● 摘要
无论是在军事应用系统,还是在商业环境中,应用系统经历着从局域网到广域网、从集中式到分布式的深刻变革,信息通过网络之间的共享才能充分体现其价值。多级多域环境下的信息共享模式也发生了转变,出现了分级分类、按需共享、基于广域网共享和支持数据异构等新要求。多级安全就是为了保证多密级环境中的保密信息而提出,但传统的多级安全模型中,由于严格依赖传统的安全级别描述方法,不具有灵活性。为了解决以上问题,本文实现了一种面向SOA的多密级环境下的访问控制中间件。
在通过对多级多域环境下的信息安全共享需求的研究基础上,经过需求分析,建立模型,进行概要设计与详细设计,实现了面向SOA的访问控制中间件系统。该系统解决了如下关键问题:
(1)服务消息多密级标记技术。对WSDL文件和SOAP消息的多密级标记扩展,从而可以使加密模块能够透明地对SOAP消息进行全局或部分的加密处理。
(2)服务授权信息发布与共享技术。系统采用SAML作为服务授权信息发布和共享的信息交换机制,具有良好的可扩展性和互操作性,并且利用XACML来弥补SAML断言无法提供授权策略描述的缺点。
利用以上关键技术,本论文取得了如下成果:
(1)提出了基于角色的多级安全访问控制模型,该模型通过利用系统中用户之间的角色关系完成满足多级安全特性的授权判决,授权判决的实施遵守了BLP定义的安全公理。
(2)设计与实现了面向SOA的访问控制中间件,该中间件通过分离管理模块、服务模块和代理模块,既实现了对外提供服务的透明性,也使得内部的认证授权管理与配置变得简单易操作。中间件很好得完成提供策略和访问控制服务的功能。
相关内容
相关标签