Web服务安全性的研究与实现

湖南大学硕士学位论文Web服务安全性的研究与实现姓名：刘俊甫申请学位级别：硕士专业：软件工程指导教师：谢冬青20060517Web服务安全性的研究与实现作者：刘俊甫学位授予单位：湖南大学参考文献(53条)1.参考文献2.杨芙清.梅宏.吕建.金芝浅论软件技术发展[期刊论文]-电子学报2002(z1)3.RolandTRus.KatherineNLemonE-ServiceandtheConsumer2001(03)4.DamenZ.WDerksBusiness-to-businessE-CommerceinaLogisticsDomain20005.W3C,WebServicesArchitecture20036.岳昆.王晓玲.周傲英Web服务核心支撑技术:研究综述[期刊论文]-软件学报2004(3)7.W3CStandard.WebServicesDescriptionLanguage(WSDL)Version1.220068.UDDIorgUniversalDescription,DiscoveryandIntegrationv3.0.220049.DonBox.DavidEhnebuskeSimpleObjectAccessProtocol(SOAP)v1.1200310.WorldWideWebConsortiumExtensibleMarkupLanguage(XML)v1.0200411.GiovanniDella-Libera.BrendanDixonSecurityinaWebServicesWorld:AProposedArchitectureandRoadmap200212.BobAtkinson.GiovanniDella-LiberaWebServicesSecurity(WS-Security)v1.0200213.AllenBrown.BarbaraFox.SatoshiHadaSOAPSecurityExtensions:DigitalSignature200114.TakeshiImamura.BlairDillawayXMLEncryptionSyntaxandProcessing200215.PrateekMishraBindingsandProfilesfortheOASISSecurityAssertionMarkupLanguage(SAML)v1.1200316.RobPhipottSecuirtyandPrivacyConsiderationsfortheOASISSecurityAssertionMarkupLanguage(SAML)vi.1200317.OASISStandardeXtensibleAccessControlMarkupLanguage(XACML)v2.0200518.XrML.org.eXtensibleRightsMarkupLanguagev2.0200119.WarwickFord.PhillipHallam-Baker.BarbaraFoxXMLKeyManagementSpecification(XKMS)200120.IBMWebsphereWebSphereStudioV5.0200421.MicrosoftWSEWebServicesEnhancements(WSE)2.0forMicrosoft.Net200522.BEACorporationBEAdev2dev200523.SUNCorporationSUNWebServices200524.OracleCorporationOracleSecureEnterpriseSearch10g200625.王凡.李勇.朗宝平.李程旭基于WS-Security构筑安全的SOAP消息调用[期刊论文]-计算机应用2004(4)26.冠群电脑有限公司ETrustTMTransactionMinder200527.TongTechCorporationTongWeb技术白皮书200328.ApusicCorporationApusic应用服务器4.0200529.饶元.陆淑敏.李尊朝.韩金仓安全的Web服务集成框架分析与设计[期刊论文]-计算机工程2005(14)30.梁英.沈传慧.韩燕波一种支持可信Web服务的应用框架2004(12)31.王丰锦.李东来.韩燕波可信WebService环境200432.冉晓旻.郭文伟Web服务安全技术与原理200333.SheilaAMcIlraith.CaoSon.HongleiZengSemanticWebServices2001(06)34.钟鸣Web服务安全技术的研究与实现[学位论文]硕士200335.靳泰戈.余航.冯斌.周先涛.李骏一种基于角色的访问控制模型及其实现[期刊论文]-计算机应用研究2005(12)36.陈荻玲.怀进鹏一种Web服务安全通信机制的研究与实现[期刊论文]-计算机研究与发展2004(4)37.胡建强基于角色的Web服务访问控制技术研究[会议论文]200338.王凡.李勇.朗宝平基于WS-Security构筑安全的SOAP消息调用2004(04)39.景建笃ApacheAxis1.1环境下WS-Security的研究与实现2005(07)40.王育民.刘建伟通信网的安全-理论与技术199941.RJMBoezemanWebServicesSecurity200342.胡迎松.彭利文.池楚兵XMLWeb服务安全问题及其安全技术[期刊论文]-计算机应用研究2003(10)43.张黎明基于角色的权限代理模型及其实现[学位论文]硕士200544.FerraioloD.KuhnRRole-basedaccesscontrol199245.BellDE.LapadulaLJSecureComputerSystems:MathematicalFoundations.[MIRE,TechnicalReportMTR-2547]197346.张松慧.陆际光基于XACML的Web服务安全访问控制[期刊论文]-计算机时代2005(7)47.RafaeBhatti.JamesBDJoshi.ElisaBertinoAccessControlinDynamicXML-basedWebServiceswithX-RBAC200348.ApacheorgApacheAxisv1.3200549.SunMicrosystemsJavaTM2PlatformEnterpriseEdition200550.TheObjectManagementGroupTheCommonObjectRequestBroker:ArchitectureandSpecificationv2.3199951.ApacheorgApacheJemeter200552.李帆.郑纬民基于角色与组织的访问控制模型[期刊论文]-计算机工程与设计2005(8)53.石伟鹏.杨小虎基于SOAP协议的WebService安全基础规范(WS-Security)[期刊论文]-计算机应用研究2003(2)相似文献(10条)1.学位论文黎桂林Web服务访问控制的研究与设计2006Web服务采用通用的协议和技术，突破了语言差异、平台差异、协议差异和数据差异等限制，为信息整合提供了一种良好的解决方案，是当前分布式计算研究的热点之一。然而，Web服务在为用户提供简单方便的访问的同时，由于非法用户的访问或合法用户的不慎操作可能导致系统有价值的数据甚至是整个系统的结构暴露给外部。因此，对Web服务实施有效的访问控制是Web服务应用和进一步推广必须解决的一个问题。传统的访问控制机制通常是专用的，其应用范围仅局限于一个企业所给出的安全边界内，不同安全边界内的Web服务难以进行统一和一致的访问控制。本文以“广州市道路、桥梁和排水设施管理系统”的开发为背景，对具备通用性的Web服务的访问控制机制进行了相关研究和探讨。本文在深入分析了访问控制技术的发展以及应用现状的基础上，结合Web服务安全性的特点，采用通用的策略描述语言XACML，设计并用SunXACML开发包实现了一个Web服务访问控制框架。本文的Web服务访问控制框架基于RBAC访问控制模型，避免了传统访问控制模型不灵活和不方便的缺点，提高了访问控制中授权管理的方便性和易管理性。通过分析并归纳出RABC模型到XACML规范的映射关系，用XACML语言来表达访问控制策略和实现访问控制机制，使得本文所设计的访问控制框架具备良好的通用性。最后，检验了所实现的Web服务访问控制框架的实际运行效果，指出了不足之处和有待改进的地方，并对今后进一步的研究进行了展望。2.期刊论文陈英勇.辛明军.吴绍春.CHENYing-yong.XINMing-jun.WUShao-chun面向Web服务的交互访问控制-计算机工程2009,35(14)针对传统访问控制策略的不足,提出面向Web服务的交互式访问控制策略模式,为适应Web服务间的信息交互访问安全,设计一种基于SAML认证授权框架以实现协同用户与服务商之间交互访问的匹配机制.以Web服务的访问控制过程为例,分析Web服务的交互式访问控制协议的实现过程,结果证明,该协议能为Web服务提供更细粒度的访问控制.3.学位论文徐金芳面向Web服务的角色访问控制研究2009基于角色的访问控制模型是近十几年来在自主访问控制和强制访问控制的基础上发展起来的一种重要的访问控制技术。基于角色的访问控制模型的特点是通过分配和取消角色来完成用户权限的授予和取消，从而实现了用户与访问权限的逻辑分离。由于基于角色的访问控制的诸多优越性，它已成为访问控制研究领域的一个热点问题，得到了较为广泛的研究和应用，并且随着最新一代访问控制模型UCON的出现，它也表现出了很好的兼容性。今天，Web服务得到了蓬勃的发展，呈现出跨地域、大规模、复杂化等特点，而传统的基于角色的访问控制是在集中式的背景下提出来的，对于在地域上分布复杂的大规模系统的访问控制已经突显出其不足，在普适计算环境中更是如此；此外，在Web环境下，系统的管理工作异常繁重，完全依赖系统管理者参与系统中的所有授权行为，严重加剧了系统的管理负担，所以在面向Web服务的系统中需要一种分类式的细化角色方法；同时，传统的访问控制列表具有描述性较低、灵活性不够、不易在大规模网络中进行传输等问题，无法满足系统中的访问控制需求。所以，认为在如何有效地构建基于角色的访问控制模型方面仍有较多的问题需要研究，以适应Web服务系统独有的特点。在此，利用XACML的标准特点以及现在它的逐渐发展，将其用于角色访问控制中，并且在典型的面向Web服务的环境——普适计算环境中，根据需要对标准的XACML进行优化和补充。Web服务中使用RBAC的缺点有：由于角色主要是静态的，需要一种潜在的高管理工作，而现在的访问控制研究朝着复杂化方向发展，实用性差；经常在大型企业群发生的组织和功能变化，总是要求相当大数量roles的重新分配。随之产生的管理工作通常是十分昂贵的。信息系统涉及的功能越来越多，结构也越来越复杂。如：过去只需要“前台显示+后台信息管理”，现在可能需要动态控制显示的栏目，区分浏览者的类别，针对不同用户提供不同的用户界面等。本文针对上述问题对面向Web服务的基于角色的访问控制进行了研究。论文的研究内容和创新点如下：1.由于传统RBAC模型在实际应用中表现出许多不足，在基于角色的访问控制中提出了多级角色访问控制的概念，提出多级角色访问控制模型，来提供多级控制粒度，通过对信息流的控制来实现（保护信息流从高安全级别客体向低安全客体流动）。2.在SUN公司用XACML描述的RBAC模型基础上，将XACML模型中的请求处理步骤融入到基于角色的访问控制实现中。3.普适环境中的访问控制是面向Web服务的访问控制的一个很好的实例，将SUN公司实现的XACML中的角色访问控制用于普适环境中，XACML的这些特点使得它非常适用于普适计算下的访问控制对于灵活性的要