【摘要】：在組合服務被廣泛使用的環(huán)境下,訪問控制技術是保證組合服務安全的關鍵技術,而授權策略是訪問控制技術中至關重要的元素,對于授權策略的正確制定是保障訪問控制體系正常運行的前提。本文通過CWS-RBAC模型來實現(xiàn)用戶與組合Web服務之間的訪問控制,在該CWS-RBAC模型中,用戶通過主體角色來反映用戶在賬號系統(tǒng)中的權限等級,組合Web服務通過客體角色來進行訪問調(diào)用,授權策略通過描述主體角色和客體角色之間的授權關系來進行用戶與服務之間的授權管理。在該模型中,系統(tǒng)管理員通過制定一條授權策略來準許或者否定一個主體角色對于客體角色的授權請求。由于組合服務環(huán)境下服務種類繁多,管理員在海量組合服務的環(huán)境中可能會面臨大規(guī)模的授權策略,添加的新的授權策略有可能與已有的授權策略沖突,并因此導致授權混亂和權限泄露。授權策略沖突檢測由此成為組合Web服務環(huán)境下保障正常授權的關鍵環(huán)節(jié)。為了檢測CWS-RBAC模型中的授權策略沖突,本文詳細分析了CWS-RBAC模型中授權策略的特征,包括主體角色結構導致的授權傳播,客體角色結構導致的授權擴散,以及組合Web服務工作流導致的授權泄露。在該授權特征分析的基礎上,本文根據(jù)主體角色等級結構提出了主體角色傳播沖突檢測方法,根據(jù)客體角色組合結構提出了客體角色組合沖突檢測方法以及根據(jù)組合Web服務工作流提出了上下文沖突檢測方法,并基于OAuth2.0協(xié)議設計了具備授權管理功能的授權策略沖突檢測原型系統(tǒng),通過生成隨機策略并進行授權沖突檢測的方式來驗證授權策略沖突檢測方法的有效性。
[Abstract]:In the environment where composite services are widely used, access control technology is the key technology to ensure the security of composite services, and authorization policy is an essential element of access control technology. The correct formulation of authorization policy is the premise to ensure the normal operation of access control system. In this paper, the access control between user and composition Web service is realized by CWS-RBAC model. In this CWS-RBAC model, the user reflects the user's privilege level in the account system through the principal role. Composite Web services are accessed by object roles, and authorization policies are used to manage authorization between users and services by describing the authorization relationship between subject roles and object roles. In this model, the system administrator formulates an authorization policy to grant or deny a subject role's authorization request to the object role. Because there are many kinds of services in composite service environment, administrators may face large-scale authorization policy in the environment of massive composition services, and the added new authorization policy may conflict with the existing authorization policy. And thus lead to authorization confusion and authority leaks. Therefore, the conflict detection of authorization policy becomes the key link to guarantee the normal authorization in the composite Web service environment. In order to detect the conflict of authorization policy in CWS-RBAC model, this paper analyzes the characteristics of authorization policy in CWS-RBAC model in detail, including authorization propagation caused by principal role structure and authorization diffusion caused by object role structure. And composition of Web services workflow resulting in authorization leaks. Based on the analysis of the authorization features, this paper proposes a method of conflict detection based on the hierarchical structure of the principal role. According to the object role composition structure, the object role combination conflict detection method and the context conflict detection method based on the composition Web service workflow are proposed. An authorization policy conflict detection prototype system with authorization management function is designed based on OAuth2.0 protocol. The validity of authorization policy conflict detection method is verified by generating random policies and detecting authorization conflicts.
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【共引文獻】

相關期刊論文 前10條

1 楊雷;彭俊杰;;基于安全中心的跨域資源共享安全框架[J];信息化研究;2013年04期

2 李強;于青;閆洪波;李麗;崔守琦;;故障診斷云制造服務平臺的研究與應用[J];鍛壓技術;2014年02期

3 翟治年;盧亞輝;奚建清;趙鐵柱;湯德佑;顧春華;;面向企業(yè)級流程的職責分離框架及其冗余分析[J];電子學報;2013年10期

4 張會霞;陳宇暉;望勇;;“數(shù)字果園”GPS數(shù)據(jù)采集系統(tǒng)的設計與實現(xiàn)[J];廣東農(nóng)業(yè)科學;2014年05期

5 馬宏偉;;基于過程管理的頂崗實習與就業(yè)質(zhì)量管理系統(tǒng)的研發(fā)[J];電子設計工程;2014年08期

6 李瑞江;;基于ASP.NET的學生綜合素質(zhì)評價管理系統(tǒng)的設計與實現(xiàn)[J];電子設計工程;2014年09期

7 仲華惟;;管理信息系統(tǒng)多級訪問控制管理模型[J];電腦知識與技術;2014年22期

8 金磊;馬明瑞;;基于嵌入式LINUX的網(wǎng)絡視頻監(jiān)控系統(tǒng)設計與實現(xiàn)[J];計算機光盤軟件與應用;2014年12期

9 張森均;;基于門限的云計算數(shù)據(jù)隱私保護模型研究[J];電子制作;2015年01期

10 胡俊;張熠;黃傳河;;基于云平臺的政務信息系統(tǒng)的訪問控制設計[J];華中科技大學學報(自然科學版);2013年S2期

相關會議論文 前1條

1 何成東;蘇朝陽;林友勇;桂雪會;;改進的RBAC模型在智慧城市系統(tǒng)中的應用[A];第二屆全國信息安全等級保護技術大會會議論文集[C];2013年

相關博士學位論文 前10條

1 竇文陽;普適計算環(huán)境下的主動模糊訪問控制技術研究[D];陜西師范大學;2013年

2 任向民;基于K-匿名的隱私保護方法研究[D];哈爾濱工程大學;2012年

3 李寒;遺留系統(tǒng)再工程的若干問題研究[D];大連理工大學;2013年

4 王全民;操作系統(tǒng)安全加固中進程與文件保護關鍵技術的研究[D];天津大學;2012年

5 翟志剛;動態(tài)開放式環(huán)境下的使用控制模型研究[D];南京航空航天大學;2012年

6 籍延寶;農(nóng)業(yè)主要病蟲害監(jiān)測預警系統(tǒng)通用平臺的開發(fā)及初步應用[D];中國農(nóng)業(yè)大學;2014年

7 姚志強;普適計算模式下的文檔組合與安全研究[D];西安電子科技大學;2014年

8 曹丹;基于屬性的分布式身份管理技術研究[D];國防科學技術大學;2012年

9 蓋新貌;終端信任鏈理論模型及其實現(xiàn)機制研究[D];國防科學技術大學;2013年

10 羅東俊;基于可信計算的云計算安全若干關鍵問題研究[D];華南理工大學;2014年

相關碩士學位論文 前10條

1 陳貞;HDFS環(huán)境下的訪問控制技術研究[D];重慶大學;2013年

2 鐘遠棟;徐州市城鎮(zhèn)土地登記審批系統(tǒng)的構建[D];電子科技大學;2013年

3 黃超;內(nèi)容管理系統(tǒng)中訪問控制的研究與應用[D];南昌大學;2013年

4 曹夕;云計算中安全服務機制的研究[D];福建師范大學;2013年

5 趙洋;服裝業(yè)電子商務系統(tǒng)中基于圖像內(nèi)容檢索的設計與實現(xiàn)[D];河南大學;2013年

6 劉江;多級跨域訪問控制管理相關技術研究[D];解放軍信息工程大學;2013年

7 姜皇勤;面向SOA多域環(huán)境的Web服務訪問控制技術研究[D];解放軍信息工程大學;2013年

8 文君;基于角色的權限管理在web應用中的研究與實現(xiàn)[D];東北師范大學;2013年

9 丁日莉;基于SaaS模式的SSO系統(tǒng)的設計與實現(xiàn)[D];東北師范大學;2013年

10 王雷;高安全級別操作系統(tǒng)安全標記機制的設計與實現(xiàn)[D];北京工業(yè)大學;2013年

，

本文編號：2318006