面向WS-BPEL的访问控制策略合成研究

在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。提出一种基于条件的访问控制策略模型以及基于该模型的策略合成代数,将WS-BPEL语言中常见控制结构映射成策略合成表达式,通过合成外部子服务的访问控制策略,生成组合服务的访问控制策略。最后,设计了原型系统描述策略合成的流程。     

基于策略的Web服务访问控制的研究

访问控制是开放、异构Web服务环境必须满足的重要安全需求之一,传统的访问控制模型都是静态的、粗粒度的,不能很好的满足Web服务应用的需要。通过对策略模型的研究,结合Ws-Policy规范和Ws-PolicyAttachment规范,提出了一种基于策略的Web服务访问控制模型,使访问控制能够基于策略主体、用户属性和环境属性动态的、细粒度的授权;研究并分析了访问控制模型中的生效策略。     

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。     

结合属性和角色的Web服务访问控制

在分析Web服务访问控制需求的基础上,指出了现有访问控制模型在Web服务访问控制方面的局限性,提出了一种结合属性和角色的Web服务访问控制模型ARBAC,给出了软件实现结构.ARBAC模型给出了Web服务访问控制领域中的概念定义,提出了相关判定定理.ARBAC模型根据Web服务资源对用户的属性限制条件自动生成角色集,完成用户到角色、权限到角色的映射,能够表达职责分离约束、环境参数限制和最小权限策略,统一了Web服务和服务所涉及的数据资源的访问控制.     

结合协商机制的Web服务属性访问控制模型

针对实现有效Web服务访问控制的问题,提出一种结合协商机制的Web服务属性访问控制模型。该模型基于安全断言标记语言和可扩展访问控制标识语言,利用主体属性和上下文属性的组合限制条件,提供细粒度的访问控制。通过加入协商机制,服务请求者可以与服务提供者相互沟通,在访问请求中动态地调整参数信息以获得访问授权。     

Web服务访问控制规范及其实现

提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。     

基于证书的服务组合动态访问控制策略

Web服务的动态性为应用系统带来了新的安全威胁,然而传统的方法难以有效地保证服务的动态访问过程。使用Petri网作为Web服务组合过程的形式化描述工具,清晰地表达了Web服务组合中各组件之间的逻辑关系,并提出基于证书的Web服务组合的访问控制策略,从而满足动态选取可用Web服务的实际需求。利用Petri网的操作语义及相关理论分析该方法的正确性,并给出相应的实施算法。案例分析展示了该方法的可行性和有效性。     

基于XACML的访问控制策略

如何解决对Web服务的访问控制已成为当前Web服务应用研究中的一个重要课题。首先介绍了XACML标准的产生动机，然后结合Xpath来说明如何定义标准的访问控制策略。应用XACML策略来定义通用的访问控制需求，并且提出了一种机制来发现和解决策略间的冲突，达到对Web服务进行细粒度的访问控制。最后以一个应用实例来具体描述怎样创建一个XACML访问控制策略以及如何对实体的访问进行控制。     

一种基于体系结构的Web服务组合描述方法

Web服务组合能够快速开发复杂的Web服务,以促进Web服务的增值。在分析并比较现有的Web服务组合方法的基础上,提出了一种形式化和工业化方法相结合的Web服务组合描述方法。针对Web服务及其组合的特点,研究了基于体系结构的Web服务组合描述方法,采用扩展的XYZ／ADL定义Web服务及描述其交互的连接件,最后结合一个实例描述Web服务组合的工作方式。     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型，比较了PBAC与基于角色的访问控制（RBAC），分析了PBAC对策略语言和策略管理架构的需求；基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型，提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后，对语义策略语言进行了展望。     

组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术。主要论述了组合Web服务访问控制技术的研究现状及其问题。首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合W cb服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势。     

基于信任度属性的访问控制策略合成

运用代数系统来形式化的描述、推理和演算跨域环境下基于属性的访问控制策略合成,是解决策略冲突和合成的有效途径。通过引入由上下文环境及时间衰减性动态判决的信任度属性,增加信任度投票算子,并将属性授权项扩展为由主体属性、客体属性、环境属性、信任度属性、操作属性构成的五元组,提出了基于信任度属性的策略合成代数系统。通过四个安全域中的策略合成实例分析,详细阐述了利用信任度属性值实时监控访问请求主体在授权后访问行为的安全性,并展示了策略合成更强的描述能力、灵活性和安全性。最后使用现有的策略合成表达式的代数性质来验证策略合成的结果。     

基于XACML的Web服务安全访问控制模型

Web服务已成为新一代电子商务的框架,其安全问题是不可忽视的问题,需要一种灵活高效的访问控制来保护.通过分析可扩展访问控制标记语言(XACML)和授权管理基础设施(PMI),给出了一种适合于Web服务安全的访问控制系统模型.该系统模型基于属性证书和策略集,用XACML作为描述访问控制决策的语言,适用于Web服务的动态性、异构性等特点.     

基于功能属性语义的Web服务组合方法

Web服务组合方法是Web服务研究领域的热点之一,常用的方法是通过Web服务的input和output参数的匹配,将已有的Web服务组合成满足用户复杂需求的Web服务。但普遍存在缺乏对Web服务功能属性语义的考虑,而且因为随着Web服务的数量上的急剧增长,如果对每一种可能的组合都进行考虑则会增加组合服务的复杂度。为此提出一种基于Web服务语义图模型的服务组合方法。利用功能参数之间的语义关联,建立一种Web服务语义功能属性描述模型,对那些在功能属性语义上具有关联性的Web服务,采用图路径搜索的方法来完成服务组合,从而在服务组合阶段缩小参与服务组合的范围,提高了组合服务的效率和有效性。     

Web服务组合的可靠性动态评估模型*

为了合理、高效、动态地评估Web服务组合的可靠性,为服务请求者提供高质量的组合服务,提出了一个Web服务组合的可靠性动态评估模型。该模型对服务提供者发布至UDDI注册中心的Web服务进行语义预先处理,根据语义Web服务间的逻辑组合关系,基于预推理技术构造Web服务的自动组合框架,提出了Web服务的自动组合算法,建立Web服务组合方案的路径结构;利用随机Petri网对满足服务请求者需求的服务组合路径结构进行可靠性建模,结合在线获取的Web服务可靠性信息,对Web服务组合的可靠性进行动态评估。实验示例结果分析表明,提出的模型能确保Web服务组合方案的有效性和提高服务组合的效率,对Web服务组合的可靠性评估具有较强动态性和灵活适应性。     

Web服务设计中的访问控制验证*

提出了一种新颖的方法,用于在设计阶段确定Web服务设计是否能根据其访问控制策略及凭证发布策略进行实施。将Web服务和Web服务设计均模拟为演进系统,并用有向图表示Web服务的凭证发布策略。证明了Web服务设计中所有可能的会话,其实都可以通过将请求者Web服务的凭证发布策略与被请求者Web服务的访问控制策略相匹配而实现。利用了一个资源发布图来完成这种证明。     

基于Petri网的Web服务自动组合研究

根据Web服务中消息和行为的关系,Web服务被描述为面向消息的基于行为Petri网模型(Moap)．该模型包括消息域和服务过程,前者是服务协同以及和用户通信的通道,后者是基于Petri网的Web服务行为过程描述．Moap支持组合服务的重用,可以很好地描述可用服务的并行调用,另外元消息机制也有利于服务的自动组合．在Moap基础上,定义了服务组合系统和服务的协同;给出了服务自动组合规则,并证明了其有效性和完备性．最后,通过一个实例直观描述了服务组合系统的工作方式．