基于担保Web服务访问控制模型.docVIP

基于担保Web服务访问控制模型 　　摘 要：提出的基于担保的Web服务访问控制模型采用形式化的方式描述，核心思想就是主体与对象之间通过担保人建立联系，担保人为主体颁发授权担保，多级担保形成一条担保链，通过担保链,主体可以得到对象一定信任度的授权；给出了基于担保的Web服务访问控制模型的授权决策算法，并通过实例说明了基于担保的授权决策过程。 　　?す丶?词：Web服务；访问控制模型；担保；信任度 　　?ぶ型挤掷嗪牛?TP393．08 文献标志码：A 　　 文章编号：1001-3695(2008)07-2177-04 　　?? 　　Guarantee??based access control model for Web services 　　YAN Xue??xiong????1??,WANG Qing??xian????1??,MA Heng??tai????2?? 　　?? 　　(1.Institute of Information Engineering, PLA Information Engineering University, Zhengzhou450002,China; 2.Institute of Software, Chinese Academy of Sciences, Beijing 100080,China) 　　?? 　　Abstract:This article presented a new access control model for Web services that bases on guarantee(s). It was a formal model, and the key point of the model was that the subject and the provider of the Web services could contact with one another through a guarantor(s), which could made a guarantee for the subject. Multi guarantees made up a guarantee chain. By using the guarantee chain, the subject could get the authorization of the Web services to some degrees of trust. This article also described an access decision algorithm and an application example of this model. 　　??Key words：Web services;access control model; guarantee; degrees of trust 　　?お? 　　Web服务可应用于企业电子商务，也可用于企业内部的资源整合；Web服务还适用于电子政务，为政府的信息化提供一种信息集成的手段；同时为军队的信息化提供了方便的途径，美军的NCES就是一个典型例子。 　　访问控制就是保证资源只授予授权用户、程序、进程等，保护资源免于非法访问。Web服务在访问控制方面提出了许多挑战性问题： 　　??a)多域访问控制的挑战。传统的访问控制主要是基于单域，也就是主体和对象都在同一个管理域，主体和对象之间相互认识。Web服务可以实现不同组织、部门之间的信息集成，这样就需要多域之间的访问控制，也就是说，必须在不认识的主体和对象之间实现访问控制。因此，在Web服务应用系统中，不仅要考虑单域的访问控制，还需要考虑多域的访问?┛刂啤＊? 　　??b)动态授权的挑战。所谓动态授权就是主体在服务请求时，动态申请访问授权的一种授权方式。传统访问控制模型的授权方式一般都是静态的，主体与对象之间的授权由管理员事先分配，然后将这些预设关系保存起来（如使用访问控制列表ACL），以备访问控制时进行验证。在Web服务访问控制中，主体可能事先不知道目标对象，主体在执行任务时，需要动态获得对象的访问授权。因此，在Web服务的应用环境下，需要同时考虑静态和动态授权。 　　??c)临时授权的挑战。在传统的访问控制模型中，主体与对象之间的授权一般来说比较稳定，时间相对比较长。但是在Web服务访问控制中，主体在执行任务时，临时需要一些服务协助完成特定的任务，对这些服务的访问是突发性的、暂时的，并且与主体当前的状态、环境相关。因此，需要同时考虑临时和永久授权。 　　??d)相对信任的挑战。在传统的访问控制模型中，主体获得的对象授权均是绝对信任的授权，也就是说，只要得