基于WEB的跨域訪問控制機制的研究.pdf

1、目前，以社交網(wǎng)路為代表的Web2.0網(wǎng)站正逐漸演變?yōu)殚_放平臺，國內(nèi)外各大開放平臺紛紛采用OAuth協(xié)議解決跨域認證授權問題。OAuth協(xié)議是一個開放授權標準，允許第三方應用在不泄露隱私的前提下，代表用戶訪問存儲在資源服務器的受保護的資源。然而OAuth在分布式Web應用程序中存在其不足，它建立在假定消費者始終是一個單一實體的基礎之上，從而使所有的組件使用消費者的訪問憑據(jù)，擁有相同的權限訪問用戶數(shù)據(jù)。OAuth協(xié)議依賴服務提供方定義消費者

2、的訪問權限比較寬泛，如完全訪問數(shù)據(jù)或者只讀，使組件不能堅持最小特權策略，這種過度授權的組件使得授權粒度過大，構成了潛在的風險。OAuth2.0協(xié)議也存在著訪問令牌可能被盜的安全風險。隨著應用程序在云中的普及，規(guī)模和預期性能成為影響安全協(xié)議架構決策的決定性因素之一。OAuth2.0協(xié)議中第三方應用（消費者）與資源服務器之間缺乏信任往往導致大量的對資源服務器的不必要的請求，這加重了資源服務器的負擔，因而性能逐漸成為OAuth協(xié)議應用于企業(yè)應

3、用程序的主要障礙。因為OAuth協(xié)議被廣泛部署應用，所以OAuth協(xié)議技術的研究迫在眉睫。
　　 針對OAuth協(xié)議技術，本文作了以下工作:
　　 1.根據(jù)OAuth協(xié)議模型存在的上述問題，本文提出了一種適用于分布式Web應用程序跨域授權情景的MAuth協(xié)議，它具有細粒度授權、自動子委派撤銷權限、基于策略委派、同步信任的特點。
　　 2.MAuth協(xié)議的權限策略、工作流程，模擬并分析了MAuth協(xié)議信任模型。

4、r>　　 3.采用Alloy框架形式化驗證協(xié)議模型，使用形式化規(guī)范語言Alloy對協(xié)議進行建模，使用AlloyAnalyzer自動化分析器驗證安全模型。通過分別對MAuth協(xié)議信任模型和OAuth協(xié)議模型進行形式化驗證并分析驗證結(jié)果，表明MAuth協(xié)議信任模型顯著的降低了OAuth協(xié)議模型具有的訪問令牌可能被竊取的安全風險。
　　 4.開發(fā)了一個企業(yè)社交協(xié)作平臺(ESCP)原型系統(tǒng)，討論了研究方向。ESCP主要由三個模塊構成: