SOA环境中的跨域认证方案研究

鉴于现在的网络越来越复杂,其中,用户数量大、服务类型多、安全机制不统一的特点决定了SOA环境中异构多域的情况,给出了一种基于模糊理论的信任管理方法,并将该方法与证书转换服务结合起来提出了一种 SOA 环境中的跨域认证方案,在该方案中,用户域使用信任管理方法来保证安全性,服务域结合信任管理与证书认证来保证安全性,并且用户可以透明地访问采用不同底层安全机制的域中服务,实现安全跨域认证。分析表明,该方案具有安全与普适的优势,可以满足SOA环境下身份认证的需求。     

面向服务架构的信息安全应用探析

随着信息技术的不断发展,信息化建设复杂程度越高,为了增强软件系统快速构建能力与业务变化能力,进而实现用户原有IT资源与跨平台数据共享,面向服务架构(SOA)孕育而生。SOA作为信息技术转型而成的一种集成方式,具有重用性、互操作性,同时在粗粒度、松散耦合等方面亦存在一定优势,已成为当前企业应用集成的关键方式。SOA模式能促使跨越企业实现边界业务信息共享与系统自动化,但基于Web服务调用与开放数据访问形势下,易给商业运作带来的安全风险。该文主要从SOA模式特征角度出发,基于WS-security面向服务安全框架前提下,提出了SOA安全框架模型,以期实现服务层、网络层安全。     

农业信息资源共享与信息服务系统构建研究

针对当前农业信息化建设中存在农业信息难以共享的问题,给出提高农业信息资源共享与服务的具体实施步骤,以及农业信息资源整合平台与信息服务系统模型,基于SOA架构和SOC技术实现对各分布式信息资源的信息整合,按行政功能建立农业信息资源整合平台,设计并构建基于多角色访问的农业信息服务系统。通过分角色单点认证访问系统及实现系统的功能,提高信息资源的便捷性和服务性。     

基于SOA的统一身份认证服务技术研究与实现

本文以面向服务的思想为出发点,借鉴Kerberos认证协议的用户认证方式,提出了一种基于SOA的统一身份认证架构,讨论了该系统的架构设计、架构依赖的技术基础、架构的组成要素及逻辑关系以及架构的功能特性分析,并基于SOA的统一身份认证系统实现了用户管理、身份认证、分级权限管理和单点登录等功能,对于提高信息系统使用的便捷性和安全管理能力具有实际意义。     

面向Web服务的交互访问控制

针对传统访问控制策略的不足,提出面向Web服务的交互式访问控制策略模式,为适应Web服务间的信息交互访问安全,设计一种基于SAML认证授权框架以实现协同用户与服务商之间交互访问的匹配机制。以Web服务的访问控制过程为例,分析Web服务的交互式访问控制协议的实现过程,结果证明,该协议能为Web服务提供更细粒度的访问控制。     

农业信息资源共享与信息服务系统构建研究

针对当前农业信息化建设中存在农业信息难以共享的问题,给出提高农业信息资源共享与服务的具体实施步骤,以及农业信息资源整合平台与信息服务系统模型,基于SOA架构和SOC技术实现对各分布式信息资源的信息整合,按行政功能建立农业信息资源整合平台,设计并构建基于多角色访问的农业信息服务系统。通过分角色单点认证访问系统及实现系统的功能,提高信息资源的便捷性和服务性。     

基于服务构件集成的安全访问业务建模方法

提出共性安全构件的概念以及基于服务构件集成的安全访问业务建模方法:从业务建模角度按照自顶向下的模式,对安全访问流程中相关的业务模块进行抽离,利用BPEL针对身份认证、访问授权和审计认定三类安全服务构件,设计了一个完整的安全业务访问控制流程;从安全开发经验角度按照自底向上的模式,搭建共性安全构件三层体系平台,并将软件工程中的AOP和D I思想引入到构件组装开发过程中,实现根据具体场景的、可定制的配置型开发。最后利用服务构件搭建安全认证系统并与CAS、OpenID进行性能测试,分析基于服务构件的安全访问业务建模方法的可用性。     

企业服务总线监听器的研究与设计

ESB系统是基于SOA架构实现应用集成的软总线. 监听器是ESB的一个重要部件, 监听器的研究与设计对ESB的性能及可用性有着重要影响. 其主要任务是监听服务的发布消息与服务请求/响应消息, 对消息进行访问控制即消息认证. 提出了较高效率的并发监听技术和安全的消息适配技术, 解决了基于多种协议类型消息的并发监听的效率问题; 对ESB内部消息的安全认证技术进行了深入研究并提出了一个安全性较高的设计方案.     

面向云服务的匿名单点登录认证协议*

单点登录可以使用户只须进行一次身份验证就能高效便捷地访问多种网络服务。为了使用户可以更加安全高效地访问服务,基于扩展切比雪夫混沌映射,提出了一种新的单点登录认证协议,并证明了其安全性。方案中用户和云端应用服务器利用身份信息生成公、私钥对,并结合DH密钥交换思想进行双向认证。与现有其它基于切比雪夫混沌映射的认证协议进行了比较,结果显示本文提出的认证协议更加安全高效。     

基于SOA的数字化校园——统一身份认证服务的设计与实现

大学校园信息化建设的普及给师生员工们带来了很多的方便,但另一方面也随着信息化的深入暴露出了许多问题,SOA(Service-Oriented Architecture,面向服务的软件体系架构)是数字化校园建设好的解决方案,本文以统一身份认证服务为例介绍了基于SOA数字化校园的一个服务的设计与实现.     

面向SOA的密码服务安全框架研究

SOA环境下用户管理的分布性、业务协作的动态性、以及服务的开放性给密码服务带来了极大的安全挑战。文章建立了一种安全框架,该框架定义了完整的安全服务集合和接口,可满足密码服务安全接入、访问控制、安全共享的特殊要求,为面向SOA的密码服务提供了安全保障。     

面向服务的角色访问控制技术研究

面向服务的体系结构具有开发效率高、响应快、费用低等优点．但是由于其结构的松散耦合性和计算的动态性,从而造成其安全管理更为复杂．文章首先回顾了访问控制技术的发展,然后提出了一个面向工作流和服务的基于角色访问控制模型．在这个模型中,通过引入服务和授权迁移的概念,加强了对动态服务架构的描述能力．模型对用户角色权限的控制,是通过实际任务和服务状态进行管理的,这样能够有效地加强访问控制的灵活性和系统的安全性．     

基于SOA的网格安全技术研究

随着网格技术的不断发展以及对网格研究的不断深入,对网格安全的需求不提高,面向服务的体系结构研究成果为分布式、可扩展性、可跨域管理以及软件的重用与集成提供了一个最佳的解决方案。本文将网格所涉及的安全需求做成服务的形式,设计了一个面向服务的网格安全体系结构,并以网格认证服务为实例,探讨了网格安全服务的设计与重用,它集成了多种常用的认证技术,实现网格安全服务的跨域互操作。     

Adaptive security architecture for protecting RESTful web services in enterprise computing environment

In this modern era of enterprise computing, the enterprise application integration (EAI) is a well-known industry-recognized architectural principle that is built based on loosely coupled application architecture, where service-oriented architecture (SOA) is the architectural pattern for the implementation of EAI, whose computational elements are called as “services.” Though SOA can be implemented in a wide range of technologies, the web services implementation of SOA becomes the current selective choice due to its simplicity that works on basic Internet protocols. Web service technology defines several supporting protocols and specifications such as SOAP and WSDL for communication with client and server for data interchange. A new architectural paradigm has emerged in SOA in recent years called REpresentational State Transfer (REST) that is also used to integrate loosely coupled service components, named RESTful web services, by system integration consortiums. This SOA implementation does not possess adequate security solutions within it, and its security is completely dependent on network/transport layer security that is obsolete owing to latest web technologies such as Web 2.0 and its upgraded version, Web 3.0. Vendor security products have major implementation constraints such as they need secured organizational environment and breach to SOA specifications, hence introducing new vulnerabilities. Herein, we examine the security vulnerabilities of RESTful web services in the view of popular OWASP rating methodologies and analyze the gaps in the existing security solutions. We hence propose an adaptive security solution for REST that uses public key infrastructure techniques to enhance the security architecture. The proposed security architecture is constructed as an adaptive way-forward Internet-of-Things (IoT) friendly security solution that is comprised of three cyclic parts: learn, predict and prevent. A novel security component named “intelligent security engine” is introduced which learns the possible occurrences of security threats on SOA using artificial neural networks learning algorithms, then it predicts the potential attacks on SOA based on obtained results by the developed theoretical security model, and the written algorithms as part of security solution prevent the SOA attacks. This paper is written to present one of such algorithms to prevent SOA attacks on RESTful web services along the discussion on the obtained results of the conducted proof-of-concept on the real-time SOA environment. A comparison of the proposed system with other competing solutions demonstrates its superiority.     

基于事件驱动的SOA服务组合技术研究

传统基于Bpel的服务组合方式可以满足业务流程相对稳定的业务需求,但在灵活多变的业务环境中,流程可能会不定时变化,此时需要人工暂停服务、修改流程、生成Bpel文件、重新部署发布等繁琐操作,这显然难以满足快速灵活的业务部署需求。此外,为了支持有人工活动参与的服务,基于Bpel的SOA平台大多采用异步回调来实现,但这种实现手段通常需要保留回调句柄,无形中增加了平台构件之间的耦合性,不符合SOA的基本特性。文章研究了一种基于事件驱动的SOA服务组合方式,通过事件处理引擎驱动服务,并可以通过配置业务规则来实现服务之间组合协作,解决传统基于Bpel组合方式的不足。在此基础上,文章搭建了一个基于事件驱动的SOA平台Swift ED-SOA,并通过应用实例验证了ED-SOA的可行性。     

基于本体的数字家庭SOA服务发现机制

SOA的关键是服务,它为WebService提供了一个架构,使用该架构组织家庭服务可以实现跨平台的服务访问。然而SOA架构大多数规范如SOAP、UDDI和WSDL等均是基于XML的,所描述的服务缺乏语义信息,因此在检索过程无法有效处理一词多义和多词一义等语法问题。通过引入本体技术,建立家庭服务领域本体,从服务的功能、内容和设备三个方面利用功能概念本体、内容本体和设备本体进行语义标注,并扩展WSDL为S-WSDL来描述家庭服务。基于本体的家庭服务发现过程分为三个阶段:查找功能、过滤服务和参数类型匹配,充分利用本体的语义优势实现了智能数字家庭服务发现。     

面向跨企业多方协同应用的Web服务安全模型

现有的Web服务安全工具仅提供单个服务的安全策略配置功能,忽略了业务流程层面的安全需求。为此,提出一种面向跨企业多方协同应用的Web服务安全模型,将Web服务安全建模、部署与监控过程,融合到企业业务流程管理过程中。在此基础上构造基于Secure-WSCDL的建模工具、转换工具和监控工具,实现SOA架构下业务模型与安全建模在软件工程生命周期中的同步。通过简化的国际贸易进出口流程实例,验证了该模型与相应工具的有效性。     

用于科技基础条件平台的服务合成研究与应用

Web服务之间的交互是面向服务的体系结构（Service-Oriented Archimcmre,SOA,也称为面向服务架构）中的关键问题。单个Web服务提供的功能往往不能完全满足用户的实际需求．将多个Web服务进行合成实现功能更为强大的服务是SOA必须要解决的问题之一。分析了Web服务合成的研究现状,介绍了Web服务合成方式的分类和商业流程执行语言BPEL4WS,给出了“科技基础条件平台应用服务支撑系统”项目中SOA的设计方案．描述了Web服务合成的关键步骤。该研究成果成功地应用于科技基础条件平台应用服务集成之中,并已通过科技部的前期验收