發(fā)布時(shí)間：2018-11-08 09:03

【摘要】：在組合服務(wù)被廣泛使用的環(huán)境下,訪問(wèn)控制技術(shù)是保證組合服務(wù)安全的關(guān)鍵技術(shù),而授權(quán)策略是訪問(wèn)控制技術(shù)中至關(guān)重要的元素,對(duì)于授權(quán)策略的正確制定是保障訪問(wèn)控制體系正常運(yùn)行的前提。本文通過(guò)CWS-RBAC模型來(lái)實(shí)現(xiàn)用戶與組合Web服務(wù)之間的訪問(wèn)控制,在該CWS-RBAC模型中,用戶通過(guò)主體角色來(lái)反映用戶在賬號(hào)系統(tǒng)中的權(quán)限等級(jí),組合Web服務(wù)通過(guò)客體角色來(lái)進(jìn)行訪問(wèn)調(diào)用,授權(quán)策略通過(guò)描述主體角色和客體角色之間的授權(quán)關(guān)系來(lái)進(jìn)行用戶與服務(wù)之間的授權(quán)管理。在該模型中,系統(tǒng)管理員通過(guò)制定一條授權(quán)策略來(lái)準(zhǔn)許或者否定一個(gè)主體角色對(duì)于客體角色的授權(quán)請(qǐng)求。由于組合服務(wù)環(huán)境下服務(wù)種類繁多,管理員在海量組合服務(wù)的環(huán)境中可能會(huì)面臨大規(guī)模的授權(quán)策略,添加的新的授權(quán)策略有可能與已有的授權(quán)策略沖突,并因此導(dǎo)致授權(quán)混亂和權(quán)限泄露。授權(quán)策略沖突檢測(cè)由此成為組合Web服務(wù)環(huán)境下保障正常授權(quán)的關(guān)鍵環(huán)節(jié)。為了檢測(cè)CWS-RBAC模型中的授權(quán)策略沖突,本文詳細(xì)分析了CWS-RBAC模型中授權(quán)策略的特征,包括主體角色結(jié)構(gòu)導(dǎo)致的授權(quán)傳播,客體角色結(jié)構(gòu)導(dǎo)致的授權(quán)擴(kuò)散,以及組合Web服務(wù)工作流導(dǎo)致的授權(quán)泄露。在該授權(quán)特征分析的基礎(chǔ)上,本文根據(jù)主體角色等級(jí)結(jié)構(gòu)提出了主體角色傳播沖突檢測(cè)方法,根據(jù)客體角色組合結(jié)構(gòu)提出了客體角色組合沖突檢測(cè)方法以及根據(jù)組合Web服務(wù)工作流提出了上下文沖突檢測(cè)方法,并基于OAuth2.0協(xié)議設(shè)計(jì)了具備授權(quán)管理功能的授權(quán)策略沖突檢測(cè)原型系統(tǒng),通過(guò)生成隨機(jī)策略并進(jìn)行授權(quán)沖突檢測(cè)的方式來(lái)驗(yàn)證授權(quán)策略沖突檢測(cè)方法的有效性。
[Abstract]:In the environment where composite services are widely used, access control technology is the key technology to ensure the security of composite services, and authorization policy is an essential element of access control technology. The correct formulation of authorization policy is the premise to ensure the normal operation of access control system. In this paper, the access control between user and composition Web service is realized by CWS-RBAC model. In this CWS-RBAC model, the user reflects the user's privilege level in the account system through the principal role. Composite Web services are accessed by object roles, and authorization policies are used to manage authorization between users and services by describing the authorization relationship between subject roles and object roles. In this model, the system administrator formulates an authorization policy to grant or deny a subject role's authorization request to the object role. Because there are many kinds of services in composite service environment, administrators may face large-scale authorization policy in the environment of massive composition services, and the added new authorization policy may conflict with the existing authorization policy. And thus lead to authorization confusion and authority leaks. Therefore, the conflict detection of authorization policy becomes the key link to guarantee the normal authorization in the composite Web service environment. In order to detect the conflict of authorization policy in CWS-RBAC model, this paper analyzes the characteristics of authorization policy in CWS-RBAC model in detail, including authorization propagation caused by principal role structure and authorization diffusion caused by object role structure. And composition of Web services workflow resulting in authorization leaks. Based on the analysis of the authorization features, this paper proposes a method of conflict detection based on the hierarchical structure of the principal role. According to the object role composition structure, the object role combination conflict detection method and the context conflict detection method based on the composition Web service workflow are proposed. An authorization policy conflict detection prototype system with authorization management function is designed based on OAuth2.0 protocol. The validity of authorization policy conflict detection method is verified by generating random policies and detecting authorization conflicts.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 楊雷;彭俊杰;;基于安全中心的跨域資源共享安全框架[J];信息化研究;2013年04期

2 李強(qiáng);于青;閆洪波;李麗;崔守琦;;故障診斷云制造服務(wù)平臺(tái)的研究與應(yīng)用[J];鍛壓技術(shù);2014年02期

3 翟治年;盧亞輝;奚建清;趙鐵柱;湯德佑;顧春華;;面向企業(yè)級(jí)流程的職責(zé)分離框架及其冗余分析[J];電子學(xué)報(bào);2013年10期

4 張會(huì)霞;陳宇暉;望勇;;“數(shù)字果園”GPS數(shù)據(jù)采集系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];廣東農(nóng)業(yè)科學(xué);2014年05期

5 馬宏偉;;基于過(guò)程管理的頂崗實(shí)習(xí)與就業(yè)質(zhì)量管理系統(tǒng)的研發(fā)[J];電子設(shè)計(jì)工程;2014年08期

6 李瑞江;;基于ASP.NET的學(xué)生綜合素質(zhì)評(píng)價(jià)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];電子設(shè)計(jì)工程;2014年09期

7 仲華惟;;管理信息系統(tǒng)多級(jí)訪問(wèn)控制管理模型[J];電腦知識(shí)與技術(shù);2014年22期

8 金磊;馬明瑞;;基于嵌入式LINUX的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)光盤軟件與應(yīng)用;2014年12期

9 張森均;;基于門限的云計(jì)算數(shù)據(jù)隱私保護(hù)模型研究[J];電子制作;2015年01期

10 胡俊;張熠;黃傳河;;基于云平臺(tái)的政務(wù)信息系統(tǒng)的訪問(wèn)控制設(shè)計(jì)[J];華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版);2013年S2期

相關(guān)會(huì)議論文 前1條

1 何成東;蘇朝陽(yáng);林友勇;桂雪會(huì);;改進(jìn)的RBAC模型在智慧城市系統(tǒng)中的應(yīng)用[A];第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集[C];2013年

相關(guān)博士學(xué)位論文 前10條

1 竇文陽(yáng);普適計(jì)算環(huán)境下的主動(dòng)模糊訪問(wèn)控制技術(shù)研究[D];陜西師范大學(xué);2013年

2 任向民;基于K-匿名的隱私保護(hù)方法研究[D];哈爾濱工程大學(xué);2012年

3 李寒;遺留系統(tǒng)再工程的若干問(wèn)題研究[D];大連理工大學(xué);2013年

4 王全民;操作系統(tǒng)安全加固中進(jìn)程與文件保護(hù)關(guān)鍵技術(shù)的研究[D];天津大學(xué);2012年

5 翟志剛;動(dòng)態(tài)開(kāi)放式環(huán)境下的使用控制模型研究[D];南京航空航天大學(xué);2012年

6 籍延寶;農(nóng)業(yè)主要病蟲(chóng)害監(jiān)測(cè)預(yù)警系統(tǒng)通用平臺(tái)的開(kāi)發(fā)及初步應(yīng)用[D];中國(guó)農(nóng)業(yè)大學(xué);2014年

7 姚志強(qiáng);普適計(jì)算模式下的文檔組合與安全研究[D];西安電子科技大學(xué);2014年

8 曹丹;基于屬性的分布式身份管理技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2012年

9 蓋新貌;終端信任鏈理論模型及其實(shí)現(xiàn)機(jī)制研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

10 羅東俊;基于可信計(jì)算的云計(jì)算安全若干關(guān)鍵問(wèn)題研究[D];華南理工大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 陳貞;HDFS環(huán)境下的訪問(wèn)控制技術(shù)研究[D];重慶大學(xué);2013年

2 鐘遠(yuǎn)棟;徐州市城鎮(zhèn)土地登記審批系統(tǒng)的構(gòu)建[D];電子科技大學(xué);2013年

3 黃超;內(nèi)容管理系統(tǒng)中訪問(wèn)控制的研究與應(yīng)用[D];南昌大學(xué);2013年

4 曹夕;云計(jì)算中安全服務(wù)機(jī)制的研究[D];福建師范大學(xué);2013年

5 趙洋;服裝業(yè)電子商務(wù)系統(tǒng)中基于圖像內(nèi)容檢索的設(shè)計(jì)與實(shí)現(xiàn)[D];河南大學(xué);2013年

6 劉江;多級(jí)跨域訪問(wèn)控制管理相關(guān)技術(shù)研究[D];解放軍信息工程大學(xué);2013年

7 姜皇勤;面向SOA多域環(huán)境的Web服務(wù)訪問(wèn)控制技術(shù)研究[D];解放軍信息工程大學(xué);2013年

8 文君;基于角色的權(quán)限管理在web應(yīng)用中的研究與實(shí)現(xiàn)[D];東北師范大學(xué);2013年

9 丁日莉;基于SaaS模式的SSO系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];東北師范大學(xué);2013年

10 王雷;高安全級(jí)別操作系統(tǒng)安全標(biāo)記機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[D];北京工業(yè)大學(xué);2013年

，

本文編號(hào)：2318006