[发明专利]利用ABAC模型控制网络服务组合的访问方法

说明书

本发明公开一种利用基于属性访问控制模型ABAC控制网络服务组合的访问方法，旨在以更节省时间，节省资源的方式保护网络服务组合中的敏感信息不被泄露，避免其被非法访问。本发明的具体步骤为：1.从策略库中提取属性约束，实现属性约束的分布式存储；2.提出一种访问控制机制，分开计算主体属性约束和环境属性约束。本发明避免了策略库中无关策略对访问控制过程中查找时间的影响，解决了网络服务组合调用过程中的资源浪费问题，大大减少了网络服务组合的平均调用时间。

技术领域

本发明属于计算机技术领域，更进一步涉及计算机网络安全技术领域中的一种利用改进的基于属性访问控制模型ABAC(Attribute Based Access Control)控制网络服务的访问方法。本发明可用于对访问网络服务以及网络服务组合的过程进行访问控制以保护系统敏感信息，避免网络服务组合被非法访问。

背景技术

网络服务将一系列相互关联的，共同完成某些功能的操作集合进行封装，提供一个接口，网络服务访问者可通过调用该接口访问网络服务。网络服务通过这种方式为访问者提供服务。在网络服务这种高灵活性，高动态性以及跨域的分布式环境下，很容易导致敏感信息的泄露以及资源的非法访问。基于属性访问控制模型ABAC可对网络服务的访问过程进行控制，利用网络服务访问者属性，网络服务属性以及环境属性对存储在策略库中的访问控制策略进行属性值的计算，实现细粒度授权，从而避免敏感信息的泄露以及资源的非法访问。利用基于属性访问控制模型ABAC对网络服务的访问过程进行控制有如下方法：

E.Yuan and J.Tong在其发表的论文“Attributed based access control forWeb services”(IEEE International Conference on Web Services,2005,2005:561-569)中提出了一种利用基于属性访问控制模型ABAC控制网络服务的访问方法。该方法的具体步骤是：第一，简单对象访问协议SOAP(Simple Object Access Protocal)客户端通过主体属性权威获取到网络服务访问者的属性，将所获取到的网络服务访问者的属性信息放到SOAP消息头中，向SOAP消息处理器发送SOAP请求消息。第二，SOAP消息处理器获取到SOAP请求消息后，将SOAP请求消息转发给策略决策点PDP(Policy Decision Point),PDP通过获取到的资源属性，环境属性以及SOAP请求消息中的网络服务访问者的属性计算出策略规则的值从而得出决策结果(允许或拒绝)，该决策结果被发送给SOAP消息处理器。第三，如果决策结果是允许，则SOAP消息处理器将原始的SOAP请求传递给网络服务端点，给网络服务访问者提供服务。否则，SOAP消息处理器将拒绝网络服务访问者的访问请求。该方法存在的不足之处是：一方面，由于基于属性访问控制模型的策略库庞大，会造成策略查找时间的增加；另一方面，由于访问网络服务组合时，网络服务组合中各个网络服务的访问过程是相互独立的且网络服务的访问过程存在时间延迟性，因此当利用该方法进行网络服务组合访问的控制时，会造成资源和时间的浪费。