種新的軟件架構(gòu)方法，已成為企業(yè)實(shí)施信息化集成的首選解決方案。但SOA所具有的動(dòng)態(tài)性、開放性特點(diǎn)，使其面臨的安全問題更加突出。服務(wù)請(qǐng)求者和服務(wù)提供者往往需要跨越組織邊界，認(rèn)證和授權(quán)也需要跨越安全域，而且服務(wù)常?？梢砸圆豢深A(yù)知的方式被來自各個(gè)安全域的大量臨時(shí)用戶調(diào)用，這些都對(duì)面向服務(wù)環(huán)境的訪問控制系統(tǒng)提出了新的要求。 比較訪問控制系統(tǒng)的基于身份的設(shè)計(jì)方案和基于授權(quán)的設(shè)計(jì)方案，為面向服務(wù)的訪問控制系統(tǒng)

2、(ACS)的架構(gòu)選定基于身份的設(shè)計(jì)方案。針對(duì)面向服務(wù)的實(shí)現(xiàn)環(huán)境，對(duì)原始的基于屬性的訪問控制模型進(jìn)行了適當(dāng)?shù)暮喕瑸锳CS系統(tǒng)重新定義基于屬性的訪問控制模型并給出該模型的形式化描述。與傳統(tǒng)的基于角色的訪問控制模型相比較，基于屬性的訪問控制模型具有能減輕安全管理的工作量和跨多個(gè)安全域授權(quán)等優(yōu)點(diǎn)。 以支持基于屬性的訪問控制模型為目標(biāo)，設(shè)計(jì)滿足XACML規(guī)范的授權(quán)子系統(tǒng)，并設(shè)計(jì)了授權(quán)判決算法。為解決授權(quán)策略的管理問題，采用LDAP目錄服