亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

Web服務(wù)實(shí)體及其安全供求策略匹配的實(shí)現(xiàn)方法

文檔序號(hào):7895215閱讀:214來源:國(guó)知局
專利名稱:Web服務(wù)實(shí)體及其安全供求策略匹配的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)技術(shù),尤其涉及網(wǎng)絡(luò)安全匹配的技術(shù)。
背景技術(shù)
Web服務(wù)作為一種新的分布式計(jì)算模型,為Web上數(shù)據(jù)和應(yīng)用的集成提供了有效機(jī)制,也是面向服務(wù)架構(gòu)(Service Oriented Architecture, SOA)和云計(jì)算等新興計(jì)算模式的主要實(shí)現(xiàn)與呈現(xiàn)方式。Web服務(wù)具有平臺(tái)無關(guān)性、開放性、動(dòng)態(tài)性、松散耦合和分布式等特征,這在給基于異構(gòu)平臺(tái)的應(yīng)用集成帶來便利的同時(shí),其自身也面臨許多獨(dú)特的安全問
題。 Web服務(wù)的一個(gè)首要問題是如何準(zhǔn)確地表示和匹配各Web服務(wù)參與方的安全供求策略。這里所說的安全供求是指一個(gè)Web服務(wù)實(shí)體(包括服務(wù)提供者和請(qǐng)求者)的安全需求和安全能力,是Web服務(wù)的一種非功能屬性,安全供求策略就是對(duì)這種非功能屬性的策略表示。確定一個(gè)服務(wù)是否適合于一個(gè)特定的請(qǐng)求,除了功能方面要滿足需求之外,服務(wù)提供者和請(qǐng)求者的安全需求與安全能力也應(yīng)該相互匹配。只有當(dāng)對(duì)應(yīng)的安全需求和安全能力相匹配時(shí),Web服務(wù)實(shí)體之間才實(shí)現(xiàn)下一步動(dòng)作,如建立鏈接、傳輸數(shù)據(jù)等。然而,Web服務(wù)環(huán)境具有開放、動(dòng)態(tài)和分布式的特征,Web服務(wù)各參與方可能位于不同的安全域,而不同的安全域中通常具有不同的安全等級(jí)和安全需求。在這種情況下,與Web服務(wù)安全相關(guān)的各種機(jī)制、協(xié)議和規(guī)范也具有多樣性和沖突性。因此,要清楚無誤地、以能被共同理解的方式來表示W(wǎng)eb服務(wù)各參與方的安全供求策略、并對(duì)它們進(jìn)行正確匹配是比較困難的?,F(xiàn)有的策略框架,如Web服務(wù)策略框架(Web Service PolicyFramework, WS-Policy)能夠用來描述Web服務(wù)的安全需求和安全能力。但是,WS-Policy對(duì)這些非功能屬性的描述是句法級(jí)的(syntactic),表達(dá)能力較弱,對(duì)具有異構(gòu)和分布式特征的Web服務(wù)環(huán)境來說其適應(yīng)性有限。此外,WS-Policy在實(shí)際應(yīng)用中對(duì)策略兼容性計(jì)算的效率較低,并且容易導(dǎo)致錯(cuò)誤的匹配結(jié)果。

發(fā)明內(nèi)容
為了改善網(wǎng)絡(luò)安全匹配技術(shù)的現(xiàn)狀,本發(fā)明提供了一種Web服務(wù)實(shí)體及其安全供求策略匹配的實(shí)現(xiàn)方法。一種Web服務(wù)實(shí)體,用于在網(wǎng)絡(luò)中提供一預(yù)先設(shè)定的功能,包括安全本體模塊、安全需求策略模塊和安全匹配模塊。其中,該安全需求策略模塊定義若干安全需求和安全能力,且所述安全需求和安全能力取值于所述安全本體模塊;該安全匹配模塊基于所述安全需求與另一 Web服務(wù)實(shí)體的安全能力、或者基于所述安全能力與另一 Web服務(wù)實(shí)體的安全需求,判斷本W(wǎng)eb服務(wù)實(shí)體與所述另一 Web服務(wù)實(shí)體的安全供求匹配與否。本發(fā)明另提出一種Web服務(wù)安全策略的匹配方法,該方法用于對(duì)一第一 Web服務(wù)實(shí)體和一第二 Web服務(wù)實(shí)體進(jìn)行安全策略匹配,包括以下步驟
取得所述第一 Web服務(wù)實(shí)體的安全需求屬性;取得所述第二 Web服務(wù)實(shí)體的安全能力屬性;判定所述安全需求屬性和安全能力屬性是否匹配;其中,所述安全需求屬性和安全能力屬性預(yù)先定義在一個(gè)安全本體模塊中。綜上所述,本發(fā)明提出的匹配方法不需要對(duì)任何已有規(guī)范做出改動(dòng),具有較好的適應(yīng)性和可擴(kuò)展性。對(duì)于匹配算法,主要是基于對(duì)概念的包含推理來進(jìn)行,通過對(duì)概念蘊(yùn)含關(guān)系的推理來確定安全能力與安全需求是否匹配以及匹配的程度。也就是說,將安全供求策略的匹配問題轉(zhuǎn)化成了基于語義概念的包含推理問題,提高了策略匹配的效率和準(zhǔn)確性。


圖I為本發(fā)明實(shí)施例中的安全本體的示意圖。
具體實(shí)施例方式為了更了解本發(fā)明的技術(shù)內(nèi)容,特舉具體實(shí)施例并配合所附圖式說明如下。本實(shí)施例中的網(wǎng)絡(luò)系統(tǒng)至少包括第一 Web服務(wù)實(shí)體和第二 Web服務(wù)實(shí)體。本發(fā)明中,Web服務(wù)實(shí)體至少能夠?qū)崿F(xiàn)某種功能,例如對(duì)另一 Web服務(wù)實(shí)體的請(qǐng)求作出響應(yīng),或者向另一 Web發(fā)出請(qǐng)求。同時(shí),Web服務(wù)實(shí)體也具有安全等級(jí),定義對(duì)應(yīng)的安全能力和安全需求。在實(shí)際應(yīng)用中,該Web服務(wù)實(shí)體可以作為一個(gè)裝置,如計(jì)算機(jī)實(shí)現(xiàn),也可以作為多臺(tái)計(jì)算機(jī)互聯(lián)的形式出現(xiàn)。Web服務(wù)實(shí)體包括功能模塊和安全本體模塊,其中,功能模塊用以實(shí)現(xiàn)特定的功能,如資源存儲(chǔ)、信息訪問等。安全本體模塊則對(duì)各種與Web服務(wù)安全相關(guān)的標(biāo)準(zhǔn)、機(jī)制和協(xié)議以及它們相互間的關(guān)聯(lián)特性進(jìn)行基于語義的描述。這樣,當(dāng)基于安全本體模塊來定義安全策略時(shí),所定義的安全策略內(nèi)容就包含了必要的語義信息,從而能夠提高策略匹配的準(zhǔn)確性。安全本體模塊的基本層次結(jié)構(gòu)如圖I所示。圖中的類來自于語義本體,即、從語義上講,圖中的各個(gè)類是對(duì)現(xiàn)實(shí)世界中個(gè)體的抽象和集合。本實(shí)施例中,安全本體模塊(SecurityOntology)的子類包括安全目標(biāo)類(SecurityObject),協(xié)議類(Protocol),算法類(Algorithm),加密類(Encryption),簽名類(Signature)和證書類(Credential)。SecurityObject子類用來表示各種安全概念或目標(biāo),它的實(shí)例可能包括數(shù)據(jù)完整性(DataIntegrity),機(jī)密性(Confidentiality),驗(yàn)證(Authentication),授權(quán)(Authorization),訪問控制(AccessControl)和密鑰分發(fā)(KeyDistribution)等。Protocol子類表示各種與Web服務(wù)安全相關(guān)的具體規(guī)范,比如用來認(rèn)證和授權(quán)的安全斷言標(biāo)記語言類(Security Assertion Markup Language, SAML);用來執(zhí)行訪問控制的可擴(kuò)展訪問控制標(biāo)記語言類(extensible Access Control Markup Language, XACML);可用于認(rèn)證和密鑰分發(fā)的可擴(kuò)展標(biāo)記語言密鑰管理規(guī)范類(extensible Markup LanguageKey Management Specification, XKMS)等。Algorithm子類用來表示各種可能被其他協(xié)議或規(guī)范采用的安全算法。其子類對(duì)稱算法類(Symmetric)對(duì)應(yīng)對(duì)稱加密算法,包含的實(shí)例可以是數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryption Standard, DES) , 3DES (3 重 DES),國(guó)際數(shù)據(jù)加密算法(International DataEncryptionAlgorithm, IDEA)和高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard, AES)等;子類非對(duì)稱算法類(Asymmetric)對(duì)應(yīng)非對(duì)稱加密算法,包含的實(shí)例為公鑰加密算法和數(shù)字簽名算法(Digital Signaure Algorithm, DSA);子類哈希算法類(Hash)對(duì)應(yīng)哈希算法,其實(shí)例可以是消息摘要算法第5版(Message Digest Algorithm 5, MD5),安全哈希算法第一版(Secure Hash Algorithm I, SHAl)和安全哈希算法第二版(Secure Hash Algorithm 2,SHA2)。Encryption和Signature子類主要關(guān)注Web服務(wù)最基本的消息安全如機(jī)密性和完整性。它們包含的子類表示可用于實(shí)現(xiàn)各自目標(biāo)的主要方法,比如開放私有最佳加密類(Open Pretty Good Privacy Encryption, OpenPGP-Enc)用于加密,可擴(kuò)展標(biāo)記語言簽名類(Extensible Markup Language signaure, Xml-Dsig)用于簽名。Credential子類表示W(wǎng)eb服務(wù)實(shí)體要求或者能夠提供的各種安全憑證,主要用于身份驗(yàn)證和訪問控制。比如其子類可能包括用戶名令牌類(UserNameToken)、X. 509證書類 (X509Cert if icate)、公鑰類(PublicKey)等。以上對(duì)于安全本體模塊的子類的介紹僅是列舉性的,在應(yīng)用中可以按照實(shí)際需要來選擇和定義安全本體模塊。為了更好地描述安全本體模塊中各子類之間的相互關(guān)系,便于對(duì)語義安全供求策略進(jìn)行概念層次的描述和推理,本實(shí)施例定義了一種基于屬性約束的特殊命名類。基于屬性約束的命名類是指通過限定某個(gè)對(duì)象屬性的取值,并在命名空間中指定唯一名稱而形成的特殊類。以下給出了采用網(wǎng)絡(luò)本體語言(Web Ontology Language, OWL)對(duì)這種約束類進(jìn)
行描述的實(shí)例
<owi: Restriction rdf:iD="Authentication_RC">
<ow!: on Property rdf:resource=M# refSecObject"/>
<ovvl:hasValue rdf:resource="#Authentication 7>
</owl: Restriction〉
<owl: Restriction rdf: I D=" AES_RC">
<o\vl :onI)roperty rdf:resource="#refAlgorithm"/>
<owl:hasValue rdf:resource="#AES"/>
</owi: Restriction〉
<owi: Restriction rdf:ID="X509Certificate_RC">
<o w I: on Property rdf: resource="#refC redential 7>
<owl:hasValue rdf:resource="#X509Certificate "/>
</owi: Restriction〉根據(jù)定義的約束類,可對(duì)安全本體中的其他子類作進(jìn)一步的擴(kuò)展定義,從而更好地描述各子類之間的語義關(guān)系。比如,以下代碼給出了基于約束類的擴(kuò)展描述實(shí)例<owl:C!ass rc1f:iD="XML-Enc">
<rd fs isubClassof rd f:resource="#Encrypti on"/>
<rdfs:subClassof rdf:resource="#AES_RC 7 >
</owl:Class>
<owl:Class rdf:ID="SAML">
<rdfs:subClassof rdf:resource="#PiOiocol"/>· <rdfsisubClassof rdf:resource="#Authentication_RC "/> </owl:Class>
<owl:Class rdf:iD="SAML_X509">
<rdfs:subClassof rdf:resource="#SA!VIL"/>
<rdfsisubClassof rdf:resource="#X509Certif[cate_RC "/> </owl:Class>從以上定義中可以推斷出Protocol子類中的可擴(kuò)展標(biāo)記語言加密(ExtensibleMarkup Language encryption, XML-Enc)可用于消息加密,支持 Algorithm 子類中的 AES加密算法!Protocol子類中的SAML是一種身份認(rèn)證規(guī)范,支持基于Credential子類中的X. 509證書(X. 509Certificate)的認(rèn)證方式等語義信息。以下介紹在安全本體模塊的基礎(chǔ)上,描述Web服務(wù)實(shí)體的安全需求和安全能力的·方法。在描述Web服務(wù)的安全需求和安全能力時(shí),需要滿足兩條原則。第一,每個(gè)Web服務(wù)實(shí)體可以有多個(gè)安全需求和多個(gè)安全能力,但應(yīng)對(duì)安全需求和安全能力加以明確區(qū)分,分別進(jìn)行定義;第二,由安全需求和安全能力構(gòu)成的安全供求策略應(yīng)該形成一個(gè)獨(dú)立的策略文件,分別與Web服務(wù)描述文件或服務(wù)請(qǐng)求進(jìn)行綁定。其中,Web服務(wù)描述文件描述了 Web服務(wù)提供者所提供的功能,而Web服務(wù)請(qǐng)求者則根據(jù)自身的需求提出Web服務(wù)請(qǐng)求。這里,對(duì)安全需求和安全能力分別進(jìn)行定義是為了更加符合實(shí)際情形,并為匹配過程提供便利;而形成一個(gè)獨(dú)立的策略文件可以使服務(wù)功能匹配與安全策略匹配的過程分離開來,降低復(fù)雜性。另外,Web服務(wù)描述文件要是用來刻畫服務(wù)功能的,功能內(nèi)容相對(duì)于非功能屬性來說也更加穩(wěn)定,因此使用獨(dú)立的策略文件更具靈活性,安全屬性的變化不會(huì)影響到相對(duì)穩(wěn)定的服務(wù)功能描述文件,同時(shí)也能避免要求對(duì)服務(wù)描述文件做出改動(dòng)。根據(jù)上述原則,本實(shí)施例基于XML語法格式,定義Web服務(wù)語義安全供求策略的基
本框架如下所示〈Policy name=" Po I icy N ame" xmlns:so="#SecurityOntology"> <secCapabilities>
<secCapabilityID-'CapabiltiylD"
resource="so:SubClassOf^ecurityOntology"/>+
</secCapabilit.ies>
<secRequirements>
<sec Requi I'ementI D=" Requi rementID"
resource="so:SiibClassOfSecurityOntology"/>+
</secRequirements>
</Policy>其中,屬性“身份標(biāo)識(shí)(IDentity,ID)”用來聲明某個(gè)安全需求或安全能力的唯一標(biāo)識(shí),屬性“resource”的取值為安全本體模塊中的某個(gè)子類,“so”表示對(duì)安全本體模塊的引用;符號(hào)“?”表示O或1,表明對(duì)應(yīng)元素是可選的,即可以沒有關(guān)于安全能力或安全需求的定義;符號(hào)“ + ”代表I個(gè)或多于I個(gè),表示可以定義多個(gè)安全能力和安全需求。以下介紹Web服務(wù)實(shí)體之間對(duì)安全需求和安全能力的匹配判定過程。由上述可知,本實(shí)施例中的Web服務(wù)實(shí)體的安全供求策略是根據(jù)安全本體模塊中的各種子類來描述的,因此其匹配算法是基于對(duì)概念的包含推理來進(jìn)行。也就是說,通過對(duì)概念蘊(yùn)含關(guān)系的推理來確定安全能力與安全需求是否匹配以及匹配的程度。在本實(shí)施例的網(wǎng)絡(luò)中,假設(shè)第一 Web服務(wù)實(shí)體中描述安全能力的是子類A,第二 Web服務(wù)實(shí)體中描述安全需求的是子類B,那么匹配算法可以表示如下
權(quán)利要求
1.一種Web服務(wù)實(shí)體,用于在網(wǎng)絡(luò)中提供一預(yù)先設(shè)定的功能,其特征是,包括 安全本體模塊; 安全需求策略模塊,定義若干安全需求和安全能力,且所述安全需求和安全能力取值于所述安全本體模塊; 安全匹配模塊,基于所述安全需求與另一 Web服務(wù)實(shí)體的安全能力、或者基于所述安全能力與另一 Web服務(wù)實(shí)體的安全需求,判斷本W(wǎng)eb服務(wù)實(shí)體與所述另一 Web服務(wù)實(shí)體的安全供求匹配與否。
2.根據(jù)權(quán)利要求I所述的Web服務(wù)實(shí)體,其特征是,該安全本體模塊的子類包括Web服務(wù)的標(biāo)準(zhǔn)、機(jī)制和/或協(xié)議。
3.根據(jù)權(quán)利要求2所述的Web服務(wù)實(shí)體,其特征是,該安全本體模塊對(duì)其子類進(jìn)行語義 化表述。
4.根據(jù)權(quán)利要求2所述的Web服務(wù)實(shí)體,其特征是,該安全本體模塊具有屬性約束模塊,該屬性約束模塊限定了所述安全屬性信息的名稱和取值。
5.根據(jù)權(quán)利要求I所述的Web服務(wù)實(shí)體,其特征是,該安全需求策略模塊包括安全需求模塊和安全能力模塊,分別對(duì)安全需求屬性和安全能力屬性進(jìn)行單獨(dú)定義。
6.根據(jù)權(quán)利要求5所述的Web服務(wù)實(shí)體,其特征是,所述安全策略模塊綁定到一功能模塊,該功能模塊被用來定義或描述所述預(yù)先設(shè)定的功能。
7.根據(jù)權(quán)利要求3所述的Web服務(wù)實(shí)體,其特征是,所述安全匹配模塊基于語義推理實(shí)現(xiàn)安全匹配。
8.—種Web服務(wù)安全策略的匹配方法,用于對(duì)一第一 Web服務(wù)實(shí)體和一第二 Web服務(wù)實(shí)體進(jìn)行安全策略匹配,包括以下步驟 取得所述第一 Web服務(wù)實(shí)體的安全需求屬性; 取得所述第二 Web服務(wù)實(shí)體的安全能力屬性; 判斷所述安全需求屬性和安全能力屬性是否匹配; 其中,所述安全需求屬性和安全能力屬性預(yù)先定義在一個(gè)安全本體模塊中。
9.根據(jù)權(quán)利要求8所述的Web服務(wù)安全策略的匹配方法,其特征是,所述安全本體模塊對(duì)Web服務(wù)的標(biāo)準(zhǔn)、機(jī)制和/或協(xié)議進(jìn)行語義化表述。
10.根據(jù)權(quán)利要求9所述的Wb服務(wù)安全策略的匹配方法,其特征是,基于語義推理判斷所述安全需求屬性和安全能力屬性是否匹配。
全文摘要
本發(fā)明提供一種Web服務(wù)實(shí)體,該Web服務(wù)實(shí)體用于在網(wǎng)絡(luò)中提供一預(yù)先設(shè)定的功能,包括安全本體模塊、安全需求策略模塊和安全匹配模塊。該安全本體模塊對(duì)各種Web服務(wù)安全相關(guān)的標(biāo)準(zhǔn)、機(jī)制和協(xié)議進(jìn)行了語義化表述。安全需求策略模塊中定義了若干個(gè)安全需求屬性和安全能力屬性,且所述安全需求屬性和安全能力屬性都從所述安全本體模塊中取值。安全匹配模塊基于語義推理,判斷Web服務(wù)實(shí)體之間安全供求策略匹配與否。本發(fā)明從語義層次上對(duì)Web服務(wù)安全的相關(guān)屬性進(jìn)行了描述,從而可以利用包含推理規(guī)則實(shí)現(xiàn)安全供求策略的匹配問題,具有高效、準(zhǔn)確的優(yōu)勢(shì)。
文檔編號(hào)H04L29/08GK102857489SQ201210142898
公開日2013年1月2日 申請(qǐng)日期2012年5月10日 優(yōu)先權(quán)日2012年5月10日
發(fā)明者吳禮發(fā), 賴海光, 鄭成輝, 賀正求, 李華波, 黃康宇 申請(qǐng)人:中國(guó)人民解放軍理工大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1