物聯(lián)網(wǎng)環(huán)境下面向服務計算的訪問控制研究.pdf

1、物聯(lián)網(wǎng)被稱為世界信息產(chǎn)業(yè)的第三次浪潮,越來越受到人們的關注,簡單的說,物聯(lián)網(wǎng)就是通過各類傳感識別設備把所有物連入互聯(lián)網(wǎng),以實現(xiàn)物的自動化管理以及物與物之間的智能通信。在物聯(lián)網(wǎng)中將會存在大量的分布式節(jié)點,如移動終端、手持設備、各種傳感設備等,這些節(jié)點將會產(chǎn)生大量的信息,物聯(lián)網(wǎng)的核心支撐在于如何有效的處理獲取的信息,而其最終目的是向用戶提供滿意的服務與應用。物聯(lián)網(wǎng)中服務的內涵將得到擴展,不再是單純的為滿足某種應用而開發(fā)的服務,任何物品提供的

2、功能都可能包裝成服務供某類特殊用戶使用,如安裝在道路兩旁的攝像頭將為交通部門提供服務。面向服務計算SOC將各種資源包裝成服務,根據(jù)應用系統(tǒng)的要求選擇具有一定功能的服務進行組合,通過這些服務的定義、服務間的約束以實現(xiàn)服務之間的交互,現(xiàn)已成為一種重要的應用系統(tǒng)構建方案。在物聯(lián)網(wǎng)環(huán)境下,面向服務計算將成為一種有效的信息資源共享解決方案,能夠避免資源的重復建設,為用戶提供便捷的服務。但面向服務架構SOA本身面臨嚴重的安全問題,使用它構建的分布式

3、異構系統(tǒng)往往跨域多個安全域,系統(tǒng)請求者需要跨域組織邊界訪問系統(tǒng),系統(tǒng)對請求者的認證與授權也活動在多個安全域之間,而且系統(tǒng)常常在短暫時間內需要處理大量陌生用戶的臨時調用,因此面向服務計算需要設計一種訪問控制模型以滿足這些要求?，F(xiàn)有的傳統(tǒng)的訪問控制技術,如自主訪問控制DAC、強制訪問控制MAC、基于角色的訪問控制RBAC,都是在某個安全域下為特定用戶進行授權管理的,無法滿足面向服務計算環(huán)境的安全需求。針對資源共享問題提出的基于屬性的訪問控制

4、ABAC,是基于與訪問安全相關的特征(屬性)進行授權的,其訪問控制架構非常適合分布式系統(tǒng)的訪問控制。但其弱點在于不能根據(jù)當前執(zhí)行的任務,動態(tài)的管理權限,并且不能為用戶分配執(zhí)行當前任務的最小權限。
　　 本文將工作流引入基于屬性的訪問控制,提出一種適合物聯(lián)網(wǎng)的基于屬性的訪問控制模型,使來自不同域的陌生用戶可以實現(xiàn)跨域的細粒度訪問控制,其次針對該模型中屬性的獲取,提出了一種基于信任的敏感屬性保護機制,通過實體信任度和屬性敏感度的比較