（计算机应用技术专业论文）基于agent策略感知的web服务安全框架研究.pdf

摘要 w e b 服务是近年提出的一种新的面向w e b 的分布应用开发与集成框架，代表 了一种更为松散耦合的分布应用结构，为应用程序在开放互联的w e b 环境下实现 互操作提供了一种有效办法。w e b 服务的系统形态从面向封闭的、熟识用户群体 和相对静态的形式向开放的、公共可访问的和动态协作的服务模式转变。新的软件 应用形态打破了传统的安全技术假设，软件系统的开放性、分布性和协作性与系统 安全的内在要求：封闭、集中和独立相抵触。对这些以服务形式分布在w e b 上的 资源进行访问控制，是w e b 服务应用得以实施的必要保证，针对w e b 服务安全框 架的研究具有非常重要的现实意义。 本文的主要工作是以w e b 服务为应用背景，研究w e b 服务的安全框架。现行 i n t e m e t 平台下的w e b 服务安全模型主要存在以下三个方面的问题：一是灵活性和 可扩充性欠缺，不具有良好的松耦合特性和可移植性，二是缺乏动态可调整的能 力，无法满足在开放系统环境下环境的动态变化，三是w e b 服务自身缺乏一定的 自主性，不能主动调整自身的状态和行为，不具有主动交互能力。针对上述现行 w e b 安全存在的问题，本文研究了w e b 服务安全若干关键技术，提出了一种基于 a g e n t 策略感知的w e b 服务安全框架。具体工作主要包括以下几个方面： w e b 服务安全框架 本文提出了一个基于a g e n t 策略感知的w e b 服务安全框架，采用定义高层次 的策略规则在不中止w e b 服务运行的情况f 动态控制用户的访问，通过对用户及 w e b 服务的情境信息的收集和管理，使得访问控制在决策时能够动态的适应环境 的变化，引入a g e n t 技术，使得w e b 服务具有自主性和主动交互能力。 基于规则和本体的策略语言 在上述的w e b 服务安全框架中，策略语言采用基于规则和本体的r e i t 策略 语言，r e i t 是一种说明式的语言，能够同时表达结构化的知识和非结构化的知 识，比单一的基于规则或本体的策略语言具有更强的表达能力； 基于规则和本体的混合推理框架 针对上述策略语言的特点，本文提出了一个基于规则与本体的混合推理机制， 通过这一机制，弥补了单一规则和本体描述在构建知识库方面能力的不足，并通过 实例验证了该框架的有效性： 策略感知的b o i da g e n t 模型 在上述的w e b 服务安全框架中，w e b 服务a g e n t 的外部行为受其内部心智状 态和外部策略的约束，本文提出了一个策略感知的b o l da g e n t 模型，并在j a d e 平台的基础上提出了策略感知的b o l da g e n t 的管理框架； 原型系统的设计与实现 本文提出了一个基于a g e n t 策略感知的w e b 服务安全框架的参考实现模型， 通过j a v ae e 平台对原型系统做了部分实现，通过实例研究验证了该框架的合理 性。 关键词：w e b 服务安全，策略语言，a g e n t ，自适应，规则，本体 a b s t r a c t w e bs e r v i c e s ，w h i c ha r ei s s u e di nr e c e n ty e a r s ，a r ean e w l yw e b o r i e n t e d d e v e l o p m e n ta n di n t e g r a t i o n f r a m e w o r kf o rd i s t r i b u t e d a p p l i c a t i o n s w e b s e r v i c e s r e p r e s e n tm o r el o o s e l y c o u p l e dd i s t r i b u t e da p p l i c a t i o na r c h i t e c t u r e a n dt h e yp r o v i d ea n e f f e c t i v ew a yf o ra p p l i c a t i o nt oc o o p e r a t ei na l lo p e ne n v i r o n m e n t t h es y s t e m i cm o d a l i t y o ft h ew e bs e r v i c e sh a sc h a n g e df r o mat r a d i t i o n a lc l o s e ，s t a t i ca n du s e ra c q u a i n t e d e n v i r o n m e n tt oa no p e l l ，p u b l i ca n dd y n a m i ce n v i r o n m e n t a tt h es a m et i m e ，t h en e w m o d a l i t yo f t h es o f t w a r eh a sb r o k e nt h et r a d i t i o n a ls e c u r i t ya s s u m p t i o n t h ec h a r a c t e r so f t h ew e bs e r v i c e s ，w h i c ha r eo p e n ，c o l l a b o r a t i v ea n dd i s t r i b u t e d ，a r ei n c o n s i s t e n tw i t ht h e d e m a n do ft h es y s t e ms e c u r i t y , w h i c ha r ec l o s e ，c e n t r a l i z e da n di n d e p e n d e n t t o g u a r a n t e et h ew e bs e r v i c e sn o r m a lo p e r a t i o n ，t h ea c c e s sc o n t r o lo ft h ew e bs e r v i c e si s e m p l o y e d t h e r e f o r e ，r e s e a r c ho nt h ef r a m e w o r k - l e v e ls e c u r i t yo f t h ew e bs e r v i c e sh a s p r a c t i c a ls i g n i f i c a n c e t h ed i s s e r t a t i o na i m st os t u d ys e r v a lp i v o t a lt e c h n o l o g i e si nt h ew e bs e r v i c es e c u r i t y t h ec u r r e n ts e c u r i t yt e c h n o l o g i e so fw e bs e r v i c e sh a v et h r e el i m i t s ：o n ei st h el a c ko f f l e x i b l e ，e x t e u s i b l e ，a n dl o o s e l y c o u p l e d t h eo t h e ri st h el i m i to f t h en e t w o r ka d a p t a b i l i t y a n dc o u l dn o ta d j u s ta c c o r d i n gt ot h ed y n a m i ce n v i r o n m e n t a si no p e ns y s t e m s ，w e b s e r v i c e se n v i r o n m e n ta n dt h e i ro w ns t a t e sa r ee v e rc h a n g i n gt h a tn e e dt od e a lw i t ht h e d y n a m i cc h a r a c t e r ss u c ha ss t a t e sa n db e h a v i o r s t h r e ei st h el a c ko ft h ea u t o n o m o u s w 曲s e r v i c e st h e m s e l v e sh a v en oa b i l i t yo fi n t e r a c t i o n a n dt l l e yc a nn o ta d j u s tt h e i ro w n s t a t e sa n db e h a v i o r s b a s e do nt h ea b o v em e n t i o n e dp r o b l e m s ，s e r v e r a l p i v o t a l t e c h n o l o g i e si nt h ew e bs e r v i c e ss e c u r i t ya r ed i s c u s s e da n da na g e n t b a s e dp o l i c ya w a r e f r a m e w o r kf o rw 曲s e r v i c e ss e c u r i t y ( a p f w s s ) i sp r p p o s e d f o l l o w i n ge f f o r t sa r e p r e s e n t e di nt h i sd i s s e r t a t i o n ： a na g e n t - b a s e dp o l i c ya w a r ef r a m e w o r kf o rw 曲s e r v i c e ss e c u r i t y w ep r o p o s e d1 3 1 1 a g e n t - b a s e dp o l i c ya w a r ef r a m e w o r kf o rw 曲s e r v i c e ss e c u r i t y w i t ht h ep o l i c yc o n c e p t , m a n a g e m e n tm e c h a n i s ma n de x e c u t i o nm e c h a n i s mc a nb e s e p a r a t e de f f e c t i v e l y a l s o ，b yd e f i n i n gh i g hl e v e lr u l e s ，i tc a nc o n t r o la n da d j u s tw e b s e r v i c e sb e h a v i o r sw i t h o u tt e r m i n a t i n gt h e i re x e c u t i o na n dw i t h o u tm o d i f y i n gt h er e l a t e d e x e c u t i o nm e c h a n i s m m o r e o v e r , t h i sf r a m e w o r ki n c l u d e sc o n t e x to fu s e ra n dw e b s e r v i c e st h a tm a k e sa c c e s sc o n t r o la d a p tt ot h ec h a n g e de n v i r o n m e n t i na d d i t i o n ，t h e c o n v e r s a t i o nm e c h a n i s mo f a g e n t sg i v e sw e bs e r v i c e sa u t o n o m ya n di n t e r a c t i o na b i l i t y t h er e i tp o l i c yl a n g u a g ea n db a s e do nt h er u l e sa n do n t o l o g i e s h la p f w s s t h er e i tp o l i c yl a n g u a g ei sb a s e do nr u l e sa n do n t o l o g i e s a n dr e i ti s ad e c l a r a t i v el a n g u a g et h a ti sf l e x i b l ea n de x t e n s i b l e t h er e i tp o l i c yb a s e do nr o l e sa n d o n t o l o g i e sc a ne x p r e s st h es t r u c t u r a la n dn o n s t r u c t u r a lk n o w l e d g e a n di te n r i c h e st h e e x p r e s s i o np o w e rm o r et h a nt h es i n g l eo n e m i x e rr e a s o n i n gf r a m e w o r kb a s e do nt h er u l e sa n do n t o l o g i e s a st h ec h a r a c t e r so f t h er e it - w ep r o p o s e dam i x e rr e a s o n i n go f r u l e sa n do n t o l o g i e s w i t ht h em e c h a n i s m ，w em a k eu pad e f i c i e n c yo fe x p r e s s i o na b i l i t yo fs i n g l er o l e so r o n t o l o g i e si i lf o u n d i n gk n o w l e d g eb a s e a n dw ei l l u s t r a t e o i le x a m p l et o v e r i f yt h e v a l i d i t yo f t h em o d e l t h e p o l i c ya w a r eb o i da g e n tf r a m e w o r k a n dm a n a g e m e n ta r c h i t e c t u r e i na p f w s s ，t h eb e h a v o i r so ft h ew e bs e r v i c e sa g e n ta r er e s t r i c t e db yt h ei n t e r n a l m e n t a lc o n d i t i o na n de x t e r i o rp o l i c i e s w ei n t r o d u c eap o l i c ya w a r eb o i da g e n t f r a m e w o r k a tt h es a m et i m e ，w ep r o p o s et h ep o l i c ya w a r eb o i da g e n tm a n a g e m e n t a r c h i t e c t u r ew h i c hi si m p l e m e n t e db yu s i n gt h ej a d ep l a t f o r m t h ed e v e l o p m e n to f t h ew e bs e r v i c es e c u r i t yp l a t f o r m ap a r ti m p l e m e n t a t i o no ft h ea p f w s si sp r e s e n t e d w i t ha ni n s t a n c e t h ea c c e s s f l o wa n dt h ee x e c u t i o nm e c h a n i s mi si m p l e m e n t e db yj a v ae ea r ee m p h a s i z e d k e yw o r d s ：w e bs e r v i c e ss e c u r i t y , p o l i c yl a n g u a g e ，a g e n tt e c h n o l o g y , a d a p t i v e ， r u l e ，o n t o l o g y 李建新：基于a g e n t 策略感知的w e b 服务安全框架研究 1 引言 1 1 研究背景 随着i n t e r n e t 平台的快速发展与广泛应用，在开放、动态环境下，实现灵活 的、可信的、协同的信息资源( 计算资源、数据资源、软件资源、服务资源) 共享和 利用已经成为信息化社会的重大需求。i n t e m e t 的独特特征正在导致软件产品的形 态和传播模式开始发生根本性变化。继软件作为一种产品和产业从硬件分离以后， 目前软件正在从产品转变成服务，软件产业正逐渐演变为软件服务业。软件作为服 务( s o a r ea sas e r v i c e ) 这一崭新模式有望取代传统的基于拷贝的产业模式，从而 导致软件产业和技术的深刻变革。开放的网络化应用和“软件作为服务”这一新模 式的推行必然导致计算机应用系统结构的变化，它开始呈现出与信息w e b 相对应 的、具有开放特征的新型软件形态：s o f t w a r ew e b 。 目前，以w e b 服务为代表的软件服务及软件服务协同己成为一种新兴的w e b 应用形态。应用系统表现为由多个软件服务组成的动态协作系统，而软件服务本身 也可由其他软件服务动态组合而成。系统形态正从面向封闭的、熟识用户群体和相 对静态的形式向开放的、公共可访问的和动态协作的服务模式转变。新的软件应用 形态打破了传统的安全技术假设，软件系统的开放性、分布性和协作性与系统安全 的内在要求：封闭、集中和独立相抵触，应用系统的安全问题变得愈来愈复杂和难 以处理。 一方面，基于策略的方法已经日益成为控制大型应用系统行为的安全方法。策 略允许调整系统的行为而不必改变实现代码，通过定义高层次的规则来控制和调整 低层次的系统行为，与其它方式相比具有较好的灵活性和适应性。但现有的策略方 法对于大规模的应用系统还存在某些困难。此外尽管目前己经发展了一系列的访问 控制模型，官动进行用户授权成为大规模应用系统一种理想的授权解决方案，基于 规则的技术在过去的几年中已经有了一定的研究并取得了初步的应用。 另一方面，本体方法目前己经成为计算机科学中的一种重要方法，在语义 w e b 、搜索引擎、异构系统集成、电子商务、信息抽取与检索、知识工程等领域有 重要应用。随着语义w e b 研究的深入，本体方法在应用安全领域已经得到了越来 越多的关注。标准本体语言的提出为语义策略定义提供了很好的支持。 2 扬州大学硕士学位论文 目前，针对应用安全授权策略和本体方面的研究工作都已经有了一定的积累， 如何结合本体的研究来解决应用安全授权问题，己经成为应用安全中重要的研究方 法。本文的工作主要是研究在开放系统环境下w e b 服务的安全框架问题。 1 2 研究现状及存在问题 尽管在防火墙、入侵检测、v p n 等安全领域获得了大量的关注，并在研究和 应用中取得了丰富的成果，但是在应用安全( a p p l i c a t i o ns e c u r i t y ) 方面的研究工作 和成果相对很少。而安全对w e b 服务的推广与应用起到了关键的作用，因为只有 安全的w e b 服务才能保证系统的正常运行，才能使用户正常的使用w e b 服务提 供的功能。 w e b 服务的安全需求随着技术的推广而日益显现出来。通过利用w e b 服务 模型核心具备的高度可扩展性，使用s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) l l 】、 w s d l ( w e bs g r v i c g sd e s c d p f i o nl a n g u a g e ) 2 1 、x m l 数字签名( x m ld i g i t a l s i g n a t u r e ) 1 3 1 、x m l 加密( ) m 几e n c r y p t i o n ) f 4 】和s s i r l s ( s e c u r e s o c k e t l a y e r t r a n s p o r tl a y e rs e c u r i t y ) 【5 】等技术规范的建立，使得w e b 服务具备了满足应 用程序安全性需求的技术手段。 在w e b 服务安全的各种现有解决方案中，从消息级别上对w e b 服务安全进行 控制，已取得了一定的研究成果，但并不注重对安全框架的研究。 研究w e b 服务的安全框架，主要是研究w e b 服务的访问控制模型。访问控制 是一种内部保护机制。访问控制的目标就是要保证对资源的访问限于那些具有访问 权限的实体。计算机信息系统的访问控制技术最早产生于2 0 世纪6 0 年代，随后出 现了两种重要的访问控制技术：自主访问控制( d | a c ) 6 1 和强制访问控制( m a c ) r q 。 随着i n t e m e t 的发展和大型应用系统的不断涌现，对己有的访问控制模型提出 了新的挑战，目前主要的访问控制模型主要有以下几类： 自主访问控制 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l 。d a c ) 是根据自主访问控制策略建 立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻 止非授权用户访问客体。某些用户还可以自主地把自己所拥有的客体的访问权限授 予其它用户。自主访问控制模型的特点是授权的实施主体自主负责赋予和回收其他 主体对客体资源的访问权限。 强制访问控制 李建新：基于a g e n t 策略感知的w e b 服务安全框架研究 3 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l , m a c ) 是一种多级访问控制策略，它 的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体 和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受 控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。m a c 也 被称为基于格的访问控制( l a t t i c e - b a s e da c c e s sc o n a - o l ，l b a c ) 嘲。访问控制的两个 关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动，任 何违反非循环信息流的行为都是被禁止的。 访问矩阵模型 访问控制矩阵模型( a c c e s sm a t r i xm o d e l ) 是最基本的保护模型。1 9 6 9 年， l a m p s o n 提出了该模型，1 9 7 2 年，g r a h a m 和d e n n i n g 改进了该模型1 9 1 。1 9 7 6 由 h a t d s o n ，r u z z o 和u u r n a n 进行了形式化，因此也称为h r u 模型。1 9 9 2 年， s a a d h u 在h r u 中引入了强类型定义了t a m 模型l i 川。在此基础上，s a n d h u 提出了 t a m 的扩展模型a t a m u 】，允许检查控制矩阵中缺少的权限。2 0 0 5 年，z h a n g 等 人提出了基于属性访问矩阵( a a - i b u t e b a s e d a c c e s s m a t r i x m o d e l a b a m ) 1 2 o 直接实旌访问控制矩阵的方式在存储上缺乏效率，所以往往将控制矩阵分解成 行( 或列) ，将包含在行( 列) 中的权限分配给相应的主体( 客体) ，而相应的方法称为 能力表( c a p a b i l i t i e s l i s t ) 和访问控制列表( a c c e s s c o n t r o l l i s t ) 。 基于角色的访问控制 1 9 9 2 年，f e r r a i o l o 等人【1 3 】提出了基于角色的访问控制( r o l e - b a s e da c c e s s c o n t r o l ，r b a c ) 。r b a c 模型的基本思想是将访问许可权分配给一定的角色，用户 通过饰演不同的角色获得角色所拥有的访问许可权。 很多研究者在原有的r b a c 模型的基础上进行了扩充，提出了很多新的模 型，如：s a n d h u 等人【1 4 1 提出了著名的r b a c 9 6 模型族、管理模型a r b a c 9 7 1 1 5 1 和 a r b a c 0 2 1 悯、钟华等人提出了扩充角色层次关系模型( e x t e n d e dh i e r a r c h yr o l e - b a s e da c c e s sc o n t r o l ，e h r b a c ) r q 、t h o m a s 提出的基于组的访问控制( t e a m - b a s e d a c c e s sc o n t r o l , t m a c ) 1 啪、o i u r i 和i g l i o 提出的基于内容的访问控制( c o n t e n t - b a s e da c c e s sc o n t r 0 1 ) t 1 9 1 、c o h e n 和t h o m a s 等人结合r b a c ，t m a c 和t b a c 提出 了基于协作的访问控制模型( c o a l i t i o n - b a s e d a c c e s s c o n t r o l ，c b a c ) 2 0 i 等。 r b a c 模型的强大源于角色概念能够刻画大多数组织的运作方式，使对资源的 访问控制能更好地适应特定单位的安全策略。角色概念使得安全策略创建和维护的 4 扬州大学硕士学位论文 工作量减小。授权判定基于策略中的角色和角色具有的权限。 基于任务的访问控制 基于任务的访问控制( t a s k - b a s e da c c e s sc o n t r o l ，t b a c ) 是一种新的安全模 型，从应用和企业层角度来解决安全问题( 而非以往从系统的角度) 。由t h o m a s 和 s a n d h u 在9 3 年提出( 2 l 】。2 0 0 3 年，0 h 和p a r k 提出了基于任务和角色的访问控制 ( t a s k - r o l e - b a s e d a c c e s sc o n t r o l ，t - r b a c ) t 2 2 。 在t b a c 中，对象的访问权限控制并不是静止不变的，而是随着执行任务的 上下文环境发生变化。t b a c 是一种上下文相关的访问控制模型，不仅能对不同工 作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的 访问控制策略。t b a c 从工作流中的任务角度建模，可以依据任务和任务状态的不 同，对权限进行动态管理。 基于前提的访问控制 2 0 0 2 年，k u d o 等人在前提动作( p r o v i s i o n a la c t i o n ) 概念翻的基础上对基于前 提的访问控制模型( p r o v i s i o n - b a s e da c c e s sc o n t r o l ，p b a c ) 在模型、定义语言、算 法，机制方面进行了完善洲。 前提授权的主要思想是告诉用户“如果他的请求被授权，前提是他必须在授权 前执行某种动作( 如签名) ”。例如“你被允许读取敏感信息，但是你必须先在相应 的条款上签字”。该模型将访问控制策略和必要的加密操作结合起来，可以定义与 访问控制策略共存的任意动作( 如加密操作) 。 基于对象的访问控制 e s s m a y r 等人在1 9 9 6 年提出面向对象的访问控制( o b j e c t - o r i e n t e da c c e s s c o n t r o l ，o o a c ) 的概念闭，2 0 0 3 年，杨洋提出了基于受控对象的访问控制模型 ( o b j e c t - b a s e d a c c e s sc o n t r 0 1 0 b a c ) 1 2 6 。 o b a c 从受控对象的角度出发。将访问控制列表与受控对象或受控对象的属 性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合：同时 允许对策略和规则进行重用、继承和派生操作。这样，不仅可以对受控对象本身进 行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象 的访问控制设置，降低了授权数据管理的复杂性。 基于规则的访问控制 2 0 0 2 年，a l - k a h t a n i 和s a a d h u 在年度计算机安全应用大会上提出了一个基于 李建新：基于a g e n t 策略感知的w e b 服务安全框架研究 5 属性的用户角色分配模型和语言，称为基于规则的r b ( ， 。也在该会议上提出了对企业, a c 模r u 型l e - b ( a s e d r b a c rb-rbac)127j k e r nr b a c e n t e r p r i s er b a c ， e r b a c ) 的改过 增强的e r b a c 模型( e n h e n c e de r b a c ) 2 8 1 。 基于规则的访问控制的主要思想是用户权限的获取通常是基于某些事实。这些 事实可能是所在组织、职位、地点等。通过组合这些因素就可以定义权限。这些因 素定义了与访问控制决策相关的约束或值，而规则根据这些因素定义了系统的授权 行为，授权关系根据这些因素的变化而被分配或者撤消。 从上述的分析表明：目前对访问控制模型的研究已经取得了一定的成果，但现 有的访问控制模型却不适用于处于开放系统环境下的w e b 服务。目前的w e b 服务 安全技术并不成熟，新兴的规范和标准在不断出现。我们在吸取了一些相对成熟的 技术优点的基础上，提出了一个基于a g e n t 2 9 , 3 0 l 策略感知的w e b 服务安全框架( a l l a g e n t - b a s e dp o l i c ya w a r ef r a m e w o r kf o rw e bs e r v i c e ss e c u r i t y , a p f w s s ) 。这是解决 w e b 服务安全的一个较好的方案：一方面，在不该变现有的w e b 服务体系的情况 下，加入基于规则的访问控制，是对现有w e b 服务体系结构的扩充，具有灵活 性，松耦合等特性；另一方面，使用a g e n t 代理w e b 服务，使锝w e b 服务具有自 主性、自适应性，能够在不修改w e b 服务自身的同时，动态的调整其行为。 本文围绕着w e b 服务安全框架研究展开，首先确定总体架构，详细介绍了访 问控制的机制，其次给出了基于规则和本体的安全策略的描述及其混合推理机制， 然后给出了策略感知的b o i da g e n t 结构及其管理框架，最后给出了原型系统的设 计和实现。 1 3 解决方案和论文的工作 定义基于情境信息且具有语义的安全策略来控制系统行为的方式是一种比较复 杂的任务，需要合适的表示方法来描述与策略相关的情境信息和策略本身。当前的 策略定义方法呈现了两种趋势：基于规则的方法和基于本体的方法。而本文在结合 这两种方法的基础上，提出了基于规则和本体的策略语言r e i t ，并将其应用到 w e b 服务的访问控制中，提出了基于r e i t 策略语言的自适应的w e b 服务安全框 架，为在普适计算【3 1 】环境下，解决资源的访问控制，提供了一种有效的手段。 本文的工作主要包括以下四个方面： 基于a g e n t 策略感知的w e b 服务安全框架； 基于规则和本体的r e i t 策略语言及其混合推理模型； 6 扬州大学硕士学位论文 策略感知的b o l d a g e n t 模型及其管理框架； a p f w s s 原型系统的设计和实现。 1 4 论文的组织结构 本文围绕着对基于a g e n t 策略感知的w e b 服务安全框架的研究展开，全文分 为六章，具体组织如下： 第一章引言。本章主要介绍w e b 服务安全的研究背景；目前的研究现状、存 在的问题及解决方案；概括本文的主要工作；说明论文的整体结构； 第二章基于a g e n t 策略感知的w e b 服务安全框架。本章主要介绍基于a g e n t 策略感知的w e b 服务安全框架，该框架符合i e t f 策略管理的通用框架标准，具 有较好的松耦合性，综合了用户及w e b 服务的情境信息，对环境具有一定的自 适应性，使用a g e n t 来代理w e b 服务，使得w e b 服务具有一定的自主交互能 力； 第三章基于规则和本体的r e i t 策略语言和混合推理模型。本章首先介绍 r e i t 策略语言的规范，包括规则部分和时间本体部分，其次介绍如何使用x m l 3 2 和o w l i 3 3 j 4 来表示r e i t 策略。然后针对r e i t 策略语言的特点，介绍基于规则和 本体的混合推理模型及其实现； 第四章策略感知的b o l da g e n t 模型及管理框架。本章提出了策略感知的 b o l da g e n t 模型，使得a g e n t 的外部行为受内部心智状态和外部策略的共同约 束，并在j a d e 3 s l 平台的基础上提出了策略感知的b o l da g e n t 的管理框架，通过 实例说明了策略感知的b o i da g e n t 行为的产生机制； 第五章a p f w s s 原型系统的设计和实现。本章绘出了基于a g e n t 策略感知的 w e b 服务安全框架原型系统的设计和实现，并通过应用举例验证了该框架的合理 性： 第六章总结与展望。本章主要是总结本文的主要工作，包括主要结论以及作 者的主要贡献，最后指出了进一步研究的方向和课题。 李建新：基于a g e n t 策略感知的w e b 服务安全框架研究 7 2 基于a g e n t 策略感知的w e b 服务安全框架 2 1 引言 目前，以w e b 服务为代表的软件服务及软件服务协同已成为一种新兴的w e b 应用形态。应用系统表现为由多个w e b 服务组成的动态协作系统，而w e b 服务本 身也可由其他w e b 服务动态组合而成。系统形态正从面向封闭的、熟识用户群体 和相对静态的形式向开放的、公共可访问的和动态协作的服务模式转变。新的软件 应用形态打破了传统的安全技术假设，软件系统的开放性、分布性和协作性与系统 安全的内在要求：封闭、集中和独立相抵触，w e b 服务的安全问题变得愈来愈复 杂和难以处理。因为信息可能被盗、丢失和篡改。对这些以服务形式分布在w e b 上的资源进行访问控制，是w e b 服务应用得以实施的必要保证。 对于访问控制，目前有很多比较成熟的模型，如基于角色的访问控制、基于任 务的访问控制、基于前提的访问控制等。在r b a c 模型中，访问控制依赖用户的 角色，但现有的w e b 服务在开放环境下缺乏对用户角色的统一管理。在t b a c 模 型中，采用“面向任务”的观点，从应用而不是从系统的角度来建立安全模型。在 p b a c 模型中，授权的前提是用户必须执行一定的动作。但现有的w e b 服务并没 有对用户提供统一的管理及动作的验证。上述三种访问控制模型主要是针对静态封 闭的环境，无法满足开放系统环境下w e b 服务对访问控制的需求。 针对w e b 服务自身特点的访问控制模型，应满足如下需求：针对w e b 服 务的访问控制，应该具有一定的灵活性和可扩充性，有着良好的松耦合特性； w e b 服务的访问控制应该具备动态可调整的能力，因为在开放系统环境下，w e b 服务所处的环境及其自身的状态是不断变化的，需要处理许多动态的特性，如状 态、行为等；w e b 服务应该具有一定的自主性，能够调整自身的状态和行为， 具有一定的交互能力。针对以上需求，我们提出了基于a g e n t 策略感知的w e b 服 务安全框架。 2 2 相关技术 2 2 1w 曲服务模型 w e b 服务是一种新型的w e b 应用程序。它是自适应、自我描述、模块化的 应用程序，可以使用标准的互联网协议，将功能体现在互联网和企业内部网上。 8 扬州大学硕士学位论文 这些应用程序可以跨越w e b 进行发布、定位和调用，可将w e b 服务视作基于 w c b 的组件程序。 现有的w e b 服务体系结构 3 6 1 基于三个角色之问的相互作用，这三个角色 是：服务提供者( s e r v i c ep r o v i d e r ) ，服务注册中心( s e r v i c er e g i s t r y ) 和服务请求 者( s e r v i c er e q u e s t o r ) 。服务提供者提供服务及服务的描述，这三个角色之间的相 互作用关系如图2 1 所示： 图2 iw e b 服务角色关系图 这三个角色之间的相互作用包括发布( p u b l i c a t i o n ) 、发现( d i s c o v e r y ) 和绑定 ( b i n d i n g ) 等操作。现有的w e b 服务由一系列的标准组成，主要由以下的三个重 要标准：s o a p ，w s d l 和u d d l l 3 ”。 现有的w e b 服务虽然具有很多优点，但是由于受对象的被动性和对象间协 同方式单调性的限制，使得现行w e b 服务平台主要存在以下两个方面的不足： w e b 服务的自主性、自适应性和个性化欠缺。即w e b 服务的行为方式通 常是被动和固定的，难以在动态开放的网络环境中根据使用情境( 包括使用者和 网络环境两个方面) 提供个性化的服务。这样的被动服务在静态封闭的环境中还 能满足需求，但在开放的i n t e m e t 环境中，难以有效地适应开放系统环境所要求 的实体的主体性和服务方式个性化等特点； w e b 服务问协同方式的单调性和网络适应性欠缺。w e b 服务实体及其 w e b 服务间经典的协同方式是过程调用和对象允引，这种在静态和封闭环境演变 而来的单调协同方式难以适应在i n t e r n e t 开放网络环境下的有机协同，难以适应 开放网络环境与个性化使用信息和软硬件资源方式的需求。 2 2 2a g e n t 技术 李建新：基于a g e n t 策略感知的w e b 服务安全框架研究 9 a g e n t 技术最早出现于2 0 世纪7 0 年代的人工智能领域，到2 0 世纪8 0 年代 末，软件工程领域提出了软件a g e n t 的概念。在有关a g e n t 特性的研究中，最为 经典和广为接受的是w o o l d r i d g e 3 s 等人提出的有关a g e n t 的“弱定义”和“强定 义”的讨论。弱定义指出了一个a g e n t 应具备的最基本的特性，a g e n t 的弱定义 是将a g e n t 定义为具有如下特性的计算机软件或硬件系统：自主性( a u t o n o m y ) ， 社会性( s o c i a la b i l i t y ) ，反应性( r e a c t i v i t y ) 和预动性( p r o - a c t i v e n e s s ) 。 智能化和网络化的发展促成了软件a g e n t 技术的发展，软件a g e n t 作为一种 软件中间件，为解决异构网络环境下分布式应用软件的互连与互操作提供了一种 有效的解决方案，它可屏蔽实现细节，提高应用系统的易移植性，对应用软件的 开发和运行提供更为直接和高效的支撑。使用软件a g e n t 来完成用户与w e b 服 务之间的交互，其优点在于： 将w e b 服务的功能独立于w c b 服务问的交互协议和协同方式，有利于 w e b 服务功能体的实现； 软件a g e n t 将所代理的w e b 服务的功能体与外界隔离，能够有效地保障 w e b 服务的功能体的安全。 2 3 基于a g e n t 策略感知的w e b 服务安全框架( a p f w s s ) 针对现有的w e b 服务的不足，我们引入a g e n t 及其会话1 3 9 于w e b 服务中，使 w e b 服务具有a g e n t 的自主性和交互能力。在i e t f t 4 0 提出的通用的策略管理框架 上，提出了基于a g e n t 策略感知的w e b 服务安全框架，如图2 2 所示： 圄圄 罂竺ji 鬯 q 产6 ( 里一 日 图2 2 基于a g e n t 策略感知的w e b 服务安全框架 1 0 扬州大学硕士学位论文 在该框架中