基于SOAP 的Web 服務訪問控制的設計與實現*

張津銘

(煙臺職業學院,山東 煙臺 264670)

基于SOAP 的Web 服務訪問控制的設計與實現*

張津銘

(煙臺職業學院,山東 煙臺 264670)

針對Web服務的訪問控制及安全模型進行了深入研究;參考N IST RBAC/Web模型提出了一個基于SOAP擴展的Web服務安全模型;針對該安全模型中的基于角色的Web服務訪問控制模型進行了詳細的研究和設計。

Web服務;訪問控制;簡單對象存取協定;安全模型

在當今的IT領域,Web服務技術正在日益受到關注。Web服務被普遍認為是新一代應用程序的集成,是通向新的商業模式的大門,也是企業之間相互聯系的前所未有的重要途徑。調查顯示,Web服務安全性已經成為多數企業的最大關注點,但由于Web服務安全機制非常復雜,這使得多數企業對大多數Web服務不得不采用較簡單和保守的方式進行配置,從而使得Web服務安全得不到有效保障。

本文主要針對Web服務的訪問控制,即SOAP的授權安全機制進行研究,以提供對Web服務消息級的安全保護。對Web服務訪問控制技術的研究不僅對Web服務技術自身發展具有重大的研究意義,而且對Web服務的重要應用-動態電子商務的健康、快速發展有著很大的應用價值。

1 Web服務訪問控制

訪問控制(Access Control)就是通過某種途徑顯式地準許或限制訪問能力及范圍的一種方法。訪問控制系統一般包括:

(1)主體(Subject):發出訪問操作、存取要求的主動方,通常指用戶或用戶的某個進程;

(2)客體(Object):被調用的程序或欲存取的數據訪問;

(3)安全訪問政策:一套規則,用以確定一個主體是否對客體擁有訪問能力[1]?！?br>