分類號 密級 U D C 編號 士學(xué)位論文 務(wù)環(huán)境下單點登錄 論文題目 與訪問控制研究 學(xué)科、專業(yè) 計算機軟件與理論 研究生姓名 張慧 導(dǎo)師姓名及 專業(yè)技術(shù)職務(wù) 李建華 教授 2008 年 5 月 SO i 要 面向服務(wù)計算（ 一種新型的計算模式，它把服務(wù)作為基本的組件來支持快速、低成本和簡單的分布式甚至異構(gòu)環(huán)境的應(yīng)用組合。 務(wù)技術(shù)是基于 念當(dāng)前最有前景的技術(shù)，它具有松耦合、平臺無關(guān)、異構(gòu)、跨域、動態(tài)變化等特征，可以很好的適用于 境。但 務(wù)還有許多安全挑戰(zhàn)未解決，比如單點登錄和訪問控制這兩個安 全領(lǐng)域非常重要的問題。用戶在訪問跨域的服務(wù)時，由于目標(biāo)服務(wù)對其身份是不可知的，所以無法進行驗證。傳統(tǒng)的一些單點登錄方法也不適用于 務(wù)環(huán)境。與單點登錄類似，訪 問控制系統(tǒng)由于無法確定用戶的身份，也就無法定義用戶的角色與權(quán)限， 同時業(yè)務(wù)需求的快速變化也使得傳統(tǒng)的訪問控制方法在管理的擴展性和控制的粒度上無法適應(yīng) 務(wù)環(huán)境。這些問題使得訪問控制系統(tǒng)無法對資源進行合理的保護，防止未授權(quán)的用戶非法訪問資源。目前 務(wù)的安全已成為阻礙其發(fā)展的重要因素之一。 本文在分析了 務(wù)安全相關(guān)技術(shù)與規(guī)范的基礎(chǔ)上 ,從三個方面對 務(wù)安全做了研究：提出了一種基于 務(wù)單點登錄模型，使得服務(wù)可以基于 言來對跨域未知用戶進行驗證 ,給出了模型的兩種實現(xiàn)模式，對組合服務(wù)的單點登錄做了研究，并對模型的安全性進行了分析； 提出了一種具有協(xié)商機制的基于屬性的 務(wù)訪問控制模型 基于用戶、環(huán)境、資源的屬性來進行訪問控制的評估，彌補了基于身份、角色的訪問控制的缺陷，解決了對跨域未知用戶的訪問控制問題，引入?yún)f(xié)商機制，使得訪問控制具有更強的自治性；提出了一 種基于信任級別和協(xié)商機制的務(wù)環(huán)境下用戶敏感屬性保護模型， 在基于屬性的訪問控制系統(tǒng)中，由于用戶提供的是屬性，而這些屬性中有的是敏感的，所以必須要加于保護，不能泄漏給任意服務(wù)提供者方，所以文中提出通過信任級別的比較和服務(wù)提供者的身份屬性的驗證協(xié)商過程， 來披露敏感屬性。最后基于上述三個方面，設(shè)計了一個可擴展的 務(wù)安全系統(tǒng)原型 綜上所述，本文的工作針對目前 務(wù)安全中幾個關(guān)鍵問題提出了有效地解決方案，對于推進 務(wù)安全技術(shù)的發(fā)展具有一的理論價值和應(yīng)用價值。 關(guān)鍵詞 面向服務(wù)計算， 務(wù)，服務(wù)安全，單點登錄，訪問控制，敏感屬性保護 is a as to of of in on It of is OC of it is to So it t be SO of so it is to At in t to of on of in a SO of SO of is an It to In to be of is to be t be to So it s to At an In We a eb in 錄 第一章 緒論 .言 . 問題的提出 . 本文研究的背景 . 研究的目的與意義 .內(nèi)外研究現(xiàn)狀 . 單點登錄的研究現(xiàn)狀 . 訪問控制的研究現(xiàn)狀 . 敏感屬性保護的研究現(xiàn)狀 .究內(nèi)容 .文的組織結(jié)構(gòu) .二章 務(wù)安全相關(guān)技術(shù)與規(guī)范 .名規(guī)范 .密規(guī)范 .范 .范 . 述 . 成 . 點 .范 . 述 . 成 . 點 .章小結(jié) .三章 一種基于 務(wù)單點登錄模型 .言 .于 單點登錄模型設(shè)計 . 析 . 模型總體結(jié)構(gòu) . 執(zhí)行機制 .型的兩種實現(xiàn)模式 . 式 . 式 . 比較 . 基于 式實現(xiàn)組合服務(wù)的單點登錄 .例 .型安全性分析 .章小結(jié) .四章 一種具有協(xié)商機制的 務(wù)訪問控制模型 .言 .型 . 訪問請求和訪問控制策略的形式化描述 . 訪問控制規(guī)則 . 協(xié)商機制 . 訪問控制算法 .于 型的實現(xiàn)結(jié)構(gòu) . 總體結(jié)構(gòu) . 模型的執(zhí)行機制 . 基于 型訪問控制策略的表示 .型安全性分析 .章小結(jié) .五章 基于信任級別和協(xié)商機制的用戶敏感屬性保護研究 .言 .感屬性保護模型 . 信息的敏感性 . 模型的總體結(jié)構(gòu) . 形式化描述 . 敏感屬性保護算法 .合服務(wù)情況下用戶敏感屬性保護 . 處理流程 . 應(yīng)用示例 .型安全性分析 .章小結(jié) .六章 可擴展的 務(wù)安全系統(tǒng)原型設(shè)計 .體系結(jié)構(gòu) . 總體結(jié)構(gòu) . 層級結(jié)構(gòu) . 結(jié)點棧結(jié)構(gòu) .要相關(guān)技術(shù) . 務(wù)的異步調(diào)用 . 開源項目 .關(guān)鍵組件 . 單點登錄模塊 . 訪問控制與協(xié)商模塊 . 用戶敏感屬性保護模塊 .章小結(jié) .七章 總結(jié)與展望 .文總結(jié) .一步研究方向 .考文獻(xiàn) .謝 .讀學(xué)位期間主要的研究成果 .士學(xué)位論文 第一章 緒論 一章 緒論 言 題的提出 務(wù)是一種支持機器之間通過網(wǎng)絡(luò)來互操作的軟件系統(tǒng)1。它建立在范、 議、 范和 范的基礎(chǔ)之上，提供了一種使用 與 兼容的協(xié)議來訪問業(yè)務(wù)或者應(yīng)用程序邏輯的方式。 務(wù)基于面向服務(wù)計算（ 23概念，具有松耦合、平臺無關(guān)、異構(gòu)、跨域、動態(tài)變化等特點，是面向服務(wù)架構(gòu)（ 4當(dāng)前最有發(fā)展前景的實現(xiàn)技術(shù)。 圖 1于 務(wù)的面向服務(wù)體系結(jié)構(gòu) 如圖 1示 , 基于 務(wù)的面向服務(wù)體系結(jié)構(gòu)5包括三個參與者：服務(wù)請求者、 服務(wù)注冊中心及服務(wù)提供者。 服務(wù)提供者向服務(wù)注冊中心發(fā)布服務(wù)， 服務(wù)用 描述。服務(wù)請求者往 務(wù)注冊中心查詢服務(wù)。服務(wù)請求者使用 議來調(diào)用服務(wù)。 隨著 務(wù)的發(fā)展，越來越多的應(yīng)用集成將會采用 務(wù)技術(shù)6。安全是一個應(yīng)用系統(tǒng)必須要考慮的問題，所以 務(wù)的安全越來越受到人們的關(guān)注。目前，對 務(wù)的安全已有一定的研究，比如 三個規(guī)范結(jié)合保證了 息的安全性。但在單點登錄和訪問控制方面還存在很多不足。 傳統(tǒng)的單點登錄方法都是基于單域的，各系統(tǒng)的用戶信息相同，而 務(wù)環(huán)境下的跨域單點登錄卻有著用戶不可知的特點， 所以傳統(tǒng)的方法無法適用于碩士學(xué)位論文 第一章 緒論 務(wù)環(huán)境。 與單點登錄類似，訪問控制系統(tǒng)由于無法確定用戶的身份，也就無法定義用戶的角色與權(quán)限， 同時業(yè)務(wù)需求的快速變化也使得傳統(tǒng)的訪問控制方法在管理的擴展性和控制的粒度上無法適應(yīng) 務(wù)環(huán)境。這些問題使得 務(wù)環(huán)境下的訪問控制系統(tǒng)無法對資源進行合理的保護，防止未授權(quán)的用戶非法訪問資源。 文研究的背景 自從八十年代互聯(lián)網(wǎng)出現(xiàn)以來， 人類社會的信息資源正在以前所未有的程度和方式在全球內(nèi)互聯(lián)和互通，互聯(lián)網(wǎng)己經(jīng)成為人們生活的一部分，并給人們的工作、生活、學(xué)習(xí)等各個方面帶來巨大影響。 隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，基于互聯(lián)網(wǎng)的應(yīng)用模式也在不斷演變。越來越多的企業(yè)和政府部門依賴互聯(lián)網(wǎng)來發(fā)布信息與提供服務(wù)， 并構(gòu)建跨企業(yè)的虛擬組織或虛擬企業(yè)以實現(xiàn)大規(guī)模資源共享。但由于互聯(lián)網(wǎng)環(huán)境是一個異構(gòu)、動態(tài)、松耦合的分布式計算環(huán)境，因此如何安全、有效、簡便地實現(xiàn)基于互聯(lián)網(wǎng)的資源共享、業(yè)務(wù)協(xié)作便成為了互聯(lián)網(wǎng)發(fā)展道路中的必須要解決的問題。 在傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用中，人們習(xí)慣使用 描述信息資源和服務(wù)，但由于 擴展性較差，不能準(zhǔn)確地刻畫數(shù)據(jù)內(nèi)容，不利于大規(guī)模商業(yè)活動的自動化操作，也不利于有效地利用蘊藏在互聯(lián)網(wǎng)中浩如煙海的資源，從而導(dǎo)致基于互聯(lián)網(wǎng)的應(yīng)用在進一步深入發(fā)展時受到很大的限制。隨著 術(shù)的出現(xiàn)，解決了跨平臺和信息互操作的問題，但由于傳統(tǒng)的分布式技術(shù)（如、 等）都維護著相互獨立的體系結(jié)構(gòu)和協(xié)議以及客戶端和服務(wù)器端的緊耦合性，使得它們不能適應(yīng)動態(tài)發(fā)布服務(wù)的需求，也不能很好地實現(xiàn)在動態(tài)、松耦合環(huán)境下的業(yè)務(wù)協(xié)作。因此，為了滿足日益增長的業(yè)務(wù)需求，人們提出了 務(wù)概念來解決新一代互聯(lián)網(wǎng)軟件所面臨的問題。 務(wù)是一種嶄新的分布式計算模式 ,基于一系列開放的標(biāo)準(zhǔn)技術(shù) ,如 松散耦合、語言中立、平臺無關(guān)性、開放性將使它成為下一代電子商務(wù)的框架。但同時因為它的松散耦合及跨域的特點，使得傳統(tǒng)的安全模型（如單點登錄、訪問控制）無法適用于 務(wù)環(huán)境。目前， 務(wù)廣泛使用的重要問題之一910。 究的目的與意義 雖然 務(wù)技術(shù)有著廣泛的應(yīng)用前景，但其安全性問題如果不能得到根本性解決，就會制約其發(fā)展。尤其是涉及到企業(yè)應(yīng)用的時候，一個不得不關(guān)注的碩士學(xué)位論文 第一章 緒論 題就是安全。而 務(wù)的諸多優(yōu)點反而使得安全問題變得比以往任何時候都更具挑戰(zhàn)性。 單點登錄和訪問控制是系統(tǒng)安全的重要組成部分， 在傳統(tǒng)的應(yīng)用中已經(jīng)得到了較好的解決。但由于 務(wù)的松耦合、跨域等特點使得傳統(tǒng)的方法無法適用于 務(wù)環(huán)境。所以研究一種適合于 務(wù)環(huán)境下的單點登錄和訪問控制模型，有著很大的意義。 內(nèi)外研究現(xiàn)狀 點登錄的研究現(xiàn)狀 傳統(tǒng)的單點登錄技術(shù)11主要是針對單域環(huán)境下的，一般是用統(tǒng)一身份認(rèn)證技術(shù)來實現(xiàn)的，如 有的系統(tǒng)都到一個集中的地方去認(rèn)證。但對于跨域的系統(tǒng)，由于各系統(tǒng)用戶是不一致的，且互相是不可知的。所以傳統(tǒng)的單點登錄技術(shù)在跨域環(huán)境下是不可行的。 目前， 針對跨域環(huán)境下的單點登錄解決方案主要有： 微軟的 2、建立的自由聯(lián)盟計劃（ 13、 合開發(fā)的 務(wù)聯(lián)邦語言（ 14以及結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進組織 （ 的安全服務(wù)委員會 （ 提出的安全斷言標(biāo)記語言 （ 15。 術(shù)是通過其 實現(xiàn)單點登錄的，只要用戶通過微軟的 務(wù)器的驗證，就可以訪問所有與 務(wù)器合作的站點。但由于微軟在 證技術(shù)方面不公開，使得在安全性方面有一定的隱患。目前， 不支持 務(wù)。自由聯(lián)盟計劃和 務(wù)聯(lián)邦語言都是通過建立聯(lián)盟身份，來訪問聯(lián)盟中的其它系統(tǒng)的。但由于 務(wù)是松耦合的，所以建立聯(lián)盟身份并不是每個 務(wù)場景所必須的。 要用來在不同信任域之間交換安全信息， 為認(rèn)證和授權(quán)服務(wù)提供了標(biāo)準(zhǔn)的描述，基于 有跨平臺性，提供了強大的斷言（ 16機制，使得跨域的系統(tǒng)可以通過斷言來進行驗證，適用于 務(wù)的松耦合環(huán)境。 目前對基于 務(wù)單點登錄模型學(xué)術(shù)界和工業(yè)界都有了一定的研究。 范中的 7部分定義了 何與 議進行綁定 ,為 務(wù)的結(jié)合提供了標(biāo)準(zhǔn)。文獻(xiàn) 18提出了一種基于 品來構(gòu)建 務(wù)單點登錄應(yīng)用，雖然這個產(chǎn)品可以對求進行響應(yīng)并發(fā)布斷言等，但這種方法依賴于特定的產(chǎn)品 ,通用性不強。文獻(xiàn) 19提出了一種基于 務(wù)單點登錄設(shè)計方案，可以解決單個碩士學(xué)位論文 第一章 緒論 務(wù)時的單點登錄，但沒有提供組 合服務(wù)時的單點登錄方法。文獻(xiàn) 2021對基于 單點登錄系統(tǒng)進行了分析，但沒有討論在 務(wù)環(huán)境下如何實現(xiàn)單點登錄。文獻(xiàn) 22提出一種基于 務(wù)驗證控制系統(tǒng)，解決了 務(wù)客戶端用戶的身份驗證問題。但 議的握手次數(shù)太多，且身份驗證方的功能是以 務(wù)的方式發(fā)布的， 所以會存在大量的 務(wù)調(diào)用，雖然安全性較好，但嚴(yán)重影響了性能。 問控制的研究現(xiàn)狀 傳統(tǒng)的訪問控制模型主要有兩類：自主訪問控制（ 強制訪問控制（ 型是一種基于身份的訪問控制，每個資源都有一個訪問控制列表，里面記錄可以訪問該資源的用戶信息，雖然可以保護資源，但很難查找一個用戶具有哪些權(quán)限，必須要窮舉所有訪問列表，當(dāng)用戶數(shù)和資源數(shù)很大時，系統(tǒng)很難管理。在 個主體和資源都被預(yù)定義一個安全級別，主體只能讀那些安全級別比其低或相等的資源，往那些安全級別比其高或相等的資源中寫。這種模型雖然可以保證信息的一致性，但不夠靈活，不適合 務(wù)的動態(tài)性環(huán)境。 隨著資源和主體數(shù)的增加，系統(tǒng)的授權(quán)管理工作變的更加復(fù)雜，上述兩種模型都不能很好的工作。 為簡化授權(quán)管理工作， 提出了基于角色的訪問控制（ 2324252627。 過用戶與角色、角色與權(quán)限的映射，簡化了授權(quán)任務(wù)。 以較好的滿足傳統(tǒng)的應(yīng)用，但并不能很好的解決 務(wù)中的訪問控制問題。因為傳統(tǒng)的應(yīng)用中，用戶都是確定的，而務(wù)的用戶是不可知的，通常服務(wù)的請求者和提供者都來自不同的域，所以必須要進行角色的映射，增加了管理負(fù)擔(dān)，而且這個方法只能用在靜態(tài)的服務(wù)中，當(dāng)在動態(tài)的服務(wù)流程中，服務(wù)都是不確定的，由服務(wù)執(zhí)行引擎去動態(tài)選取，所以進行角色的映射是不可能的。其次，當(dāng)業(yè)務(wù)場景非常復(fù)雜時， 能制定更多的角色，導(dǎo)致了角色擴散問題，大大加重系統(tǒng)的負(fù)擔(dān)。 基于上述情況，國內(nèi)外已進行了不少相關(guān)研究，提出了基于屬性的訪問控制 （ 模型， 見文獻(xiàn) 28293031。 在 當(dāng)業(yè)務(wù)變化時， 不需要重新定義角色， 只要簡單的根據(jù)屬性來修改策略即可。文獻(xiàn) 28提出了一種帶有協(xié)商機制的 型，可以協(xié)商服務(wù)的參數(shù)，但對用戶的屬性并為涉及。文獻(xiàn) 29也提出了一種 型，并與 型做了詳細(xì)的比較，證明了 型的先進性，但對協(xié)商機制并未涉及，自治性較差。文獻(xiàn) 3031提出的 型，結(jié)合了自動信任協(xié)商技術(shù)，主要側(cè)重點在于建立信任，保護敏感屬性，并未討論服務(wù)請求授權(quán)的自治性，比如用戶通碩士學(xué)位論文 第一章 緒論 動態(tài)調(diào)整參數(shù)和屬性來適應(yīng)服務(wù) 提供者的訪問策略。文獻(xiàn) 3233343536提出了基于 訪問控制模型， 范支持基于屬性的訪問控制，但它并不支持協(xié)商機制，自治性較差。 敏感屬性保護的研究現(xiàn)狀 目前，在 務(wù)環(huán)境下，基于屬性的訪問控制被認(rèn)為是最適合的訪問控制方法28然而在基于屬性的訪問控制中，用戶有的屬性是敏感的，不能泄漏給服務(wù)提供者，但是服務(wù)提供者在訪問控制時卻需要該屬性，這時就需要與用戶進行協(xié)商。在這個過程中需要建立策略來對敏感屬性進行保護。 文獻(xiàn) 37中給出了一種敏感屬性保護方法，它用信任級別來描述具體的服務(wù)及用戶屬性，當(dāng)服務(wù)的信任級別高于用戶屬性時，就可以訪問該屬性。這種方法較好的解決了用戶訪問靜態(tài)服務(wù)時敏感屬性的保護問題。但 提出服務(wù)可能是動態(tài)選取組合的，所以該方法有一定的局限，同時它提出的信任級別是由用戶自己指定的， 這在實際應(yīng)用中是不現(xiàn)實的， 須由第三方如服務(wù)注冊中心來指定，且該方法不具有協(xié)商功能，自治性較差。 文獻(xiàn) 30提出了基于 8的自動信任協(xié)商體系結(jié)構(gòu)來解決敏感屬性保護問題的思路，但沒有詳細(xì)介紹這種方法，比如在協(xié)商過程中的一些策略，所以在具體的系統(tǒng)設(shè)計與實現(xiàn)時有很多問題還有待解決。 文獻(xiàn) 394041424344都給出了允許資源請求者 和訪問控制中介者建立互相信任的自動信任協(xié)商（ 寫為 4546機制，協(xié)商雙方使用協(xié)商器組件來決定是否把敏感屬性泄漏給對方，先互相泄漏非敏感的屬性，等建立了一定的信任后，再把敏感屬性泄漏給對方。但在上述的統(tǒng)設(shè)計過程中對屬性的擁有情況沒有做保護，攻擊者可以很輕易的模仿協(xié)商的一方獲得協(xié)商的另一方是否擁有某種屬性。 文獻(xiàn) 47提出了一種在基于屬性訪問控制環(huán)境下的自動信任協(xié)商機制，它使用了 略、 議以及基于角色信任管理語言（ ，較好的解決了上述問題。其中 略是指協(xié)商的一方為敏感屬性建立的一種訪問控制策略，它定義了協(xié)商另一方只有滿足了 略，敏感屬性才可以流向它。在滿足 商的一方不會泄漏這個屬性及是否擁有這個屬性的信息。 略與訪問控制策略不同之處在于：主體可以使用 略來保護其并不一定擁有的屬性。所以基于它可以對敏感屬性進行很好的保護。 文獻(xiàn) 3947雖然都是對跨域環(huán)境下的訪問控制做研究，但他們考慮的應(yīng)用場景比較局限，只適應(yīng)很少的一些服務(wù)之間的協(xié)商。面向服務(wù)計算提出未來的應(yīng)用都是以服務(wù)的形式發(fā)布，當(dāng)服務(wù)較多時， 略將無法適應(yīng)。因為不是所碩士學(xué)位論文 第一章 緒論 的服務(wù)提供者都有用戶 略中要求的屬性值。所以勢必要定義許多屬性條件，這樣 略將非常龐大，不易于管理，增加了用戶的負(fù)擔(dān)。 究內(nèi)容 務(wù)環(huán)境具有松耦合、跨域、分布式、跨平臺等特性，所以傳統(tǒng)的單點登錄和訪問控制不適用于 務(wù)環(huán)境。所以本文對 務(wù)環(huán)境下的單點登錄和訪問控制做了一定的研究。 務(wù)環(huán)境下的單點登錄模型 由于 務(wù)具有異構(gòu)性和松耦合性等特點，而現(xiàn)有的跨域單點登錄方案主要針對基于 點的應(yīng)用，不