论文摘要
在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。本文提出一种基于条件的访问控制策略(Condition Based Access Control Policy)模型,将传统策略转化为两条评估条件(允许条件和拒绝条件),使得该模型更易于处理WS-BPEL中的控制结构条件。基于该模型,本文定义了三个策略合成算子{|,&,(?)},阐述了三个算子的交换性,结合性等相关性质。针对每个外部子服务不同的策略Combination Algorithm,定义衍生算子{s,f},更完整有效的合成外部子服务的访问控制策。本文定义了{J}算子,用于处理WS-BPEL中的条件控制结构,并且将WS-BPEL语言中常见控制结构映射成策略合成表达式,最终可以合成得到组合服务的访问控制策略。同时,本文深入分析处理了WS-BPEL中条件表达式,针对条件控制结构中包含动态变量的复杂情况,本文提出基于先决条件的访问控制策略(P-CBAC),通过扩展WS-BPEL在其内部使用自然语言描述包含动态变量的条件,从而给用户提供附带先决条件的评估结果,为用户决策提供依据。最后通过设计并实现了原型系统,详细描述了策略合成的流程以及核心算法,论证了本文提出的面向WS-BPEL的访问控制合成模型是可行有效的解决方案。