資源描述:
《基于Web服務(wù)的訪問(wèn)控制研究與實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)����。
1、摘要隨著面向服務(wù)架構(gòu)(SOA)相關(guān)技術(shù)與產(chǎn)品的不斷發(fā)展與成熟���,它逐漸成為軟件發(fā)展的方向���,越來(lái)越多的企業(yè)和組織選擇將自己的業(yè)務(wù)以服務(wù)的形式提供到網(wǎng)上,以方便自己的業(yè)務(wù)集成或其它用戶的調(diào)用�����,服務(wù)提供了很好的靈活性與開(kāi)放性���,可很好的集成原有的資源,但在靈活與開(kāi)放性的同時(shí)���,暴露在網(wǎng)上的服務(wù)將面臨更加嚴(yán)峻的安全性問(wèn)題�����,怎樣保證授權(quán)用戶能透明地訪問(wèn)各種服務(wù)以及防止非法用戶的攻擊將是一個(gè)迫切的需求�,即在面向服務(wù)環(huán)境下實(shí)現(xiàn)安全的單點(diǎn)登陸與訪問(wèn)控制是一個(gè)重要課題��。面向服務(wù)環(huán)境下的基本組成部分是服務(wù)����,一個(gè)業(yè)務(wù)可由一系列服務(wù)構(gòu)成��,一個(gè)應(yīng)用可由一系列業(yè)務(wù)構(gòu)成����,也
2�、就是說(shuō)一個(gè)應(yīng)用可能包括很多的服務(wù),為了能保證服務(wù)不被非授權(quán)訪問(wèn)��,在訪問(wèn)服務(wù)時(shí)常常需要進(jìn)行身份認(rèn)證��。但一個(gè)應(yīng)用或一個(gè)業(yè)務(wù)可能由很多服務(wù)構(gòu)成�����,如果每訪問(wèn)一個(gè)服務(wù)都要求用戶輸入自己的身份信息�����,這將是不可想象的����,這樣會(huì)造成使用非常不方便。和訪問(wèn)一般的站點(diǎn)類似,在面向服務(wù)環(huán)境下也有“單點(diǎn)登錄”概念�。和以往的單點(diǎn)登錄一樣,指用戶進(jìn)行一次登錄后就可以訪問(wèn)多個(gè)站點(diǎn)���,在這里指訪問(wèn)服務(wù)�����,而無(wú)需重復(fù)認(rèn)證自己��。要實(shí)現(xiàn)單點(diǎn)登錄��,可以有多種方式����,在本系統(tǒng)中我們采用基于標(biāo)準(zhǔn)的SAML令牌方式來(lái)實(shí)現(xiàn)SOA環(huán)境下的單點(diǎn)登陸�。由于服務(wù)具有開(kāi)放性的同時(shí)帶來(lái)了的安全隱患�����,任何人
3�、都可以輕易發(fā)現(xiàn)服務(wù),但要保證只有授權(quán)用戶才能使用服務(wù)是訪問(wèn)控制要解決的問(wèn)題����,單點(diǎn)登陸可以讓服務(wù)知道用戶身份����,訪問(wèn)控制是進(jìn)一步對(duì)用戶進(jìn)行授權(quán)檢查�����,以往的訪問(wèn)控制方法一般有三種:采用Filter方式���,在方法里插入訪問(wèn)控制代碼以及采用代理模式來(lái)實(shí)現(xiàn)���。采用Filter是爭(zhēng)對(duì)URI來(lái)實(shí)現(xiàn)的,在應(yīng)用程序中不好實(shí)現(xiàn)��,代的程序中不太好實(shí)現(xiàn)�,如果采用Sums,XWork或者Tapestry���,采用同一個(gè)URL(瀏覽器看來(lái))進(jìn)行處理多項(xiàng)任務(wù)已不是什么稀奇的事���,所以其應(yīng)用范圍受到限制;在方法里插入訪問(wèn)控制代碼雖然可以實(shí)現(xiàn)��,但這廣東工業(yè)大學(xué)工學(xué)碩士學(xué)位論文樣代碼具
4、有很強(qiáng)的緊密耦合性��,擴(kuò)展修改難度大�����;以代理模式為每個(gè)功能類實(shí)現(xiàn)一個(gè)相應(yīng)的代理(Pro)【v)類���,雖然解耦了程序功能和權(quán)限檢驗(yàn)���,但是,從某個(gè)角色的權(quán)限檢驗(yàn)這個(gè)切面考慮���,涉及具體Proxy類太多���,擴(kuò)展修改難度大。綜合前面方式的不足��,本文采用XACML與AOP相結(jié)合的方式來(lái)實(shí)現(xiàn)訪問(wèn)控制��,AOP因?yàn)橐肓饲忻娴母拍?���,?shí)現(xiàn)了功能類與訪問(wèn)控制部分的分離,同時(shí)可以在容器內(nèi)實(shí)現(xiàn)粗細(xì)粒度結(jié)合的訪問(wèn)控制�����,有很好的擴(kuò)展性與松耦合性��。在安全傳輸方面�����,本文采用非對(duì)稱加密技術(shù)����,客戶端為了保證靈活性與通用性,不采用證書(shū)實(shí)現(xiàn)��,而只在訪問(wèn)控制域與目標(biāo)服務(wù)相對(duì)穩(wěn)定的部分實(shí)現(xiàn)
5��、證書(shū)加密���。在客戶端�,每次會(huì)話由客戶端應(yīng)用隨機(jī)產(chǎn)生一個(gè)非對(duì)稱密鑰�,在與訪問(wèn)控制域或目標(biāo)服務(wù)域交互時(shí)將公鑰加密后發(fā)送,之后訪問(wèn)控制域或目標(biāo)服務(wù)域返回時(shí)用該公鑰進(jìn)行加密���,確保消息只能被該客戶端解密��。關(guān)鍵詞:SOA�����;AOP�����;SAML����;XACML;單點(diǎn)登錄�;訪問(wèn)控制ⅡAbstractWiththedevelopementandmaturityoftheservice—orientedarchitecture(soA)technologyandproduct,Itisbecomingthedirectionofdevelopmentofthesol,
6�、ware,AnincreasingnumberofenterprisesandorganizationschoosetoprovidetheirbusinessintheformofservicesontheInternet,tofacilitatetheirintegrationbusinessesorotheruser'scarl�����,sel�����、����,ice鋤beflexibilityandopenrless,itcanIntegratedwellwiththeoriginalresources.Becauseofflexibleandopen
7、,theonlineservicewillfacedmoresecurityissues.howt0ens哪thatauthorizedU艙a'Scantransparentlyvisitvariousservicesandtopreventunauthorizedusersattackswillbeapressingdemand�����,thatisIosay,thesingle—signonandaccesscontrolisanimportantissueintheservice-orientedenvironment.Thebasicco
8����、mponentintheService-orientedenvironmentisservice,abusinesscouldconstituteofarangeofservices,鋤app
