（计算机软件与理论专业论文）基于属性的web服务访问控制模型.pdf

重庆大学硕士学位论文 中文摘要 摘要 作为一种新型的分布式计算模型，w e b 服务极大地推动了b 2 b 应用的发展。 因为w e b 服务是基于通用的协议和技术实现的，所以它具有强大的互操作性： w s d l 用来描述发布的接口；u d d i 用来发布和定位w e b 服务；s o a p 用来封装 w e b 服务的消息；h 1 v r p 和s m t p 在网络上传输消息。但网络的开放性使w e b 服 务非常容易受到安全性方面的威胁，而h 订p 协议更是加重了这种情况。所以， 防止w e b 服务被非法地访问及恶意地调用就变得非常重要。 论文针对w e b 服务的访问控制问题，首先分析了w e b 服务及面向服务体系架 构( s o a ) 在访问控制方面的挑战，指出了现有安全机制的缺陷。传统的访问控制模 型，如访问控制列表( a c l ) 、基于角色的访问控制( r b a c ) 等，大都是静态的、粗 粒度的，不能很好地应用在面向服务的环境中，因为该环境中的访问都是动态的、 临时的。接着论文提出了一种基于属性的访问控制模型( a b a c ) ，它基于主体、客 体和环境的属性，采用动态的、细粒度的机制进行授权。该模型使用可扩展访问 控制标记语言( e x t e n s i b l e a c c e s sc o n t r o lm a r k u pl a n g u a g e ，x a c m l ) 来描述访问控 制标准，并结合安全声明标记语言( s e c u r i t y a s s e r t i o n m a r k u pl a n g u a g e ，s a m l ) 和 x a c m l 来完成分布式系统的授权要求。在客户端，用户的属性信息以s a m l t o k e n 的形式封装在s o a p 消息的头部中，与s o a p 消息内容一起构成s o a p 信封。在 服务器端，扩展后的s o a p 引擎负责对s o a p 消息进行解析和验证以获取用户提 供的属性信息。新的模型更加灵活，特别适合应用于动态的w e b 服务环境。论文 详细描述了基于属性的访问控制模型( a b a c ) 的授权框架和策略规范，并对a b a c 和传统访问控制模型进行了比较。论文最后通过一个基于标准协议和开源工具的 实现，展示了新的模型如何保护w e b 服务。 论文提出的基于属性的访问控制模型( a b a c ) 相比传统模型具有以下优势： ( 1 ) 能够直观地管理现实世界中的访问控制策略； ( 2 ) 基于s a m l 和x a c m l 标准，具有更强的互操作性： ( 3 ) 能够更加灵活地描述复杂的、细粒度的访问控制语义，特别适合动态的 w e b 服务环境。 关键词：w e b 服务，访问控制，s a m l ，x a c m l 重庆大学硕士学位论文英文摘要 a b s t r a c t a san e wm o d e lf o rd i s t r i b u t e dc o m p u t i n gw 曲s e r v i c e si m p r o v et h eb 2 b a p p l i c a t i o n sd e v e l o p m e n tg r e a t l y b e c a u s eo f t h ei m p l e m e n t a t i o nb a s e dg e n e r a lp r o t o c o l a n dt e c h n o l o g y , w e bs e r v i c e sa r ei n t e r - o p e r a b l e ：t h ew s d l p r o t o c o li su s e dt od e s c r i b e p u b l i s h e di n t e r f a c e s ，t h eu d d ip m t o c o li su s e dt op u b l i s ha n d l o c a t ew e bs e r v i c e 3 ，t h e s o a pp r o t o c o le n c a p s u l a t e st h et r a n s f e r r i n gm e s s a g e sb e t w e e nw e bs e r v i c e s ，a n dt h e h t r po rs m t pp r o t o c o l st ot r a n s p o r tm e s s a g e si nt h ei n t e r n e t t h eo p e n n e s so ft h e i n t e m e tm a k e sw e bs e r v i c e sv u l n e r a b l et 0s e c u r i t ya t t a c k i n g , a n dt h eh r r pp r o t o c o l a g g r a v a t e st h i ss i t u a t i o n s o i ti si m p o r t a n tt 0p r e v e n tw e b s e r v i c e sf r o mu n a u t h o r i z e d a c c e s s e sa n dm a l i c i o u si n v o k i n g i nt h i sp a p e r , t h ea c 傥s sc o n 仃o lf o rw 曲s e r v i c e sa l ef i x e do na n ds t u d i e d f i r s t , a c c e s sc o n 订o lc h a l l e n g e sf o rw e bs e r v i c e sa n ds o a a l eo u t l i n e d , a n dd e f e c t so f c u r r e n t i n f o r m a t i o ns e c u r i t ym e c h a n i s m sa r es u r v e y e d t h ea c c e s sc o n t r o lm o d e l st o d a y , s u c h a sa c c e s sc o n t r o ll i s t ( a c l ) a n dr o l e - b a s e da c c e s sc o n t r o l ( r b a c ) a r em o s t l ys t a t i c a n dc o a r s e l yg r a i n e da n dt h e ya r en o tw e l l - s u i t e df o rt h es e r v i c e - o r i e n t e de n v i r o n m e n t s w h e r ei n f o r m a t i o na c c e s si sd y n a m i ca n dm - h o ei nn a t l l l 屯t h e na na t t r i b u t e - b a s e d a t x 嘲sc o n t r o l ( a b a c ) m o d e li sp r o p o s e d , w h i c ha d o p t e dt h ea u t h o r i z a t i o nm e c h a n i s m d y n a m i c a l l ya n df i n e - g r a i n e db a s e d0 1 1s u b j e c t , r e s o u r c ea n de n v i r o n m e n ta t t r i b u t e s i t u 螂x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) f o rt h ed e s c r i p t i o no f a c c e s sc o n t r o lc r i t e r i aa n dc o m b i n e st h ep o w e ro fx a c m la n ds a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ) t oc o m p l e t ead i s t r i b u t e ds y s t e m sa u t h o r i z a t i o nn e e d s u s e r sa t t r i b u t ei n f o r m a t i o ni se n c a p s u l a t e di nt h es o a ph e a d e ri ns a m lt o k e nf o r m a tc l i e n ts i d e t h es o a pm e s s a g ew i t hs a m lt o k e ni ni t sh e a d e rw i l lb ep a r s e da n d v f l i d a t e db ye x t e n d e ds o a pe n g i n ea ts e n ，盯s i d e t h en e wm o d e li sm o r ef l e x i b l e w h i c hi se s p e c i a l l ys u i t a b l ef o rt h ed y n a m i c , a d - h o ce n v i r o n m e n tf o rw e bs e r v i c e s 1 1 l e p a p e rd e s c r i b e st h ea b a c m o d e li nt e r m so fi t sa u t h o r i z a t i o na r c h i t e c t u r ea n dp o l i c y f o r m u l a t i o n ,a n dm a k e sad e t a i l e dc o m p a r i s o nb e t w e e na b a ca n dt r a d i t i o n a l r o l e - b a s e dm o d e l s w h i c hd e a r l ys h o w st h ea d v a n t a g e so fa b a c f i n a l l y , t h ep a p e r d e s c r i b e sh o wt h i sn e wm o d e lc a nb ea p p l i e dt os e c u r i n gw e bs e l - v i c 詹i n v o c a t i o n s w i m a ni m p l e m e n t a t i o nb a s e do ns t a n d a r dp r o t o c o l sa n do p e n s o u r c et o o l s t h ea t t r i b u t e - b a s e da c c e s sc o n t r o lm o d e li n t h i sp a p e rh a sm a n ya d v a n t a g e so v e r t r a d i t i o n a lm o d e l s ： 重庆大学硕士学位论文 英文摘要 ( 1 ) i ti si n t u i t i v et om o d e la n dm a n a g e r e a l - w o r l da c c e s sc o n t r o lp o l i c i e s ； ( 2 ) i ti sb a s e do ns a m l a n dx a c m l , w h i c hi sm o r ei n t e r - o p e r a b l e ； ( 3 ) i ti sm o r ef l e x i b l ea n dm o r ep o w e r f u lt od e s c r i b ec o m p l e x ，f i n e - g r a i n e da c c e s s c o n t r o ls e m a n t i c s w h i c hi se s p e c i a l l ys u i t a b l ef o r t h ed y n a m i c ，a d h o ce n v i r o n m e n t sf o r w 曲s e r v i c e s k e y w o r d s ：w e bs e r v i c e s ，a c c e s sc o n t r o l ，s a m l , x a c m l i n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重宏盔堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：森竞签字日期：a 年又月彳日 学位论文版权使用授权书 本学位论文作者完全了解重麽态堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人援权 重麽盘堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密( ) ，在年解密后适用本授权书。 本学位论文属于 不保密( ) 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：噱彘 签字日期：跏彳年仅月日 导师签名： 渤弼 扩 签字e t 期：玉”6 年，2 月6 日 重庆大学硕士学位论文1 绪论 1 绪论 1 1 引言 当今电子商务发展的重心已经完全从过去的c o m 的模式转向到传统企业的 电子商务化的进程中来。由于商务环境和商务需求的不断改进和不断变化，这些 电子商务应用不可避免地需要被修订、需要被更新，以符合新的电子商务流程。 应用更新便成为当今电子商务应用部署所面临的一大问题，而基于x m l 技术的 w e b 服务正是解决这一问题的最佳手段。w e b 服务是一种新的分布式计算模型， 具有简单、跨平台、松散耦合的特点，能够在各种异构平台的基础上构筑一个通 用的、与平台无关的、与语言无关的技术层，使各种不同平台之上的应用方便地 实施连接和集成。w e b 服务是一种部署在w e b 上的组件，它统一地封装了信息、 行为、数据表现以及商务流程，无需考虑应用的环境使用何种系统和设备。w e b 服务的使用者通过s o a p ( s i m p l e0 b j e c t a c c e s sp r o t o c 0 1 ) 消息和w e b 服务通信。 各种w e b 服务组件分别实现一定的电子商务功能，通过将各种电子商务的w e b 服 务进行组合和集成可以创建动态电子商务应用。由于对w e b 服务的调用采用完全 标准的x m l 及相关技术，也可以大大降低系统部署和集成的费用，流程的更改也 无需更改大量代码。随着新的w e b 服务技术，如w s d i 【m d i ，w s f l 的大量使用， w e b 服务在运行时进行动态装配将逐步成为现实，甚至可以应用户的需要实时装 配。w e b 服务为电子商务的进一步发展提供了坚实的技术基础。 由于w e b 服务在设计时尽可能多地考虑了简单性，以便能够跨越不同的平台， 在安全方面没有引入自己的安全机制，而是更多地依赖已有的安全设施。然而传统 的安全机制，如s s l ，只能在传输层提供点到点的安全，不能满足w e b 服务端到 端的要求。w e b 服务的安全问题不能很好地解决将直接影响其推广。因此，各大 技术组织和技术领导者都在对w e b 服务的安全性进行研究，一系列相关的规范也 陆续出台，包括w s s e c u r i t y 、s a m l 、x a c m l 等。这些规范提供了一个基础， 在这个基础上能够跨多个信任域，从而建立安全的、可互操作的w e b 服务。 目前在w e b 服务的安全性上仍然存在很多具体的问题有待解决，如何实现有 效的访问控制便是其中之一，它主要指如何选择利用已有的访问控制策略结合 w e b 服务自身的特点来实现w e b 服务的访问控制。在面向服务的，高度动态的环 境中共享信息会面l 临相当严峻的安全性挑战。一方面，相互协作的系统之间要求 信息能够被需要他的用户方便地访问；另一方面，只能允许已授权的用户检索和 操作敏感、机密的数据。当前的信息安全机制很难平衡这两方面的要求。因此， 需要一个灵活的、动态的、细粒度的访问控制模型来确保w e b 服务的安全性。 重庆大学硕士学位论文i 绪论 1 2 研究目的和意义 在面向服务的环境中，信息的访问通常是动态的。传统电子商务环境下的访 问控制模型，如访问控制列表( a c l ) 、基于角色的访问控制( r b a c ) 等，都是 静态的，粗粒度的，所以他们并不能很好地在面向服务的环境中应用。论文课题 的研究目的是针对w e b 服务环境的特点，设计实现一种灵活的、动态的、细粒度 的w e b 服务访问控制模型。与传统的访问控制模型不同，新的模型将基于主体、 客体和环境的属性，采用动态的、细粒度的机制进行授权，而不是仅仅参考主体 的身份和角色信息。新的访问控制模型将结合s a m l 和x a c m l 标准，使其具有 更好的互操作性。 w e b 服务的安全性是制约其发展的关键因素，有效的访问控制机制对w e b 服 务至关重要。通过课题的研究，提出一个新型的基于属性的w e b 服务访问控制模 型，解决现有访问控制模型在w e b 服务环境中存在的问题，从而使w e b 服务的安 全性得到更好的保障。论文课题的研究，不论是说对访问控制理论的发展，还是 说对基于w e b 服务的电子商务安全解决方案都提供了理论贡献和经验积累，具有 一定的科学意义和实用价值。 1 3w 曲服务安全性研究及发展现状 1 3 1x m l 数字签名( x m l d i g i t a ls i g n a t u r e ) x m l 数字签名【l 刃已经应用了相当长一段时间，任何数字化内容都可以用公钥 密码标准进行数字签名。比如在安全多用途i n t a n c t 邮件扩展允许将数字签名附 加到电子邮件消息上，这样接收方就可以验证签名者的身份。 x m l 签名是对现有数字签名基础设施的扩展。在数字签名周围建立一些结 构，这样就可以用x m l 文档的形式来表现数字签名。 x m l 签名可以用于对包括x m l 文档在内的任何数据内容进行签名。对文档 内容进行签名的过程分为两个阶段。在第一阶段中，对要进行签名的内容进行整 理，得到的结果放在一个x m l 元素中，也就是对x m l 数据内容进行规格化处 理。第二阶段是挑选出经过整理的值，并对其进行签名。这样做的原因非常简单： 对原始内容进行整理之后，可以得到一个很小的但是唯一的加密结果( 称为摘要) ， 这样比对原始内容进行签名花费的时间少。 当x m l ( 或其中的一部分) 经过数字签名之后，得到的x m l 签名用一个 x m l 元素表现出来，这个元素的标识是 ，最初的内容与这个数字签名 的关系基于下面几种x m l 签名类型： 封外签名( e n v e l o p i n gs i g n a t u r e ) 元素中包含了进行数字签名的元素。被签名的元素成为了 2 重庆大学硕士学位论文1 绪论 元素的子元素。 封内签名( e n v e l o p e ds i g n a t u r e ) 元素成为被签名数据的子元素。 元素通过它其中的 元素提供的信息引用被签名的元素。 分离签名( d e t a c h e ds i g n a t u r e ) 元素与被签名的元素各自独立存在。被签名的元素和 元素可以同属于个文档，或者， 元素也可以在另一个完全不同的文 档中。 除了引用被签名的数字内容之外， 元素还包括下面的信息： 用于使数字内容规范化的方法； 为待签名的规范化元素生成签名的算法； 指定在整理之前如何处理待签名元素的附加信息。 1 3 2x m l 加密( x m l e n c r y p t i o n ) x m l 加密f 1 9 1 为需要安全交换结构化数据的应用程序提供了一种端到端的安 全性。x m l 本身是对数据进行结构化的最流行技术，因此基于x m l 的加密成为 处理应用程序间安全传递消息等复杂需求的方法。 当前，传输层安全性( t m n s l m r tl a y e rs e c u r i t y ( t l s ) ) 是因特网上安全通信的 事实标准。t l s 是继著名的安全套接字层( s s l ) 之后的端到端安全性协议。x m l 加密( x m l e n e r y p t i o n ) 无意替换或取代s s i ，r l s 。相反，它提供了用于s s l 未 涵盖的安全性需求的机制。以下是两个s s l 未涉及的重要领域： 加密交换数据的一部分； 多方( 不止两方) 之间的安全会话。 x m l 加密的目标包括： 支持对任意数字内容的加密，包括x m l 文档； 确保经过加密的数据不管是在传输过程中还是在存储时，都不能被未经授 权的人员访问到： 即便在消息传送中的每一跳，都能维持数据的安全性：不仅数据正在传输 的过程中要保证安全性( 这就是s s l 所作出的保证) ，当数据在某个特定的节点 停留的时候，也要保证其安全性； 以x v l l 形式表现被加密的数据； 对x m l 文档中的一部分内容进行加密。 经过加密的x m l 数据应该用x m l 的形式表现。在得到的x m l 文档中， 有两个重要的元素值得理解清楚： 和 。 中包含除加密密钥之外所有经过加密的内容。当对加密密钥进行 3 重庆大学硕士学位论文1 绪论 加密的时候，得到的结果就放置在 元素中。 除了加密过的内容以外，x m l 加密还允许指定用于加密的算法，或者是加入 用于加密的密钥。不需要将它们分别保存，也可以在后续引用这些数据；或者通 过其他传输机制发送给接收方。 使用x m l 加密，可以在同一文档中交换安全的和非安全的数据。x m l 的加 密方式包括文档加密、元素加密和元素内容加密。 整篇文档加密 倘若使用x m l 加密方法对整个文档加密，最后得到整个x m l 文档加密后 的文件。在文件中采用 和 标记。实际加密的数据作为 标记的内容出现。整个 元素出现在一个 元素内。 元素加密 使用x m l 加密对x m l 文档中的单个元素加密，那么在加密后的文档中既包 含x m l 加密模式又包含来自源文档中原始数据的元素。x m l 加密后的结果被嵌 入到用户的x m l 文档中。 元素内容加密 加密元素的内容的加密方式是指在对x m l 文档进行加密的过程中，只对文档 中的属性标记中的内容进行加密，而对整篇文档无作用，加密的是特定的属性标 记下的内容。 1 3 3w 曲s e r v i c e ss e c u r i t y ( w s s e c u r i t y ) 为了加强w e bs e r v i c e s 的安全性，i b m 、m i c r o s o f t 、v e r i s i g n 公司于2 0 0 2 年 4 月5 日联合发布了w e bs e r v i c e ss e c u r i t y ( w s s e c u r i t y ) 1 0 规范草案，在草案 的基础上，o a s i s 于2 0 0 4 年4 月正式推出w e bs e r v i c e ss e c u r i t y ( w s s ) 1 0 标准 规范。由于s s l 只能对全部的信息进行加密，除了性能问题外，它只能保证点对 点( p o i n tt op o i n t ) 的安全，而无法完成端对端( e n dt oe n d ) 的安全，而w s s e c u r i t y 则能提供端对端的安全，在w e bs e r v i c e s 中这一点是很重要的。 概括地讲，w s s e c u r i t y 规范【19 】实际上是对s o a p 协议的扩展，它通过消息完 整性、消息机密性和单独消息认证这3 个方面完成使应用程序或组件能构建安全 的s o a p 消息交换的目标。也就是在w e bs e r v i c e s 环境下，如何利用x m l e n c r y p t i o n 和x m ls i g n a t u r e 来对s o a p 消息进行加密和签名，确保消息的机密性 和完整性。w s s e c u r i t y 还提供了将安全令牌( x 5 0 9 证书或k e r b e r o s 票据等) 和 消息关联起来的通用机制。另外，此规范并没有提出新的加密算法或安全模型， 它只是提出了一套可以用于构建一系列安全协议的灵活机制，不刻意去描述显示 确定的安全协议。开发人员可以根据自己系统的要求，自由地将各种协议、加密 4 重庆大学硕士学位论文i 绪论 技术、安全模型结合起来，以实现w e bs e r v i c e s 环境下消息的完整性、保密性和 消息的认证。需要说明的是，w e bs e r v i c e s 安全问题并不仅仅是一个w s s e c u r i t y 规范就能解决的，例如信任关系的建立等也都有相应的规范w s t r u s t ，但重要的 是，w s s e c u r i t y 是这些高层规范的基础。 2 0 0 2 年4 月，i b m 和m i c r o s o f t 联合发布了他们的“s e c u r i t y i n a w e bs e r v i c e s w o r l d ”文档，定义了w e bs e r v i c e s 安全框架。w 曲s e r v i c e s 允许不同公司的软件 在一起通信，它们在不同的平台和编程语言之上提供一个抽象层，允许不同系统 以松散藕合的方式进行通信。除了使用不同平台和编程语言之外，通信公司还可 以使用不同的安全技术。一个公司可以使用k e r b e r o s ，而另一个公司可以使用 x 5 0 9 证书。就象w e bs e r v i c e s 架构为公司提供了一个抽象层以连接他们的商业 逻辑一样，i b m m i c r o s o rw e bs e r v i c e s 安全路线图也为使用不同安全技术的公司 提供了一个抽象层，可以安全地使用s o a p 进行通信，这个抽象层不仅意味着现 有的安全基础结构可以用于w e bs e r v i c e s 安全，而且意味着可以加入新的安全技 术。i b m m i c r o s o f lw e bs e r v i c e s 安全路线图如下所示： e 弓 弓e 弓 习 i 图1 1w e bs e r v i c e s 安全路线图 f i g1 ir o a d m a po f w e bs e r v i c e ss e c u r i t y 从图中可以看出，规范是从下至上产生的。s o a p 在图的底部，s o a p 独立于 传输层，可以通过多种传输协议实现消息传送。w s s e c u r i t y 位于s o a p 的上面， 它提供了使用) 。l 签名和x m l 机密技术加密和签名一部分s o a p 消息的方法， 以及将安全令牌封装在s o a p 消息中以表示声明的方法。它是上层规范的基础。 w s s e c u r i t y ：该规范定义了如何将元素添加到一条s o a p 消息，这条 s o a p 消息有助于保护在企业应用程序之间交换的消息的完整性和机密性，并且提 供了将发送者身份和消息关联在一起的方法。 w s p o l i c y ：该规范描述了决定企业应用程序必须如何与另一个企业应用 程序集成在一起的业务、安全性、隐私权和信任策略。 重庆大学硕士学位论文1 绪论 w s - t r u s t ：该规范描述了如何在w e b 服务环境中建立企业之间的信任关 系。 w s p r i v a c y ：该规范描述了如何把隐私权策略以及首选项与w e b 服务相 关联。 w s s e e u r e c o n v e r s a t i o n ：描述了如何将集合消息作为更复杂的企业事务的 一部分安全地交换。 w s f e d e r a t i o n ：描述了一个模型，该模型用于把不兼容的安全性机制，或 部署在不同域中的、类似的机制集成在一起。例如，如果两个m m 业务伙伴都实 现基于p k i 的身份基础架构，或者如果其中一个伙伴碰巧实现了k e r b e r o s 系统， w s f e d e r a t i o n 规范将提供一个关于如何应用w e b 服务技术把那些系统联系到一起 的指南。 w s - a u t h o r i z a t i o n ：描述了如何在w e b 服务基础架构中提供应用程序授权 请求和决定。 m m 公司和微软公司分别实现了w s s e c u r i t y ，并提供了相应的开发工具。m m 公司提供的工具套件是w s t k ( w e b 服务工具套件) 。微软公司最新的开发工具包 是w e bs e r v i c ee n h a n c e m e n tv 1 0 ( w s e l o ) 。但这两种实现都只是实现了相应的协 议规范，没有将安全性集成于服务的底层。它们都没有实现w e b 服务的可控管理， 以及w e b 服务的访问控制等功能。同时，安全性的实现对于开发人员不是透明的， 需要进行大量的配置工作。 1 4 论文的组织 本论文其余部分的组织如下： 第二章是关于w e b 服务的理论和技术的阐述，着重介绍了w e b 服务的概念、 优点、应用范围及其相关的协议和技术，包括s o a p 、w s d l 、u d d i 、w s - s e c u r i t y 等。 第三章对访问控制技术作了简要介绍，并讨论了几种常见的访问控制模型， 包括自主访问控制( d a c ) 、强制访问控制( m c ) 和基于角色的访问控制模型 ( r b a c ) 第四章首先分析了w 曲服务及面向服务体系架构( s o a ) 在访问控制方面的挑 战，指出了现有安全机制的缺陷，接着提出了一种基于属性的访问控制模型 ( a b a c ) ，它基于主体、客体和环境的属性，采用动态的、细粒度的机制进行授权。 最后将基于属性的访问控制模型( a b a c ) 与基于角色的访问控制模型( r b a c ) 进行 了比较。 第五章详细介绍了基于属性的w e b 服务访问控制模型的体系架构，以及 6 重庆大学硕士学位论文1 绪论 s a m l 和x a c m l 标准在该体系架构中的应用。 第六章演示了如何通过标准协议和开源工具实现基于属性的w e b 服务访问控 制模型。 最后在结论部分对论文的研究工作进行了总结，并给出了下一阶段的研究方 向。 1 5 本章小结 本章首先介绍了对w e b 服务的安全性进行研究的必要性，并对w e b 服务安全 性的研究及发展现状作了简要介绍，最后阐述了本文的主要研究内容以及余下各 章节的内容安排。 7 重庆大学硕士学位论文 2w e b 服务概述 2 w e b 服务概述 2 1 为什么需要w 曲服务 2 1 1 面临的挑战 企业的电子商务化，模式是否崭新是次要的，而是否能为企业带来经济利益 则是主要的。在规划企业的电子商务应用的时候，企业管理人员和系统架构师更 多的关注该电子商务应用是否能为企业带来直接的经济收益、是否有利于削减掉 某方面的开支成本、是否能够优化资源使用，这些完完全全是由企业的商业利益 驱动的，在这一轮的电子商务发展中，技术完全是为商业服务的，任何脱离商业 需求的新技术则必然是毫无用武之地。 在过去几年中，电子商务应用的开发主要是以技术为主导来决定系统构架和 解决方案，其中多数是一次性地开发和实施的，很难再进行应用的扩展或与别的 商务系统进行集成。所以企业之间的电子商务实施后基本上是静态的，很少更改 数据交换协议。而这些原有的系统的解决方案面对当今的电子商务的新的要求的 时候再用原有的解决方案的话则显得束手无策。这些新要求主要面对应用的更新， 例如，经常会增加新的电子商务应用，这常常会每几个星期或每几个月发生一次； 经常会对电子商务的流程进行更改，这常常每周或每几天发生一次：经常应用户 的需求而进行更改，这甚至每个小时都会发生，尤其是当需要为每个客户、每个 合作伙伴或每个企业员工都定制其首选的电子商务应用的时候。毫无疑问，电子 商务化的企业必须直面这些问题的挑战，经常的应用更新是当今电子商务应用部 署所面临的最大问题，如何提升企业的响应能力，削减响应开支，提升企业的竞 争力，是所有的电子商务化化企业必须面对的问题。业的各种动态应用集成都需 要解决程序和程序之间的连接、数据交换、工作流程和交易处理等难题，以满足 不断变化的商务需求。那么如何进行能够为企业带来竞争优势的即时动态集成， 是今天所有的r r 企业必须面对的问题。 2 1 2 传统的解决方案：复杂系统对接 复杂系统对接是当今常用的解决方案。到目前为止，企业在创建电子商务应 用时，习惯地使用独立地解决方案来实旌。企业为每一个需要的资源编写复杂独 立的连接程序代码，来把不同的电子商务应用以及其他的企业信息系统集成起来 支持新的商业运作。由于这些应用集成都是经过大量独立的连接代码编程而产生 的，灵活性和重用性很低，几乎很难再定制。开发者在实施这些应用集成时，还 可能要面对不同的编程语言、操作系统、硬件平台、网络、对象模型等的挑战。 由于每个商务应用都有其特有的基础架构，所以这些应用既不易被重用，也不能 s 重庆大学硕士学位论文2w e b 服务概述 随着企业商务的变化和发展而方便的实现扩展。导致创建、维护和定制每个这样 的电子商务应用的代价以及复杂度非常高。如果企业使用了复杂系统对接的解决 方案来进行系统的集成，由于整个应用环境很复杂，那么，企业在应用集成的开 发、部署、运营时态的维护和更新开支会以非线性的形式成倍的增加。坚固的连 接不仅使企业基本上无法转换商业合作伙伴，还会浪费很多的时间和企业资源去 更改小小的变化，这种复杂应用连接地解决方案无法有效地解决在动态电予商务 中经常出现的商务流程的更改和客户的定制要求。 2 1 3 新的解决方案：w 曲服务 那么，如何才能克服上述的应用集成问题实现动态电子商务呢? 首先，必须 停止继续使用独立的解决方案来实现动态电子商务，必须摆脱基于复杂系统连接 代码来实现应用集成的方法。对于动态电子商务而言，传统的由程序员主导的由 里向外的开发模式应当被由客户主导的由外向里的开发模式取代。冗长的串行的 开发循环应当被即时的，快速的应用装配所取代。w e b 服务正是解决这一问题的 最佳手段。w e b 服务是一个针对应用集成这个难题而发展的革新技术。使用w e b 服务将各种应用程序和信息系统进行封装、组合和集成以达到动态电子商务的目 标。w e b 服务能够统一地封装信息、行为、数据及商务流程，把应用程序改变成 可重用的和柔性的组件。这种技术简化了系统集成，可以快捷、容易地进行系统 连接和集成，而无需考虑应用实施的环境是何种平台系统和设备。通过采用w e b 服务，部署和集成的费用大大降低，商务流程的更改也无需更改大量代码，甚至 通过工具的支持，根本无需更改程序代码。因此，当企业的核心商务功能用w e b 服务封装成组件之后，这些商务功能就可以很方便的在不同企业之间共享，架构 起跨企业的动态电子商务应用。 2 2 w 曲服务的概念 首先就几种典型的定义阐述如下： w e bs e r v i c e s ，即通常所说的w e b 服务，它通常是指用于架构w e b 服务的 整体技术框架；一般提到w e b 服务，就是指w e b 服务技术，w e b 服务是用标准的、 规范的基于x m l 的w s d l 语言描述，也称为w e b 服务的服务描述。这一描述囊 括了与服务交互需要的全部细节，包括消息格式、传输协议和位置；w e bs e r v i c e s 则是使用w e b 服务技术而创建的应用实例。 w e b 服务是通过标准的w e b 协议包装了一些操作( 服务过程方法) 的接口，通 过标准化的x m l 消息传递机制s o a p 来访问这些操作的可编程访问的w e b 组件。 在2 0 0 2 年1 月于旧金山召开的w e b 服务“新一代w e b 服务”的与会者得 到的较为一致的看法认为：w e b 服务应是一种基于组件的软件平台，是面向服务 9 重庆大学硕士学位论文 2w e b 服务概述 的i n t e r a c t 应用。通过对w e b 服务的构建，人们可以期望得到一个可编程的 i n t e m e t 。 w 3 c 把w e b 服务被定义为：w e b 服务是一种软件开发协议( u d d i 、s o a p 、 w s o l ) ，由此可将i n t e m e t 及其各种表现形式( 如w 曲、i n t r a n e t 和e x 仃a n e t ) 变成 一种可编程的信息沟通平台。 综上所述，w e b 服务是一种编程模型，提供在可缩放的、松耦合的和非特定 平台的环境下交换信息的能力，信息交换使用诸如h t r p 、x m l 、s o a p 和w s d l 之类的标准协议，它是一种“自包含、自描述、组件化的应用程序”。它可以被看 作是一种特殊的软件模块，能够通过标准的协议在i n t e m e t 上组装起来，完成某些 功能或者执行商业流程。它是为应用程序的使用而准备，而不是为最终用户准备 的，也就是说第三方可把提供的w e b 服务整合到他们自己的客户应用程序中去， 这样便提供了一种开发解决方案的新途径：无须在系统中设计所需要的功能，只 需简单地访问适合的w e b 服务以执行所需要的操作即可。它通过广泛普及的 i n t e r n e t 使得企业能够快速的实现信息的共享和服务的复用。 2 3w 曲服务的优点和应用范围 作为一种能够广泛部署在i n t e m e t i n t r a n e t 上的新型的组件对象，w e b 服务利 用开放标准和共同的基础设施来进行对象的描述、发现和访问，它优点和应用范 围如下： 开放的标准协议规范：作为w e b 服务，其所有公共的协约完全使用开放的 标准协议进行描述、传输和交换。w e b 服务的协约比其他对象技术的界面规范更 加规范化，而且基本上多数规范将最终由w 3 c 等国际标准组织作为最终版本的发 布方和维护方。w e b 服务是建立于基于公开开放的标准和协议之上意味着它不会 由于技术的私有性而处处受到限制。而且，w e b 服务已经成为业界共同认定的方 向。m i c r o s o f c 、m m 、s u n 和b e a 等均己为w e b 服务市场投人巨大的人力物力， 研制出各种支持w e b 服务的开发工具。 平台的无关性：h t t p 和s o a p 等已经是互联网上通用的协议；任何与 i n t e r n e t 建立连接的应用程序都可以向i n t e m e t 上的任何一个w e b 服务发送s o a p 消息，同时也可以接收来自w e b 服务的s o a p 消息。正是w e b 服务采取简单的、 易理解的h r r p 、s o a p 和w s d l 等标准协议作为组件接口描述和协同描述规范， 完全屏蔽了不同软件平台的差异，无论是何种软件平台，都可以通过这一种标准 的协议进行互操作，实现了较高的可集成性跨平台集成能力。 高度的可集成能力和互操作性：这种特性是w e b 服务所采用的规范所决定 的。h r r p 、s o a p 、w s d l 和u d d i 等标准的协议和规范完全屏蔽了不同软件平 1 0 重庆大学硕士学位论文 2w e b 服务概述 台的差异。对于企业级的应用程序开发经常都要把用不同语言写成的在不同平台 上运行的各种程序集成起来，而这种集成将花费很大的开发的力量，通过w e b 服 务，应用程序可以用标准的方法把功能和数据暴露出来，供其它的应用程序使用， 可以快速方便的进行应用程序集成。 松散的耦合性和良好的封装性：对象组件技术的一个基本特点就是透明 性，当一个组件的实现内容发生变化后，调用它的用户不会发现其中的变化，即 组件的内容对用户来说是透明的。w e b 服务继承了这种优点并有了新的发展，即 客户双方都可以任意的更改执行机制，而不影响另一方的正常的运行，这就是松 散的耦合性。一个w e b 服务的实现发生变更的时候，调用者是不会感到这一点的。 对于调用者来说，只要w e b 服务的调用接口不变，w e b 服务的实现任何变更对他 们来说都是透明的，甚至是当w e b 服务的实现平台发生变化时，用户都可以对此 一无所知。 便捷的软件发行方式和商务集成：软件供应商可以把软件分解成若干w e b 服务模块构成的系统，直接在w e b 上发布软件。企业也可通过把业务软件的核心 模块通过w e b 服务的形式向其合作伙伴发布，这样既保留了原有的数据和软