面向服务计算的动态访问控制模型研究

【摘要】：随着Internet的广泛应用和Web服务技术的快速发展,一种新型的分布式计算模式——面向服务计算引起了计算机学术界和工业界越来越多的关注。面向服务计算以Web服务为依托,将服务及其组合在不同的分布节点上通过网络联接、协作,实现了动态、异构应用的交互和集成,提高了应用系统的敏捷性和互操作性。然而,面向服务计算在得到广泛应用的同时,对网络信息安全问题也提出了挑战。在面向服务计算中,Web服务以及组合Web服务的安全问题已经成为制约其进一步发展的瓶颈。其安全问题主要涉及一致性、完整性、机密性、身份认证和访问控制五个方面。其中,身份认证和访问控制是两个最为重要的安全要素。身份认证是访问控制的前提,确保服务请求者的身份以防止假冒攻击和重放攻击,为访问Web服务资源提供安全屏障。访问控制防止非法用户入侵和合法用户非法访问受保护的服务资源,从而保证面向服务计算环境下的数据安全。然而,传统的身份认证机制和访问控制模型由于灵活性差、不易扩展等缺点,已经不能很好地适应动态、异构的分布式环境。 本文首先对面向服务计算的特点及其所面临的安全问题进行了深入的研究。分析了面向服务计算的安全需求,在详细分析Web服务安全规范(WS-Security、SAML、XACML等)和技术的基础上,对认证机制和访问控制模型进行了研究,并对现有的认证机制和访问控制模型进行了分析比较,指出了它们在面向服务计算中的不足,并由此指出需要提出一种新的安全解决方案以适应动态、异构的面向服务计算环境。 接着,针对面向服务计算环境中Web服务跨域访问的特点,提出了一种基于SAML的动态跨域的认证机制。该机制采用SAML以断言的形式描述身份验证信息和属性信息,以提供可移植的信任关系,可以对异域的服务进行安全认证,并可以实现单点登录,适应了动态、异构的分布式环境,为访问控制提供了绿色的安全通道。 然后,针对面向服务计算中原子服务和组合服务的访问控制问题,综合考虑基于角色的访问控制和基于属性的访问控制模型,提出了一种组合Web服务的动态访问控制模型CWSDAC。该模型将组合Web服务中各原子服务的属性作为授权依据,分别定义了原子服务和组合服务的属性,并在模型中引入时间特性和上下文环境,实现了对服务资源的更加灵活、动态、细粒度的跨域访问控制。 最后,对安全模型进行了设计与实现。结合SAML设计了身份认证模块,在CWSDAC访问控制模块中采用XACML描述访问控制策略,并提出了该模型的访问控制框架。然后结合实例详细分析了认证和访问控制过程,并给出了部分代码的实现。

【学位授予单位】：山东师范大学
【学位级别】：硕士
【学位授予年份】：2011
【分类号】：TP393.08