基于情境面向Web服务的软件安全中间件模型.doc

基于情境面向Web服务的软件安全中间件模型 第27卷第12期 2010年l2月 计算机应用与软件 ComputerApplicationsandSoftware V01.27No.12 Dec.2010 基于情境面向Web服务的软件安全中间件模型 李建新唐小燕 (常州信息职业技术学院计算机学院江苏常州213164) 摘要针对动态,开放的环境,提出了一种基于情境面向Web服务的软件安全中间件模型.该模型通过定义策略规则,使Agent 在不中断Web服务运行的情况下,动态调整用户的访问控制.通过对用户及Web服务的情境信息的收集和管理,使得Agent在决 策用户的访问控制时,能够动态地适应环境变化.基于该软件安全中间件模型,提出了一种基于规则和本体的策略语言ReiC及其 相应的混合推理机制,弥补了单一规则和本体在构建知识库方面能力的不足. 关键词Web服务安全情境本体Agent AMoDELoFSoFTWARESECURITYMIDDLEWAREBASED oNCoNTEXToENTEDToWARDWEBSERVICES LiJianxinTangXiaoyan (InstituteofComputer,ChangzhouCollegeofInformationTechnology,Changzhou213164,Jiangsu,China) AbstractInlighttothedynamicandopenedenvironment,weproposeamodelofsoftwaresecuritymiddlewarebasedoncontextoriented towardWebServices.ThemodelenablestheAgenttodynamicallyadjusttheaccesscontrolofusersinconditionofkeepingWebServiceoper— ationuninterruptedthroughdefiningthepolicyrules.BygatheringandmanagingthecontextinformationoftheuserandtheWebService,the AgentcandynamicallyadapttothevariationoftheenvironmentwhenmakingdecisiononuserSaccesscontro1.Accordingtothismodelof softwaresecuritymiddleware,apolicylanguagecalledReiCbasedontherulesandontologyanditscorrespondingmixedreasoningmechanism arepresented,whichmakesupthedeficiencyofcapabilitythesingleruleandontologyhaveinconstructingknowledgebase. KeywordsWebserviceSecurityContextOntologyAgent 0引言 以Web服务为代表的软件服务已成为一种新兴的Web应 用形态.软件系统的开放性,分布性和协作性与系统安全的内 在要求:封闭,集中和独立相抵触.针对访问控制,目前有很多 比较成熟的模型,如基于角色的访问控制RBAC(Role-BasedAc— cessControl…,基于任务的访问控制TBAC(Task.BasedAccess Contro1),基于前提的访问控制PBAC(Provision—BasedAccess Contro1)等.在RBAC模型中,访问控制依赖用户的角色,但 现有的Web服务在开放环境下缺乏对用户角色的统一管理. 在TBAC模型中,采用面向任务的观点,从应用而不是从系统的 角度来建立安全模型.在PBAC模型中,授权的前提是用户必 须执行一定的动作,但现有的Web服务并没有提供对用户统一 的管理及动作的验证的机制.WS—Security主要是用于确保 Web服务应用软件处理数据的完整性及保密性,对用户的授权 却没有提供相应的处理机制.XACML认为所有的策略都是可 信的,无法适用于委托授权和可信计算.现有的Web服务缺乏 对用户的统一管理,处于开放系统环境下,用户的身份,所处的 位置及Web服务的状态等都是不断变化的,基于用户及Web服 务的情境信息建立安全访问控制模型,防止非法用户越权存取 数据和使用系统资源,保证Web服务的安全运行,有着极其重 要的意义. 1基于情境面向Web服务的软件安全中间件 模型 针对Web服务自身特点的访问控制模型,应满足如下 需求: ①Web服务的访问控制应该具有一定的灵