国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案的制作方法

      文檔序號(hào):7955321閱讀:142來源:國知局
      專利名稱:一種基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明提出了一種側(cè)重于安全的服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)方案,利用對(duì)等計(jì)算和萬維網(wǎng)服務(wù)安全(ws-security)等標(biāo)準(zhǔn)構(gòu)造安全的服務(wù)網(wǎng)絡(luò)來解決分布式計(jì)算中的安全問題,屬于分布式計(jì)算安全領(lǐng)域問題。
      背景技術(shù)
      網(wǎng)絡(luò)技術(shù)作為未來計(jì)算新模式,其目的是為了在分布、異構(gòu)、自治的網(wǎng)絡(luò)資源環(huán)境上構(gòu)造動(dòng)態(tài)的虛擬組織,并在其內(nèi)部實(shí)現(xiàn)跨自治域的資源共享與資源協(xié)作,有效地滿足面向互聯(lián)網(wǎng)的復(fù)雜應(yīng)用對(duì)大規(guī)模計(jì)算能力和海量數(shù)據(jù)處理的需求。網(wǎng)絡(luò)計(jì)算的理想目標(biāo)是使網(wǎng)絡(luò)上的所有資源易于協(xié)同工作,服務(wù)于不同的網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)資源在跨組織(自治域)之間應(yīng)用的共享與集成。網(wǎng)絡(luò)涉及的范圍很大,概念也很廣。它包括計(jì)算網(wǎng)絡(luò)、數(shù)據(jù)網(wǎng)絡(luò)、商業(yè)網(wǎng)絡(luò)等,除此,它還包括目前已有的網(wǎng)絡(luò)計(jì)算模式如對(duì)等計(jì)算。對(duì)等計(jì)算也稱為對(duì)等網(wǎng)絡(luò)(Peer to Peer)技術(shù),它與客戶端/服務(wù)器(C/S)的一個(gè)本質(zhì)區(qū)別是,整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中不存在中心節(jié)點(diǎn)(或中心服務(wù)器)。每一個(gè)節(jié)點(diǎn)(peer)大都同時(shí)具有信息消費(fèi)者、信息提供者和信息通訊等三方面的功能,節(jié)點(diǎn)所擁有的權(quán)利和義務(wù)都是對(duì)等的。
      近年來,萬維網(wǎng)服務(wù)技術(shù)已得到快速發(fā)展和應(yīng)用,它采用可擴(kuò)展標(biāo)記語言(XML)定義一組萬維網(wǎng)服務(wù)協(xié)議棧,以萬維網(wǎng)服務(wù)安全為代表的萬維網(wǎng)服務(wù)安全機(jī)制保證了服務(wù)交互過程中的安全性,通過簡(jiǎn)單對(duì)象訪問協(xié)議(SOAP),萬維網(wǎng)服務(wù)描述語言(WSDL),統(tǒng)一描述、發(fā)現(xiàn)和集成(UDDI),萬維網(wǎng)工作流語言(WSFL),萬維網(wǎng)服務(wù)商業(yè)處理執(zhí)行語言(BPEL4WS)等開放協(xié)議和標(biāo)準(zhǔn),提供了面向因特網(wǎng)應(yīng)用的統(tǒng)一服務(wù)注冊(cè)、發(fā)現(xiàn)、綁定和集成機(jī)制,成為廣域環(huán)境下實(shí)現(xiàn)互操作的一種主要機(jī)制,并得到學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛認(rèn)可。因此,萬維網(wǎng)服務(wù)技術(shù)極大地增強(qiáng)了網(wǎng)絡(luò)協(xié)議和服務(wù)的互操作性,也為網(wǎng)絡(luò)應(yīng)用提供了一種統(tǒng)一的功能擴(kuò)展機(jī)制。領(lǐng)域相關(guān)的功能可以通過引入新的應(yīng)用服務(wù)擴(kuò)充到網(wǎng)絡(luò)系統(tǒng)中,而新引入的服務(wù)與其他網(wǎng)絡(luò)服務(wù)之間的交互則采用一致的服務(wù)交互模型。這種融合不僅解決了網(wǎng)絡(luò)間的互操作問題,而且也使網(wǎng)絡(luò)應(yīng)用不再局限于科學(xué)計(jì)算方面。
      因此,在將網(wǎng)絡(luò)與萬維網(wǎng)服務(wù)相融合成為服務(wù)網(wǎng)絡(luò)后,由于大量的網(wǎng)絡(luò)資源具有分布性、異構(gòu)性、自治性和動(dòng)態(tài)自適應(yīng)性,網(wǎng)絡(luò)用戶所提交的任務(wù)在使用網(wǎng)絡(luò)資源時(shí),極有可能要跨虛擬組織、自治系統(tǒng)等組織域訪問網(wǎng)絡(luò)資源,但是目前現(xiàn)有的研究工作中,服務(wù)網(wǎng)絡(luò)的功能模型和實(shí)現(xiàn)機(jī)制并沒有明確提出,而服務(wù)網(wǎng)絡(luò)中的安全問題更是沒有確定,由此我們需要構(gòu)架整個(gè)服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu),對(duì)資源的訪問控制策略的創(chuàng)建、服務(wù)網(wǎng)絡(luò)中萬維網(wǎng)服務(wù)各層的安全性都是我們需要關(guān)注的問題。

      發(fā)明內(nèi)容
      技術(shù)問題本發(fā)明的目的是提供一種基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案,以解決分布式計(jì)算領(lǐng)域中的安全問題。較之其他服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu),該方案注重在完成網(wǎng)絡(luò)功能的前提下,實(shí)現(xiàn)服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)的安全性和可靠性。
      技術(shù)方案本發(fā)明的方法強(qiáng)調(diào)網(wǎng)絡(luò)中的通信與安全,引入各種可擴(kuò)展標(biāo)記語言安全規(guī)范和基于策略的訪問控制等各種規(guī)范,其目的是解決網(wǎng)絡(luò)中的機(jī)密性、完整性、抗抵賴性和可用性等問題。
      一、體系結(jié)構(gòu)基于對(duì)等計(jì)算的安全服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)是保障了網(wǎng)絡(luò)目的的安全實(shí)現(xiàn),以服務(wù)為中心,通過統(tǒng)一的標(biāo)準(zhǔn)接口來管理和共享網(wǎng)絡(luò)上的各種資源。該體系結(jié)構(gòu)在實(shí)現(xiàn)網(wǎng)絡(luò)基本功能的基礎(chǔ)上,建立了分層次的安全保護(hù)機(jī)制。圖1給出了面向服務(wù)的安全網(wǎng)絡(luò)層次結(jié)構(gòu),它結(jié)合目前提出的面向服務(wù)的網(wǎng)絡(luò)層次結(jié)構(gòu),對(duì)各層都進(jìn)行了詳細(xì)的規(guī)劃和設(shè)計(jì),尤其在服務(wù)協(xié)議和標(biāo)準(zhǔn)層和基本服務(wù)層中,引入安全的概念。整個(gè)安全網(wǎng)絡(luò)層次結(jié)構(gòu)其中從下至上依次為物理層、國際互聯(lián)網(wǎng)層、安全服務(wù)協(xié)議和標(biāo)準(zhǔn)層、基本服務(wù)層、專用服務(wù)層、網(wǎng)絡(luò)應(yīng)用層。
      下面我們給出結(jié)構(gòu)中各個(gè)層次的具體說明
      物理層為層次結(jié)構(gòu)的最底層,提供了它底層的各種分布式資源的抽象接口,將網(wǎng)絡(luò)中的資源的細(xì)節(jié)向高層隱藏,并使高層使用分布式資源簡(jiǎn)單容易。
      國際互聯(lián)網(wǎng)層利用現(xiàn)有的互聯(lián)網(wǎng)協(xié)議為分布式資源的連接建立通信基礎(chǔ),承載上層業(yè)務(wù)。
      安全服務(wù)協(xié)議和標(biāo)準(zhǔn)層為該體系結(jié)構(gòu)保證了安全可靠的網(wǎng)絡(luò)交互通信,又實(shí)現(xiàn)了通信中需要保證的敏感數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性。該層是體系結(jié)構(gòu)中的核心,安全是需要分層次的,不同的層次需要有不同級(jí)別的安全保證。因此安全服務(wù)協(xié)議和標(biāo)準(zhǔn)層又分為三大子層網(wǎng)絡(luò)協(xié)議、萬維網(wǎng)服務(wù)安全標(biāo)準(zhǔn)、可擴(kuò)展標(biāo)記語言安全規(guī)范。網(wǎng)絡(luò)協(xié)議也對(duì)底層資源進(jìn)行了一次抽象,通過各種網(wǎng)絡(luò)協(xié)議如統(tǒng)一描述、發(fā)現(xiàn)和集成、萬維網(wǎng)服務(wù)描述語言等將網(wǎng)絡(luò)服務(wù)進(jìn)行發(fā)布和表示,其基本的表示格式為可擴(kuò)展標(biāo)記語言格式,并規(guī)定了網(wǎng)絡(luò)消息交互和傳輸?shù)母袷?;萬維網(wǎng)服務(wù)安全標(biāo)準(zhǔn)是網(wǎng)絡(luò)服務(wù)環(huán)境中必須使用的基本安全規(guī)范,作為簡(jiǎn)單對(duì)象訪問控制協(xié)議消息傳輸通信安全級(jí)別的規(guī)范,它為消息的機(jī)密性、完整性和抗抵賴性提供了一個(gè)保障,同時(shí)也提供身份驗(yàn)證和授權(quán)這個(gè)可選功能;在可擴(kuò)展標(biāo)記語言安全規(guī)范子層,我們采用可擴(kuò)展標(biāo)記語言加密和簽名,由于上層數(shù)據(jù)表示形式也是可擴(kuò)展標(biāo)記語言格式,我們可以根據(jù)需要對(duì)可擴(kuò)展標(biāo)記語言文檔的某部分加密、簽名等。
      基本服務(wù)層為網(wǎng)絡(luò)提供基本的功能,主要有密鑰管理、用戶管理、訪問控制管理、單點(diǎn)登陸。其中訪問控制管理采用基于可擴(kuò)展訪問控制標(biāo)記語言(XACML)開放標(biāo)準(zhǔn)的資源訪問控制,在規(guī)則集所定義策略的基礎(chǔ)上確定訪問是否應(yīng)該被賦予某個(gè)資源。
      專用服務(wù)層是基本服務(wù)上層的一些安全服務(wù),如集成公開密鑰基礎(chǔ)設(shè)施(PKI)功能、與上層對(duì)等網(wǎng)絡(luò)應(yīng)用交互等。
      對(duì)等計(jì)算網(wǎng)絡(luò)應(yīng)用層在網(wǎng)絡(luò)應(yīng)用層將計(jì)算任務(wù)交至對(duì)等計(jì)算網(wǎng)絡(luò)處理。
      二、方法流程網(wǎng)絡(luò)服務(wù)提供者需要部署對(duì)等網(wǎng)絡(luò)服務(wù),雙方在進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議消息傳輸前,我們首先是需要通過認(rèn)證中心(CA)獲得加密和數(shù)字簽名所需要的通信雙方的密鑰。對(duì)于資源的訪問控制,目前有很多種訪問控制方法,我們提出的是基于可擴(kuò)展訪問控制標(biāo)記語言的策略訪問控制來保障網(wǎng)絡(luò)資源不被非法使用和訪問。
      主要工作流程(1)證書的申請(qǐng)和簽發(fā)我們以簡(jiǎn)單的單密鑰證書的申請(qǐng)和簽發(fā)為例來說明,網(wǎng)絡(luò)用戶GC和網(wǎng)絡(luò)服務(wù)端GP各自產(chǎn)生密鑰CA認(rèn)證中心向網(wǎng)絡(luò)用戶GC和網(wǎng)絡(luò)服務(wù)端GP簽發(fā)證書,為使將來能安全地通信,GC和GP需要互通證書,以獲得對(duì)方簽名和加密的公鑰。
      (2)網(wǎng)絡(luò)用戶產(chǎn)生通信消息雙方進(jìn)行交流通信的數(shù)據(jù)中勢(shì)必包含敏感數(shù)據(jù),這些敏感數(shù)據(jù)又可以分為資源訪問控制策略文檔和正常通信數(shù)據(jù)。對(duì)于資源訪問控制策略文檔,它是以可擴(kuò)展標(biāo)記語言格式表示的,在網(wǎng)絡(luò)管理器中,策略執(zhí)行點(diǎn)將下層提交的訪問控制策略集cps(access control policy set)。cps必須描述訪問主體s(accesssubject)、訪問資源r(access resource)、訪問權(quán)限p(access permission)、環(huán)境訪問時(shí)間t(environment time)及補(bǔ)充擴(kuò)展e(extension)。在網(wǎng)絡(luò)管理器中有個(gè)策略管理器,它包含資源允許的訪問控制策略集CPS,CPS也必須描述訪問主體S(access subject)、訪問資源R(access resource)、訪問權(quán)限P(accesspermission)、環(huán)境訪問時(shí)間T(environment time)及補(bǔ)充擴(kuò)展E(extension)。
      其中r={ri}表示多個(gè)可被訪問資源;s={sj}表示多個(gè)訪問主體;cps={cpk}表示訪問控制策略集有多條訪問控制策略組成;p={r|w|m},r表示只讀read,w表示可寫write,m表示可修改modify;t=[bt,et],bt表示資源訪問的起始時(shí)間(begin time),et表示資源訪問的終止時(shí)間(end time);cpk=ri∧sj∧p∧t∧e表示一條訪問控制策略。
      上下文處理器將通過策略決策點(diǎn)將cps與CPS相比較,需要經(jīng)過以下操作match(cps,CPS)={dec1,dec2,...,deci} 當(dāng)且僅當(dāng) (cpk∈CPS,ri∈cpk),deci=true;對(duì)于正常通信數(shù)據(jù),只有訪問策略滿足條件后,才會(huì)交至上層應(yīng)用服務(wù)層進(jìn)行任務(wù)處理。
      (3)雙方安全通信網(wǎng)絡(luò)用戶GE向網(wǎng)絡(luò)服務(wù)提供者GP發(fā)送自己的作業(yè)請(qǐng)求
      其中req(inf o)經(jīng)過下列操作req(inf o)=Encry(Sign(inf o,GCprkey),key)+Encry(key,keypbkey)其中,info={data,cp)表示為正常通信數(shù)據(jù)和資源訪問控制策略,GCprkey表示為網(wǎng)絡(luò)用戶的私鑰,key表示為加密info的對(duì)稱密鑰,keypbkey表示為用來加密key的公鑰,Encry是加密函數(shù),Sign為簽名函數(shù)。
      網(wǎng)絡(luò)服務(wù)提供者GP在接受到經(jīng)過簽名和加密的作業(yè)請(qǐng)求后,還原原始通信數(shù)據(jù)inf o,這需經(jīng)過以下操作inf o=Verify(Decry(req,Decry(req-Encry,keyprkey)),GCpbkey)其中,keyprkey表示為用來解密出key的私鑰,GCpbkey表示為網(wǎng)絡(luò)用戶的公鑰,Verify為驗(yàn)證簽名函數(shù),Decry為解密函數(shù)。
      同理,網(wǎng)絡(luò)服務(wù)提供者GP像GC向?qū)㈨憫?yīng)resp進(jìn)行處理,在GC像GP將響應(yīng)resp進(jìn)行處理。
      (4)網(wǎng)絡(luò)管理器提出數(shù)據(jù),分別對(duì)其進(jìn)行處理對(duì)等網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用層根據(jù)訪問控制策略的匹配結(jié)果,映射到資源對(duì)應(yīng)的對(duì)等點(diǎn)Peeri上map(deci,Peeri)=send(taski,Peeri),while(deci=true);,其中send(A,B)表示將A移送至節(jié)點(diǎn)B上運(yùn)行。
      本發(fā)明的基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案將網(wǎng)絡(luò)和萬維網(wǎng)服務(wù)安全概念引入到該安全體系結(jié)構(gòu)中,結(jié)合網(wǎng)絡(luò)安全規(guī)范形成,具體如下網(wǎng)絡(luò)用戶請(qǐng)求作業(yè)處理1)網(wǎng)絡(luò)用戶啟動(dòng)網(wǎng)絡(luò)客戶端程序,打開網(wǎng)絡(luò)應(yīng)用層用戶界面,此時(shí)后臺(tái)開始啟動(dòng)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程,2)網(wǎng)絡(luò)用戶在用戶界面中輸入作業(yè)請(qǐng)求和訪問控制策略,3)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將網(wǎng)絡(luò)用戶提交的訪問控制策略轉(zhuǎn)化為以可擴(kuò)展標(biāo)記語言格式,4)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程按照可擴(kuò)展標(biāo)記語言加密流程對(duì)訪問控制策略進(jìn)行加密,5)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將訪問控制策略加密文件和作業(yè)請(qǐng)求合并為一個(gè)簡(jiǎn)單對(duì)象訪問協(xié)議請(qǐng)求消息,6)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程產(chǎn)生對(duì)稱密鑰key,7)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程利用步驟6)產(chǎn)生的對(duì)稱密鑰key對(duì)步驟5)生成的整個(gè)文件進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議對(duì)稱加密,8)將對(duì)稱密鑰key進(jìn)行非對(duì)稱加密,9)將步驟8)生成的加密密鑰和步驟7)生成的密文一起通過簡(jiǎn)單對(duì)象訪問協(xié)議傳輸至網(wǎng)絡(luò)服務(wù)端;網(wǎng)絡(luò)服務(wù)端處理用戶作業(yè)請(qǐng)求10)網(wǎng)絡(luò)服務(wù)端接收簡(jiǎn)單對(duì)象訪問協(xié)議消息請(qǐng)求,獲得加密密鑰和密文,11)網(wǎng)絡(luò)服務(wù)端對(duì)加密密鑰進(jìn)行非對(duì)稱解密,獲得對(duì)稱密鑰,一旦解密失敗,網(wǎng)絡(luò)用戶的本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“對(duì)稱密鑰非對(duì)稱解密失敗,發(fā)送消息被篡改”轉(zhuǎn)至步驟18),12)網(wǎng)絡(luò)服務(wù)端利用對(duì)稱密鑰對(duì)密文進(jìn)行對(duì)稱解密,一旦發(fā)現(xiàn)通信消息被篡改,拒絕處理請(qǐng)求,并寫入安全日志,網(wǎng)絡(luò)用戶本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“密鑰對(duì)稱解密失敗,發(fā)送消息被篡改”并轉(zhuǎn)至步驟18),13)網(wǎng)絡(luò)服務(wù)端對(duì)加密的訪問控制策略進(jìn)行可擴(kuò)展標(biāo)記語言解密,得到訪問控制策略,14)網(wǎng)絡(luò)服務(wù)端獲得步驟13)的訪問控制策略與訪問控制策略集進(jìn)行策略匹配,若與訪問控制集不符,網(wǎng)絡(luò)用戶本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“訪問控制策略不符”轉(zhuǎn)到步驟18),15)網(wǎng)絡(luò)服務(wù)端啟動(dòng)對(duì)等計(jì)算客戶端,16)網(wǎng)絡(luò)服務(wù)端將作業(yè)請(qǐng)求和資源匹配結(jié)果送至對(duì)等網(wǎng)絡(luò)客戶端進(jìn)行處理,17)對(duì)等網(wǎng)絡(luò)客戶端將作業(yè)執(zhí)行后的結(jié)果送至網(wǎng)絡(luò)服務(wù)端,18)網(wǎng)絡(luò)服務(wù)端對(duì)網(wǎng)絡(luò)用戶作業(yè)請(qǐng)求產(chǎn)生簡(jiǎn)單對(duì)象訪問協(xié)議消息響應(yīng),選擇對(duì)執(zhí)行結(jié)果是否需要安全性,若需要安全性,可以將消息響應(yīng)進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議加密;若不需要高安全性,直接將執(zhí)行結(jié)果返回給網(wǎng)絡(luò)客戶端。
      有益效果本發(fā)明方法提出了基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案,旨在結(jié)合新興計(jì)算技術(shù)對(duì)等計(jì)算技術(shù)和網(wǎng)絡(luò)技術(shù)來解決分布式計(jì)算問題的同時(shí),去強(qiáng)調(diào)整個(gè)體系結(jié)構(gòu)實(shí)現(xiàn)過程中的安全性。該發(fā)明提出的方法并不是安全標(biāo)準(zhǔn)簡(jiǎn)單的羅列,而是將他們進(jìn)行有邏輯、有層次的排列,以實(shí)現(xiàn)網(wǎng)絡(luò)中的各種安全保障。下面我們給出具體的說明。
      通信消息的安全保障這是基于萬維網(wǎng)服務(wù)安全標(biāo)準(zhǔn)來實(shí)現(xiàn)的。目前常用的傳輸級(jí)安全協(xié)議如加密套接字協(xié)議層,它實(shí)現(xiàn)方式的一個(gè)最大的缺陷就在于性能,尤其是當(dāng)只有簡(jiǎn)單對(duì)象訪問協(xié)議報(bào)文的一部分需要加密時(shí),而且傳輸層加密不允許報(bào)文安全的路由通過萬維網(wǎng)服務(wù)作為中介,因?yàn)閳?bào)文需要解密由媒介在它能以新的加密的流傳送到最終接收者之前。而在本發(fā)明的方法中,我們采用了新興安全標(biāo)準(zhǔn)萬維網(wǎng)服務(wù)安全,它描述了對(duì)簡(jiǎn)單對(duì)象訪問協(xié)議消息的改進(jìn),通過消息完整性、消息保密性和單一消息認(rèn)證提供了保護(hù)能力,同時(shí)也為安全令牌和消息的關(guān)聯(lián)提供了一個(gè)通用機(jī)制。萬維網(wǎng)服務(wù)安全的目標(biāo)是使應(yīng)用程序能夠構(gòu)建安全的簡(jiǎn)單對(duì)象訪問協(xié)議消息交換、獲得端到端的消息級(jí)安全(不止是傳輸級(jí)的安全)。
      基于可擴(kuò)展訪問控制標(biāo)記語言的資源訪問控制與其他策略描述語言相比,可擴(kuò)展訪問控制標(biāo)記語言基于可擴(kuò)展標(biāo)記語言的特點(diǎn)是提出的訪問控制策略具有平臺(tái)無關(guān)性,可以同時(shí)被用戶和計(jì)算機(jī)識(shí)別。通過將用戶提出的資源訪問控制策略用可擴(kuò)展訪問控制標(biāo)記語言開放語言表示,提高了文檔的可讀性。
      網(wǎng)絡(luò)服務(wù)與對(duì)等網(wǎng)絡(luò)的融合服務(wù)網(wǎng)絡(luò)將松散耦合的網(wǎng)絡(luò)服務(wù)連接在一起,同時(shí)也需要有效利用將各個(gè)虛擬組織域中的空閑資源,因此在我們提出的體系中,網(wǎng)絡(luò)服務(wù)端同時(shí)也是對(duì)等計(jì)算的客戶端。在對(duì)等計(jì)算環(huán)境下實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)是一種理想的解決方法,它既高效地利用了已有的大量空閑資源,同時(shí)也提高了網(wǎng)絡(luò)的協(xié)同工作能力和計(jì)算能力。


      圖1是基于對(duì)等計(jì)算的安全服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)示意圖,圖中從下至上依次為物理層、國際互聯(lián)網(wǎng)層、安全服務(wù)協(xié)議和標(biāo)準(zhǔn)層、基本服務(wù)層、專用服務(wù)層、網(wǎng)絡(luò)應(yīng)用層。
      圖2是訪問控制策略層的示意圖。表明本發(fā)明的方法基本服務(wù)層中基于可擴(kuò)展訪問控制標(biāo)記語言的訪問控制層模型。
      圖3是安全服務(wù)網(wǎng)絡(luò)具體應(yīng)用框架示意圖。表示本發(fā)明的具體實(shí)現(xiàn)內(nèi)容。
      圖4表示網(wǎng)絡(luò)用戶提出網(wǎng)絡(luò)作業(yè)請(qǐng)求的具體方法流程示意圖。
      圖5表示網(wǎng)絡(luò)服務(wù)端響應(yīng)作業(yè)請(qǐng)求的具體方法流程示意圖。
      具體實(shí)施例方式
      為了方便描述,我們有如下應(yīng)用實(shí)例某個(gè)網(wǎng)絡(luò)用戶(用A表示)向網(wǎng)絡(luò)服務(wù)端(用B表示)提交作業(yè)請(qǐng)求(用T表示)和資源訪問控制策略(用P表示)要求計(jì)算某個(gè)任意數(shù)字段的素?cái)?shù),則其具體實(shí)施方式
      為網(wǎng)絡(luò)用戶A請(qǐng)求作業(yè)處理1.)網(wǎng)絡(luò)用戶A啟動(dòng)網(wǎng)絡(luò)客戶端程序,打開網(wǎng)絡(luò)應(yīng)用層用戶界面,此時(shí)后臺(tái)開始啟動(dòng)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程,2.)網(wǎng)絡(luò)用戶A在用戶界面中輸入作業(yè)請(qǐng)求T和訪問控制策略P,3.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將網(wǎng)絡(luò)用戶提交的訪問控制策略P轉(zhuǎn)化為以可擴(kuò)展標(biāo)記語言格式,4.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程按照可擴(kuò)展標(biāo)記語言加密流程對(duì)訪問控制策略P進(jìn)行加密,
      5.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將訪問控制策略加密文件和作業(yè)請(qǐng)求T合并為一個(gè)簡(jiǎn)單對(duì)象訪問協(xié)議請(qǐng)求消息,6.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程產(chǎn)生對(duì)稱密鑰key,7.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程利用步驟6)產(chǎn)生的對(duì)稱密鑰key對(duì)步驟5)生成的整個(gè)文件進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議對(duì)稱加密,8.)將對(duì)稱密鑰key進(jìn)行非對(duì)稱加密,9.)將步驟8)生成的加密密鑰和步驟7)生成的密文一起通過簡(jiǎn)單對(duì)象訪問協(xié)議傳輸至網(wǎng)絡(luò)服務(wù)端B;網(wǎng)絡(luò)服務(wù)端B處理用戶作業(yè)請(qǐng)求10.)網(wǎng)絡(luò)服務(wù)端B接收簡(jiǎn)單對(duì)象訪問協(xié)議消息請(qǐng)求,獲得加密密鑰和密文,11.)網(wǎng)絡(luò)服務(wù)端B對(duì)加密密鑰進(jìn)行非對(duì)稱解密,獲得對(duì)稱密鑰,一旦解密失敗,網(wǎng)絡(luò)用戶A的本次作業(yè)請(qǐng)求T執(zhí)行結(jié)果為“對(duì)稱密鑰非對(duì)稱解密失敗,發(fā)送消息被篡改”轉(zhuǎn)至步驟18),12.)網(wǎng)絡(luò)服務(wù)端B利用對(duì)稱密鑰對(duì)密文進(jìn)行對(duì)稱解密,一旦發(fā)現(xiàn)通信消息被篡改,拒絕處理請(qǐng)求,并寫入安全日志,網(wǎng)絡(luò)用戶A本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“密鑰對(duì)稱解密失敗,發(fā)送消息被篡改”并轉(zhuǎn)至步驟18),13.)網(wǎng)絡(luò)服務(wù)端B對(duì)加密的訪問控制策略進(jìn)行可擴(kuò)展標(biāo)記語言解密,得到訪問控制策略P,14.)網(wǎng)絡(luò)服務(wù)端B獲得步驟13)的訪問控制策略P與訪問控制策略集進(jìn)行策略匹配,若與訪問控制集不符,網(wǎng)絡(luò)用戶A本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“訪問控制策略不符”轉(zhuǎn)到步驟18),15.)網(wǎng)絡(luò)服務(wù)端B啟動(dòng)對(duì)等計(jì)算客戶端,16.)網(wǎng)絡(luò)服務(wù)端B將作業(yè)請(qǐng)求T和資源匹配結(jié)果送至對(duì)等網(wǎng)絡(luò)客戶端進(jìn)行處理,17.)對(duì)等網(wǎng)絡(luò)客戶端將作業(yè)執(zhí)行后的結(jié)果送至網(wǎng)絡(luò)服務(wù)端B,18.)網(wǎng)絡(luò)服務(wù)端B對(duì)網(wǎng)絡(luò)用戶A的作業(yè)請(qǐng)求T產(chǎn)生簡(jiǎn)單對(duì)象訪問協(xié)議消息響應(yīng),選擇對(duì)執(zhí)行結(jié)果是否需要安全性,若需要安全性,可以將消息響應(yīng)進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議加密;若不需要高安全性,直接將執(zhí)行結(jié)果返回給網(wǎng)絡(luò)客戶端。
      權(quán)利要求
      1.一種基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案,其特征在于該方案將網(wǎng)絡(luò)和萬維網(wǎng)服務(wù)安全概念引入到該安全體系結(jié)構(gòu)中,結(jié)合網(wǎng)絡(luò)安全規(guī)范形成,具體如下網(wǎng)絡(luò)用戶請(qǐng)求作業(yè)處理1.)網(wǎng)絡(luò)用戶啟動(dòng)網(wǎng)絡(luò)客戶端程序,打開網(wǎng)絡(luò)應(yīng)用層用戶界面,此時(shí)后臺(tái)開始啟動(dòng)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程,2.)網(wǎng)絡(luò)用戶在用戶界面中輸入作業(yè)請(qǐng)求和訪問控制策略,3.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將網(wǎng)絡(luò)用戶提交的訪問控制策略轉(zhuǎn)化為以可擴(kuò)展標(biāo)記語言格式,4.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程按照可擴(kuò)展標(biāo)記語言加密流程對(duì)訪問控制策略進(jìn)行加密,5.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程將訪問控制策略加密文件和作業(yè)請(qǐng)求合并為一個(gè)簡(jiǎn)單對(duì)象訪問協(xié)議請(qǐng)求消息,6.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程產(chǎn)生對(duì)稱密鑰key,7.)網(wǎng)絡(luò)用戶端的守護(hù)進(jìn)程利用步驟6)產(chǎn)生的對(duì)稱密鑰key對(duì)步驟5)生成的整個(gè)文件進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議對(duì)稱加密,8.)將對(duì)稱密鑰key進(jìn)行非對(duì)稱加密,9.)將步驟8)生成的加密密鑰和步驟7)生成的密文一起通過簡(jiǎn)單對(duì)象訪問協(xié)議傳輸至網(wǎng)絡(luò)服務(wù)端;網(wǎng)絡(luò)服務(wù)端處理用戶作業(yè)請(qǐng)求10.)網(wǎng)絡(luò)服務(wù)端接收簡(jiǎn)單對(duì)象訪問協(xié)議消息請(qǐng)求,獲得加密密鑰和密文,11.)網(wǎng)絡(luò)服務(wù)端對(duì)加密密鑰進(jìn)行非對(duì)稱解密,獲得對(duì)稱密鑰,一旦解密失敗,網(wǎng)絡(luò)用戶的本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“對(duì)稱密鑰非對(duì)稱解密失敗,發(fā)送消息被篡改”轉(zhuǎn)至步驟18),12.)網(wǎng)絡(luò)服務(wù)端利用對(duì)稱密鑰對(duì)密文進(jìn)行對(duì)稱解密,一旦發(fā)現(xiàn)通信消息被篡改,拒絕處理請(qǐng)求,并寫入安全日志,網(wǎng)絡(luò)用戶本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“密鑰對(duì)稱解密失敗,發(fā)送消息被篡改”并轉(zhuǎn)至步驟18),13.)網(wǎng)絡(luò)服務(wù)端對(duì)加密的訪問控制策略進(jìn)行可擴(kuò)展標(biāo)記語言解密,得到訪問控制策略,14.)網(wǎng)絡(luò)服務(wù)端獲得步驟13)的訪問控制策略與訪問控制策略集進(jìn)行策略匹配,若與訪問控制集不符,網(wǎng)絡(luò)用戶本次作業(yè)請(qǐng)求執(zhí)行結(jié)果為“訪問控制策略不符”轉(zhuǎn)到步驟18),15.)網(wǎng)絡(luò)服務(wù)端啟動(dòng)對(duì)等計(jì)算客戶端,16.)網(wǎng)絡(luò)服務(wù)端將作業(yè)請(qǐng)求和資源匹配結(jié)果送至對(duì)等網(wǎng)絡(luò)客戶端進(jìn)行處理,17.)對(duì)等網(wǎng)絡(luò)客戶端將作業(yè)執(zhí)行后的結(jié)果送至網(wǎng)絡(luò)服務(wù)端,18.)網(wǎng)絡(luò)服務(wù)端對(duì)網(wǎng)絡(luò)用戶作業(yè)請(qǐng)求產(chǎn)生簡(jiǎn)單對(duì)象訪問協(xié)議消息響應(yīng),選擇對(duì)執(zhí)行結(jié)果是否需要安全性,若需要安全性,可以將消息響應(yīng)進(jìn)行簡(jiǎn)單對(duì)象訪問協(xié)議加密;若不需要高安全性,直接將執(zhí)行結(jié)果返回給網(wǎng)絡(luò)客戶端。
      全文摘要
      基于對(duì)等計(jì)算的服務(wù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的形成方案是一種側(cè)重于安全的服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)方案,利用對(duì)等計(jì)算和萬維網(wǎng)服務(wù)安全(ws-security)等標(biāo)準(zhǔn)構(gòu)造安全的服務(wù)網(wǎng)絡(luò)來解決分布式計(jì)算中的安全問題,該方案將網(wǎng)絡(luò)和萬維網(wǎng)服務(wù)安全概念引入到該安全體系結(jié)構(gòu)中,結(jié)合網(wǎng)絡(luò)安全規(guī)范形成,以解決分布式計(jì)算領(lǐng)域中的安全問題。較之其他服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu),該方案注重在完成網(wǎng)絡(luò)功能的前提下,實(shí)現(xiàn)服務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)的安全性和可靠性。本發(fā)明的方法強(qiáng)調(diào)網(wǎng)絡(luò)中的通信與安全,引入各種可擴(kuò)展標(biāo)記語言安全規(guī)范和基于策略的訪問控制等各種規(guī)范,其目的是解決網(wǎng)絡(luò)中的機(jī)密性、完整性、抗抵賴性和可用性等問題。
      文檔編號(hào)H04L12/24GK1859416SQ200610037760
      公開日2006年11月8日 申請(qǐng)日期2006年1月13日 優(yōu)先權(quán)日2006年1月13日
      發(fā)明者王汝傳, 陳娟, 楊庚 申請(qǐng)人:南京郵電大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1