论文部分内容阅读
物联网被称为世界信息产业的第三次浪潮,越来越受到人们的关注,简单的说,物联网就是通过各类传感识别设备把所有物连入互联网,以实现物的自动化管理以及物与物之间的智能通信。在物联网中将会存在大量的分布式节点,如移动终端、手持设备、各种传感设备等,这些节点将会产生大量的信息,物联网的核心支撑在于如何有效的处理获取的信息,而其最终目的是向用户提供满意的服务与应用。物联网中服务的内涵将得到扩展,不再是单纯的为满足某种应用而开发的服务,任何物品提供的功能都可能包装成服务供某类特殊用户使用,如安装在道路两旁的摄像头将为交通部门提供服务。面向服务计算SOC将各种资源包装成服务,根据应用系统的要求选择具有一定功能的服务进行组合,通过这些服务的定义、服务间的约束以实现服务之间的交互,现已成为一种重要的应用系统构建方案。在物联网环境下,面向服务计算将成为一种有效的信息资源共享解决方案,能够避免资源的重复建设,为用户提供便捷的服务。但面向服务架构SOA本身面临严重的安全问题,使用它构建的分布式异构系统往往跨域多个安全域,系统请求者需要跨域组织边界访问系统,系统对请求者的认证与授权也活动在多个安全域之间,而且系统常常在短暂时间内需要处理大量陌生用户的临时调用,因此面向服务计算需要设计一种访问控制模型以满足这些要求。现有的传统的访问控制技术,如自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC,都是在某个安全域下为特定用户进行授权管理的,无法满足面向服务计算环境的安全需求。针对资源共享问题提出的基于属性的访问控制ABAC,是基于与访问安全相关的特征(属性)进行授权的,其访问控制架构非常适合分布式系统的访问控制。但其弱点在于不能根据当前执行的任务,动态的管理权限,并且不能为用户分配执行当前任务的最小权限。
本文将工作流引入基于属性的访问控制,提出一种适合物联网的基于属性的访问控制模型,使来自不同域的陌生用户可以实现跨域的细粒度访问控制,其次针对该模型中属性的获取,提出了一种基于信任的敏感属性保护机制,通过实体信任度和属性敏感度的比较,使系统能够在不侵犯用户隐私的情况下,获得用于进行授权决策的属性,进而实现更安全的访问控制。