（通信与信息系统专业论文）基于凭证的soa环境下安全框架的研究.pdf

中文摘要 摘要：信息按需共享、业务灵活协同以及应用无缝集成的联合需求，催生了面向 副务体系架构( s e r v i c e o r i e n t e d a r c h i t e c t u r e ，s o a ) 。s o a 在为信息共享、应用集 成、协同计算提供便利的同时，也引入了诸如权限传播控制等新型安全问题，而 传统的基于身份的安全机制在应对这些新问题上显得力不从心。要实现s o a 的大 规模应用部署，一套适应该环境特点的新型安全解决方案已经成为一个突出的需 求。 本文针对基于w e b 服务实现的s o a 环境，分析了其安全需求，引入凭证元素， 设计了一种基于凭证的安全框架c s f s ( c r e d e n t i a l b a s e ds e c u r i t yf r a m e w o r kf o r s o a ) ，研究了该框架下的凭证分布式管理策略，从应用模式，策略、凭证、安全 评估决策等核心服务的实现等方面介绍了框架的实现情况，并进行了案例分析和 性能测试。 论文最后得到的测试结果表明本文提出的c s f s 框架可以灵活有效增强s o a 环境的安全性，同时对应用系统的性能损失不大。 关键词：面向服务体系架构s o a ；w e b 服务；安全框架；凭证 分类号：t p 3 1 9 a bs t r a c t a b s t r a c t ：o n d e m a n di n f o r m a t i o ns h a r i n g ，f l e x i b l ec o o p e r a t i o n ，a n ds e a m l e s s a p p l i c a t i o ni n t e g r a t i o nh a v eg i v e nb i r t ht os e r v i c e o r i e n t e da r c h i t e c t u r e ( s o a ) 恤l e s o ah a sb r o u g h tc o n v e n i e n c et oi n f o r m a t i o ns h a r i n g ，a p p l i c a t i o ni n t e g r a t i o na n d c o o p e r a t i v ec o m p u t i n g ，n e ws e c u r i t yp r o b l e m ss u c ha sp r i v i l e d g ed e l e g a t i o nc o n t r o l h a v eb e e ni n t r o d u c e d , w h i c hc a n n o tb et a c k l e db yt r a d i t i o n a li d e n t i t y - b a s e ds e c u r i t y m e c h a n i s m f o rl a r g e - s c a l es o a a p p l i c a t i o na n dd e p l o y m e n t ，an e ws e c u r i t ys o l u t i o n t a i l o r e dt ot h i se n v i r o n m e n th a sb e c o m ea l lu r g e n tr e q u i r e m e n t t a r g e t i n gs o ai m p l e m e n t a t i o n sb a s e do nw e bs e r v i c e s ，t h i st h e s i sa n a l y z e di t s s e c u r i t yd e m a n d ，i n t r o d u c e dt h ec r e d e n t i a le l e m e n t ，d e s i g n e dac r e d e n t i a l - b a s e ds e c u r i t y f r a m e w o r kc s f s ( c r e d e n t i a l - b a s e ds e c u r i t yf r a m e w o r kf o rs o a ) ，s t u d i e dc r e d e n t i a l d i s t r i b u t e d m a n a g e m e n t u n d e rt h i s f r a m e w o r k ，d e s c r i b e d t h ef r a m e w o r k s i m p l e m e n t a t i o nf r o ma p p l i c a t i o nm o d ea n dk e r n e ls e r v i c e si m p l e m e n t a t i o ns u c ha s p o l i c y , c r e d e n t i a la n ds e c u r i t ye v a l u a t i o na n dd e c i s i o n m a k i n g ，a n dc a r r i e do u tac a s e s t u d ya n dp e r f o r m a n c et e s t t h ef i n a lr e s u l to ft h i st h e s i ss h o wt h a tc s f sc a ne f f e c t i v e l ye n f o r c es o a e n v o f i o n m e n t ss e c u r i t ya n dt h ep e r f o r m a n c eo v e r h e a di sn o th e a v y k e y w o r d s ：s e r v i c e - o r i e n t e da r c h i t e c t u r e ( s o a ) ；w e bs e r v i c e s ；s e c u r i t y f r a m e w o r k ；c r e d e n t i a l c i 。a s s n o ：t p 319 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 签字日期：年月 日 名千孚 j 量塞銮适盔堂亟主堂僮途塞一一 蕉剑性虚鳗 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期：年月日 致谢 本论文的工作是在我的导师毕红军副教授的悉心指导下完成的，毕红军副教 授严谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三 年来毕红军老师对我的关心和指导。 刘云教授，张震江老师和孟嗣仪老师悉心指导我们完成了实验室的科研工作， 在学习上和生活上都给予了我很大的关心和帮助，在此向他们表示衷心的谢意。 在实验室工作及撰写论文期间，王贵智，周佑源等同学对我的学习和科研工 作给予了热情帮助，在此向他们表达我的感激之情。 曲向丽博士与就我论文中的w e bs e r v i c e ，凭证机制，c s f s 框架研究进行了多 次热烈的讨论和交流，并对论文提出了许多的宝贵意见，给我很多有益的启发。 在此表示衷心的感谢。 另外也要衷心地感谢我的家人和朋友们，他们的理解和支持给了我莫大的动 力，使我能够在学校专心完成我的学业。 序 面向服务体系架构( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 是设计和构建松耦 合软件系统的方法，它以软件服务的形式公开业务功能，使得其它应用程序可以 通过已发布和可发现的接口来使用这些服务【1 1 ，提供了将分布式应用共享为 i n t e m e t 环境下软件服务的方法。w e b 服务的平台中立性、自描述性及互操作性， 使其成为当前实现s o a 的最普遍选择。基于w e b 服务实现的面向服务体系架构在 为信息共享、业务协同以及应用集成提供便利的同时，也引入了新的安全威胁， 主要表现有：多自治域间的安全管理问题、服务组合带来的权限传播控制问题、 基于x m l 的服务间安全通信问题，以及跨技术、身份和管理边界的身份转换和传 播问题等。安全无小事，要实现s o a 的大规模部署与应用，必须要首先着力解决 该环境下的安全问题。 传统的面向封闭环境或者小规模分布式环境的安全体系，普遍以实体身份为 安全主线，展开认证、访问控制、授权决策等安全防护手段的实施。但是，面向 服务体系架构以开放的i n t e r n e t 环境为依托，计算环境的开放性、分治性、动态性 和规模性不仅为消息窜改、越权访问等多种破坏行为提供了便利，也使得传统的 基于身份的安全体系无法应对“陌生人 信任问题，委派权限的控制传播问题， 服务组合的安全评估等问题的挑战。 本文正是在这种需求背景下展开研究工作的，针对s o a 环境下新的安全需求， 引入凭证安全元素，展开基于凭证的安全框架设计与实现。 l 绪论 1 1研究背景 随着信息技术的发展，i n t e m e t 已成为现代社会重要的信息基础设施。伴随着 i n t e r n e t 的繁荣，越来越多的数据资源、计算资源与应用资源依托i n t e m e t 成为可 被公共获取和访问的网络资源，推动i n t e r n e t 由传统意义下的信息发布平台逐渐演 变为一个开放的分布计算基础设施。以w e b 服务( w 曲s e r v i c e s ) 为代表的软件服 务以及以面向服务体系架构( s e r v i c eo r i e n t e da r c h i t e c t u r e ，s o a ) 为代表的软件 服务协同已成为开放协同网络环境下一种典型的i n t e m e t 应用形态。 w e b 服务的平台中立性、自描述性及互操作性，使其成为当前实现s o a 的最 普遍选择( 2 0 0 6 年秋的一份调查数据表明，有8 9 的受查者表示已经使用或者考 虑使用w e b 服务作为s o a 的实现技术。位1 ) 。在基于w e bs e r v i c e 技术实现的面向 服务体系架构下，资源以w e b 服务的形式加以封装和对外呈现，资源的共享与访 问以w e b 服务功能调用和w e b 服务组合的形式实现，计算环境从小规模、集中管 理的单域空间扩展到了大规模、分治管理的多域空间。s o a 环境的开放性胄分治 性、动态性和规模性特点不仅为消息窜改、越权访问等多种破坏行为提供了便利， 也使特权管理、身份认证和访问控制等安全防护技术的实施更为困难。传统的面 向域内计算环境的安全技术难以适应面向服务体系架构的新特点，如何保证面向 服务体系架构的安全性成为迫切需要解决且具有挑战性的研究课题。本文主要针 对基于w e bs e r v i c e 技术构建的s o a 环境，进行安全框架设计实现，以及安全评 估决策方法研究。 1 1 1s o a 的兴起 s o a 是近两年i t 行业最流行和最时髦的词汇。从企业的管理人员，到普通的 开发人员都在谈论s o a ；i t 厂商和各种媒体都在不遗余力地宣传和讨论s o a ；国 家的产业计划和科技预研也有s o a 方面的投入。1 3 l s o a 的概念最初由g a r t n e r 在1 9 9 6 年提出。当时，g a r t n e r 给s o a 的定义如 下：“as e r v i c e o r i e n t e da r c h i t e c t u r ei sas t y l eo fm u l t i t i e rc o m p u t i n gt h a th e l p s o r g a n i z a t i o n ss h a r el o g i ca n dd a t aa m o n gm u l t i p l ea p p l i c a t i o n sa n du s a g em o d e s 1 1 1 。t 4 由于当时的技术水平和市场环境尚不具备真正实施s o a 的条件，因此当时s o a 并未引起人们的广泛关注，s o a 很长一段时间内归于沉寂。伴随着互联网的浪潮， 越来越多的企业将业务转移到互联网领域，带动了电子商务的蓬勃发展。为了能 够将公司的业务打包成独立的、具有很强伸缩性的基于互联网的服务，人们提出 了w e b 服务的概念，这可以说是s o a 的发端。 2 0 0 2 年1 2 月，g a r t n e r 提出s o a 是“现代应用开发领域最重要的课题”。2 0 0 5 年，一些i t 组织成功建立并实施s o a 应用软件，m m 等厂商看到其价值，也纷 纷推出自己的s o a 解决方案。g a r t n e r 预测：到2 0 0 7 年，s o a 将成为全球公司的 主流，到2 0 0 8 年，s o a 将成为占有绝对优势的软件工程实践方法，s o a 将结束 传统软件体系架构长达4 0 年的统治地位，将有6 0 的商业公司在进行商业i r 建 设时会转向s o a 。i d c 预测到2 0 0 7 年，包括软件、服务和硬件在内的s o a 市场 将达到2 1 0 亿美元，其中商业企业方面的市场将达到1 2 0 亿美元。 1 1 2w e b 服务技术 2 0 0 0 年前后，在动态电子商务应用的直接推动下，w e b 服务( w e bs e r v i c e s ) 出现并迅速成长为基于i n t e m e t 构造跨组织分布应用的标准框架。w e b 服务的兴起 主要受到了以下因素的推动： 首先，基于广泛部署的通信协议( 如h t t p ) 传输基于x m l t 5 】编码的消息使 得跨组织的分布系统之间的通信和广泛的互操作成为可能： 第二，基于文档的消息模型迎合了应用之间松耦合的需求； 第三，w e b 服务的迅速推广得益于m m 、m i c r o s o f t 、w 3 c 和0 m g 等厂商及 国际组织的大力支持。 给w e b 服务下准确的定义并不容易，因为它还处在不断发展之中。w 3 c 在2 0 0 3 年公布的w e bs e r v i c ea r c h i t e c t u r e 草案【6 】中将w e b 服务定义为“为支持机器之间 跨越网络进行互操作而设计的软件，它使用机器可处理的形式描述接口( 例如 w s d l 7 1 ) ，其它系统使用s o a p 8 】消息与之通过服务描述所说明的方式进行交互， 典型地使用h t t p 、x m l 序列化以及其它w e b 标准传输s o a p 消息。简单地说， w e b 服务由服务描述和服务实现两部分构成。服务描述用于描述服务的接口信息。 服务实现是一个软件模块，部署在可通过网络访问的服务平台上。 w e b 服务架构 w e b 服务技术是为解决在i n t e r n e t 环境下，松散耦合的w e b 服务之间进行互 相调用、互相集成而设计的技术框架。w e b 服务的基本架构如图1 - 1 所示。 2 w 图1 - 1 w e b 服务的基本架构 f i g u r e l 一1w e bs e r v i c ea r c h i t e c t u r e 该架构由3 个角色( 分别是服务提供者、服务注册中心和服务请求者) 和3 个基本操作( 分别为发布、查找和绑定) 组成。 服务提供者( s e r v i c ep r o v i d e r ) 将其服务发布到服务注册中心( s e r v i c e r e g i s t r y ) 。服务请求者( s e r v i c er e q u e s t o r ) 通过查找操作从服务注册中心检索到 所需服务的服务描述，接着使用服务描述与服务提供者进行绑定并访问w e b 服务。 在该架构中有一系列的标准( w s d l 、u d d i 9 】) 和协议( s q 垤) 来实现相关 功能，例如，使用w s d l 来描述服务，使用u d d i 来发布查找服务，使用s o a p 来进行交互。在此需要说明的是当服务提供者发布服务的时候，仅提供服务描述 的u r l ，服务请求者需要根据发布的u r l 到相关位置真正获得服务描述。 w e b 服务协议栈 图1 - 2w e bs e r v i c e s 协议栈 f i g u r e l - 2w e bs e r y i c ep r o t o c o lf r a m e w o r k 虽然w 3 c 在w 西服务定义中试图消除w e b 服务与特定技术的绑定，但是 3 目前业界已经形成了一套事实上协议栈f 6 】，如图1 2 所示，其标准化的工作正在 w e b 服务互操作、组合与管理等各个层次展开。 在w e b 服务技术协议栈中，基础层次为通信层，用于定义w e b 服务的底层通 信协议。h t t p 协议凭借其普遍性，成为当今广泛采用的w e b 服务底层传输协议； 其它非主流的传输层协议还包括s m t p 、f t p 以及j m s 等。核心的三个层次分别 为消息层、描述层和流程层。消息层关注实现互操作所需的消息编码和封装，目 前广泛选择基于x m l 的s o a p 协议作为w e b 服务的消息协议，s o a p 协议简单、 灵活，支持以文档为中心的消息模式和远程过程调用( i 冲c ) 模式。描述层关注 w e b 服务的描述标准方法，w s d l 是基于x m l 的服务描述的工业标准，支持可互 操作的w e b 服务所需的最小标准服务描述。流程层则希望在单个的w e b 服务基础 之上，提供高层的集成手段，以实现w e b 服务的组合。此外，协议栈还包括安全 和管理协议。 w e b 服务的调用过程 利用w e b 服务可以建立面向服务的集成系统。这就是说，不用改变现有的各 种应用，也不关心它们技术的不同( 比如是j a v a ，还是n e t ) ，利用w e b 服务的消 息驱动机制，让他们协同工作和交互。w e b 服务体系结构最基础的支柱是x m l 消 息传递。目前x m l 消息传递的行业标准协议是s q 廿，服务的调用者通过在传输 层协议之上绑定s o a p 消息来请求服务。 图卜3w e b 服务的消息调用模式 f i g u r e1 - 3w e bs e r v i c em e s s a g et r a n s f e rm o d e l 图1 3 表示了w e b 服务的消息调用模型，图中省去了诸如w e bs e r v e r ，s o a p s e r v e r ，w e b 服务模块的表示。他们也可能在一个中间节点上。 假设s o a p 绑定在h t t p 之上，那么它就会利用h t t p 的请求响应消息模型， 将s o a p 请求的参数放在h t t p 请求里面，而将s o a p 响应的结果放在h t t p 响 应里面。w e b 服务的这种调用模式使得应用程序的集成更为方便、快捷和廉价。 部署的w e b 服务将可以随时在不同的环境下通过网络进行访问。 4 1 1 3s o a 与w e b 服务：两大互补的天才【1 0 l s o a 与w e b 服务是经常被相提并论的两个名词，这两者之间既有非常紧密的 联系，又有很大的不同：s o a 最早于1 9 9 6 年就由g a r t n e r 公司提出了，但是它的 广为传播却要感谢近年来w e b 服务的兴起和普及。s o a 从本质上说是一种理念和 体系架构，而w e b 服务为其提供了可操作的实现手段。尽管w e b 服务不必生长于 s o a 环境中，s o a 也可以不基于w e b 服务实现，但是目前业界普遍承认w e b 服 务是实现s o a 的理想方式。w e b 服务提供了一整套相关技术( 当然还不够) ，例 如可扩展标记语言( x m l ) 、简单对象存取协议( s o a p ) 、和w e b 服务描述语言 ( w s d l ) 、发现和集成( u d d i ) 等等，这些技术为w e b 服务自身的消息传送和 接收，以及消息传输协议的绑定提供了灵活的、可扩展的语言支持，能够帮助人 们针对具体的消息和应用找到编程的方法，从而实现s o a 架构所提出的理念。因 此，w e b 服务又可以看成是一系列的标准规范，而s o a 是一系列的设计原则。0 0 这两种技术目前在应用中正互相促进，发展势头迅猛。据g a r t n e r 预计，到2 0 0 8 年，在至少7 5 的新研s o a 或w e bs e r v i c e 项目中将联合使用s o a 与w e bs e r v i c e 技术( 7 0 概率) 。i 1 1 1 2研究意义 s o a 为信息共享、应用集成、协同计算提供了便利，但是也引入了新的安全 威胁，主要表现在以下几个方面： ( 1 ) 多自治域间的安全管理问题 在传统的封闭环境中以及小范围共享协作的分布式环境中，由于用户群体的 相对熟识性，实体数目的相对有限性和可控性，安全问题限于组织内部，安全管 理体系往往基于身份建立。但是，在面向服务体系架构下，资源共享和访问从封 闭、集中管理和相对静态的域内环境扩展到了开放、分散自治和动态协作的域间 计算环境，服务的请求者和使用者常常归属于不同的管理域，合作常常跨越组织 边界。如何在多自治域间提供有效的安全管理机制，实现跨域访问控制与授权管 理，是s o a 环境面临的一个突出安全问题。 ( 2 ) 服务组合带来的权限传播控制问题 在最简单的w e b 服务调用情况下，服务请求者u 直接向服务提供者s 发出服 务调用请求，s 根据安全策略决定是否允许执行u 的请求。但是，在很多情况下， s 在处理用户请求的过程中还需要访问其他服务t s ，如图1 - 4 所示。但是s 可能 并没有被t s 授权执行这种访问操作，为了实现这种基于代理( p r o x y - b a s e d ) 的访 5 问方式，s 需要以u 的名义访问t s ，如果u 被t s 授权，且t s 允许s 扮演 ( i m p e r s o n a t i o n ) u ，那么s 的请求将被允许。图1 - 4 中描述的是经典的旅行代理 案例，其中的t r a v e la g e n t 为顾客提供综合性旅行服务，代表顾客与航空公司和其 他网络服务( 如网上银行) 交互。本文将旅行代理这类同时扮演服务方和请求方 的主体称为服务中介( s e r v i c ea g e n c y ) 。 、旅行社， 、，- 一- ， 图1 4 服务中介示例 f i g u r e1 - 4a ne x a m p l ef o rs e r v i e c ea g e n c y 在s o a 环境下，服务组合是一种典型的计算与协同模式。服务组合，尤其是 动态服务组合，形成了一条服务请求响应的传递链，常常会产生多级服务中介。 服务中介使访问授权活动变得非常复杂，服务请求者如何把自己的权限传递给服 务中介、服务响应者如何定义涉及服务中介的授权策略、请求者和提供者如何控 制请求链中的权限传播等问题是这类多级访问请求中安全管理的难点。对于跨越 多级服务中介的访问请求，问题将变得更加复杂。在访问授权活动中，最小特权 原则是确保信息安全的一个基本原则，如何在域间服务组合过程中实现最小特权 原则也是s o a 环境下的一个重要安全问题。 ( 3 ) x m l 通信协议消耗大量带宽，引发安全问题 与传统的二进制通信协议相比，x m l 最高可以消耗高达5 0 倍的带宽，这不 仅会导致交互系统性能下降，而且会为分布式拒绝服务攻击( d d o s ，d i s t r i b u t e d d e n yo fs e r v i c e ) 提供可趁之机。因此，未经优化的x m l 通信将导致严重的安全 问题。 由于s o a 环境的开放性本质，很难控制s o a 中未知的第三方，比如合作伙 伴可以间接访问未受保护的w e b 服务。因此，未受保护的w e b 服务很容易超负荷 运转，如果没有访问控制，未受保护的w e b 服务很容易被来自黑客的大量s o a p 消息所“淹没”，结果可能导致分布式拒绝服务攻击从而损害系统的正常功能。 为解决这类问题，市场上已出现了专门的x m l 加速器。利用基于6 4 位平台 6 架构的语法分析器，该设备可以用来加速x m l s o a p 的解析、x m l 模式的确认、 x p a t h 的处理以及x s l t 的功能转换。据公开的产品测试报告称，这种x m l 加速 器能够达到每秒处理l 万多条x m l 消息的能力。 ( 4 ) 基于x m l 的服务间通信易受到监听和窃取 由于x m l 的纯文本本质，未经保护的x m l 文档在互联网传输过程中很容易 被监听和窃取。为了保障基于x m l 的通信安全，需要从传输层和消息层两个层面 进行保护。通过传输安全，可以保证只有经过授权的用户才可以访问基于x m l 的 w e b 服务，目前可扩展访问控制标记语言( e x t e n s i b l ea c c e s sc o n t r o lm a r k u p l a n g u a g e ，x a c m l ) 和w e b 服务策略( w s p o l i c y ) 是专门用来解决这个问题的 两个标准；通过消息安全，可以保证w e b 服务环境中交换的x m l 消息的完整性 和保密性，w e b 服务安全( w e bs e r v i c es e c u r i t y ，w s 。s e c u r i t y ) 和安全声明标记语 言( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，s a m l ) 则用来解决这方面的问题。 ( 5 ) 机器与机器交互引发的安全问题 s o a 强调机器与机器的交互，身份验证和授权在这个环境中变得更加富于挑 战性。在未受保护的s o a 中，想要阻止w e b 服务的未授权使用实际上是不可能的。 未授权用户可以非常轻松地访问w e b 服务，而w e b 服务往往不具备跟踪谁在使用 它们或者谁被允许使用它们的固有功能。传统的安全防御对象主要是针对人，而 s o a 更多地强调了机器与机器的交互，即所谓服务的互操作性，如何应对来自合 作伙伴或第三方服务交互请求的威胁( 大多数情况下，这些请求被人恶意利用和 操纵) 将是s o a 安全防御的一项重要课题。 ( 6 ) 跨多个应用程序统一、重用和共享公共安全性 s o a 具备来自异构系统的多样性，s o a 要求建立一个统一的安全基础设施和 标准。每个应用系统可以使用共享安全组件，比如c a 认证中心、信道加密方式等。 此外，统一的安全标准遵从对于s o a 整体安全性而言至关重要。 s o a 的优势不容置疑，但是在其实施过程中所面临的上述新型安全威胁却无 法置之不顾，尤其是在大规模部署时。这一结论为2 0 0 3 年一份调查结果所验证【1 2 】： 很多企业用户都打算在近期实现某种形式的w e b 服务，在他们所有的实施顾虑中， 安全问题占据了首位，接近半数的比例4 5 5 ，足可以说明解决安全问题的重要性， 如图1 5 所示。 7 图1 - 5 实施w e b 服务时各种顾虑组成比例 f i g u r e1 - 5c o n c e r n si ni m p l e m e n t i n gw e b s e r v i c e s 1 3研究的内容和论文结构 本文主要针对s o a 环境下的突出安全问题，引入凭证机制，进行安全框架设 计与实现，各章节内容安排如下： 第一章绪论 介绍本文的研究背景和意义、主要内容以及结构组织。 第二章相关工作 对s o a ，分布式访问控制技术，s o a 环境下当前应用的主要安全技术给出相 关介绍。 第三章s o a 环境下一种基于凭证的安全框架c s f s 根据s o a 环境的突出安全需求，给出一种基于凭证的安全框架c s f s ，主要 介绍了其设计原则与体系结构。 第四章凭证的分布式管理 从凭证定义、凭证分布式管理策略、凭证会话管理协议几方面，对凭证的分 布式管理机制作详细介绍。 第五章基于凭证安全特征向量的安全评估方法 针对凭证的不确定性和区分性问，引入凭证安全特征向量，利用不确定推理 方法，分别给出了单凭证和多凭证情况下实体的安全性评估方法。 第六章服务组合整体安全性评估决策方法 针对服务组合的整体安全性评估问题，给出了一种基于模糊偏序关系的评估 决策方法。 第七章框架实现 描述了c s f s 的实现机制并给出具体的实验结果。 第八章结束语 对全文进行总结，对下一步工作进行展望。 9 2 相关工作 本章主要对s o a 、分布式计算环境下的访问控制技术以及当前s o a 环境下应 用的主要安全技术、安全标准与规范进行介绍。 2 1s o a 的简介 关于s o a ，目前尚未形成一个准确和统一的定义，下面列出了几种具有代表 性的定义： w 3 c 这样来定义s o a ：“as e to fc o m p o n e n t sw h i c hc a nb ei n v o k e d ，a n dw h o s e i m e r f a c ed e s c r i p t i o n sc a l lb ep u b l i s h e da n dd i s c o v e r e d 。 m m 则这样定义s o a ：“s o ai sa ni ta r c h i t e c t u r a ls t y l et h a ts u p p o r t si n t e g r a t i n g y o u rb u s i n e s sa sl i n k e ds e r v i c e so rr e p e a t a b l eb u s i n e s st a s k st h a tc a nb ea c c e s s e dw h e n n e e d e do v e ran e t w o r k ”o g a r t n e r 这样说s o a ：“s o a 是客户端h a 务器的软件设计方法，一项应用由软 件服务和软件服务使用者组成s o a 与大多数通用的客户端服务器模型的不同 之处，在于它着重强调软件组件的松散耦合，并使用独立的标准接口。 s e r v i c e - a r c h i t e c t u r e c o m 这样说s o a ：“本质上是服务的集合。服务间彼此通 信，这种通信可能是简单的数据传送，也可能是两个或更多的服务协调进行某些 活动。服务间需要某些方法进行连接。所谓服务就是精确定义、封装完善、独立 于其他服务所处环境和状态的函数。 i t w i k i 这样给出s o a 的定义：“面向服务的体系结构( s e r v i c e o r i e n t e d a r c h i t e c t u r e ，s o a ，也叫面向服务架构) 是指为了解决在i n t e m e t 环境下业务集成 的需要，通过连接能完成特定任务的独立功能实体实现的一种软件系统架构。一 凡此种种，不一而足。本文对s o a 将采用如下的定义：“s o a 是一种体系结 构风格，它将应用程序的不同功能单元一服务( s e r v i c e ) ，通过服务间定义良好的 接口和契约( c o n t r a c t ) 联系起来。接口采用中立的方式定义，独立于具体实现服 务的硬件平台、操作系统和编程语言，使得构建的系统中的服务可以使用统一和 标准的方式进行通信。 2 2 分布式访问控制技术 分布式访问控制技术主要表现为访问矩阵模型与分布认证技术的结合。在分 1 0 布环境下，主体身份的确认是访问控制的关键，因此这个阶段的工作主要侧重于 分布式认证机制的研究，如k e r b e r o s 13 1 、p k i 1 4 l 等。能力表与密码技术的结合产生 了基于能力的分布式访问控制系统，分布式能力使能力表分散到不同的网络实体 和用户，这种分布性为现代分布式授权技术提供了重要的思想起源。l a m p s o n 和 a b a d i 等人在此基础上研究了复杂资源访问场景中的认证和访问控制问题。 2 2 1分布式身份 分布式认证机制与访问矩阵的结合是早期分布式访问控制系统的基本思路： 首先对远程用户进行认证，然后将其映射到本地可信的用户标识，最后基于访问 矩阵定义的授权策略进行访问控制。授权系统的访问控制机制仍可以采用传统访 问控制技术，如a c l 和能力表。 在集中式系统中，用户的身份由进程的用户i d 决定，该用户i d 由操作系统内 核统一控制，可以作为授权的可信主体。但是在分布系统中，由于不存在这种全 局的监管中心，对用户身份的确认变得困难。于是人们以密码学为理论基础研究 分布环境下对用户真实身份的确认方法和协议。 2 2 2k e r b e r o s k e r b e r o s 是基于对称密码的认证协议【l3 1 ，通过一个公共可信的k d c ( k e y d i s t r i b u t i o nc e n t e r ) 解决身份认证问题。用户向k d c 认证成功后，k d c 将一个会 话密钥同用户身份绑定并发送给用户。k d c 与控制资源访问的t g s ( t i c k e t g r a n t i n gs e r v e r ) 共享用户的会话密钥。在整个会话期间，用户使用该会 话密钥同t g s 交互以获得访问服务的票据( t i c k e t ) 。例如，当j o l l l l 访问m a r y 的 资源时，首先把从k d c 获得的会话密钥发给t g s 。t g s 为j o h n 发送一个票据( 仅 能被b 阅读的加密消息) 和一个新的密钥k a b ( 仅被j o h n 和m a r y 知道) ，然后 j o h n 将该票据和一个由k a b 加密的消息转发给m a r y ，然后m a r y 用k a b 加密应 答消息以证明其身份。k e r b e r o s 依赖于集中的基础设施解决身份认证问题：k d c 和t g s 必须在会话期间处于活跃状态( 会话密钥必须经常刷新以防止攻击) ，并且 两者必须同j o h n 需要访问的所有资源服务器共享密钥( 如k a b ) 。 2 2 3x 5 0 9 1 9 8 8 年x 5 0 9 e 1 5 】作为x 5 0 0 目录的组成部分由i t u t 发布，x 5 0 0 是一种全局 分布式目录服务，各组织可以拥有并管理部分全局名字空间。 x 5 0 9 的核心内容是x 5 0 9 证书，包含主题( s u b j e c t ) 、颁发者( i s s u e r ) 、主题 的公钥、有效时段、版本号、序列号、颁发者的数字签名和一些扩展信息。在x 5 0 9 公钥基础设施中，c a ( c e r t i f i c a t i o na u t h o r i t y ) 是负责签发、更新和撤销证书的可 信权威，各c a 的证书可以由上级c a 签发，也可以由自己签发( 此时c a 是权威 源) ，因此多个c a 可以形成一个树型信任体系。应用系统可以根据自己的安全策 略决定是否信任某一证书，例如“只有c a 直接签发的证书是可信的”或“存在一条 到c a 的证书链的证书是可信的一等等。 2 2 4p g p p g p ( p r e t t yg o o dp r i v a c y ) 采用一种对等结构建立公钥同身份的映射关系【l 6 】， 任何用户都可以声明公钥与用户的绑定关系。例如，如果j o h n 确信某个公钥属于 m a r y ( m a r y 具有该公钥对应的私钥) ，那么他可以对公钥和m a r y 签名以表达这种 绑定关系，并且可以将签名结果发送给其他用户，将该绑定关系介绍给其他用户。 p g p 无需第三方认证权威，具有完全分散的管理结构。 每个p g p 用户维护多个私钥环和公钥环，私钥环存储用户自身的密钥对，公 钥环存储用户熟知的公钥绑定，每个公钥绑定具有信任级别、有效分值和绑定关 系的推荐人的签名列表。p g p 提供4 种信任级别，用户可以根据对推荐人的认知 确定对其所作推荐的可信级别。p g p 可以根据推荐人的可信度及其推荐签名计算 出公钥绑定关系的有效分值，用户据此可以适当的使用公钥环中的公钥。 2 2 5m i c r o s o f t n e tp a s s p o r t m i c r o s o f t 公司1 9 9 9 年发布的p a s s p o r t 17 】以集中方式提供i n t e m e t 范围内的跨 域认证服务。p a s s p o r t 以电子邮件地址( 面向用户) 和域名( 面向参与服务) 为身 份标识，基于c o o k i e 和u r l 重定向技术实现单点登录( s i n g l es i g n o n ) ，并采用 s s l 确保私密信息的安全传输。p a s s p o r t 采用集中管理方式给出了面向i n t e r a c t 的 认证方案，这说明适当的集中往往比单纯的分治管理具有更好的可行性。虽然集 中式方法可能会导致性能瓶颈和隐私问题，但在实际系统中往往需要进行多种因 素的折中和权衡，这也是安全技术复杂性的主要原因。 1 2 2 2 6属性证书 为了使公钥证书携带授权信息，x 5 0 9v 3 定义了多种证书扩展机制。但是由 于身份信息与授权信息通常具有不同的生命周期( 类似于护照和通行证的关系) ， 而且两者的管理权威也常常难以集中于单一机构，于是人们提出属性证书 ( a t t r i b u t ec e r t i f i c a t e ，a c ) 【瞄j 的概念。 i t u t 在2 0 0 0 年发布的x 5 0 9 标准中定义了基于a c 的特权管理设施 ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ，p m i ) 。a c 的基本思想是采用一种短期证书 将身份证书与安全属性关联起来。安全属性是一个抽象概念，可以是组( g r o u p ) 、 角色、安全许可证( c l e a r a n c e ) 或应用相关的安全约束( 如时限约束) 。a c 将特权 ( 表示为属性) 与证书持有者关联，a c 的持有者可以唯一的对应一个公钥证书。 因此，a c 本质上仍是基于身份的访问控制技术。 2 3当前s o a 环境下的主要安全技术的研究现状1 9 】 2 3 1s o a p 消息监控 基于s o a p 侦听的s o a 消息监控是构建高效s o a 安全性解决方案的一种基 础手段。 曩露 o 假0 d u s e r 置_ 透 图2 1 部署了s o a p 消息监控器的s o a 安全方案 f i g u r e2 - 1s o a pm e s s a g em o n i t o rb a s e ds o as e c u r i t ys o l u t i o n s o a p 侦听就是在w e b 服务消费者和w e b 服务提供者之间来回传递的s o a p 消息的路径中放入一个叫做“s o a p 拦截器”的特殊软件块。因为其分类、监控、 复制和转发包含大量数据的s o a p 消息的能力，s o a p 拦截器可以在s o a 安全性 ；= e壅 銮道 厶堂亟堂僮途塞担苤 方面发挥重大作用。如图2 1 所示，一个s o a p 监控器“监视”着到达w e b 服务 的s o a p 调用消息和对这些服务调用的响应。当它“看见”一条消息时就会进行 检查，以确保发出请求的实体是经过身份验证和授权可以使用w e b 服务的。主要 是通过检查s o a p 消息标题头中包含的数据实现的。 2 3 2 s a m l 和联邦身份验证 s o a 的开放性使得经常需要对管理域外的用户进行身份验证和授权。为了解 决保护第三方过程中固有的安全性问题，s o a 安全性解决方案可以使用联邦身份 验证。通过联邦身份验证，多方可以达成一致，使用一组给定的标准来对一组指 定的用户进行身份验证。联邦身份验证方法的使用者可以创建一个联邦身份管理 系统( f e d e r a t e di d e n t i t ym a n a g e m e n ts y s t e m ) ，这是一个已验证用户的库。 s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，安全断言标记语言) 是一种基于 x m l 的标准，它为以标准方式描述安全性信息提供了一个框架。如图2 2 所示， 要在s o a 安全性中使用联邦身份验证，s o a p 拦截器必须把传入的s o a p 消息转 发给安全性解决方案，该安全性解决方案再把s o