论文部分内容阅读
随着中间件技术的不断发展,基于SOA架构开发的Web服务系统日益增多,由于其具有松散耦合、标准化的服务接口、支持各种消息模式的特点,较为适合当前多系统、多业务的分布式应用环境,是目前主流的Web服务开发模式。但是,未授权用户的非法访问以及服务之间的安全调用使得SOA的访问控制安全受到严重威胁,从而影响了SOA架构在业务系统中的广泛应用。对于分布式系统尤其是SOA架构系统之间的访问控制,传统访问控制模型在策略的灵活性以及服务调用的安全性方面难于满足访问控制要求。本文提出使用基于属性的访问控制模型实现SOA环境下Web服务系统的安全访问。与传统访问控制模型相比,首先,ABAC具有普适性,便于系统集成;其次,ABAC的访问控制架构更适合于分布式系统,访问控制策略非常灵活;再次,ABAC对应用提供商来说没有集成障碍,降低了集成的难度。由于XACML基于XML语言描述访问策略,不但具有良好的通用性和很强的扩展性,而且适合SOA的分布特点,因此本文选择使用XACML设计实现基于属性的单点登录系统,提高了系统间数据交互以及用户访问控制的安全水平,实现了服务/页面级资源的细粒度访问控制,增强了访问控制策略的灵活性和普适性,为SOA环境下Web服务系统的身份认证奠定了基础。其创新性工作主要有以下三点:(1)提高了SOA环境下Web服务系统互操作的安全性。将基于属性的访问控制应用于单点登录系统,使单点登录系统中的Web服务系统增加了基于用户属性、服务属性以及环境属性的多因素验证,有效提高了系统的安全性。(2)实现了基于服务/页面的访问控制策略。针对SOA环境下Web服务的基本组成结构——服务进行访问控制设计,制定针对服务和页面的访问策略,实现了多服务的细粒度访问控制。(3)增加了访问控制策略的灵活性和普适性。本文使用XACML语言分别描述主客体属性和访问策略,对策略进行统一管理,灵活的实现策略的合并,使得访问控制策略简单表述、组合使用,具有很好的适应性,能实现灵活的访问控制。