Web服务环境下,授权带给服务提供方不确定性、脆弱性和风险性问题,提供方通过授权以实现预期收益的目标无法得到保证。作为加强授权的技术,目前Web服务下访问控制的研究仍然停留在安全领域,应对的是攻击和威胁,无法解决以上问题。本文研究Web服务下基于信任的访问控制问题。对于不同权限设定相应的信任阈值,来筛选合适的请求方进行授权,进而约束了请求方授权后的行为,减少了提供方授权的不确定性、脆弱性和风险性,使请求方行为带给提供方的实际收益更符合提供方的预期收益。本文主要的研究内容和成果如下:1、在深入分析授权问题的基础上,定义了Web服务下基于信任的访问控制,形式化的分析了Web服务下基于信任访问控制的授权策略和授权决策机制。授权策略定义了权限所对应的信任阈值,而授权决策机制则解决了如何利用权限的信任阈值和对请求方的信任度来进行授权决策。2、基于WS-Trust、WS-Federation、SAML和XACML规范,设计了Web服务下基于信任的访问控制模型WS-TBAC。WS-TBAC代替服务提供方计算对请求方的信任度,并依据授权策略,进行授权决策,授权结果以信任令牌的形式返回给请求方。WS-TBAC被设计成类似于认证中心的独立实体,便于灵活地应用。3、利用层次分析法(AHP),设计了提供方确定权限对应的信任阈值的算法。权限和信任阈值的对应关系,用授权策略模型来保存,研究了对授权策略模型的管理。该方法实现了如下功能:不同权限对应的信任阈值不同;对陌生请求方加入的支持,使陌生请求方可以与提供方进行直接交互。4、提出了Web服务下的信任度算法。该算法选择直接交互经验来计算信任度。对请求方的信任度,是请求方访问过的所有权限的所有直接交互活动产生的信任度的总和,而对于某个权限的某次直接交互的信任度,则根据请求方行为带给提供方的实际收益与提供方的预期基本收益之间的差距来计算。对于算法中的权重,利用AHP方法来确定;而算法中的函数,则通过函数拟合的方法来获得。函数拟合方法生成的函数,可以更好的反映不同提供方对信任的主观性。信任度算法,与确定权限和信任阈值对应关系的算法相配合,实现了如下功能:支持请求方随信任度的增加获取新权限,提供方根据信任度筛选合适的请求方进行授权;惩罚授权后行为不符合提供方预期的请求方。5、设计仿真实验进行验证。不同信任阈值对比实验,来验证WS-TBAC模型能否更好的实现提供方预期收益,缓解不确定性、脆弱性和风险性问题;与其它信任度算法的对比实验,来验证WS-TBAC模型中信任度算法的优劣。综上所述,基于信任的访问控制,通过设置不同权限的信任阈值,筛选合适的请求方授予相应的权限,约束请求方被授权后的行为,减少授权的不确定性、脆弱性和风险性,更好的保证提供方预期收益的实现。