论文部分内容阅读
语义Web服务就是在Web服务的基础上,增加语义描述信息,对Web服务的功能、输入输出参数及执行前提条件和执行后的效果进行语义描述。这些语义描述信息能够促使Web服务的自动发现和调用。在因特网标准协议栈中,原来的应用层协议,成为Web服务的消息传输协议,上面是SOAP消息协议,然后,才是Web服务应用层。这样一来,Web服务的安全防范范围扩大,受到安全攻击的风险性也随之加大。同时,因特网固有的开放性也加剧了Web服务的安全风险。因此,必须考虑加强Web服务安全的语义表达能力,使得Web服务能够准确表达自己的安全需求、安全能力和访问控制策略。在Web服务的自动发现、调用或组合过程中,不但能够自动理解对方所提供的服务功能,而且能够结合各自的安全语义表达信息,实现Web服务之间的安全交互。本文在Web服务安全的语义表达方面进行了研究,主要内容包含以下4个方面:
1、采用OWL-DL,语言建立了Web服务安全本体SecOWS,它由安全令牌本体、安全算法本体、安全令牌服务本体、安全对象本体和安全综合本体组合而成。SecOWS本体克服了国外相关研究成果中的不足之处,绝大部分概念和属性名称均直接取自各种Web服务安全规范,涵盖了Web服务安全协议栈中的大部分协议规范,理顺了Web服务安全规范中的各种概念之间的组织关系,通过对象属性将涉及到的各种安全规范有机联系起来,表达了它们之间的内在联系。SecOWS本体能够用来表达Web服务的消息保密性和完整性、不可否认性及身份鉴别。
2、在研究Web服务安全需求和安全能力的语义匹配问题的基础上,提出了本体实例之间的语义匹配算法SMOI。在详细研究本体实例的RDF图形表示基础上,提出了一系列形式化的定义和定理。在所建立的理论基础上,将两个本体实例的匹配问题转化为对应本体实例图中的起点所构成的两个集合之间的匹配,提出了本体实例的语义匹配算法SMOI。整个算法分为三个阶段:第一阶段是预处理阶段,完成本体及本体实例的解析和本体实例的一致性检查等任务:第二阶段是本体实例图的简化阶段,主要完成本体实例图的压缩和回路消除等任务;第三阶段是匹配阶段,判断两个本体实例之间是否存在等价关系或包含关系,若不存在上述关系,找出两者之间的语义差别。本文实现了所提出的算法,结合大量实例进行了验证,结果表明所提出的语义匹配算法在计算上是可行的。
3、提出了一种基于属性和角色的访问控制模型ARBAC和Web服务访问控制策略语言WSACPL。ARBAC模型能够根据Web服务资源对用户的属性限制条件自动生成角色集,完成用户到角色、权限到角色的映射,能够表达职责分离约束、环境参数限制和最小权限策略,统一了Web服务和Web服务所涉及的数据资源的访问控制。但ARBAC模型没有明确定义各种属性的语义信息,也无法表达各种权限所对应的约束条件和环境条件的语义。WSACPL语言克服了ARBAC模型存在的局限性,该语言由策略本体WSACPL组成,包含了使用SWRL表达访问控制规则的机制。由于SWRL和OWL-DL在抽象语法和语义两方面都能兼容,使得该语言能够最大程度地利用现有语义Web技术。该语言主要用来定义语义Web服务中原子过程的访问控制策略。在此基础上,本文也提出了解决复合过程的访问控制决策方法和WSACPL访问控制策略的冲突解决办法。
4、利用上述研究成果,实现了Web服务访问控制系统的原型软件IASS。该系统将Web服务访问控制过程划分为两个阶段:第一个阶段是服务请求者和服务提供者之间的安全需求和安全能力的语义匹配。使用安全本体SecOWS提供的概念和属性定义服务访问者与服务提供者的安全需求与安全能力,利用语义匹配算法SMOI进行匹配,若匹配成功,则转入下一阶段;第二个阶段是依据服务请求者的属性值,根据已经设定的WSACPL访问控制策略进行授权判定。最后,结合具体的医疗领域Web服务,利用所开发的IASS原型系统,对语义匹配算法SMOI、SecOWS本体和WSACPL语言的表达能力进行了验证。
验证结果表明:SecOWS本体能够表达Web服务的消息保密性和完整性、不可否认性及身份鉴别方面的语义信息,表示形式简洁直观,易于理解。SMOI算法正确,采用的优化方法提高了运行速度,能够用来处理大规模本体实例之间的语义匹配,在计算上是可行的。WSACPL语言表达能力强,结合具体应用领域本体,能够用来表示含有规则的访问控制策略,WSACPL策略冲突解决方法和复合过程的授权判定方法是正确的,具有较强的实用性。