面向服务环境中基于属性和协商机制的访问控制研究及应用

摘要

随着面向服务架构（Service-Oriented Architecture，SOA）被越来越多地运用于大型企业中，其访问授权问题也越来越受到关注。由于面向服务环境中无法确定用户身份，传统访问控制难以通过定义用户的角色和权限来进行访问授权。同时随着业务需求不断变化，传统访问控制不利于系统扩展和更新，因此并不适合具有分布性、异构性和动态性特征的面向服务环境。
　　 本文结合国家“十一五”科技支撑计划课题“勘察设计企业信息化关键技术研究与应用”的子课题“基于SOA技术的勘察设计企业应用软件架构系统”，针对面向服务环境中的访问控制问题，在研究面向服务环境和传统访问控制相关技术的基础之上，提出适合面向服务环境基于属性和协商机制的访问控制。使用安全声明标记语言（Security Assertion Markup Language，SAML）实现访问控制中的单点登录和属性断言，并使用可扩展的访问控制标记语言（eXtensible Access Control Markup Language，XACML）实现基于属性和协商的访问授权，实现了基于属性和协商机制的访问控制原型系统。并将原型系统应用于基于SOA的勘察设计企业应用软件架构系统中。
　　 本文完成的主要工作如下：
　　 ①分析面向服务环境以及传统访问控制模型的特点，对比分析传统访问控制模型的不足以及适用的场景。
　　 ②研究基于属性的访问控制（Attribute-Based Access Control，ABAC）的访问授权方式，针对面向服务环境的特点对原有的ABAC模型进行改进。分析改进后的ABAC模型在面向服务环境下的优势。
　　 ③研究ABAC中的协商机制，在改进后的ABAC的基础上提出了基于属性和协商机制的访问控制框架，并对协商机制中用户敏感属性的保护进行研究，最后将改进后的ABAC与原有的ABAC进行对比分析。
　　 ④设计并实现面向服务环境中基于属性和协商机制访问控制原型系统，采用SAML实现单点登录及用户属性断言，采用XACML实现基于属性和协商机制的访问授权，并实现对用户敏感属性的保护功能。
　　 ⑤在基于SOA的勘察设计企业应用软件架构系统中对基于属性和协商机制的访问控制原型系统进行部署和应用，并对访问授权进行测试，结合测试结果对应用情况进行分析。

目录

文摘

英文文摘

1 绪论

2 相关技术分析

3 面向服务环境中基于属性和协商机制的访问控制研究

4 基于属性和协商机制的访问控制设计与实现

5 基于属性和协商机制的访问控制在勘察设计中的应用

6 结论与展望

致谢

参考文献

附录