收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

Web服务中的关键安全技术研究

沈海波  
【摘要】: 随着Web服务从技术概念到实际应用的不断发展,其松散耦合、语言中立、平台无关性、可跨互联网链接应用等优点日益明显。同时,其异构性、动态性、复杂性、跨组织的松耦合性,极容易暴露其弱点和局限性。作为典型的分布式应用,Web服务面临的安全挑战包括:数据机密性、完整性、不可否认性、身份认证、访问控制、审计和安全管理等多个方面,同时还具有其自身的特点。因此业界一致认为,安全性是Web服务要成为主流技术之前必须解决的一个关键问题。而身份认证、授权与访问控制、信任建立和委托等是其中的主要安全问题。因此,对Web服务中的关键安全技术进行深入研究,既具有理论意义又具有实用价值。 Web服务中,为完成某项任务或实现某个功能,常常有多个企业或组织共同协作,并且每个组织又都可能参与多个这种形式的协作。这些企业或组织可能采取完全不同的身份识别和认证机制,如何在一个统一的框架中兼容现存的和可能出现的多种不同认证机制以及身份凭证,在多个企业或组织之间如何映射身份凭证,是Web服务必须面对的问题。特别是,当用户需要访问多个Web服务才能完成业务处理的话,他不希望在每个Web实体上都需要提供自己的身份凭证,而是希望只登录一次,就可以访问全部相关的站点(即单点登录)。SAML(Security Assertion Markup Language,安全声明标记语言)标准和WS-Federation(Web Services Federation Language,Web服务联邦语言)规范为实现单点登录认证提供了技术支持。在分析SAML、WS-Federation和XKMS(XML Key Management Specification,XML密钥管理规范)如何实现单点登录认证机制的基础上,提出了一种基于SAML和Cookie的Web服务门户网站安全认证系统模型,实现了单一管理域和信任联盟中不同管理域之间的单点登录。模型具有灵活、可扩展、跨平台等特性。 传统的授权是基于请求访问资源的实体的身份,或是基于直接或间接分配给这些实体的角色。但在象Web服务这样的开放环境中,资源和请求者通常位于不同的安全域中,他们之间一般没有先前建立的信任关系,互不知晓彼此的身份,身份信息(如用户名和口令、身份证书)并不适合于确定一个实体是否值得信任和授权。因此,提出了基于属性的访问控制(attribute-based access control,ABAC)机制。在ABAC中,利用相关主体、资源、环境的属性作为授权决策的基础,从而避免了在请求之前就分配权限给请求者的麻烦。对ABAC进行了扩展和形式化描述,给出了面向Web服务的基于XACML(eXtensible Access Control Markup Language,可扩展访问控制标记语言)的ABAC实现框架。为了更好地实现ABAC,还讨论了属性生存周期内的属性管理问题。 ABAC机制因其灵活性和适用性,已广泛应用于开放和分布式的系统中,但也存在着策略管理和维护难度较大的问题以及用户敏感属性暴露问题。因为访问控制决策所需的属性可能来自不同的管理域,以不同的术语来表示和解释,即其语义可能不完全相同,从而导致了对语义互操作性的需求。这些只能用语义Web技术(尤其是Ontology技术)来解决。语义Web技术能改进面向服务的、异构环境的安全性,处理语义互操作引起的挑战。基于语义Web技术和扩展XACML,提出了一种称为具有语义的属性访问控制(Semantic-aware Attribute-Based Access Control,简称S-ABAC)方法,以解决ABAC中存在的问题。 在Web服务环境,访问者与资源控制者通常在不同的安全域,资源控制者事先无法知晓访问者的身份,并且访问者通常是随机地访问资源,如何动态地建立信任关系便成为一个非常重要的问题。目前很多解决方案中,都假定存在一个可信的第三方权威机构,依据第三方提供的信息进行访问决策;然而,在一个开放、动态和多变的Web环境中,存在完全可信的第三方是不现实的,而需要一种合理的方法来评估第三方及合作伙伴的可信程度。自动信任协商(Automated Trust Negotiation ,ATN)机制通过属性凭证、访问控制策略的交互披露,资源的请求方和提供方可动态地建立信任关系。同时,在异构、分布式的Web服务环境,为了对资源的访问进行有效的控制,通常要使用委托(delegation)技术。分析了Web服务中的信任建立机制,提出了一种基于WS-Trust的信任建立模型和基于自动信任协商的Web服务访问控制模型。最后,基于SAML委托声明和WS-Trust规范,还提出了面向Web服务的权限委托模型和实现框架。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 汪应龙;胡金柱;;一种基于规则的自动信任协商模型[J];计算机应用;2008年01期
2 贾瑜;李雅琴;;RBAM:一种基于规则的自动信任协商模型[J];舰船电子工程;2008年12期
3 余荣;刘明华;;基于SAML实现Web Service的单点登录[J];计算机与现代化;2005年12期
4 刘明华;任志考;;基于SAML的Web服务单点登录安全模型研究[J];现代计算机;2007年06期
5 李国勇;陈蜀宇;高峥;;Web服务中的跨应用单点登录[J];重庆理工大学学报(自然科学版);2011年02期
6 张永梅;一种灵活的Web服务访问控制解决方案[J];现代计算机;2005年10期
7 仵小暾;张武君;李晖;;基于SAML的单点登陆系统模型[J];电子科技;2006年09期
8 蹇林航;杜庆东;;WEB服务在单点登录系统中的应用研究[J];网络与信息;2008年02期
9 孟凡荣;程洁;史会余;;单点登录模型的研究与应用[J];微计算机信息;2008年21期
10 段运生;吴先良;;基于Web服务的统一身份认证系统的设计与实现[J];安徽大学学报(自然科学版);2008年01期
11 沈海波;面向Web服务的跨域认证机制研究[J];湖北教育学院学报;2005年05期
12 韦彦;;基于XKMS和SAML扩展的Web服务安全模型研究[J];信息安全与通信保密;2008年06期
13 贾宗星;董丽丽;;基于Web Services单点登录系统的设计与实现[J];计算机时代;2006年09期
14 胡毅时,怀进鹏;基于Web服务的单点登录系统的研究与实现[J];北京航空航天大学学报;2004年03期
15 许峰;林果园;黄皓;;Web Services的访问控制研究综述[J];计算机科学;2005年02期
16 刘东飞;姜仕田;吴波;;基于SAML的单点登录的设计[J];电脑与信息技术;2007年05期
17 孙雷;陈晓慧;刘大为;;基于Web Services的数字化校园的构建研究[J];软件工程师;2010年Z1期
18 段冬燕;;对Web服务相关安全规范的研究[J];科技信息;2010年24期
19 郭磊;余文森;;基于SAML的安全资源统一管理三层单点登录模型[J];重庆理工大学学报(自然科学);2011年08期
20 谭立球,费耀平,李建华;企业信息门户单点登录系统的实现[J];计算机工程;2005年17期
中国重要会议论文全文数据库 前10条
1 刘正涛;毛宇光;应毅;;基于Web服务的分布式Web应用框架研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
2 张伟燕;席传裕;;J2EE中异步Web服务的研究与应用[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
3 冯冲;陈肇雄;黄河燕;关真珍;;基于Web服务的机助翻译系统体系结构研究[A];第二届全国学生计算语言学研讨会论文集[C];2004年
4 杨占胜;;基于Web服务的基本遗传算法实现[A];第三届中国智能计算大会论文集[C];2009年
5 闫志刚;胡海涛;;基于语义的Web服务动态组合框架的研究[A];2010年全国开放式分布与并行计算机学术会议论文集[C];2010年
6 沈国华;黄志球;朱小栋;仲晶;项高友;;一种基于描述逻辑的语义Web服务匹配方法[A];2008'中国信息技术与应用学术论坛论文集(一)[C];2008年
7 毛景新;苏厚勤;;Web Service网格计算综合型应用框架的研究[A];2006年全国开放式分布与并行计算机学术会议论文集(三)[C];2006年
8 侯宾;吕玉琴;叶德信;;SIP应用的漫游注册及认证方案设计[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
9 朱国萃;;电信企业网中帐号口令集中管理体系研究[A];2008年中国通信学会无线及移动通信委员会学术年会论文集[C];2008年
10 金波;邵旭东;沈寒辉;;跨信任域授权模型[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
中国博士学位论文全文数据库 前10条
1 沈海波;Web服务中的关键安全技术研究[D];华中科技大学;2007年
2 赵贻竹;开放式环境中自动信任协商机制研究[D];华中科技大学;2008年
3 廖振松;虚拟组织中自动信任协商研究[D];华中科技大学;2008年
4 任志宏;Web服务复合的若干关健问题研究[D];中国科学院研究生院(软件研究所);2004年
5 朱一群;Web服务访问控制研究[D];上海交通大学;2008年
6 徐浩;虚拟组织中融合信任管理的自动信任协商关键技术研究[D];中国科学院研究生院(计算技术研究所);2008年
7 陈学勤;基于Web服务的虚拟采办若干关键技术研究[D];南京理工大学;2009年
8 鲁剑锋;访问控制策略的安全与效用优化方法研究[D];华中科技大学;2010年
9 吴健;基于Web服务的网络化产品配置技术研究[D];浙江大学;2004年
10 温浩宇;制造网格若干关键技术研究[D];西安电子科技大学;2005年
中国硕士学位论文全文数据库 前10条
1 徐俊;基于Web Services的数字校园统一身份认证系统的研究与实现[D];南昌大学;2008年
2 吴黎明;单点登录在Web服务安全中的应用研究[D];重庆大学;2007年
3 周韶泽;基于目录服务的数字化校园认证的设计和实现[D];大连交通大学;2005年
4 张明;基于LDAP的单点登录技术的研究与实现[D];武汉理工大学;2007年
5 李俊旭;WEB服务单点登录模型的研究及在MAS中的应用[D];解放军信息工程大学;2009年
6 逄悦;单点登录系统设计与实现[D];北京邮电大学;2009年
7 王佳;门户系统的设计与实现[D];四川大学;2004年
8 汪祖满;基于Web服务和.NET的认证研究[D];合肥工业大学;2004年
9 权勇;单点登录系统的研究与实现[D];电子科技大学;2003年
10 羿苗;基于代理的Web服务认证协议模型研究[D];华中科技大学;2006年
中国重要报纸全文数据库 前10条
1 李浩;Web服务的阳光之旅[N];网络世界;2004年
2 李佳师 孙爱民;Web服务,在等待中成熟[N];中国电子报;2004年
3 宁肯;Web服务:黎明前的跋涉[N];计算机世界;2005年
4 朴华;SilverStream延伸Web服务[N];中国计算机报;2002年
5 IBM软件集团亚太区副总裁Andrew Dutton;Web服务——新一代电子商务的核心[N];计算机世界;2001年
6 中国科学院软件研究所 刘绍华;“坐,请坐,请上坐!”[N];计算机世界;2005年
7 CPW记者 凡妮;争锋Web服务 微软.NET认证聚拢ISV[N];电脑商报;2003年
8 本报记者 薛斐;Web服务不神秘![N];计算机世界;2002年
9 徐昊;Lotus ND6:强化Web服务协作[N];中国计算机报;2002年
10 本报记者 龚杰;Web服务需要管理[N];计算机世界;2004年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978