（计算机科学与技术专业论文）一种web+services安全模型的研究与实现.pdf

摘要 w e bs e r v i c e s 是种面向服务的开放式架构，它作为一种崭新的分布式计算模式， 具有松散耦合、平台无关和开放、语言中立等优点。随着w e bs e r v i c e s 相关技术的不断 发展和成熟，其应用也日益广泛，但其动态性和分布性的特点带来了传统网络安全机制 所不能解决的新的安全挑战。因此，构建一个相对完善的w e bs e r v i c e s 安全解决方案， 是w e b 服务领域一个具有重要理论意义和现实价值的研究课题。 本文在深入分析研究w e b 服务安全需求及相关安全技术的基础上，构建了一个基 于属性的w e b 服务访问控制模型，结合w e b 服务的性能需求，构建了一个相对完善的 w e b 服务安全模型，并依据p i 演算的相关理论，对安全模型进行了安全性分析和验证。 首先，本文学习了w e b 服务的体系结构和关键技术，系统分析了w e b 服务安全需 求，包括数据的机密性、完整性、不可否认性以及身份认证和访问控制等方面。针对不 同的安全需求，对相关w r e b 服务安全技术和规范进行了深入学习和研究。 其次，以x a c m l 体系架构为基础，结合s a m l 规范，构建了一个基于属性的w e b 服务访问控制模型。该模型解决了主体属性、资源属性的表示及获取问题，给出了详细 实现架构和工作流程，可以实现灵活、细粒度的授权访问控制，满足了动态分布式环境 下w e b 服务的授权和访问控制安全需求。 最后，构建了一个综合的w e b 服务安全模型，给出了模型的整体设计和工作流程。 该模型以s o a p 消息安全处理模型和访问控制模型为主要模块，在保证w e b 服务安全 的同时又不影响服务性能。并且在基于p i 演算相关理论基础上，对安全模型进行了形 式化描述和有效性分析，并利用m w b 工具对其安全性进行了验证。 本研究通过构建基于属性的w e b 服务访问控制模型，解决了w e b 服务环境下跨安 全域的访问授权问题。同时针对w e b 服务安全措施与服务性能之间的矛盾问题，提出 了一个相对完善的w e b 服务安全解决方案，为w e bs e r v i c e s 安全领域的研究做出了有 益的探索。 关键词：w e bs e r v i c e s 安全，属性，访问控制，安全模型，p i 演算 r e s e a r c ha n di m p l e m e n t a t i o no nak i n do f w e bs e r v i c e ss e c u r i t ym o d e l s u nb o ( c o m p u t e rs c i e n c ea n dt e c h n o l o g y ) d i r e c t e db yp r o f d u a ny o u x i a n g a b s t r a c t w e bs e r v i c e s ，d e f i n e d 嬲as o r to fs e r v i c e so r i e n t e da r c h i t e c t u r ea n dan e w b o r n d i s t r i b u t e dc a l c u l a t i o nm o d e ，i tt a k e st h ea d v a n t a g e so fl o o s ec o u p l i n g ，i n d e p e n d e n c ef r o m p l a t f o r m s ，l a n g u a g en e u t r a la n ds oo n a si t sr e l a t e dt e c h n o l o g i e sc o m i n gi n t oc o n t i n u o u s d e v e l o p m e n ta n dm a t u r i t y , i t sa p p l i c a t i o n sa r em o r ea n dm o r ep o p u l a ri no u rs o c i e t y w h i l e w i t ht h en a t u r e so fd y n a m i c sa n dd i s t r i b u t i v i t y , n e ws e c u r i t yp r o b l e m sa r i s ew h i c hh a v e a l r e a d yg o n eb e y o n dt h et r a d i t i o n a ln e t w o r ks e c u r i t ym e c h a n i s m t h e r e f o r e ，t of i n do u ta r e l a t i v e l yc o m p l e t es o l u t i o nf o rw e bs e r v i c e ss e c u r i t yh a sb e e nar e s e a r c hs u b j e c to fg r e a t i m p o r t a n c ei nb o t ht h e o r e t i c a la n dp r a c t i c a lw o r l d a f t e rt a k i n g i n - d e p t ha n a l y s i so nw e bs e r v i c e ss e c u r i t yr e q u i r e m e n ta n di t sr e l a t e d t e c h n o l o g i e s ，t h i st h e s i s ，t h u sp r o p o s e sa na t t r i b u t e - b a s e da c c e s sc o n t r o lm o d e la n dc o n s t r u c t s ar e l a t i v e l yc o m p l e t ew e bs e r v i c es e c u r i t ym o d e lb yc o n s i d e r i n gi t sp e r f o r m a n c e r e q u i r e m e n t s ， m o r e o v e r , s e c u r i t ya n a l y s i sa n dt e s t sf o rt h i ss e c u r i t ym o d e lh a v eb e e na l s oc a r r i e do u to nt h e b a s i so fp ic a l c u l a t i o nt h e o r i e s f i r s t ，t h i st h e s i ss t u d i e so na r c h i t e c t u r ea n dt h er e l a t e dk e yt e c h n o l o g yo fw e bs e r v i c e s ， t a k e sa s y s t e m a t i ca n a l y s i so nw e bs e r v i c e ss e c u r i t yr e q u i r e m e n t s ，s u c ha sd a t ac o n f i d e n t i a l i t y , i n t e g r i t y , n o n r e p u d i a t i o na sw e l la si t sa u t h e n t i c a t i o n , a c c e s sc o n t r o la n ds o0 1 1 m o r e o v e r , a c c o r d i n gt ov a r i o u ss e c u r i t yr e q u i r e m e n t s ，t h i st h e s i sa l s oc a r r i e so u taf u r t h e rr e s e a r c ho n s e c u r i t yc o n t r o la n ds p e c i f i c a t i o n so fw e bs e r v i c e s s e c o n d ，b a s e do nx a c m ls y s t e m a t i ca r c h i t e c t u r ea n ds a m ls p e c i f i c a t i o n s ，t h i st h e s i s s u c c e e d si nc o n s t r u c t i n ga na t t r i b u t e - b a s e dw e bs e r v i c e sa c c e s sc o n t r o lm o d e l ，p r o v i d i n gt h e r e p r e s e n t a t i o na n da c q u i s i t i o no fs u b j e c ta t t r i b u t ea n dr e c o u r s ep r o p e r t i e sa n dd e s i g n i n gt h e p e r f o r m a n c ea r c h i t e c t u r ei nd e t a i l sa n dw o r k i n gp r o c e s so ft h em o d e lw h i c ha l l o w sf l e x i b l e a n df i n e - g r a i n e da u t h o r i z a t i o na c c e s sc o n t r o l ，t h u sm e e t i n gt h ea u t h o r i z a t i o na n da c c e s s c o n t r o ls e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e su n d e rd y n a m i cd i s t r i b u t i o ne n v i r o n m e n t l a s t ，t h i st h e s i sp r o p o s e sa ni n t e g r a t e dw e bs e r v i c e ss e c u r i t ym o d e l ，p r e s e n t i n gi t s o v e r a l ld e s i g na n dw o r k i n gp r o c e s s t h i sm o d e li sc r e a t e dm a i n l yb a s e do ns o a p m e s s a g e s e c u r i t yh a n d l i n gm o d e la n da c c e s sc o n t r o lm o d e l ，w h i c ho no n es i d ee n s u r e st h es e c u r i t yo f w e bs e r v i c e sa n dm a k e sn oi n f l u e n c eo np e r f o r m a n c eo nt h eo t h e rs i d e m o r e o v e r , t h i st h e s i s ， b a s e do np ic a l c u l a t i o nt h e o r i e s ，a l s op r o v i d e saf o r m a ld e s c r i p t i o na n dv a l i d i t ya n a l y s i st o t h i ss e c u r i t ym o d e la n dm a n a g e st oc a r r yo u ti t ss e c u r i t yt e s tw i t ht h eh e l po fm w b t o o l s i nc o n c l u s i o n ，t h i st h e s i ss u c c e e d si ns o l v i n gs e c u r i t yd o m a i n - a c r o s sa c c e s sa u t h o r i z a t i o n p r o b l e m su n d e rw e bs e r v i c e sc i r c u m s t a n c e m e a n w h i l ei ta l s op r e s e n t sar e l a t i v e l yc o m p l e t e w e bs e r v i c e ss e c u r i t ys o l u t i o nt op r o b l e m sa r i s i n gb e t w e e nw e bs e r v i c e ss e c u r i t y a n dp e r f o r m a n c e ，w h i c he x p l o r e san e ww a yi nt h ef i e l do fw e bs e r v i c e ss e c u r i t y k e yw o r d s ：w e bs e r v i c e ss e c u r i t y , a t t r i b u t e ，a c c e s sc o n t r o l ，s e c u r i t ym o d e l ，p i c a l c u l a t i o n 关于学位论文的独创性声明 本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所取得的 成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以标注和致谢外， 本论文不包含其他人已经发表或撰写的研究成果，也不包含本人或他人为获得中国石油 大学( 华东) 或其它教育机构的学位或学历证书而使用过的材料。与我一同工作的同志 对研究所做的任何贡献均己在论文中作出了明确的说明。 若有不实之处，本人愿意承担相关法律责任。 学位论文作者签名：多立f 匿一日期：沙。年，月矽日 学位论文使用授权书 本人完全同意中国石油大学( 华东) 有权使用本学位论文( 包括但不限于其印 刷版和电子版) ，使用方式包括但不限于：保留学位论文，按规定向国家有关部门 ( 机构) 送交学位论文，以学术交流为目的赠送和交换学位论文，允许学位论文被 查阅、借阅和复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用 影印、缩印或其他复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签名：墨止f j 兰 指导教师签名： 中国石油大学( 华东) 顺b 学位论文 1 1 问题的提出及研究意义 第一章引言 1 1 1 问题的提出 w e b 环境中数据、信息的异构性使得数据的组织和管理存在着一系列的处理问题， 而x m l 技术是一个合适的处理工具，基于x m l ( e x t e n s i b l em a r k u pl a n g u a g e ，可扩 展标记语言) 技术的w e b 服务( w r e bs e r v i c e ) 已经成为实现全球w e b 资源共享、交 互通讯、协作研究、协同求解的必须的框架。w e bs e r v i c e 是一种崭新的分布式计算模 式，基于一系列开放的标准技术，如s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c o l ，简单对象访 问协议) 、u d d i ( u n i v e r s a ld e s c r i p t i o nd i s c o v e r ya n di n t e g r a t i o n ，统一描述、发现和集 成协议) 和w s d l ( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，服务定义描述语言) 等。随着 信息技术的发展，w e bs e r v i c e s 技术已经渗透到i t 的各个领域和层面，对于许多企业和 政府机构来说，w e bs e r v i c e s 技术的松散耦合、平台无关和开放、语言中立等特性帮助 他们实现了信息共享、服务集成、业务操作和流程管理。随着w 曲s e r v i c e s 技术的发展 和广泛应用，w e b 服务必将成为分布式应用的主导架构，其市场前景将非常广阔。 所谓w e b 服务即是通过w e b 来提供相应的各种服务，它的主要目标是在现有的各 种异构平台的基础上构建一个通用的与平台、语言无关的技术层，各种平台上的应用依 靠这个技术层来实现彼此的连接和集成，而不考虑它们位于何处以及如何实现。下面是 一个典型的w r e b 服务实例，如图1 1 。 图1 - 1w e b 服务实例 f i g l 1 a ne x a m p l eo fw e bs e r v i c e 用户通过m y t o u r c o m 调用旅行预订服务，而m y t o u r c o m 需要与其他合作伙伴航 第一章引言 空公司、酒店、旅行社等共同合作才能满足用户需求。此时，这些合作伙伴可能位于多 个不同的安全域中，用户却只能访问m y t o u r c o m ，这种情况下，用户不需要知道 m y t o u r c o m 如何调用其他服务，也不需要自己调用它们就能完成整个服务过程。 与传统的分布式应用模型如d c o m ( d i s t r i b u t e dc o m p o n e n to b j e c tm o d e l ，分布式 组件对象模型) 、c o r b a ( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ，公共对象请求代 理) 相比，w e b 服务环境更具有动态性，分布性和开放性，还有完好的封装性、松散耦 合、使用标准协议规范等特点，从而确立了w e bs e r v i c e s 日益主流的地位。但这些特点 带来了许多新的安全挑战，这是传统的安全机制所不能应对的，而w e b 服务有时需要 调用来自不同安全域中的服务，使之在异构系统中实现访问。由于w 曲服务是经由 i n t e m e t 来进行信息交换的，而s o a p 、u d d i 、w s d l 等w e b 服务核心技术又不直接提 供保证信息交换安全所需要的安全性机制，所以安全问题成为w e b 服务能否顺利发展 的关键问题。 w e bs e r v i c e s 作为未来网络应用架构的一个极为重要的开放技术架构模式，所面临 的安全问题主要有以下几个方面： ( 。1 ) 数据的机密性。如何保证传送的信息不会被未经许可的第三方看到。 ( 2 ) 数据的完整性。如何保证接收到的信息没被篡改。 ( 3 ) 身份认证。如何鉴别通信双方的身份。 ( 4 ) 授权和访问控制。如何保证合法用户的操作是在所赋予权限之内进行，拒绝非 法用户的访问。 上述安全问题中，数据的机密性、完整性属于w e bs e r v i c e s 数据通信安全层次的安 全需求，现有的w e b 服务安全机制可以提供相对完善的端到端的消息安全解决方案， 但仅实现消息的传输安全不足以保证w r e b 服务应用的安全，还需要w e b 服务系统安全 层次的安全需求，即授权和访问控制安全机制。w e b 服务应用中的服务请求者和服务提 供者通常处于不同的安全域中，交互过程中的认证和授权决策需要跨多个安全域执行。 另外，w e b 服务动态交互的特点使得w e b 服务以不可预知的方式被不同安全域中的多 个实体调用，这就对访问控制提出了新的要求，而现有的访问控制机制如d a c ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，自主访问控制) 、m a c ( m a n d a t o r ya c c e s sc o n t r o l ，强制 访问控制) 都是基于服务请求者的身份或系统的安全级别来进行授权决策，在w r e b 服 务的动态、分布式应用环境中，还需要综合考虑资源、环境因素的影响，而这些访问控 制机制只能解决特定应用环境下的安全问题，存在管理规模和控制粒度等局限性。因此， 2 中国钿油大学( 华东) 硕士学位论文 w e b 服务需要一种在动态交互的应用环境下能够综合考虑主体、资源、环境等因素，提 供具有灵活性和细粒度的访问控制安全机制。 本研究的目标是对现有的w e b 服务安全规范和技术进行学习和研究的基础上，设 计一种适应w e b 服务应用环境的访问控制模型，满足w e b 服务系统安全层次的安全需 求，并以此模型为基础，提出并构建一个综合的w e b 服务安全模型，解决w e b 服务安 全性与服务性能之间的矛盾。 1 1 2 研究意义 随着计算机网络的社会化应用和信息技术的研究发展，w e bs e r v i c e s 的市场价值正 得到越来越多的肯定和体现，同时，它也在电子政务、企业应用集成、电子商务等多个 领域发挥着日益重要的作用。若w e b 服务安全性问题得不到保障，数据的交换和传输 就会出现严重的安全隐患，这直接影响到w e b 服务的广泛推广和应用。所以，结合w e b 服务的特性，对w e b 服务安全性技术进行研究具有相当重要的意义。基于x m l 的w e b 服务安全问题的有效解决，必将进一步促进i n t e m e t 的进一步发展。 另外，w e bs e r v i c e s 安全技术研究也是当前工业界和学术界所讨论和研究的热点问 题。其中，w e b 服务访问控制是解决w e b 服务系统安全层次安全需求的关键问题，对 w e b 服务应用环境下的访问控制问题进行深入研究，构建一个适应w e b 服务动态分布 式环境的访问控制模型，对建立可信的w e b 服务具有重要的理论意义和实用价值。 针对w e b 服务性能与安全性机制之间的矛盾问题，本文以w e b 服务访问控制模型 为基础，构建了一个综合、高效的w e b 服务安全模型，企业可以根据此模型构建相应 方案来实现安全的w e b 服务，在保障安全性的前提下提高w e b 服务性能。最后，本文 基于p i 演算的相关知识对所构建的w e bs e r v i c e s 安全模型进行了安全性验证，为w e b s e r v i c e s 安全模型提供了理论支持，对w e bs e r v i c e s 安全性问题的解决做出了有益的探 索。 1 2 国内外相关研究综述 w e bs e r v i c e s 于2 0 0 0 年6 月被i b m 、m i c r o s o f t 和a r i b a 正式提出，并作为s o a ( s e r v i c e - o r i e n t e da r c h i t e c t u r e ，面向服务的体系结构) 技术和g r i d 技术的基础越来越 受到重视。i b m 、m i c r o s o f t 、v e r i s i g n 、w 3 c 、o a s i s 、s u n 、h p 等国外一些大的国际 组织和企业都在致力研发有关w e b 服务的各种标准、协议和应用产品，从很大程度上 第一章引言 推动了w e bs e r v i c e s 技术的研究和发展。另一方面，学者们从理论和技术层面对w e b 服务安全问题进行了相关研究。 本文涉及的w e b 服务安全性研究主要包括w e b 服务安全性规范、w e b 服务访问控 制以及w e b 服务安全模型三个方面，对这三个方面的研究现状和进展情况进行综述如 下。 在w e b 服务安全性规范研究方面： 这部分的研究主要集中在：制定w e b 服务安全性规范、路线、工具以及相应规范 的实现。这些安全规范的开发和制定主要由w 3 c ( w o r l dw i d ew e bc o n s o r t i u m ，万维网 联盟) 和o a s i s ( o r g a n i z a t i o nf o rt h ea d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ， 结构化信息标准促进组织) 推动。 x m l 技术是w e b 服务安全技术的基础，在目前的安全规范中，与x m l 相关的主 要有x m l 签名和x m l 加密。2 0 0 1 年8 月，x m ls i g n a t u r e 工作组公布了x m l 数字签 名的推荐版本，作为数字签名的规范【l l 。2 0 0 2 年底，w 3 c 宣布通过了关于x m l 技术的 加密规范f 2 l 。这两种规范是许多w e b 服务安全技术的基础构件，分别用于确保x m l 文 件的完整性和保密性。 对于w e b 服务的通信安全问题，目前的解决方法是在消息层上引入安全机制，通 过对s o a p 消息头进行扩展实现的。但在如何扩展这个问题上缺乏一个统一标准。为此， 2 0 0 2 年4 月，w e b 服务的发起者i b m 、m i c r o s o f t 和v e r i s i g n 推出了有关w 曲服务安全 的( ( w e b 服务世界的安全性：提议的体系架构和指南白皮书，并发布了w s s e c u r i t y 规划3 1 。该规范提供了一套标准的保护s o a p 消息交换的机制，实际上是对s o a p 消息 头的扩展。通过消息的认证信息传播、数字签名和加密机制，满足了w e b 服务安全通 信的基本要求，确保了s o a p 消息传输的机密性、完整性和不可否认性。 然而w s s e c u r i t y 规范自身并没有提供完整的安全解决方案，因此需要与其他w e b 服务协议结合来满足多种应用安全性的需求。在前面的白皮书中还详细描述了 w s ，p o l i c y 、w s t r u s t 、w s - s e e u r e c o n v e r s a t i o n 、w s f e d e r a t i o n 、w s - a u t h o r i z a t i o n 等一 系列安全规范，与w s s e c u r i t y 规范一起，构成w e b 服务安全性规范框架，同时，这也 是解决w e b 服务安全问题的工作路线和方向。到目前为止，除了w s a u t h o r i z a t i o n 规范 之外，其他规范都已经开发完毕或有草案版本，而且随着w e b 服务的应用越来越广泛， 对于安全的需求也日益强烈，许多新的w e b 服务安全规范正在研究和发展中。从这个 现状也可以看出，w e b 服务的授权和访问控制问题是一个较难而又值得深入研究的课 4 中国石油大学( 华东) 硕士学位论文 题。 在规范实现方面，i b m 、m i c r o s o f t 等大公司的产品中都有对各种规范不同程度的支 持，丌源组织也不断推出支持某些规范的开发包，现在，几乎每个子规范都有相应的工 具来丌发。 i b m 推出的基于w e b s p h e r es t u d i o 的x m l 数字签名和数字加密方法，同时支持 w s s e c u r i t y 4 1 。 微软的w s e 3 0 1 5 】可以支持w s s e c u r i t y 、w s t r u s t 、w s s e c u r e c o n v e r s a t i o n 、 w s f e d e r a t i o n 等安全技术。另外，它还提供了一个完整的基于角色的授权模型，用以 完成访问控制功能。 s u n 的j w s d pw e b 服务开发包中也加入了安全机制，在其应用服务器中使用 w s s e c u r i t y 保护消息，并允许开发者为基于j a v a 上的w 曲s e r v i c e s 数据提供签名【6 】。 v e r i s i g n 公司的可信中心推出了t s i k i 1 0 ( t r u s ts e r v i c ei n t e g r a t i o nk i t ，可信服务集 成l ：具包) 1 7 】用以支持w s s e c u r i t y 、x k m s 、s a m l 、x m le n c r y p t i o n 、x m ls i g n a t u r e 。 开源实现方面，s u n 的s u n x a c m l 8 】对x a c m l 规范进行了实现，i n t e m e t 2 的o p e n s a m l 开发包【9 1 支持s a m l 规范，a p a c h e 的w s s 4 j 1 0 l 包含对订le n c r y p t i o n 、x m ls i g n a t u r e 以及s a m l 的部分支持。 国内对w e b 服务安全性规范的研究主要是对w s - s e c u r i t y 规范进行分析，利用特定 丌发工具，给出基于w s s e c u r i t y 安全规范的具体实现，以保证消息层次的安全性。师 群群基于w s s e c u r i t y 安全规范，实现了一个w e b 服务通信安全组件，建立起基于s o a p 的w 曲服务通信安全机制【l i j 。杨海斌以x f i r e 应用为背景，基于w s s e c u r i t y 框架给出 了w r e b 服务消息安全的实现过程1 御。胡晓红等使用w s e 3 0 工具实现了消息的部分签名 和加密【3 1 。 目前这些研究主要集中在w e b 服务安全需求中的消息层次，基于x m l 和s o a p 协 议，利用x m l 签名和x m l 加密技术对x m l 文档和s o a p 消息的全部和部分进行签名 和加密，以满足w e b 服务数据通信安全层次的需求，但这些研究与w e b 服务访问控制 的关系不太紧密，没有结合w e b 服务数据通信安全层次和w e b 服务系统安全层次的系 统实现。 在w e b 服务访问控制研究方面： 访问控制的目标是防止对任何资源的未授权访问。国内外w e b 服务访问控制的研 究主要集中在对x m l 文档的访问控制技术研究，基于s o a p 的访问控制技术的研究以 5 第一章引言 及访问控制的相关标准规范的研究，另外，有学者给出了一些w e b 服务访问控制模型 架构。 在对x m l 文档的访问控制研究方面，米兰大学的b e r t i n o 等人最早提出了针对x m l 文档的访问控制问题，针对x m l 文档的层次结构特征，提出了两种x m l 信息发布形 式( 即信息p u s h 和信息p u l l ) 4 1 。d a m i n a i 等人在x m l 文档中引入授权表来完成细粒 度的访问控制，采用x m ls c h e m a s 进行细粒度的访问控制比d t d 更具有优势，他提出 的访问控制模型比b e r t i n o 模型更容易理解和实现【1 5 】。 在w e b 服务访问控制模型研究方面，r w o n o b o e s o d o 等将基于角色访问控制模型应 用于w e b 服务访问控制，其基本思想是针对不同的服务用户，分配不同的角色，然后 根据角色进行相应授权1 1 6 1 。e x u 等也提出了一个针对w r e b 服务的r b a c 访问控制模型， 该模型根据请求者的身份等信息将请求者映射到一个或者多个角色中【1 7 1 。但在w e b 服 务环境下，其主要特点是跨域访问，所以单单依靠身份进行主题到角色的映射是不够的， 而基于属性的访问控制为建立有效的w e b 服务访问控制机制带来了希望。e b e r t i n o 等 提出了针对w e b 服务的基于属性的访问控制模型，根据请求主体的身份、地址等属性 信息进行访问控制决策【1 8 1 。e y u a n 、j i nt o n g 给出了一个表达能力更强的控制模型，其 访问控制决策依据不仅仅包括请求主体身份，地址等属性，更包括资源属性和环境属性， 但没有给出访问控制模型的具体实现【1 9 1 。 国内方面，朱一群等提出了多用户模式中一种基于属性和规则的访问控制模型，引 入了复合属性表达式和复合权限的概念，并提出了一个通用的基于属性角色的访问控制 模型【2 0 j 【2 i l 。金丽娜等提出了一种基于属性证书的w e b 服务访问控制模型，给出了属性 证书的设计机制，但没有给出具体实现过程【2 2 l 。沈海波对基于属性的访问控制安全机制 进行了研究，提出了属性管理的概念，另外，提出利用w e b 语义技术来解决互操作问 题【2 3 】【2 4 1 。颜学雄等引入属性树来描述结构化属性，提出了基于属性树的w e b 服务访问 控制模型【2 5 1 。余俊隆等结合w s p o l i c y 规范，提出了一种基于策略的w r e b 服务访问控 制模型，并分析了生效策略【2 6 j 。 w e b 服务的各种信息交互都需要建立在相关标准和规范的基础上，对于w e b 服务 访问控制问题而言，也需要制定相关的标准规范。目前，在访问控制方面主要有以下几 个规范：s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，安全性断言标记语言) 2 7 1 、x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ，可扩展访问控制标记语言) 瞰j 、x k m s ( x m lk e ym a n a g e m e n ts p e c i f i c a t i o n ，x m l 密钥管理规范) 2 9 1x r m l ( e x t e n s i b l e r i g h t s 6 中国机油大学( 牛东) 硕_ 上学位论文 m a r k u pl a n g u a g e ，可扩充版权标记语言) 1 3 0 l 。李松针对x a c m l 中的策略管理问题， 给出了统一策略授权模型，但没有具体实现【3 。现在存在着许多不同而又相关的标准之 间的共存问题，为了保证w e bs e r v i c e s 安全架构的性能和可伸缩性，这就需要解决由不 同组织提出的标准的兼容性问题，否则会影响到w e bs e r v i c e s 技术的发展。在这方面， 翟征德，冯登国基于x a c m l 设计了一个通用的分布式访问控制决策中间件，支持多种 访问控制类型和跨安全域的匿名资源访问控制【3 2 1 。 在w e b 服务安全模型研究方面： w e b 服务相关安全规范和标准主要由国外的组织及大企业提出，国内从事该方向研 究的有影响力的不多。目前国内的研究主要是基于各种安全规范和协议，针对特定的业 务领域需求，构建安全的w e b 服务模型，取得了一定成果。 续亚锋根据w s s e c u r i t y 规范，给出了一个安全模型实现，但只涉及到w e b 服务的 机密性和完整性安全需求，没有访问控制部分1 3 3 1 。陈越等将一个访问控制模型与x m l 加密、签名等技术结合构建了一个w e b 服务安全模型，保证了安全且具备可扩展性， 但该模型中的访问控制模块是基于x a c l 的，是一个特定厂商标准，不具有普遍性1 3 4 l 。 金丽娜给出了基于可信s o a p 的w e b 服务安全架构的整体框架，满足了机密性、完整 性等安全性需求，但只适用于p k i 和x 5 0 9 架构【3 5 1 。 总结国内对w e b 安全模型的研究，只是针对某个领域的特定需求构建相应安全模 型，系统性和规模性都不是太好，还没有一个既综合考虑各种安全性需求又能保证性能 的通用安全模型提出。 综上所述，国外研究主要集中在对w 曲s e r v i c e s 安全规范和标准的制定方面，在模 型的构建和实现方面还不多见。国内研究主要集中在依靠w e bs e r v i c e s 相关安全规范和 标准，针对某些特定领域安全需求，构建相对安全的w e b 服务安全模型并从实践角度 进行安全性验证，但融合访问控制安全机制的w 曲服务安全模型还不多见。另外，从 理论层次对安全模型进行安全性验证并综合考虑w e b 服务性能与安全机制之间的矛盾， 也是w e b 服务安全模型研究所必须考虑的重要因素。因此构建融合访问控制安全机制 的w e b 服务安全模型并能从理论和实践角度进行安全性验证具有重要的理论意义和实 践价值。 1 3 论文的内容与篇章结构 7 第一章引占 1 3 1 内容 本文首先分析了w ，e b 服务及其安全性需求和目前的研究现状。针对w e b 服务的特 点，基于w e b 服务特定的安全需求，分析了w e b 服务比较成熟的规范和技术，重点对 访问控制安全技术进行了较深入的研究，设计了一个基于属性的w e b 服务访问控制模 块，并以此为基础，提出并构建了一个w e bs e r v i c e s 安全模型，最后对此模型进行了安 全性分析。具体研究内容包括： ( 1 ) 分析现有的w e bs e r v i c e s 相关安全技术和规范，对w e bs e r v i c e s 核心技术x m l 、 核心安全规范w s s e c u r i t y 以及w e bs e r v i c e s 访问控制安全规范s a m l 、x a c m l 等进 行研究，为后面研究w e b 服务访问控制和构建w e b 服务安全模型打下基础。 ( 2 ) 基于w e b 服务跨域访问特点，对基于属性的访问控制模型进行了扩展和形式化 描述，给出了主体属性、资源属性的表示方法，并提出了一个面向w e b 服务的访问控 制模型实现架构，来实现面向w e b 服务的访问控制。 ( 3 ) 在对w e bs e r v i c e s 安全模型进行研究的基础上，提出并构建了一个融合访问控 制模块的w e bs e r v i c e s 安全模型，在保证了其安全性的前提下提高其性能。基于p i 演算 的相关理论对模型进行了形式化描述，并对其安全性进行了分析验证。 1 3 2 篇章结构 本文内容组织结构如下： 首先阐述了w e b 服务安全的研究背景及意义，概述了其国内外研究现状，明确了 本文的主要研究内容。 第二章介绍了w 曲服务的概念及特点、体系架构及其关键技术，详细分析了w r e b 服务的主要安全需求及其面临的主要安全威胁，指出了w e b 服务的安全目标。 第三章分析了w e b 服务的消息安全技术规范，包括w s s e c u r i t y 规范以及x m l 签 名、x m l 加密，重点分析了w r e b 服务的访问控制安全规范中提供安全信息交换和共享 机制的s a m l 、实施访问控制授权策略的x a c m l ，通过介绍相关安全技术，为将其应 用于w e b 服务安全中提供理论上的准备。 第四章对面向w e b 服务的基于属性的访问控制方法进行了比较全面的研究，包括 主体属性、资源属性的表示、建立、提供、绑定和发布等有关属性生存周期的全部环节。 为适应w e bs e r v i c e s 分布式环境的需要，相比x a c m l 的通用安全方案，提出了一种基 于x a c m l 的w e b 服务访问控制模型。 8 中国臼油大学( 华东) 硕士学位论文 第五章综合考虑w e b 服务环境下安全性和性能需求，提出了一个融合访问控制模 型的综合w e b 服务安全模型，给出了其形式化描述，对其有效性和安全性进行了分析。 最后对本文的工作进行了总结，并指出了安全模型系统的不足之处，对下一步的工作的 研究方向进行了展望。 9 第二章w e b 服务及其安伞问题分析 第二章w e b 服务及其安全问题分析 w e b 服务不同于传统的w e b 应用，w e b 应用基于用户与w e b 的交互，而w e b 服务 着重于软件与软件的交互。它是封装成单个实体并发布到网络上以供其他程序使用的功 能集合。这样可以极大地促进各企业应用系统、商务系统的集成，从而降低成本。本章 主要从w e b 服务的体系架构、w e b 服务的关键技术以及w e b 服务的安全问题等几个方 面展丌叙述。 2 1w e b 服务体系架构 w e b 服务定义了服务请求者、服务提供者以及服务注册中心三种角色，其体系架构 是基于这三种角色之间的交互。这些交互涉及发布( p u b l i s h ) 、查找( f i n d ) 以及绑定 ( b i n d ) 三种操作。这些角色和操作一起作用于w e b 服务软件模块及其描述。w e b 服 务体系架构见图2 1 。 图2 - 1w e b 服务体系架构 f i 9 2 - i t h ea r c h i t e c t u r eo fw e bs e r v i c e s w e b 服务体系架构中各角色描述如下【3 6 l ： ( 1 ) 服务请求者( s e r v i c er e q u e s t o r ) ：是需要特定服务的企业或公司。在w e b 服务 体系架构中指的是查找并调用服务，启动与服务交互的客户端应用程序。它可能是一般 的