基于屬性的Web服務訪問控制模型.pdf

1、作為一種新型的分布式計算模型，Web服務極大地推動了B2B應用的發(fā)展。因為Web服務是基于通用的協(xié)議和技術實現(xiàn)的，所以它具有強大的互操作性：WSDL用來描述發(fā)布的接口；UDDI用來發(fā)布和定位Web服務；SOAP用來封裝Web服務的消息；HTTP和SMTP在網(wǎng)絡上傳輸消息。但網(wǎng)絡的開放性使Web服務非常容易受到安全性方面的威脅，而HTTP協(xié)議更是加重了這種情況。所以，防止Web服務被非法地訪問及惡意地調用就變得非常重要。 論文針對

2、Web服務的訪問控制問題，首先分析了Web服務及面向服務體系架構(SOA)在訪問控制方面的挑戰(zhàn)，指出了現(xiàn)有安全機制的缺陷。傳統(tǒng)的訪問控制模型，如訪問控制列表(ACL)、基于角色的訪問控制(RBAC)等，大都是靜態(tài)的、粗粒度的，不能很好地應用在面向服務的環(huán)境中，因為該環(huán)境中的訪問都是動態(tài)的、臨時的。接著論文提出了一種基于屬性的訪問控制模型(ABAC)，它基于主體、客體和環(huán)境的屬性，采用動態(tài)的、細粒度的機制進行授權。該模型使用可擴展訪問控制

3、標記語言(ExtensibleAccessControlMarkupLanguage，XACML)來描述訪問控制標準，并結合安全聲明標記語言(SecurityAssertionMarkupLanguage，SAML)和XACML來完成分布式系統(tǒng)的授權要求。在客戶端，用戶的屬性信息以SAMLToken的形式封裝在SOAP消息的頭部中，與SOAP消息內容一起構成SOAP信封。在服務器端，擴展后的SOAP引擎負責對SOAP消息進行解析和驗證以

4、獲取用戶提供的屬性信息。新的模型更加靈活，特別適合應用于動態(tài)的Web服務環(huán)境。論文詳細描述了基于屬性的訪問控制模型(ABAC)的授權框架和策略規(guī)范，并對ABAC和傳統(tǒng)訪問控制模型進行了比較。論文最后通過一個基于標準協(xié)議和開源工具的實現(xiàn)，展示了新的模型如何保護Web服務。 論文提出的基于屬性的訪問控制模型(ABAC)相比傳統(tǒng)模型具有以下優(yōu)勢： (1)能夠直觀地管理現(xiàn)實世界中的訪問控制策略； (2)基于SAML和XA