（控制科学与工程专业论文）基于web服务的联合访问控制系统研究与实现.pdf

独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：丞盔堑日期丝叁7 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 舌多荨、 日期：如气j r 7日期： 丝! ： 摘要 摘要 随着w e b 信息系统的大量增加，统一身份认证( 单点登录) 实现了一次登 录授权，多应用访问的用户需求，促进了信息系统问的集成，减少了用户管理的 开销，提高了业务效率。但不同白治域中的w e b 应用之间，用户信息为独立和 低共享度的，集中式的访问控制显然不能满足需求。 在对跨域身份认证业务和环境特点进行研究之后，论文选取了以w e b s e r v i c e 中问件架构形式来实现跨域的联合访问控制，不同域的应用独立维护其用户信 息，通过中问件交互其它应用的用户信息，实现跨域认证授权。w e b s e r v i c e 中 间件具有平台无关性、信息标准化、系统低耦合等特点，是跨域身份认证比较理 想的选择。 论文以i r b a c 2 0 0 0 模型作为课题的访问控制模型，通过域问角色映射的方 法实现了用户的认证授权。对于i l 氇a c 2 0 0 0 模型中的角色映射，文章给出了一 种改进的角色映射算法，通过在角色映射过程中施加约束条件，避免了角色映射 冲突的出现，论文还给出了角色映射策略生成、同步和动态加载的实现方式。 论文使用了绑定s o a p 协议的s a m l ( 安全断言标记语言) 传输认证断言， 并在传输过程中使用了s s l 加密。在访问控制授权过程中，论文采用了x a c 池 ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) 作为访问控制授权策略语言，基于 主体、资源和环境进行细粒度的访问控制策略描述，并且采用了x a c 池的标准 数据流模型进行授权操作，此外，由于x a c 池的标准化和可扩展性，针对应用 制定的授权策略可以被其它的访问控制系统或升级版本使用。 文章实现的联合访问控制系统实例基于a x i s 2 开源框架和j 2 e e 技术设计开 发，并在w e b 系统巾得到功能验证。论文还使用测试工具l o a d r u n n e r 对其进行 了性能测试，验证了其可行性和可靠性。 最后，论文对课题的研究内容进行了总结，并对下一步的工作进行了展望。 关键词w e b 服务；访问控制模型；认证授权；角色映射 北京工业大学r 丁学硕：卜学位论文 a b s t r a c t w i t ht h es i g n i 行c a n ti n c r e a s ei nw e bi n f o m l a t i o ns y s t e m s ，u n i f i e da u t h e n t i c a t i o n ( s i n g l es i g no n ) a c h i e v e san e e dw h i c hs i n g l es i g n - o na u t h o r i z a t i o n ，al o t 印p i i c a t i o n s t oa c c e s s ，p r o m o t e st h ei n t e g m t i o no fi n f o n n a t i o ns y s t e m s ，r e d u c e st h ec o s to fu s e r m a n a g e m e n ta n di m p r o v e st h ew o r ke f n c i e n c y h o w e v e r ，i nd i f r e r e n ts e l f d o m a i n w e ba p p l i c a t i o n s ，u s e ri n f b n n a t i o n sa r ei n d e p e n d e n ta n dl o wd e g r e et oc h a r e ，i ti s o b v i o u s i yt h a tc e n t r a i i z e da c c e s s c o n t r o lc a nn o tm e e tt h ed e m a n d a r e rar e s e a r c ho fc r o s s d o m a i na u t h e n t i c a t i o ns e r v i c e sa n dt h e i re n v i r o m e n t a l c h a r a c t c r i s t i c s ，p a p e r sw e r es e l e c t e daf o r mo fw e b s e r v i c em i d d i e w a r e 矗a m e w o r kt o i m p l e m e n t t h ec r o s s d o m a i na c c e s s c o n t r d l ， d i f f e r e n td o m a i n so fa p p l i c a t i o n s m a i n t e n a n c el o c a iu s e ri n f o r m a t i o nt h r o u 曲m i d d l e w a r ee x c h a n g eu s e ri n f o m l a t i o n b e t w e e nd i f k r e n t a p p l i c a t i o n s ， t oa c h i e v ec r o s s d o m a i na u t h e n t i c a t i o na n d a u t h o r i z a t i o n w e b s e r v i c em i d d l e w a r ei s p l a t f o r m i n d e p e n d e n t ， i n f o m l a t i o n - s t a n d a r d ，l o o s e l yi n t e g r a t i o n ，e t c ， s oi ti sa ni d e a lc h o i c ef o rc r o s s d o m a i n a u t h e n t i c a t i o n t h e s i su s e si r b a c 2 0 0 0m o d e la st h ea c c e s sc o n t r o im o d e l s i tu s e st h e i n t e r d o m a i nr o i em a p p i n gm e t h o dt oa c h i e v eu s e ra u t h e n t i c a t i o na n da u t h o r i z a t i o n i ni n t e r d o m a i nr o l em a p p i n g ，t h e s i sg i v ea ni m p r o v e dm 印p i n ga l g o r i t h m ，t h f o u 曲 t h er o l em 印p i n gp r o c e s si ti m p o s er e s t r a i n t st oa v o i dt h ea p p e a r a n c eo fac o n f l i c to f r o l em a p p i n g ，t h ep a p e ra l s og i v e sr e a l i z a t i o n so fr o l em 印p i n gs t r a t e g yg e n e r a t i o n ， s y n c h r o n i z a t i o n 粕dd y n a m i cl o a d p a p c ru s e st h es o a pp r o t o c o lb i n d i n gs a m l ( s e c u r i t ya s s e n i o nm a r i ( u p l a n g u a g e ) t r a n s m i s s i o na u t h e n t i c a t i o na s s e r t i o n ，a n du s e ss s le n c 叮p t i o ni nm e t i a n s m i s s i o np r o c e s s i nm ea c c e s sc o n t r o la u t h o r i z a t i o np r o c e s s ，t h ep 叩e ru s e st h e x a c m l( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e )a sm ea c c e s sc o n t r o l a u t h o r i z a t i o np o i i c yl a n g u a g ew i t c hc a nm a k ef i n e - g r a i n e da c c e s sc o n t r o lp o l i c y d e s c r i p t i o nb a s e do ns u b j e c t ，r e s o u r c e sa n de n v i r o n m e n t ，a n dm a k e sa u t h o r i z a t i o n w i t hx a c m ed a t a n o wd i a g m m ，i na d d i t i o n ，d u et ox a c m l ss 咖d a r d i z a t i o na n d s c a i a b i l i 妙，a u t h o r i z a t i o np o l i c i e sd e v e l o p e df o rs i n g l e 印p i i c a t i o nc a n b eu s eb yo t h e r a c c e s sc o n t r o ls y s t e mo ru p g m d ev e r s i o n a c c e s sc o n t r o ls y s t e mi na r t i c l ei sd e s i g n e da n dd e v e l o p e do na x i s 2b a s e do p e n s o u r c ef h m e w o r ka n dj 2 e et e c h n o l o g y ，釉di sv e r i f i e do nw c bs y s t e m s t h ep a p e r a l s ou s e st h et e s t i n gt o o ll o a d r u n n e rt 0m a k eap e r f o n i l a n c et e s t i n g 锄dv e r i 黟i t s f e a s i b i l i t ya n dr e l i a b i l i t y f i n a l l y ，t i l et h e s i ss u m m a r i z e st h er e s e a r c hc o n t e n t so ft h es u 巧e c t ，a n de x p e c t s t h en e x ts t e p k 叼啊o r d sw e bs e r v i c e s ；a c c e s sc o n t r o lm o d e l ；c e r t i 6 c a t c 抓da u t h o r i 妙；r o l e m a p p i n g i i 目录 目录 摘要i a b s t r a c t il 第1 章绪论一1 一 1 1 课题背景和意义1 - 1 2 技术背景和研究现状2 1 2 1 传统单点登录一2 1 2 2 跨域访问控制一4 1 3 课题主要研究内容5 1 4 论文组织结构5 第2 章相关技术研究一7 2 1 单点登录技术7 2 2 访问控制模型9 2 2 1 访问控制技术9 2 2 2r b a c 模型10 2 3 访问控制策略语言1 2 2 3 1s a m l 1 2 2 3 2x a c m l 数据流模型1 6 2 3 3x a c m l 策略语言- 1 7 2 4w e bs e r v i c e 技术19 2 4 1w e bs e r v i c e 19 2 4 2s o a p 体系结构2 0 2 4 3w e b 服务安全规范2 l - 2 5 信息安全技术2 2 2 5 1 数据安全2 2 2 5 2h a s h 算法2 5 2 5 3s s l 2 6 2 6 本章小结2 7 第3 章基于w e b 服务的架构一2 9 3 1 联合访问控制需求分析2 9 3 1 1 跨域认证业务特点2 9 3 1 2 联合访问控制用例3 0 3 1 3 跨域信息交换模型一3 l 一 3 2 系统架构的选取3 2 3 3 本章小结3 4 第4 章联合访问控制系统总体设计一3 5 4 1 角色映射的访问控制思想3 5 1 北京工业大学工学硕士学位论文 4 2l r b a c 2 0 0 0 模型的改进一3 7 4 2 1 角色映射限制3 7 4 2 2 权限冲突处理一3 8 4 3 访问控制系统设计3 9 4 4 访问控制流程4 l - 4 5 技术要点4 2 4 6 本章小结4 3 第5 章联合访问控制系统实现一4 5 5 1 代理认证服务设计与实现一4 5 5 1 1s a m l 信息处理模块- 4 5 5 1 2 用户信息抽取模块4 9 5 1 3t o k e n 和a n i f a c t 一5 0 5 1 4 策略管理模块5 1 - 5 1 5 代理认证模型安全性分析5 3 5 2 目标应用端授权服务设计与实现5 3 5 2 1w e b 应用访问控制模型设计实现一5 4 5 2 2 模型元素的定义规则一5 5 5 2 3 控制模型元素值定义5 6 5 2 4 映射和权限指派关系5 8 5 2 5 授权模型的实现一5 8 - 5 2 6 角色映射策略生成- 6 5 5 3 本章小结一6 9 第6 章实例验证一7 1 6 1 验证系统结构7 1 6 2 实现与部署一7 2 6 2 1 认证授权服务实现与部署7 2 6 2 2 源应用端联合访问入口- 7 4 - 6 2 3 联合访问过滤器- 7 4 6 3 系统测试一7 5 6 3 1 系统功能检验一7 5 6 3 2l o a d e r r u n n e r 陛靠邑狈0 试。一7 8 6 3 3 结果分析一7 9 - 6 4 本章小结一8 0 一 结论与展望一8 1 一 参考文献。一8 3 一 攻读硕士学位期间所发表的学术论文一盯一 攻读硕士学位期间所获得的科研成果一8 7 一 致谢一8 9 一 第1 章绪论 第1 章绪论 1 1 课题背景和意义 随着互联网技术的进步和互联网应用的普及，越来越多的实体( 可以是自然 人、企业或政府) 为其它实体提供着种类繁多的资源和功能性服务，为了资源和 服务的安全性，同时为了能够为不同用户提供个性化的资源和服务，大多数w e b 应用在使用时都要求提供用户的身份认证。因为资源和服务众多，同时为了快捷 方便安全的用户级体验，单点登录技术实现了信息、应用集成和统一的访问入口。 单点登录技术的实现有如下优点： ( 1 ) 方便用户的使用 方便用户的使用，是单点登录系统最突出的特点。使用传统认证授权机制的 用户，为了得到服务的认证，需要记忆大量的难于记忆的用户名和密码，并且在 使用不同的服务时还要重新进行认证和授权，这样的系统已经使他们感到深恶痛 绝。相反，他们使用了单点登录系统后，上面的问题都不存在了。对于用户来讲， 只需要在使用第一个服务的时候进行一次身份认证，接下来的使用过程中，都不 需要再次进行认证和授权。除非他们认证后得到的登录凭证已经过期。 ( 2 ) 更合理有效的管理用户 与此同时，随着网络应用的进一步普及和互联网用广的迅速增长，一个w 曲 应用所需要管理和维护的用户信息数据量也在迅速增多。如何合理有效地管理这 些用户信息，是每一个w 曲服务都必须面对的问题。一味地通过提高存储容量、 加快c p u 的处理能力、升级数据库管理系统来解决这个问题，是一种盲目的和 不负责任的办法。采用单点登录解决方案，通过对用户信息共享和信任的移植， w 曲服务提供者可以更加有效地利用现有的、散布在互联网上的用户信息对用户 进行认证和授权。 ( 3 ) 提高系统的整体安全性 原本在一个企业、组织或政府部门内，已经从物理或逻辑范围界定了一个网 络安全级别。但是随着网络的发展，尤其是电子商务和电子政务的发展和普及， 我们需要在整个i n t e m e t 上进行的信息共享。这就给我们现有的内部安全系统提 出了一个问题，如何在利用现有安全体系的同时，与信任的合作伙伴进行安全的 信息交换。如果用户还是只能通过采用传统的认证授权方式来访问服务，那么由 这些孤立的安全单元( 我们把单独完成认证授权的服务与使用该服务的用户的集 合统称为一个安全单元) 所组成的系统是一个零散的、互斥的系统。虽然每个安 全单元内部是安全的，但是在它们的边缘进行的通信却是危险的。使用单点登录， 北京工、l k 大学工学硕士学位论文 可以很好地解决这一问题。它可以将这些安全单元重组成一个有机的、相互吸引 的整体，从而提高系统整体的安全性。 单点登录技术跟其它技术一样并不是完美的。它在向我们提供方便的同时， 又产生了一些新的问题： ( 1 ) 难于更新 由于开发和部署一个单点登录系统是一项耗时、困难的工程，而且费用昂贵。 所以，设计一个多模块的、方便组装和升级的单点登录系统是单点登录系统设计 的一个主要目标。 ( 2 ) 服务器安全问题 因为在传统的单点登录系统中，所有的服务都会共同信赖一个中心服务器。 因此，黑客们会将攻击的重点放在这个中心服务器上。所以，如何有效地减少中 心服务器的安全压力，是单点登录系统部署时所必须考虑的重要问题。 ( 3 ) 跨域用户的访问问题 随着信息化集成度的发展，逐渐出现了跨域分布式计算的趋势，这势必要求 不同企业站点进一步的相互联合，对外部用户提供跨越不同可信域的服务。但是， 现有用户认证机制普遍要求用户先注册，访问站点时用户首先要认证自己( 比如 通过用户名口令方式) ，才能调用不同的站点所提供的服务，这种情况造成了用 户操作上的不便。更重要的是，用户的信息( 如用户名、资料等) 多次在网络上 传输很有可能产生泄漏。这样建立基于联盟( f e d e r a t i o n ) 的单点登录系统成了 一种需要，寻找一种只需进行一次身份认证就可达到对多个系统进行访问的跨平 台、跨域的认证机制成为单点登录的一个研究方向。 1 2 技术背景和研究现状 访问控制的内涵包括身份认证和授权决策两部分，单点登录实际上是身份认 证的一种实现方式，但在大多数情况下，单点登录系统不仅包含了身份认证，同 时也对认证后的身份进行了决策授权。在本节中，论文将对单点登录形式的访问 控制系统的技术背景和发展现状进行说明。 1 2 1 传统单点登录 由于单点登录系统有着广泛的需求，所以在国外，有很多企业纷纷投入了大 量的资金，用于单点登录产品的研发i l j 。如：p a s s g os s 0 和i n s y n c 是由p a s s g o 科技公司( 其前身是a x e n t 公司) 开发的单点登录产品，分别通过单点登录和口 令同步两种方式实现，向企业提供单点登录服务；e t r t l s ts s o 是由c a ( c o m p u t e r a s s o c i a t e s ) 公司开发的单点登录产品，它的设计是基于p r o x i m as s o 的，并 且在收购了p i a t i n u ms s o 产品之后，能够更好地将现有客广机月艮务器与基于 第1 章绪论 w e b 的应用程序的访问控制功能集成到s s o 中，从而向企业提供了单一的产品； c a f e s o r 公司的w e b 单点登录产品c a m s ，采用了a s p n e t 、p h p 、j s p s e r v l e t 等多种技术，使其可以部署在a p a c h e 、微软的i i s 、b e a 公司的w e b l o g i c 、i b m 的w e b s p h e r e 、喝o s s 、t o m c a t 等多种应用服务器上。同时，很多大型i t 公司有 了自己的单点登录产品，如i b m 的g l o b a is i g n o n ，微软的p a s s p o n 。n o v e l l 和 惠普也联合开发了可以支持多种平台的单点登录产品。除此之外，很多国际性组 织也都在相关标准的基础上，开展了关于单点登录的开源研究项目，如耶鲁大学 的c a s 、s u n 的o p e n s s o 等。 国内也有很多公司从事单点登录产品的研究和开发，其中比较著名的有：北 京凯普计算机软件系统工程公司开发的单点登录平台，可以支持j 2 e e 和n e t 框 架：吉林大学信息科技有限公司基于角色的权限管理模型开发的吉大正元单点登 录系统( j 1 ts s o ) ，通过对用户进行集中的身份认证，从而实现单点登录：慧 点科技公司开发的d c i s s o 产品，是该公司p m i 产品的重要组成部分，通过为 不同平台上的服务提供代理，并使用一个l d a p 服务器对用户进行集中管理，从 而实现单点登录等。 纵观前期大多数的单点登录系统，可以看出其模型主要有三种：基于网关的 单点登录( g a t e w a y b a s e ds s o ) 模型、基于经纪人的单点登录( b r o k e r _ b a s e ds s o ) 模型和基于代理的单点登录( a g e n t - b a s e ds s o ) 模型。 基于网关的单点登录 基于网关的模型主要由三类实体组成：客广端、网关、应用服务器。网关一 边连接着客户端，另一边连接着各种应用服务器。网关把外界的客户端和内部的 服务器隔离开来。它是客户端访问各种应用服务器必须经过的一道关卡。在这种 方案中，所有的响应服务都需要放在被网关隔离的受信网段里。网关是客户端访 问各种应用服务器的必经关卡，它把用户身份信息和其有权访问的应用服务器的 i p 地址记录在表格里。凭着这张表，网关可以轻易地实现单点登录。 基于经纪人的单点登录 在此方案中，有一个集中的认证和用户帐号管理的服务器。该模型主要有三 个部分：客户端、认证服务器、应用服务器，认证服务器充当经纪人的角色。其 工作流程：首先，客户端访问认证服务器，与认证服务器进行双向身份认证后， 获得电子身份标识；然后客户端凭借已获得的电子身份标识访问各种应用系统， 从而实现单点登录。 基于代理的单点登录 在基于代理的模型中，存在一个自动地为不同的应用程序认证用户身份的代 理程序。该代理程序根据代理的具体应用程序而设计不同的功能。代理在服务器 的认证系统和客户端认证方法之间充当一个“翻译”，它自动地将认证的负担从客 北京工业大学工学硕士学位论文 户端移开。这种方式可以在对服务改动尽量小的情况下进行，因而具有良好的可 实施性和灵活性。但有一个非常大的缺陷，就是用户的登录凭证要在本地存储， 这样就增加了口令泄漏危险。 1 2 2 跨域访问控制 随着信息集成的发展，传统的单点登录系统已不能满足跨域访问控制的需 求，跨域单点登录系统成为一个研究热点。目前，针对跨域环境下的单点登录解 决方案主要有：微软的n e tp 嬲s p o r t 【5 1 、s u nm i c r o s y s t e m s 等建立的自由联盟计 划( 1 i b e r t ya l l i a n c ep r o j e c t ) 【6 】、m i c r o s o f t 和i b m 联合开发的w e b 服务联盟语言 ( w s f e d e r a t i o n ) 【7 】以及o a s i a 的安全服务委员会( s s t c ) 提出的安全断言标 记语言( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ，s a m l ) 【2 1 。n e tp a s s p o r t 技术是 通过其p a s s p o r t 来实现单点登录的，只要用户通过微软的p a s s p o r t 服务器的验证， 就可以访问所有与p a s s p o r t 服务器合作的站点。但由于微软在p a s s p o r t 验证技术 方面不公开，使得在安全性方面有一定的隐患，目前，p a s s p o r t 还不支持w e b 服 务。自由联盟计划和w e b 服务联盟语言都是通过建立联盟身份，通过标准化语 言交互信息，来达到访问联盟中的其它系统的功能。 国内的研究机构和大学在跨域访问控制方向也有一些研究成果。华南理工大 学的林满山等提出了基于l b e n y 单点登录协议和信任度的网络应用对等单点登 录模型【7 3 1 ，通过把对等概念引入单点登录，通过建立单点登录信任模型实现身份 联合和跨域单点登录过程。南京大学计算机软件研究所的王远等提出了一种基于 凭据收集、信任度评价的分布式访问控制系纠7 4 j 等。 随着w e b 技术的发展，跨域访问控制研究有朝着与平台无关、通用方向发 展的趋向，访问控制中间件技术成为一个新的研究重点，寻求通用的平台无关的 认证与授权功能成为网络访问控制的发展趋势。结构化信息标准促进组织 o a s i s 【2 ，3 】组织制定了两个访问控制标准：上一段提到的安全断言标记语言s a 池 和可扩展访问控制标记语言x a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u p l a n g u a g e ) 。它们都基于x m l ，分别对访问控制中的认证和授权过程进行定义 和统一描述。s a 池和x a c m l 制定以来已经在国内外得到广泛应用，商业门 户b e aw e b i o g i cp o n a i 、s u n0 n ep o r t a i 、s s o 产品旧o s ss s 0f m m e w o r k 、 s o u r c e i d 等都实现了对s a m l 的支持【4 。，b e a 还实现了w e b l o g i cs e r v e r x a c m 巴授权提供程序和w e b l o g i cs e r v e rx a c m l 角色映射提供程序。 课题组在工作过程中，开发了大量的w e b 系统，对w e b 系统的业务整合和认 证授权具有一定的研究基础，在之前工程和研究的基础上，制定了本课题的研究 方向和研究内容。 第l 章绪论 1 3 课题主要研究内容 本课题的研究方向是在w e b 系统访问控制研究基础上，针对特殊的跨域访问 建立一个通用的模块化系统，以实现跨域单点登录需求，并完成对w e b 系统的认 证和授权策略管理。本文主要研究内容包括以下几个方面： ( 1 ) 对跨域访问控制进行了分析，同时结合w e bs e r v i c e 的研究工作，提 出了一种基于w e b 服务的访问控制模型架构。 ( 2 ) 研究了主流访问控制模型r b a c 以及跨域访问控制模型i r b a c 2 0 0 0 的特点，对i r b a c 2 0 0 0 源角色目标角色映射的概念进行了增强和扩展，为w e b 应用的统一授权和策略管理提供了模型理论支持。 ( 3 ) 对现有s a m l 单点登录模型和安全断言进行研究，针对扩展模型的r r 映射策略进行加载和实现。 ( 4 ) 对x a c m l 的授权模型和策略描述语言进行了研究，提出了w e b 应用统 一授权的权限管理模型。并用x a c m l 语言对w e b 应用中授权模型的元素进行抽象 描述，统一了w e b 应用的访问控制策略标准格式，实现了策略的共享。 ( 5 ) 分析了w e b 通讯的威胁，在研究了加密和安全传输技术后，对s a m l 断 言、s a m l 消息、x a c m l 消息进行加密，保证了整个访问控制系统的安全性。 ( 6 ) 对w e b 服务容器a x i s 2 进行了的研究，完成了联合访问控制模型系统 的代码实现和部署，将访问控制功能在已存在w e b 系统中进行实现，验证了系统 的正确性和可行性，并针对系统巾存在的缺陷提出了下一步的研究工作。 1 4 论文组织结构 本论文一共分为七章，组织结构如下： 第l 章“绪论”，介绍了论文的研究背景和研究内容。 第2 章“相关技术研究”，介绍了访问控制的相关概念和实现技术，为访问 控制模型提供实现的技术基础。 第3 章“基于w e b 服务的架构”，首先对跨不同自治域的联合访问控制进 行了需求分析，给出了选取w e bs e r v i c e 作为实现形式的原凶，确定以w e bs e r v i c e 实现域间控制系统信息交互，建立联合访问控制的基本架构，并对w e b 服务安 全规范进行了研究。 第4 章“联合访问控制系统总体设计”，首先对基于角色映射的访问控制模 型i i 氇a c 2 0 0 0 进行研究，对其应用中的不足进行了改进。对文章实现的控制模 型和控制流程进行了总体描述。 第5 章“联合访问控制系统实现”，首先对认证授权策略的访问管理和动态 加载给出比较详细的实现描述，对代理认证端认证模块和目标应用授权端各组成 北京工业大学工学硕士学位论文 部分进行了详细的划分与设计，并对其进行了代码实现。 第6 章“实例验证”，对现在运行w e b 应用进行升级改造，完成模型系统 的部署，对整个联合访问控制模型进行功能验证，并采用测试工具l o a d r u n n e r 进行了并发性能检测。 “结论与展望”，对本课题的研究工作进行了总结，提出了不足之处并提出 下一步的理论研究和工程实现工作。 第2 章卡丌笑技术研究 第2 章相关技术 2 1 单点登录技术 w e b 应用的不断增长导致了对单点登录( s i n g l es i 酣o n ，s s o ) 的需求。单 点登录是指用户可以一次性登录到各个原本需要分别登录的应用的能力。许多基 于w e b 的应用都是由粒度较细的服务组成的，可以分别访问这些服务，也可以 在更大的上下文内访问这些服务。 集中式单点登录 如今，各个企业都致力于为用户提供对( 业务范畴) 外部和内部w e b 应用 的无缝访问，如果不能实现跨应用单点登录，那么用户将被迫管理越来越多的身 份，并在切换应用时进行越来越多的登录。 解决该问题的有效方法就是集中认证授权。集中认证授权提供了一种跨应用 的统一单点登录服务，不要求每个w e b 应用( 即服务提供者) 都直接参与认证 过程，可以让集中身份提供者( i d e n t i 谚p r o v i d e r ) 来承担这项工作。 身份提供者是一个集中进行认证和授权的机构。它先认证用户，然后给每个 用户提供一个令牌，以供参与其中的w e b 应用进行验证，这种方法使w e b 应用 无需再对用户进行认证和授权。有些用户是所有服务提供者可以识别的，而某些 用户则只有特殊服务提供者才能识别，这些用户是根据临时的合作协议才能访问 特定服务提供者的。 系统开发者将用户信息存储在一个集中数据库中，以降低管理多个数据库的 成本和复杂性。通过门户进行集中认证和授权是其中的一种方式，如图2 1 所示， 它允许用户通过统一入口( 门户) 访问这些w e b 应用，其中的每个w e b 应用都 要求认证用户。通过提供所有从属应用的单点登录，避免了用户重复登录授权， 从而提高了门户的价值。w e b 应用( 服务提供者) 将认证和授权工作委派给了 身份提供者( p o n a l ) ，从而降低了w e b 应用的用户管理负担和系统的复杂性。 图2 一l 集中式单点登录 f i g u r e 2 一lc e n t r a l i t ys s o 北京工业大学工学硕士学位论文 单点登录指出，当用户通过特定的资源认证后，再访问资源时就不再需要登 录。在门户中实现单点登录时，最常用的方案是实现安全令牌，对在整个门户中 的所有请求都提供该令牌，这样，门户在其包含的所有应用巾使用该安全令牌来 验证用户身份。 这种方案可以通过拦截代理实现。代理拦截请求并检查是否具有令牌，如果 有令牌且令牌是有效的，则允许请求通过；如果令牌无效或过期了，那么拦截代 理就将请求转发给认证服务，后者将提示用户登录。令牌还可以存储其它信息， 如会话数据等，这样门户便可以使用这些会话信息而不必对其持久化。令牌多以 安全c 0 0 k i e 或隐藏字段的加密值的形式提供。 跨域联合单点登录 跨域联合单点登录( c r o s s d o m i ns s o ，c d s s o ) 是单点登录的升级版本架 构，它允许每个身份提供者充当身份断言的生产者和消费者，每个w e b 应用既 是身份提供者又是服务提供者。从拓扑结构上说，跨域联盟支持的身份传播范围 几乎是无限的，在理想情况下，可以在全球范围建立个联盟，无论用户访问的 服务位于何处，都能对用户的身份信息进行传播和验证，这是身份管理的最终目 标。 与集中式单点登录相比，最大的区别就是整个系统可以存在两个或两个以上 的认证服务器( 身份提供者) ，如下图2 2 所示，这些认证服务器之间通过标准 的通讯协议，互相交换用广信息，从而完成了更高级别的单点登录。 图2 - 2 跨域联合单点登录 f i g u r e 2 2f e d e r a t i o nc d s s 0 单点登录技术只是访问控制的身份认证部分的一种实现方式，完整的访问控 制功能还包括授权决策部分，也就是要对拥有合法身份的用户分配适当的资源使 用权限。授权决策往往耍建立在一定的访问控制模型基础上，访问控制模型给出 了用户与权限之间的分配规则，对用户的授权就依据这些规则进行。随着访问控 制技术的发展，访问控制模型也形成了几个经典模型，下而就对访问控制模型做 进一步的介绍。 第2 章相关技术研究 2 2 访问控制模型 2 2 1 访问控制技术 访问控制技术是确保信息系统安全性的主要技术手段之一，访问控制就是实 施允许被授权的主体对某些客体的访问，同时拒绝向非授权的主体提供服务。访 问控制的两个重要过程是：通过“鉴别( a u t h e n t i c a t i o n ) 来检验主体的合法身 份，也就是前面所说的身份认证过程；通过“授权( a u t h o r i z a t i o n ) ”来限制用 户对资源的访问级别。从概念上讲，访问控制包括三个要素，即主体、客体和访 问控制策吲8 】： ( 1 ) 主体( s ub ! i e c t ) 是指一个提出请求或要求的实体，是动作的发起者，但 不一定是动作的执行者，可以是人，也可以是任何主动发出访问请求的智能体， 包括程序、进程、服务等。 ( 2 ) 客体( o b j e c t ) 是接受其它实体访问的被动实体，包括所有受访问控制 保护的资源。在不同应用背景下可以有相当广泛的定义，比如在操作系统可以是 一段内存空间，可以是数据库的表中的一个记录，也可以是一个w e b 页面。 ( 3 ) 访问控制策略( a c c e s sc o n t r o lp o l i c y ) 是主体对客体的操作行为的约束 集。换句话说就是，访问控制策略直接决定了主体对客体的访问权限并且提供一 些其他的约束条件。它体现了一种授权行为，也就是客体对主体所拥有的权限的 授权。 除了上面的三个基本要素外，在访问控制技术中还涉及到访问( a c c e s s ) 和 访问控制的手段等概念。所谓访问( a c c e s s ) 就是使信息在主体( s u b i e c t ) 和客 体( o b j e c t ) 之间流动的一种交互方式。主体的访问方式取决于客体的类型，一 般是对客体的一种操作，比如请求内存空间，修改表中记录，浏览页面等。而访 问控制的手段则包括用户识别代码、口令、登录控制、资源授权、授权核查、日 志和市计等等。 目前，比较成熟的访问控制模型主要有三种：自主性访问控制( d i s c r e t i o n a 巧 a c c e s sc o n t r o l ，d a c ) 、强制性访问控制( m a n d a t o 巧a c c e s sc o n t r o l ，m a c ) 和基 于角色的访问控制( i b l eb a s e da c c e s sc o n t r o l ，l m a c ) 。 自主访问控制是迄今为止在计算机系统中实现最多的访问控制机制，它的基 本思想是：允许某一个主体决定其他主体是否有权对其所拥有的信息资源进行访 问，并且可以指定访问类型【9 1 。这种类型的访问控制适用于操作系统的安全控制， 女口w i n d o w s 和u n i x 。 自主访问控制由于其易用性与可扩展性，使自主访问控制技术能够适用于多 种系统