面向多域聯(lián)合的服務(wù)可信關(guān)鍵技術(shù)研究.pdf

1、伴隨著面向服務(wù)架構(gòu)（SOA）的出現(xiàn)與發(fā)展，企業(yè)信息系統(tǒng)進入了服務(wù)化的時代。近年來云計算、移動計算等新型計算模式改變了信息系統(tǒng)的組織管理模式，同時也使得信息系統(tǒng)的設(shè)計與構(gòu)建突破了傳統(tǒng)的安全邊界，給信息系統(tǒng)的安全帶來了新的挑戰(zhàn)。一方面，利用服務(wù)化信息系統(tǒng)中信任缺失問題進行社會化攻擊手段正在對服務(wù)化信息系統(tǒng)的安全造成越來越嚴重的沖擊。而另一方面，信息系統(tǒng)中存在的漏洞和后門嚴重威脅著用戶的數(shù)字資產(chǎn)，特別是“棱鏡門”事件的曝光，將國家級別的黑客行

2、為暴露在人們面前，更加重了人們對當(dāng)前信息系統(tǒng)的信任危機。當(dāng)前服務(wù)化信息系統(tǒng)中缺乏有效的技術(shù)手段支撐信任關(guān)系的建立，各參與方間的信任往往建立在社會化的規(guī)約和協(xié)議基礎(chǔ)上，難以有效地保證信任的準確性。本文針對服務(wù)化信息系統(tǒng)的信任問題，以向服務(wù)化信息系統(tǒng)提供準確、可度量的信任保障機制為目標，對支持多域聯(lián)合的服務(wù)信任保障模型、服務(wù)實體信任度量技術(shù)、服務(wù)跨域協(xié)作信任評估技術(shù)以及支持服務(wù)跨域可信協(xié)作的可信第三方技術(shù)等角度進行了廣泛而深入的研究。

3、>　　本研究主要內(nèi)容包括：⑴提出了一種支持服務(wù)跨域聯(lián)合的信任保障模型。該模型結(jié)合多域聯(lián)合條件下服務(wù)協(xié)作的特點，綜合考慮服務(wù)實體特性，服務(wù)生命周期各環(huán)節(jié)特點、域間安全策略等因素，分析跨域服務(wù)聯(lián)合過程中建立動態(tài)信任的基本需求，對涉及多域聯(lián)合條件下的服務(wù)協(xié)作中的關(guān)鍵概念進行形式化的定義、描述和分析，建立了一個基本的信任保障模型。在該基本模型基礎(chǔ)上，進一步闡述服務(wù)實體全生命周期信任保障模型及服務(wù)跨域聯(lián)合信任保障模型的實施方案。利用該模型可以有效

4、地支持服務(wù)的動態(tài)跨域信任傳遞和可信組合。⑵提出了一種基于Java虛擬機的服務(wù)運行時信任度量方法。本文選取主流的服務(wù)開發(fā)與部屬平臺Java技術(shù)平臺，對服務(wù)實體運行時的控制流完整性機制進行了研究，針對Java虛擬機的運行機制，尤其是Java虛擬機內(nèi)存管理與程序運行流程的特點，分析了傳統(tǒng)控制流完整性機制在運用到Java環(huán)境中的缺陷與不足，設(shè)計了基于Java虛擬機的控制流完整性保障技術(shù)----CFI4J，并依托于Jikes RVM虛擬機對CFI

5、4J機制進行了實現(xiàn)，并通過功能性測試與性能對比表明CFI4J機制可以對Java環(huán)境下的服務(wù)應(yīng)用實體的控制流完整性做出有效地保障，能夠提高對攻擊的檢出率，為服務(wù)實體的行為可信任性提供有效的評估方式。⑶提出了一種基于使用控制的服務(wù)跨域信任評估方法。分析了使用控制模型的結(jié)構(gòu)與原理，抽取使用控制模型中能夠反映服務(wù)提供者行為與服務(wù)請求者使用預(yù)期一致性的關(guān)鍵因素，建立了面向使用控制的服務(wù)跨域協(xié)作信任評估模型；分析了XACML規(guī)范的結(jié)構(gòu)體系與語言描述

6、規(guī)范，實現(xiàn)了基于XACML語言表達的使用控制策略與信任模型的轉(zhuǎn)換技術(shù)，并設(shè)計了針對一次會話過程中的訪問過程動態(tài)信任度計算算法。通過測試發(fā)現(xiàn)，該信任評估方法能夠較準確地反映服務(wù)提供者行為與請求者預(yù)期的相符程度。⑷提出了基于動態(tài)度量根的服務(wù)多域聯(lián)合信任保障框架。分析了服務(wù)信任評估關(guān)鍵技術(shù)自身的安全和可信需求，討論了服務(wù)信任評估技術(shù)中需要重點保護的對象與模塊，設(shè)計了基于Intel可信執(zhí)行技術(shù)的服務(wù)多域協(xié)作信任保障框架的結(jié)構(gòu)。并分別從信任鏈與可