组合服务授权策略冲突检测方法的研究与实现

发布时间：2018-11-08 09:03

【摘要】：在组合服务被广泛使用的环境下,访问控制技术是保证组合服务安全的关键技术,而授权策略是访问控制技术中至关重要的元素,对于授权策略的正确制定是保障访问控制体系正常运行的前提。本文通过CWS-RBAC模型来实现用户与组合Web服务之间的访问控制,在该CWS-RBAC模型中,用户通过主体角色来反映用户在账号系统中的权限等级,组合Web服务通过客体角色来进行访问调用,授权策略通过描述主体角色和客体角色之间的授权关系来进行用户与服务之间的授权管理。在该模型中,系统管理员通过制定一条授权策略来准许或者否定一个主体角色对于客体角色的授权请求。由于组合服务环境下服务种类繁多,管理员在海量组合服务的环境中可能会面临大规模的授权策略,添加的新的授权策略有可能与已有的授权策略冲突,并因此导致授权混乱和权限泄露。授权策略冲突检测由此成为组合Web服务环境下保障正常授权的关键环节。为了检测CWS-RBAC模型中的授权策略冲突,本文详细分析了CWS-RBAC模型中授权策略的特征,包括主体角色结构导致的授权传播,客体角色结构导致的授权扩散,以及组合Web服务工作流导致的授权泄露。在该授权特征分析的基础上,本文根据主体角色等级结构提出了主体角色传播冲突检测方法,根据客体角色组合结构提出了客体角色组合冲突检测方法以及根据组合Web服务工作流提出了上下文冲突检测方法,并基于OAuth2.0协议设计了具备授权管理功能的授权策略冲突检测原型系统,通过生成随机策略并进行授权冲突检测的方式来验证授权策略冲突检测方法的有效性。
[Abstract]:In the environment where composite services are widely used, access control technology is the key technology to ensure the security of composite services, and authorization policy is an essential element of access control technology. The correct formulation of authorization policy is the premise to ensure the normal operation of access control system. In this paper, the access control between user and composition Web service is realized by CWS-RBAC model. In this CWS-RBAC model, the user reflects the user's privilege level in the account system through the principal role. Composite Web services are accessed by object roles, and authorization policies are used to manage authorization between users and services by describing the authorization relationship between subject roles and object roles. In this model, the system administrator formulates an authorization policy to grant or deny a subject role's authorization request to the object role. Because there are many kinds of services in composite service environment, administrators may face large-scale authorization policy in the environment of massive composition services, and the added new authorization policy may conflict with the existing authorization policy. And thus lead to authorization confusion and authority leaks. Therefore, the conflict detection of authorization policy becomes the key link to guarantee the normal authorization in the composite Web service environment. In order to detect the conflict of authorization policy in CWS-RBAC model, this paper analyzes the characteristics of authorization policy in CWS-RBAC model in detail, including authorization propagation caused by principal role structure and authorization diffusion caused by object role structure. And composition of Web services workflow resulting in authorization leaks. Based on the analysis of the authorization features, this paper proposes a method of conflict detection based on the hierarchical structure of the principal role. According to the object role composition structure, the object role combination conflict detection method and the context conflict detection method based on the composition Web service workflow are proposed. An authorization policy conflict detection prototype system with authorization management function is designed based on OAuth2.0 protocol. The validity of authorization policy conflict detection method is verified by generating random policies and detecting authorization conflicts.
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【共引文献】

相关期刊论文 前10条

1 杨雷;彭俊杰;;基于安全中心的跨域资源共享安全框架[J];信息化研究;2013年04期

2 李强;于青;闫洪波;李丽;崔守琦;;故障诊断云制造服务平台的研究与应用[J];锻压技术;2014年02期

3 翟治年;卢亚辉;奚建清;赵铁柱;汤德佑;顾春华;;面向企业级流程的职责分离框架及其冗余分析[J];电子学报;2013年10期

4 张会霞;陈宇晖;望勇;;“数字果园”GPS数据采集系统的设计与实现[J];广东农业科学;2014年05期

5 马宏伟;;基于过程管理的顶岗实习与就业质量管理系统的研发[J];电子设计工程;2014年08期

6 李瑞江;;基于ASP.NET的学生综合素质评价管理系统的设计与实现[J];电子设计工程;2014年09期

7 仲华惟;;管理信息系统多级访问控制管理模型[J];电脑知识与技术;2014年22期

8 金磊;马明瑞;;基于嵌入式LINUX的网络视频监控系统设计与实现[J];计算机光盘软件与应用;2014年12期

9 张森均;;基于门限的云计算数据隐私保护模型研究[J];电子制作;2015年01期

10 胡俊;张熠;黄传河;;基于云平台的政务信息系统的访问控制设计[J];华中科技大学学报(自然科学版);2013年S2期

相关会议论文 前1条

1 何成东;苏朝阳;林友勇;桂雪会;;改进的RBAC模型在智慧城市系统中的应用[A];第二届全国信息安全等级保护技术大会会议论文集[C];2013年

相关博士学位论文 前10条

1 窦文阳;普适计算环境下的主动模糊访问控制技术研究[D];陕西师范大学;2013年

2 任向民;基于K-匿名的隐私保护方法研究[D];哈尔滨工程大学;2012年

3 李寒;遗留系统再工程的若干问题研究[D];大连理工大学;2013年

4 王全民;操作系统安全加固中进程与文件保护关键技术的研究[D];天津大学;2012年

5 翟志刚;动态开放式环境下的使用控制模型研究[D];南京航空航天大学;2012年

6 籍延宝;农业主要病虫害监测预警系统通用平台的开发及初步应用[D];中国农业大学;2014年

7 姚志强;普适计算模式下的文档组合与安全研究[D];西安电子科技大学;2014年

8 曹丹;基于属性的分布式身份管理技术研究[D];国防科学技术大学;2012年

9 盖新貌;终端信任链理论模型及其实现机制研究[D];国防科学技术大学;2013年

10 罗东俊;基于可信计算的云计算安全若干关键问题研究[D];华南理工大学;2014年

相关硕士学位论文 前10条

1 陈贞;HDFS环境下的访问控制技术研究[D];重庆大学;2013年

2 钟远栋;徐州市城镇土地登记审批系统的构建[D];电子科技大学;2013年

3 黄超;内容管理系统中访问控制的研究与应用[D];南昌大学;2013年

4 曹夕;云计算中安全服务机制的研究[D];福建师范大学;2013年

5 赵洋;服装业电子商务系统中基于图像内容检索的设计与实现[D];河南大学;2013年

6 刘江;多级跨域访问控制管理相关技术研究[D];解放军信息工程大学;2013年

7 姜皇勤;面向SOA多域环境的Web服务访问控制技术研究[D];解放军信息工程大学;2013年

8 文君;基于角色的权限管理在web应用中的研究与实现[D];东北师范大学;2013年

9 丁日莉;基于SaaS模式的SSO系统的设计与实现[D];东北师范大学;2013年

10 王雷;高安全级别操作系统安全标记机制的设计与实现[D];北京工业大学;2013年

，

本文编号：2318006