（计算机应用技术专业论文）基于策略的web服务访问控制的研究与应用.pdf

武汉理上大学硕士学位论文 摘要 访问控制技术作为支撑信息系统安全的重要技术之一，广泛应用于操作系 统、数据库以及各种应用系统的安全防护之中。随着计算机网络、分布式等技 术的发展，尤其是w e b 服务技术的成熟和广泛应用，传统访问控制技术由于约 束条件配置管理以及授权方式的局限性，使得在复杂的会话管理和综合化授权 控制方面面临许多不足，不能很好的处理许多新的安全挑战，如规模性、灵活 性和互操作性等。本课题研究了w e b 服务安全技术，深入分析传统访问控制模 型及其不足，探讨了低耦合p b a c 访问控制模型及其实现模型。 论文首先介绍了w e b 服务技术及其对安全性访问控制的需求，讨论了w e b 服务面临的安全威胁，研究了w e b 服务技术中的安全模型和安全规范。然后在 分析传统访问控制模型的基础上，提出了低耦合p b a c 访问控制模型。重点对 低耦合p b a c 访问控制模型的描述和实现进行了详细的分析研究，主要包括： 1 ) 低耦合p b a c 访问控制模型的形式化描述。该模型取消了对会话主体的 权限配置，通过建立统一的、与访问控制授权相关的安全属性描述和访问控制 策略，实现对会话请求的全面约束和管理。为了提高访问控制策略的灵活性和 多策略支持能力，论文引入了策略规则、规则组合方法和策略组合方法，制定 了独立的策略描述、策略应用和策略管理机制。分析了模型中实体要素间的逻 辑关系。 2 ) 访问控制策略的可用性描述。从策略的灵活性、可用性和描述的一致性 出发，论文采用x m l 语言描述模型中的相关要素，包括会话实体、行为、条件 等，给出了策略规则、策略以及策略附件的描述方法。利用x m ls c h e m a 实现 元策略描述，建立了访问控制策略的内部逻辑关系，规范了策略的统一描述。 3 ) 低耦合p b a c 访问控制模型的实现。论文在分析了通用访问控制框架 g f a c 的基础上，设计了一种易于扩展的低耦合p b a c 访问控制模型的实现模 型g f p b a c ，并给出了模型的实现过程。此外，本文还详细讨论了w c f 技术及 其授权技术，给出了在w c f 开发的w e b 服务中，实现了g f p b a c 访问控制模 型的原型测试，验证了低耦合p b a c 访问控制模型的灵活性、扩展性和多策略 支持能力。 关键词：访问控制，策略，w c f ，可扩展标记语言，x m ls c h e m a a b s t r a c t h ea c c e s sc o n t r o lt e c h n o l o g y ，w i d e l y a p p l i e dt ot h es e c u r i t yp r o t e c t i o no f o p e r a t o rs y s t e m ，d a t a b a s ea n dv a r i o u sa p p l i c a t i o ns y s t e m s ，i ss i g n i f i c a n tt og u a r a n t e e t h es e c u r i t yo fi n f o r m a t i o ns y s t e m s s i n c et h ed e v e l o p m e n t o fc o m p u t e rn e t w o r k sa n d d i s t r i b u t e dt e c h n o l o g y ，e s p e c i a l l yt h em a t u r ea n dw i d e s p r e a da p p l i c a t i o no fw e b s e r v i c e s ，t h et r a d i t i o n a la c c e s sc o n t r o lh a sb e c o m em u c hd e f i c i e n to nt h ec o m p l e x s e s s i o nm a n a g e m e n ta n dt h ei n t e g r a t e da u t h o r i t yc o n t r o l ，a n dc a r ln o te f f i c i e n t l yd e a l w i t hs o m en e ws e c u r i t y c h a l l e n g e s ，s u c ha ss c a l e ，f l e x i b i l i t ya n di n t e r o p e r a b i l i t y ， b e c a u s eo fi t sl i m i t a t i o no ft h er e s t r i c t i v ec o n d i t i o n s c o n f i g u r a t i o nf o ra c c e s ss e s s i o n a n dt h ee x e c u t i o nm e c h a n i s m t h i st h e s i ss t u d y st h es e c u r i t y t e c h n o l o g yo ft h ew e b s e r v i c e s ，a n a l y z e st h et r a d i t i o n a la c c e s sc o n t r o la n di t s d e f i c i e n c y ，d i s c u s s e s 也e a c c e s sc o n t r o la n d i m p l e m e n t a t i o nm o d e lo fl o wc o u p l i n gp b a c ( p o l i c y b a s e d a c c e s sc o n t r 0 1 ) t h et h e s i s f u s t l yi n t r o d u c e st h ew e bs e r v i c e st e c h n o l o g ya n di t ss e c u r i t v r e q u i r e m e n t si nt h ea c c e s s c o n t r o l ，a n a l y z e s i t s s e c u r i t y m o d e la n d s e c u r i t y s p e c i f i c a t i o n ，a n di n v e s t i g a t e st h et h e a t e rt h a tt h ew e bs e r v i c e sh a v et of a c e b a s eo n t h ea n a l y s i so ft h et r a d i t i o n a la c c e s sc o n t r o lm o d e l ，p r o p o s e sal o wc o u p l i n gp b a c a c c e s sc o n t r 0 1 f i n a l l y ，t h et h e s i sf o c u s e so nd e t a i ls t u d y i n go f t h ef o l l o w i n gr e s p e c l s u s e dt od e s c r i b ea n di m p l e m e n tt h em o d e l ： 1 ) t h ef o r m a ld e s c r i p t i o no ft h el o wc o u p l i n gp b a ca c c e s sc o n t r 0 1 i i lt m s m o d e l ，t h ea u t h o r i z a t i o nf o rs e s s i o ns u b j e c th a sb e e nc a n c e l l e d t h r o u g hb u i l d i n gt h e d e s c r i p t i o no fs e c u r i t y - r e l a t e da t t r i b u t ea n da c c e s sc o n t r o lp o l i c y ，w er e a l i z et h e c o m p r e h e n s i v er e s t r a i n ta n dm a n a g e m e n to ft h es e s s i o nr e q u e s t s i no r d e rt oi m p r o v e t h ef l e x i b i l i t ya n dm u l t i - s t r a t e g y s u p p o r to ft h ea c c e s sc o n t r o lp o l i c i e s t h et h e s i s i n t r o d u c e st h er u l e s ，t h et e c h n i q u eo fr u l e sc o m b i n a t i o na n ds t r a t e g i cc o m b i n a t i o n a n df o r m u l a t e si n d e p e n d e n tm e c h a n i s m sf o rt h ep o l i c yd e s c r i p t i o n ，p o l i c ya p p l i c a t i o n a n dm a n a g e m e n t t h el o g i c a lr e l a t i o n s h i po fe n t i t i e si nt h em o d e la r ea l s oa n a l y z e d 2 ) t h ea v a i l a b i l i t yd e s c r i p t i o no ft h ea c c e s sc o n t r o lp o l i c y i no r d e rt oi m p r o v e t h e u s a b i l i t y ，f l e x i b i l i t ya n dc o n s i s t e n c yo ft h ep o l i c y ，w eu s ea nx m l b a s e d l i l a n g u a g et od e s c r i b et h ee l e m e n t si nt h ea c c e s sc o n t r o l ，i n c l u d i n gs e s s i o ne n t i t y ， b e h a v i o r ，c o n d i t i o n ，a n dt h e nw eg i v et h ed e s c r i p t i o nm e t h o d sa b o u tt h ep o l i c yr u l e ， p o l i c ya n dp o l i c y - a t t a c h m e n t f i n a l l y ，d e s c r i b i n g t h em e t a - s t r a t e g yw i t hx m l s c h e m 如w ee s t a b l i s ht h ei n t e r n a ll o g i cb e t w e e np o l i c i e s o fa c c e s sc o n t r o la n d s t a n d a r d i z eau n i f i e dd e s c r i p t i o no ft h es t r a t e g y 3 ) t h er e a l i z a t i o no ft h el o wc o u p l i n gp b a c a c c e s sc o n t r 0 1 t h eg e n e r a l i z e d f r a m e w o r kf o rp o l i c y b a s e da c c e s sc o n t r o i ( g f p b a c ) ，w h i c hi se a s y t ob e e x t e n d e d ，h a sb e e nd e s i g n e db a s e do nt h eg e n e r a l i z e df r a m e w o r kf o r a c c e s s c o n t r o l ( g f a c ) ，a n di t i su s e dt oa c h i e v et h el o wc o u p l i n gp b a ca c c e s sc o n t r o l m o d e l f u r t h e r m o r e ，t h et h e s i sa l s oa n a l y z e st h ew c f ( w i n d o w sc o m m u n i c t i o n f o u n d a t i o n la n di t sa u t h o r i z a t i o nm o d e l ，t a k e st h ew e bs e r v i c e sd e v e l o p e db yu s i n g w c fa sv a l i d a t i o ni n s t a n c eo fp r o t o t y p et e s t i n g t h ef l e x i b i l i t y ，a d a p t a b i l i t y , a n d m u l t i p o l i c ys u p p o r to ft h el o wc o u p l i n gp b a ca c c e s sc o n t r o l m o d e lh a sb e e n v e f i f i e d k e y w o r d s ：a c c e s sc o n t r o l ，p o l i c y , w i n d o w sc o m m u n i c t i o nf o u n d a t i o n , e x t e n s i b l em a r k u pl a n g u a g e ，x m ls c h e m a i i i 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：瓣 日期： 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时 授权经武汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论 文，并向社会公众提供信息服务。 ( 保密的论文在解密后应遵守此规定) 研究生签名： 导师签名：醴日期：j 学 武汉理工大学硕士学位论文 第1 章绪论 访问控制技术是国际标准化组织i s o 在网络安全体系的设计标准中定义的 五大安全服务功能之一。在计算机技术、通信技术和互联网络飞速发展的今天， 它一直受到科研人员、国际组织和相关机构的关注，并且已经渗透到操作系统、 数据库、网络等各个方面。目前，随着w e b 服务技术的日趋成熟和应用的深入， 对访问控制技术又提出了新的要求和挑战。 本章概括地介绍了课题来源，w e b 服务的应用前景和相关的安全问题，访 问控制研究现状，以及本文的研究内容和目标，最后列出论文的组织结构和安 排。 1 1 课题来源 管道燃气经营从公用福利模式转变为企业市场经营模式以来，燃气表抄收 体系为了提高抄收效率而进行不断改革，从最初以机械式燃气表和人工抄收为 基础的燃气抄收体系到i c 卡燃气表系统，以及小范围集中抄表系统。但仍然存 在一系列的问题，例如：缺少控制手段、自我保护功能不足、可以提供用户服 务质量水平低、缺少直观数据反馈回路、抄收实时性差等。随着信息化和网络 技术的发展，在理论上，可以使用网络将燃气表连接起来，在大的区域内实现 集中抄表，通过计算机网络实现遥测遥控，解决上述三种表具抄收形式的问题。 在信息化过程中，网络燃气表生产商为提高产品的市场竞争力，开发了与 网络燃气表配套的软件系统，它以w e b 服务的形式进行发布和使用，方便与燃 气运营商现有系统之间的集成和软件重用。在安全性方面，为了防止非法用户 对服务的访问以及合法用户的越权访问，引入了访问控制机制对访问资源的用 户进行审核和授权，实现对资源灵活的、细粒度的访问控制能力，提高服务资 源的安全性，确保对资源合法、合理的使用。 1 2w e b 服务应用前景和相关的安全问题 武汉理1 = 大学硕士学位论文 w e b 服务是使应用程序之间可以用与平台无关和与编程语言无关的方式进 行相互通信的一项技术。它通过定义软件接口，使用基于x m l ( e x t e n s i b l e m a r k u pl a n g u a g e ，可扩展标记语言) 语言的协议来描述要执行的操作或者w e b 服务之间交换的数据，实现在网络上通过标准化的x m l 消息传递来访问这组操 作，具有良好的封装性、松散耦合、使用协约的规范性、高度可集成能力、费 用低等特点，使企业业务从重复流程向维护成本低、可复用和共享服务的应用 转变，降低了业务流程的复杂性，达到节约时间和资金的目的。目前w e b 服务 的应用领域主要有以下四个方面i lj ： 1 ) 面向商务的w e b 服务( b u s i n e s s o r i e n t e dw e bs e r v i c e ) ：这类服务针对 面向企业应用服务，包括企业内部的e r p ( e n t e r p r i s er e s o u r c ep l a n n i n g ) 系统，企 业间的s c m ( s u p p l yc h a i nm a n a g e m e n t ) c r m ( c u s t o m e rr e l a t i o n s h i pm a n a g e m e n 0 等系统； 2 ) 面向消费者的w e b 服务( c o n s u m e r - o r i e n t e dw e bs e r v i c e ) ：这类服务 针对那些原先是b 2 c 网站的改造，为这些面向浏览器的w e b 应用增加了w e b 服务的应用界面，使得第三方桌面工具或其自身提供的增值桌面工具能够利用 更优秀的用户界面提供跨越多个b 2 c 服务的桌面服务； 3 ) 面向设备的w e b 服务( d e v i c e o r i e n t e dw e bs e r v i c e ) ：这类服务的使用 终端一般是手持设备和日用家电，对于手持设备而言，可以在不修改网络服务 体系结构的基础上，使先前的网络服务支持除p c 以外的各种终端；而对于日用 家电则处于市场的启动期，将为智能性的日用家电提供支持； 4 ) 面向系统的w e b 服务( s y s t e m o r i e n t e dw e bs e r v i c e ) ：这类是一些传 统意义上的服务系统，比如用户权限认证，系统监控等，如果被迁移到i n t e r n e t 或者企业内部的i n t r a n e t 上，它的作用范围将从单个系统或局部网拓展到整个企 业网络或整个i n t e m e t 。 在w e b 服务的应用中，服务请求者与w e b 服务之间的通信建立在s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c o l ，简单对象访问协议) 协议基础之上。s o a p 是 一种基于x m l 的，在分散或分布式的环境中交换信息的简单协议，其特点在于 它的简单性，因此，在制定s o a p 标准时并没有过多考虑其安全性要求，这将 导致s o a p 消息在传输时存在安全隐患。根据国际标准化组织i s o 在网络安全 体系的设计标准( i s 0 7 4 9 8 2 ) 中定义的五大安全服务功能：身份认证、数据保 密、数据完整性、不可否认和访问控制，为保护s o a p 消息安全，必须对其进 2 武汉理工大学硕士学位论文 行安全处理，使得s o a p 消息满足如下几个要求【2 j ： 1 ) 完整性：保证没有经过授权的用户不能改变或删除信息，从而信息在传 送的过程中不会被偶然或故意破坏，保持信息的完整和统一； 2 ) 机密性：保证没有经过授权的用户、实体或进程无法窃取信息； 3 ) 原始性证明：对信息或数据的发送者进行标示。保证信息被经过标示的 发送者传送从而避免以前的数据包被重复发送； 4 ) 防止抵赖：保证信息的发送者不能抵赖或否认对信息的发送，当然信息 发送前需要对发送者进行安全认证。 5 ) 访问控制：在s o a p 消息安全的基础上引入访问控制技术，以防止对任 何资源的未授权访问。 目前使用的访问控制模型主要有：自主访问控制模型【3 】( d i s c r e t i o n a r ya c c e s s c o n t r o lm o d e l ，d a c ) 、强制访问控制模型【4 5 】( m a n d a t o r ya c c e s sc o n t r o lm o d e l ， m a c ) 、基于角色的访问控制模型【6 j ( r o l e - b a s e da c c e s sc o n t r o lm o d e l ，r b a c ) 和基于任务的访问控制模型7 1 ( t a s k b a s e da c c e s sc o n t r o lm o d e l ，t b a c ) 等。 这些访问控制模型在应用中存在进一步改进和完善的地方，例如：提高访问控 制的灵活性、多策略支持能力等。论文将在第二章深入分析这些访问控制模型 的特点及其不足。 1 3 访问控制研究现状 对于论文中基于策略的w e b 服务访问控制模型，国内外许多组织机构做了 大量相关的研究，主要包括基于策略的访问控制研究和w e b 服务访问控制技术 研究两个方面。 1 3 1 基于策略的访问控制研究 在基于策略的访问控制方面： 1 9 9 6 年，e l i s ab e r t i n o 在一个支持多策略的数据库安全系统【8 】中，提出了基 于策略的访问控制思想。 2 0 0 0 年v i c t o r i au n g u r e a n u 设计了一个应用于w e b 服务的基于策略的访问 控制机制【9 1 。该访问控制系统中制定了独立的策略描述和管理机制，采用策略引 擎负责策略管理。同时在w e b 服务前端使用服务代理根据策略对所有访问请求 武汉理工大学硕士学位论文 进行判定。 2 0 0 1 年，s j a j o d i a 等人提出了支持多访问控制策略的授权框架f a f 0 0 】 ( f l e x i b l ea u t h o r i z a t i o nf r a m e w o r k ，弹性授权框架) ，在此基础上，s j a j o d i a 制 定了授权策略规范语言，讨论了策略的继承问题、冲突问题、策略决策问题、 完整性约束问题等。 在安全策略方面： 2 0 0 0 年i b m 和m i c r o s o f t 联合设计了w s p o l i c y 策略描述语言【l l 】，这是一 个允许w e b 服务描述其约束和需求的策略语言框架。 2 0 0 1 年英国皇家学院推出了一个面向对象的描述性语言p o n d e r t l 2 1 ，它可 以定义基于角色的访问控制策略、基于事件驱动的通用行为管理策略和根据条 件进行系统资源配置的策略。 2 0 0 2 年惠普公司推出了一种基于第一逻辑的语言r e i 策略语言【1 3 l 。 1 3 2w e b 服务访问控制研究 目前，对w e b 服务安全问题的研究主要集中在w e b 服务协议栈的消息层次， 针对s o a p 消息标头进行扩展，加入安全元素，以实现消息安全的访问控制。 该方面研究偏重对主体身份认证和属性获取，以及消息本身的安全性等。国际 技术组织和公司为解决w e b 服务安全问题，也制订了许多支持s o a p 消息扩展 的安全标准与规范，如：x m le n c r y p t i o n 、x m ls i g n a t u r e 、s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ，安全断言标记语言) 、x a c m l ( e x t e n s i b l ea c c e s s c o n t r o lm a r k u pl a n g u a g e ，可扩展的访问控制标记语言) 、w s s e c u r i t y 等。 针对w e b 服务访问控制问题，主要研究内容有如下两个方面： ( 1 ) s a m l 与x a c m l 相结合实现w e b 服务访问控制 这种实现的基本思想将s a m l 规范和x a c m l 相结合，利用s a m l 协议实 现单点登录，实现在i n t e r n e t 不同的安全域中交换身份验证和授权凭证，采用 x a c m l 表示控制信息访问的规则和策略。其重要依据是o a s i s ( t h eo r g a n i z a t i o n f o rt h ea d v a n c e m e n to fs t r u c t u r e di n f o r m a t i o ns t a n d a r d s ，结构化信息标准促进组 织) 于2 0 0 5 年2 月发布的将s a m l 应用于x a c m l 的规范“s a m l2 0p r o f i l eo f x a c m lv 2 o ”。该规范定义了s 舭2 0的 4个扩展元素 、 、 和 ，说明了如何使用s a m l2 0 4 武汉理工大学硕十学位论文 携带x a c m l 策略、策略查询和响应、授权决策、授权决策查询和响应，以及 s a m l 属性声明和x a c m l 的结合使用，并给出了s a m l 与x a c m l 相结合的 应用模型( p n 图1 1 ) 。该方面研究主要用于实现策略请求响应、授权决策请求 响应等，偏重于建立访问控制通信架构模型。 图1 - 1s a m l 与x a c m l 相结合的应用模型 ( 2 ) 基于r b a c 模型实现w e b 服务访问控制 从19 9 0 年开始，包括n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ， 国家标准技术研究所) 在内的许多国外机构就在为定义r b a c 标准而工作，并 推动着这项技术的研究和发展，是目前应用最为广泛的访问控制技术之一。它 将访问权限与角色相联系，通过给用户分配合适的角色，使用户拥有相应的访 问权限。因为r b a c 减少了管理费用，增强了管理灵活性，所以近来被广泛重 视。许多研究者提出将r b a c 用于w e b 服务的访问控制之中，文献【1 4 提出了 面向服务的基于角色的访问控制模型s r b a c ( r o l e b a s e da c c e s sc o n t r o ls y s t e m f o rw e bs e r v i c e s ) ；文献 】5 将r b a c 与x m l 结合，提出了可用于w e b 服务 访问控制的x r b a c ( x m l b a s e dr b a c ) 模型；文献1 1 6 将属性与角色相结合， 提出了可用于w e b 服务访问控制的a r b a c 模型。为了适应w e b 服务的动态性， 考虑访问控制的上下文，文献【1 7 提出了基于上下文与r b a c 相结合的w e b 服 5 武汉理- t 大学硕十学位论文 务访问控制模型。但由于角色通常与用户身份相关联，角色分配由人工实施， 当角色数量较大时，管理工作量仍然很大，特别当服务请求者和资源在不同的 安全域时，管理规模是一个严重的问题。另外，在w e b 服务环境中，用户身份 通常是事先不可知晓的，且是动态变化的，基于用户身份或基于用户角色的访 问控制，不太适合于w e b 服务的动态异构环境，需要进行适当的扩展。 1 4 课题研究内容与目标 论文将针对w e b 服务应用环境的特点，及个性化访问控制的要求，探讨基 于安全策略的访问控制若干问题，初步建立基于策略的访问控制模型，研究模 型中会话实体、行为等要素间的逻辑关系，深化模型对会话的控制管理。此外， 为实现策略制定和策略应用的灵活性，使用一种简单易行的规则组合方法和策 略组合方法，实现访问控制策略的有效管理。 本课题的主要目标在于实现用策略描述系统访问控制的安全管理目标和要 求，并以此策略控制系统的会话请求，实现系统安全管理与技术相结合，增强 访问控制的灵活性、扩展性和多策略支持能力，提高系统的访问控制安全防护 效能。同时，在目标的研究与实现过程中，需要实现以下几个目标： 首先，掌握基于策略的访问控制相关的基本概念，基本原理，建立基于策 略的w e b 服务访问控制模型： 其次，熟悉基于w c f ( w i n d o w sc o m m u n i c t i o nf o u n d a t i o n ) 的w e b 服务开 发和应用，掌握w c f 中访问控制的实现原理； 再次，将基于策略的w e b 服务访问控制模型应用到网络燃气系统中，为该 系统与其它系统集成时提供灵活的、细粒度的、多策略的访问控制能力。 1 5 论文的结构和安排 全文总共分6 章，主要内容如下： 第1 章绪论。阐述了论文中研究课题的来源，w e b 服务的应用前景及其安 全性问题，最后从基于策略的访问控制研究现状以及w e b 服务访问控制技术研 究，阐述了与论文研究主题相关的背景。 第2 章w e b 服务安全模型和访问控制技术研究。阐述w e b 服务的安全模 6 武汉理工大学硕士学位论文 型和面临的威胁与挑战，同时对传统的访问控制模型进行了全面而详细的分析。 第3 章低耦合p b a c ( p o l i c y b a s e da c c e s sc o n t r 0 1 ) 访问控制模型描述。 采用形式化的方式对访问控制的会话实体、安全属性、行为、访问控制策略、 策略规则以及策略间的逻辑关系等进行了详细的描述。并对策略的可用性求精 进行了探讨。 第4 章低耦合p b a c 访问控制策略的x m l 描述。针对第3 章中对策略的 形式化描述，使用x m l 语言实现策略的规范化描述，最后提供了元策略描述， 使得策略的x m l 描述和管理更加规范化。 第5 章低耦合p b a c 模型的应用及原型实验。首先探讨了w c f 中的访问 控制技术，以及如何在w c f 中实现自定义的授权模型，最后研究了p b a c 模型 在g f a c ( g e n e r a l i z e df r a m e w o r kf o ra c c e s sc o n t r o l ，通用访问控制框架) 框架上 的实现，设计一种易于扩展的基于g f a c 框架的p b a c 访问控制模型 ( g e n e r a l i z e df r a m e w o r kf o rp o l i c y b a s e da c c e s sc o n t r o l ，g f p b a c ) ，并对决策 效率进行了改进。 第6 章全文总结与展望。 7 武汉理工大学硕士学位论文 第2 章w e b 服务安全模型和访问控制研究 本章首先详细分析了w e b 服务的安全模型，及其面临的威胁。然后分析和 研究了传统的访问控制模型，对其实现思想和实现原理进行深入的探讨，讨论 了传统访问控制模型在w e b 服务应用中的不足和挑战。 2 1w e b 服务安全性研究 2 1 1w e b 服务面临的威胁 随着w e b 服务应用的深入，目前面临的主要威胁有以下三种类型【1 8 】： ( 1 ) 破坏型 这种攻击的发起者会试图关闭w e b 服务、修改w e b 服务器上的数据或者实 施其它恶意行为。它的影响通常可以通过网站的周密监视和优秀的备份策略减 到最小。 ( 2 ) 偷盗信息型 偷盗信息攻击的目的就是非法地获取w e b 服务以及与其相关的信息。信息 窃贼对基于w e b 服务的协同环境构成了很大的威胁，因为许多w e b 服务特别设 计为传播敏感信息。特别的，由于w e b 服务公开发布了直接指向信息的链接， 所以w e b 服务相对而言在发生此类攻击的情况下特别脆弱。不过，采用适当的 加密解密和身份认证技术，可以降低这方面的威胁。 ( 3 ) 非法访问型 非法访问型是随着w e b 服务的出现而产生的新威胁。大多数普通网络应用 都不会向用户直接暴露其内部功能。一些应用的核心功能，不论重要与否，通 常都隐藏在用户界面之后而且受到多重安全检查。但w e b 服务就不一样了，同 类的功能( 具体表现为编程时的函数或者方法调用) 必须直接暴露给最终用户。 这些最终用户就可能非法的访问一些服务制作者不愿意向其提供的接口，这种 具有合法身份的用户的非法访问行为不能用加密解密、身份认证等技术来解决， 所以是协同环境必须解决的一个迫切的安全问题。 8 武汉理工大学硕士学位论文 阻止非法访问，设计并实现一个访问控制框架是合适的选择。这个框架的 主要功能是实现对w e b 服务用户的授权。然而，授权访问以及它的一些扩充话 题：w e b 服务管理、访问控制策略的发布和管理、优化安全性带来的系统性能 损失等问题，则需要新的解决办法。 2 1 2w e b 服务安全模型 全面的w e b 服务安全性体系架构需要提供一个端到端的安全性机制l l9 】，为 w e b 服务提供安全功能和组件的全名模型要求，把当前可用的流程和技术与未 来应用程序不断改进的安全性需求集成起来，使客户能够很容易地使用异类系 统建立可互操作的解决方案。 i b m 、m i c r o s o f t 和v e r i s i g n 联合提议了一个w e bs e r v i c e 安全性模型1 2 0 】如图 2 1 所示，这个安全消息传递模型显示任何请求者也都可以是服务，安全性令牌 服务也完全可以是一个w e b 服务，并包括表达策略和要求安全性令牌。 图2 - 1w e bs e r v i c e 安全令牌服务模型口 该模型的消息安全传递模型同时支持公钥基础架构p i g 和k e r b e r o s 身份机 制，包含并支持几个特殊的模型，比如基于身份的安全性、访问控制列表和基 于性能的安全性，并且能够扩展到支持额外的安全机制，它允许使用现有的技 术如x 5 0 9 公用密钥技术、k e r b e r o s 票据甚至密码摘要等。在该模型中安全性令 牌( s e c u r i t yt o k e n ) 表示与安全性相关的信息，例如x 5 0 9 、k e r b e r o s 票据和认 证者、来自s i m ( s u b s c r i b e r i d e n t i t y m o d u l e ，用户识别模块) 卡的移动设备安 全性令牌、用户名等。其中x 5 0 9 证书和k e r b e r o s 票据称为已签名安全性令牌 ( s i g n e ds e c u r i t yt o k e n ) ，它包含一组由签发者用密码的方式签署的相关声明 9 武汉理 二大学硕士学位论文 ( c l a i m ，断言) 。一个声明表示一个陈述，它可以是关于可能用于对消息进行 签名或加密的密钥或是安全令牌传达的陈述，它可以表明发送者的身份或一个 被授权角色。声明和相关的信息合称为端点策略( w e bs e r v i c ee n d p o i n tp o l i c y ) ， 用于指出与认证、授权相关的需求，可用x m l 表示。 该模型与现在普遍使用的用于认证、数据完整性和数据机密性的模型是兼 容的，它支持把现有的安全传输机制( 如：s s l t l s ) 与w s s e c u r i t y 一起使用 来提供端到端的完整性和机密性。如图2 2 显示了使用w e bs e r v i c e 安全性令牌 的直接信任案例，该案例假设双方都已经使用了一些机制来建立一种信任关系 以便使用安全性令牌，请求者向服务发送消息，在消息中包含一个己签名安全 令牌，并提供安全性令牌的所有权证明，服务检验该证明并评价安全性令牌， 如果安全性令牌上的签名有效并被服务信任，服务处理该请求并返回结果。 f 服务霎请求 服务提供者l 图2 2 使用安全性令牌的直接信任 2 1 3w e b 服务安全规范 i b m 、m i c r o s o f t 和v e r s i g n 在w e b 服务安全白皮书里面给出了一整套安全 性规范，用于针对不同的情况，提供w e b 服务开发的安全性。w e b 服务安全规 范如图2 3 所示： w s s e c u r e c o n v e r s a t i o n w s f e d e r a t i o n w s a u t h o r i z a t i o n w e b 服务安全会话w e b 服务联合机制 fw e b 服务授权 w s p o l i c y ：策略 w s p o lic y f r a m e w o r k 策略框架 w s p o li c y p o l i c y a t t a c h m e n ta s s e r t i o n s 1 0 武汉理t 大学硕士学位论文 这些规范描述了如何实施和实现安全机制，也就是如何把安全功能放到 w e b 服务的环境中去。这些规范是灵活的，可以任意匹配使用，主要包括以下 几种规范： 1 ) s o a p 规划2 2 】：它是所有基于s o a p 的w e b 服务的基础，详细说明了 消息的格式。其中还详细说明了应用程序应如何对待消息的特定方面，从而可 以创建特定类型的应用程序，使其中的消息在到达最终的目的地前在多个中间 层之间进行传递。 2 ) w s s e c u r i t y 规划2 3 】：它是其它安全性规范的基础，保证s o a p 消息交换 在安全性方面存在的三个主要问题。首先，它定义了如何在s o a p 消息中传输 不同的安全标记，让接受方知道如何从消息中提取安全令牌来进行处理，解决 了客户机进行标示和身份验证问题；其次，采用了x m ls i g n a t u r e 规范，提供了 对x m l 文档进行数字签名的机制，以确保消息的完整性；第三，采用了x m l e n c r y p t i o n 规范，提供对x m l 文档进行加密的机制，保护消息在传递过程中不 被窃听。 3 ) w s p o l i c y 规范【2 4 】：提供了一个通用模型和相应语法来描述w e b 服务策 略并与之通信。w e b 服务策略定义了一个基础结构集，这个基础结构集可以被 其它w e b 服务规范使用和扩展，以描述范围广泛的服务要求、参数选择和能力。 4 ) w s p o l i c y a s s e r t i o n s 规划2 5 】：规定了一组可在策略内指定的公共消息策 略断言。这个规范还定义了与w e b 服务策略一起使用的基于消息的通用断言。 5 ) w s p o l i c y a t t a c h m e n t s 规范【2 6 】：定义了两个用于将策略与它们所应用的 主体相关联的通用机制，以及如何使用这些通用机制将w s p o l i c y 与w s d l 和 u d d i 说明相关联。 6 ) w s s e c u r ec o n v e r s a n t i o n 规范【2 7 】建立在以安全性令牌为基础的信任这一 概念之上。它描述了如何在策略定义的信任关系上下文中使用安全性令牌来使 得多个服务请求者和服务提供者能在会话期间安全地交换信息。 7 ) w s t r u s t 规范【2 8 】：旨在支持创建多种安全性令牌格式，以适应各种认证 和授权机制。发出安全性令牌服务接受一个输入请求( 通常还有身份证明) ， 然后以指定的身份所请求的令牌( 即一个特定的业务证书) 作为响应。 2 2 传统访问控制模型 武汉理1 j 大学硕士学位论文 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的 一种方法，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从 而保证系统资源受控地、合法地使用。访问控制模型是从访问控制的角度出发， 描述安全系统，建立安全模型的一种方法。在访问控制模型中，访问控制主要 描述为访问主体依据某些控制权限对客体本身或者资源进行不同授权的访问使 用。传统的访问控制模型主要有：自主访问控制模型d