1、作為一種新型的分布式計(jì)算模型，Web服務(wù)極大地推動(dòng)了B2B應(yīng)用的發(fā)展。因?yàn)閃eb服務(wù)是基于通用的協(xié)議和技術(shù)實(shí)現(xiàn)的，所以它具有強(qiáng)大的互操作性：WSDL用來描述發(fā)布的接口；UDDI用來發(fā)布和定位Web服務(wù)；SOAP用來封裝Web服務(wù)的消息；HTTP和SMTP在網(wǎng)絡(luò)上傳輸消息。但網(wǎng)絡(luò)的開放性使Web服務(wù)非常容易受到安全性方面的威脅，而HTTP協(xié)議更是加重了這種情況。所以，防止Web服務(wù)被非法地訪問及惡意地調(diào)用就變得非常重要。 論文針對

2、Web服務(wù)的訪問控制問題，首先分析了Web服務(wù)及面向服務(wù)體系架構(gòu)(SOA)在訪問控制方面的挑戰(zhàn)，指出了現(xiàn)有安全機(jī)制的缺陷。傳統(tǒng)的訪問控制模型，如訪問控制列表(ACL)、基于角色的訪問控制(RBAC)等，大都是靜態(tài)的、粗粒度的，不能很好地應(yīng)用在面向服務(wù)的環(huán)境中，因?yàn)樵摥h(huán)境中的訪問都是動(dòng)態(tài)的、臨時(shí)的。接著論文提出了一種基于屬性的訪問控制模型(ABAC)，它基于主體、客體和環(huán)境的屬性，采用動(dòng)態(tài)的、細(xì)粒度的機(jī)制進(jìn)行授權(quán)。該模型使用可擴(kuò)展訪問控制

3、標(biāo)記語言(ExtensibleAccessControlMarkupLanguage，XACML)來描述訪問控制標(biāo)準(zhǔn)，并結(jié)合安全聲明標(biāo)記語言(SecurityAssertionMarkupLanguage，SAML)和XACML來完成分布式系統(tǒng)的授權(quán)要求。在客戶端，用戶的屬性信息以SAMLToken的形式封裝在SOAP消息的頭部中，與SOAP消息內(nèi)容一起構(gòu)成SOAP信封。在服務(wù)器端，擴(kuò)展后的SOAP引擎負(fù)責(zé)對SOAP消息進(jìn)行解析和驗(yàn)證以

4、獲取用戶提供的屬性信息。新的模型更加靈活，特別適合應(yīng)用于動(dòng)態(tài)的Web服務(wù)環(huán)境。論文詳細(xì)描述了基于屬性的訪問控制模型(ABAC)的授權(quán)框架和策略規(guī)范，并對ABAC和傳統(tǒng)訪問控制模型進(jìn)行了比較。論文最后通過一個(gè)基于標(biāo)準(zhǔn)協(xié)議和開源工具的實(shí)現(xiàn)，展示了新的模型如何保護(hù)Web服務(wù)。 論文提出的基于屬性的訪問控制模型(ABAC)相比傳統(tǒng)模型具有以下優(yōu)勢： (1)能夠直觀地管理現(xiàn)實(shí)世界中的訪問控制策略； (2)基于SAML和XA